Не решено CP блокирует https-трафик

[G@rry_]

Обнаружилась забавная проблема.

После замены провайдера CheckPoint стал блокировать https-трафик с некоторых сайтов. Например drom.ru. Т.е. я пытаюсь подключиться по http, соединение устанавливается и меня редиректит на https, после чего соединение зависает в процессе TLS-рукопожатия.

В логах ничего нет. Thread prevention выключены. SSL inspection выключен. Я в замешательстве.

 

[Goblin]

Обнаружилась забавная проблема.

После замены провайдера CheckPoint стал блокировать https-трафик с некоторых сайтов. Например drom.ru. Т.е. я пытаюсь подключиться по http, соединение устанавливается и меня редиректит на https, после чего соединение зависает в процессе TLS-рукопожатия.

В логах ничего нет. Thread prevention выключены. SSL inspection выключен. Я в замешательстве.

а в логах что ? Сертификат самоподписный ? Проверьте настройки в General proprties

 

[Goblin]

https разрешен вообще в политиках ?

 

[sysadmin]

Обнаружилась забавная проблема.

После замены провайдера CheckPoint стал блокировать https-трафик с некоторых сайтов. Например drom.ru. Т.е. я пытаюсь подключиться по http, соединение устанавливается и меня редиректит на https, после чего соединение зависает в процессе TLS-рукопожатия.

В логах ничего нет. Thread prevention выключены. SSL inspection выключен. Я в замешательстве.

Что в свойствах шлюза ?

 

[LayLa]

Обнаружилась забавная проблема.

После замены провайдера CheckPoint стал блокировать https-трафик с некоторых сайтов. Например drom.ru. Т.е. я пытаюсь подключиться по http, соединение устанавливается и меня редиректит на https, после чего соединение зависает в процессе TLS-рукопожатия.

В логах ничего нет. Thread prevention выключены. SSL inspection выключен. Я в замешательстве.

ну тк спросите провайдера не режет ли он вам траффик. Было такое с L2 VPN и QinQ

 

[Serg]

Обнаружилась забавная проблема.

После замены провайдера CheckPoint стал блокировать https-трафик с некоторых сайтов. Например drom.ru. Т.е. я пытаюсь подключиться по http, соединение устанавливается и меня редиректит на https, после чего соединение зависает в процессе TLS-рукопожатия.

В логах ничего нет. Thread prevention выключены. SSL inspection выключен. Я в замешательстве.

Надо посмотреть detailed log

 

[G@rry_]

Https вообще разрешен.
провайдер ничего не блокирует.
в свойствах шлюза следующее:

 

[G@rry_]

В Security Logs написано что подключение было и разрешено.
Как посмотреть detailed log?
Сертификат у drom.ru не знаю какой, в браузере его посмотреть не могу, видимо до загрузки дело не доходит...

 

[G@rry_]

Да, еще важная деталь. У нас тут несколько провайдеров, и нормально работало только через одного с PPPoE соединением. У всех остальных IPoE и фигня с доступом к сайтам.
Магия какая-то...

 

[Goblin]

В Security Logs написано что подключение было и разрешено.
Как посмотреть detailed log?
Сертификат у drom.ru не знаю какой, в браузере его посмотреть не могу, видимо до загрузки дело не доходит...

это в свойствах правила в поле LOG, поставьте detailed log. Точно нет никаких drop / reject / deny ? Так же вопрос - какой браузер. Будет ли работать через IE ?

 

[Goblin]

Да, еще важная деталь. У нас тут несколько провайдеров, и нормально работало только через одного с PPPoE соединением. У всех остальных IPoE и фигня с доступом к сайтам.
Магия какая-то...

tls может не работать тк пакеты могут уходить через одного ISP а возвращаться через другого. Нужно маршрут жестко указывать. Это надо вообще смотреть как у вас сетка / балансировка работает (если есть), есть ли маршрутизаторы..? :upset:

 

[G@rry_]

это в свойствах правила в поле LOG, поставьте detailed log.

У меня там только так:


И в логе есть такая запись:

 

[G@rry_]

tls может не работать тк пакеты могут уходить через одного ISP а возвращаться через другого. Нужно маршрут жестко указывать. Это надо вообще смотреть как у вас сетка / балансировка работает (если есть), есть ли маршрутизаторы..? :upset:

Сейчас включен один провайдер.
А балансировка была включена как High Availability mode. И оба прова через NAT, т.ч. маршруты тут не причем.

 

[Surf_rider]

ТС погляди статейку

 

[Surf_rider]

Сейчас включен один провайдер.

Щас включено IPoE, с которым не работает - так я понимаю ?

 

[Surf_rider]

стоп, это не то походу..

 

[G@rry_]

Да, сейчас одни IPoE провайдер.

А статью смотрел. После чего и выключил SSL inspection, но не помогло.

 

[Goblin]

странно тогда. Что будет если включить https инспекцию но поставить bypass на все ?:upset:

 

[G@rry_]

Я создавал правило добавляющее весь трафик в исключение. Никаких изменений.

 

[Engineer]

попробуй fw log
https://supportcenter.checkpoint.co...t_doGoviewsolutiondetails=&solutionid=sk25532

fw log [-f [-t]] [-n] [-l] [-o] [-c action] [-h host] [-s starttime] [-e endtime] [-b starttime endtime] [-u unification_scheme_file] [-m unification_mode(initial|semi|raw)] [-a] [-k (alert_name|all)] [-g] [logfile]