Не решено CP блокирует https-трафик

G@rry_

Почетный гость
Обнаружилась забавная проблема.

После замены провайдера CheckPoint стал блокировать https-трафик с некоторых сайтов. Например drom.ru. Т.е. я пытаюсь подключиться по http, соединение устанавливается и меня редиректит на https, после чего соединение зависает в процессе TLS-рукопожатия.

В логах ничего нет. Thread prevention выключены. SSL inspection выключен. Я в замешательстве.
 

Goblin

Случайный прохожий
Обнаружилась забавная проблема.

После замены провайдера CheckPoint стал блокировать https-трафик с некоторых сайтов. Например drom.ru. Т.е. я пытаюсь подключиться по http, соединение устанавливается и меня редиректит на https, после чего соединение зависает в процессе TLS-рукопожатия.

В логах ничего нет. Thread prevention выключены. SSL inspection выключен. Я в замешательстве.
а в логах что ? Сертификат самоподписный ? Проверьте настройки в General proprties
 

Goblin

Случайный прохожий
https разрешен вообще в политиках ?
 

sysadmin

Случайный прохожий
Обнаружилась забавная проблема.

После замены провайдера CheckPoint стал блокировать https-трафик с некоторых сайтов. Например drom.ru. Т.е. я пытаюсь подключиться по http, соединение устанавливается и меня редиректит на https, после чего соединение зависает в процессе TLS-рукопожатия.

В логах ничего нет. Thread prevention выключены. SSL inspection выключен. Я в замешательстве.
Что в свойствах шлюза ?
555.png - https checkpoint
 

LayLa

Случайный прохожий
Обнаружилась забавная проблема.

После замены провайдера CheckPoint стал блокировать https-трафик с некоторых сайтов. Например drom.ru. Т.е. я пытаюсь подключиться по http, соединение устанавливается и меня редиректит на https, после чего соединение зависает в процессе TLS-рукопожатия.

В логах ничего нет. Thread prevention выключены. SSL inspection выключен. Я в замешательстве.
ну тк спросите провайдера не режет ли он вам траффик. Было такое с L2 VPN и QinQ
 

Serg

Случайный прохожий
Обнаружилась забавная проблема.

После замены провайдера CheckPoint стал блокировать https-трафик с некоторых сайтов. Например drom.ru. Т.е. я пытаюсь подключиться по http, соединение устанавливается и меня редиректит на https, после чего соединение зависает в процессе TLS-рукопожатия.

В логах ничего нет. Thread prevention выключены. SSL inspection выключен. Я в замешательстве.
Надо посмотреть detailed log
 

G@rry_

Почетный гость
Https вообще разрешен.
провайдер ничего не блокирует.
в свойствах шлюза следующее:

Нажмите на изображение для увеличения.   Название:	ssl_insp.png  Просмотров:	0  Размер:	83.7 Кб  ID:	8814

Нажмите на изображение для увеличения.   Название:	threat.png  Просмотров:	0  Размер:	82.0 Кб  ID:	8815
 

Вложения

G@rry_

Почетный гость
В Security Logs написано что подключение было и разрешено.
Как посмотреть detailed log?
Сертификат у drom.ru не знаю какой, в браузере его посмотреть не могу, видимо до загрузки дело не доходит...
 

G@rry_

Почетный гость
Да, еще важная деталь. У нас тут несколько провайдеров, и нормально работало только через одного с PPPoE соединением. У всех остальных IPoE и фигня с доступом к сайтам.
Магия какая-то...
 

Goblin

Случайный прохожий
В Security Logs написано что подключение было и разрешено.
Как посмотреть detailed log?
Сертификат у drom.ru не знаю какой, в браузере его посмотреть не могу, видимо до загрузки дело не доходит...
это в свойствах правила в поле LOG, поставьте detailed log. Точно нет никаких drop / reject / deny ? Так же вопрос - какой браузер. Будет ли работать через IE ?
565656.png - detailed log
 

Goblin

Случайный прохожий
Да, еще важная деталь. У нас тут несколько провайдеров, и нормально работало только через одного с PPPoE соединением. У всех остальных IPoE и фигня с доступом к сайтам.
Магия какая-то...
tls может не работать тк пакеты могут уходить через одного ISP а возвращаться через другого. Нужно маршрут жестко указывать. Это надо вообще смотреть как у вас сетка / балансировка работает (если есть), есть ли маршрутизаторы..? :upset:
 

G@rry_

Почетный гость
tls может не работать тк пакеты могут уходить через одного ISP а возвращаться через другого. Нужно маршрут жестко указывать. Это надо вообще смотреть как у вас сетка / балансировка работает (если есть), есть ли маршрутизаторы..? :upset:
Сейчас включен один провайдер.
А балансировка была включена как High Availability mode. И оба прова через NAT, т.ч. маршруты тут не причем.
 

G@rry_

Почетный гость
Да, сейчас одни IPoE провайдер.

А статью смотрел. После чего и выключил SSL inspection, но не помогло.
 

Goblin

Случайный прохожий
странно тогда. Что будет если включить https инспекцию но поставить bypass на все ?:upset:
 

G@rry_

Почетный гость
Я создавал правило добавляющее весь трафик в исключение. Никаких изменений.
 
Верх Низ