Не решено CP блокирует https-трафик

G@rry_

Почетный гость
Обнаружилась забавная проблема.

После замены провайдера CheckPoint стал блокировать https-трафик с некоторых сайтов. Например drom.ru. Т.е. я пытаюсь подключиться по http, соединение устанавливается и меня редиректит на https, после чего соединение зависает в процессе TLS-рукопожатия.

В логах ничего нет. Thread prevention выключены. SSL inspection выключен. Я в замешательстве.
 

Goblin

Участник
Advanced account
Обнаружилась забавная проблема.

После замены провайдера CheckPoint стал блокировать https-трафик с некоторых сайтов. Например drom.ru. Т.е. я пытаюсь подключиться по http, соединение устанавливается и меня редиректит на https, после чего соединение зависает в процессе TLS-рукопожатия.

В логах ничего нет. Thread prevention выключены. SSL inspection выключен. Я в замешательстве.

а в логах что ? Сертификат самоподписный ? Проверьте настройки в General proprties
 

sysadmin

Участник
Обнаружилась забавная проблема.

После замены провайдера CheckPoint стал блокировать https-трафик с некоторых сайтов. Например drom.ru. Т.е. я пытаюсь подключиться по http, соединение устанавливается и меня редиректит на https, после чего соединение зависает в процессе TLS-рукопожатия.

В логах ничего нет. Thread prevention выключены. SSL inspection выключен. Я в замешательстве.

Что в свойствах шлюза ?
555.png - https checkpoint
 

LayLa

Участник
Обнаружилась забавная проблема.

После замены провайдера CheckPoint стал блокировать https-трафик с некоторых сайтов. Например drom.ru. Т.е. я пытаюсь подключиться по http, соединение устанавливается и меня редиректит на https, после чего соединение зависает в процессе TLS-рукопожатия.

В логах ничего нет. Thread prevention выключены. SSL inspection выключен. Я в замешательстве.

ну тк спросите провайдера не режет ли он вам траффик. Было такое с L2 VPN и QinQ
 

Serg

Случайный прохожий
Обнаружилась забавная проблема.

После замены провайдера CheckPoint стал блокировать https-трафик с некоторых сайтов. Например drom.ru. Т.е. я пытаюсь подключиться по http, соединение устанавливается и меня редиректит на https, после чего соединение зависает в процессе TLS-рукопожатия.

В логах ничего нет. Thread prevention выключены. SSL inspection выключен. Я в замешательстве.

Надо посмотреть detailed log
 

G@rry_

Почетный гость
Https вообще разрешен.
провайдер ничего не блокирует.
в свойствах шлюза следующее:

Нажмите на изображение для увеличения.   Название:	ssl_insp.png  Просмотров:	0  Размер:	83.7 Кб  ID:	8814

Нажмите на изображение для увеличения.   Название:	threat.png  Просмотров:	0  Размер:	82.0 Кб  ID:	8815
 

Вложения

  • image_660.png
    image_660.png
    83,7 КБ · Просмотры: 0
  • image_661.png
    image_661.png
    82 КБ · Просмотры: 0

G@rry_

Почетный гость
В Security Logs написано что подключение было и разрешено.
Как посмотреть detailed log?
Сертификат у drom.ru не знаю какой, в браузере его посмотреть не могу, видимо до загрузки дело не доходит...
 

G@rry_

Почетный гость
Да, еще важная деталь. У нас тут несколько провайдеров, и нормально работало только через одного с PPPoE соединением. У всех остальных IPoE и фигня с доступом к сайтам.
Магия какая-то...
 

Goblin

Участник
Advanced account
В Security Logs написано что подключение было и разрешено.
Как посмотреть detailed log?
Сертификат у drom.ru не знаю какой, в браузере его посмотреть не могу, видимо до загрузки дело не доходит...

это в свойствах правила в поле LOG, поставьте detailed log. Точно нет никаких drop / reject / deny ? Так же вопрос - какой браузер. Будет ли работать через IE ?
565656.png - detailed log
 

Goblin

Участник
Advanced account
Да, еще важная деталь. У нас тут несколько провайдеров, и нормально работало только через одного с PPPoE соединением. У всех остальных IPoE и фигня с доступом к сайтам.
Магия какая-то...

tls может не работать тк пакеты могут уходить через одного ISP а возвращаться через другого. Нужно маршрут жестко указывать. Это надо вообще смотреть как у вас сетка / балансировка работает (если есть), есть ли маршрутизаторы..? :upset:
 

G@rry_

Почетный гость
tls может не работать тк пакеты могут уходить через одного ISP а возвращаться через другого. Нужно маршрут жестко указывать. Это надо вообще смотреть как у вас сетка / балансировка работает (если есть), есть ли маршрутизаторы..? :upset:

Сейчас включен один провайдер.
А балансировка была включена как High Availability mode. И оба прова через NAT, т.ч. маршруты тут не причем.
 

G@rry_

Почетный гость
Да, сейчас одни IPoE провайдер.

А статью смотрел. После чего и выключил SSL inspection, но не помогло.
 

Goblin

Участник
Advanced account
странно тогда. Что будет если включить https инспекцию но поставить bypass на все ?:upset:
 

G@rry_

Почетный гость
Я создавал правило добавляющее весь трафик в исключение. Никаких изменений.
 
Верх Низ