TwoCom Online-Forum

[Drusus]

Moin,

in der Firmware 3.2.2 fuer den 2930 scheint sich ein Fehler eingeschlichen zu haben. Nach dem Firmware-Upgrade auf diese Version ist der SSL-Zugang zur Administration nicht mehr moeglich (d.h. https://<routername>/).

Der SSL Verbindungsaufbau scheitert an einer defekten/falschen Verschluesselung. Dieses ist sowohl per Firefox als auch per OpenSSL nachvollziehbar.

Fehlermeldung im Firefox:

------------------------------------------------------------------------------------------------------
Secure Connection Failed

An error occurred during a connection to gateway.

SSL peer reports incorrect Message Authentication Code.

(Error code: ssl_error_bad_mac_alert)
------------------------------------------------------------------------------------------------------


Fehlermeldung bei OpenSSL Test:

------------------------------------------------------------------------------------------------------
[...]
read from 0008EBE8 [00094190] (5 bytes => 5 (0x5))
0000 - 15 03 00 00 02 .....
read from 0008EBE8 [00094195] (2 bytes => 2 (0x2))
0000 - 02 14 ..
4809:error:140943FC:SSL routines:SSL3_READ_BYTES:sslv3 alert bad record mac:../../../../common/openssl/ssl/s3_pkt.c:1052:SSL alert number 20
4809:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:../../../../common/openssl/ssl/s23_lib.c:226:
------------------------------------------------------------------------------------------------------

Sehr aergerlich das ganze. Falls ihr diesen SSL Zugang braucht, so sei vor dieser Firmware-Version gewarnt. Die 3.2.1 klappt noch ohne Probleme.

Tschau,
Drusus.

[cbeckstein]

in der Firmware 3.2.2 fuer den 2930 scheint sich ein Fehler eingeschlichen zu haben. Nach dem Firmware-Upgrade auf diese Version ist der SSL-Zugang zur Administration nicht mehr moeglich (d.h. https://<routername>/).

bei der Diagnose bn ich mir nicht sicher, zumal ich auf meinen 2930 mit der neuen Firmware via SSL administrativ zugreifen kann (vom privaten Netz 192.168.1.xxx aus, von außerhalb, siehe unten):

hast Du im Mangagement Setup des Routers angegeben, dass kein remote management (Web-Login) möglich sein soll (außer vielleicht von einer der IPs auf der spezifizierbaren Whitelist)?

das war bis jetzt unerheblich, wenn man das Web management inerface über einen Tunnel aufgerufen hat --- es ging trotzdem --- scheint aber in der neuen Firmware berücksichtigt zu werden

warum ich das glaube:

wenn man in der neuen Firmware einen IPSEC-Tunnel zum 2930 aufbauen will und remote manegement augeschaltet hat (Default), dann baut der Router zwar den Tunnel korrekt auf (alle Rechner im Zielnetz erreichbar und deren Dienste wie gewohnt nutzbar), aber er verweigert den remote Web-Login (auch via http, nicht nur über https) auf den Router über diesen Tunnel

m.E. war für IPSEC Tunnel (und damit vielleicht auch für remote SSL-Zugriffe?) das alte Verhalten fehlerhaft, nicht das neue -- jedenfalls dann, wenn man in der neuen Firmware den Router via Tunnel administrieren kann, sobald man remote management von der entsprechenden IP aus freigeschaltet hat...

- Clemens

[vanhaakonnen]

Hallo,

ich habe das gleiche Problem... Upgrade von der 3.2.1 auf die 3.2.2 Firmware auf einem Vigor 2930n.

Vorher hat der Zugriff via Internet und auch im lokalen Netz auf https funktioniert - ich konnte sowohl administrieren per admin-Account, alsauch per anderem User einen SSL-Webtunnel aufbauen.

Will ich jetzt per HTTPS zugreifen, so erhalte ich die Meldung:

---
Die SSL-Gegenstelle meldet einen inkorrekten Nachrichtenauthentifizierungscode.
(Fehlercode: ssl_error_bad_mac_alert)
---

Im Management habe ich https und http für das Internet erlaubt...

Viele Grüße

VanHaakonnen

[Drusus]

Moin,

hast Du im Mangagement Setup des Routers angegeben, dass kein remote management (Web-Login) möglich sein soll (außer vielleicht von einer der IPs auf der spezifizierbaren Whitelist)?

Der fehlschlagende https:// Zugriff kommt in meinem Fall vom internen Netz (nicht ueber WAN oder irgendeinen Tunnel). Ich habe aber in der Tat noch zusaetzlich eine Access Liste (Whitelist) wo aber der anfragende Rechner drin steht. Testweise habe ich diese Liste mal geleert aber auch das aendert nichts an dem Problem.

Es hat also nichts mit IPsec-Tunnel oder der Access List zu tun.

Tschau,
Drusus.

[cbeckstein]

Hallo,

ich habe das gleiche Problem... Upgrade von der 3.2.1 auf die 3.2.2 Firmware auf einem Vigor 2930n.

Vorher hat der Zugriff via Internet und auch im lokalen Netz auf https funktioniert - ich konnte sowohl administrieren per admin-Account, alsauch per anderem User einen SSL-Webtunnel aufbauen.

Will ich jetzt per HTTPS zugreifen, so erhalte ich die Meldung:

---
Die SSL-Gegenstelle meldet einen inkorrekten Nachrichtenauthentifizierungscode.
(Fehlercode: ssl_error_bad_mac_alert)
---

Im Management habe ich https und http für das Internet erlaubt...

Viele Grüße

VanHaakonnen

hab das (https://192.168.1.1) für die neue 3.2.2 FW gerade noch mal mit Firefox 3.0.6 aus dem lokalen Netz probiert: kein Problem, administrativer Zugang über SSL funktioniert

lediglich bei dem ersten derartigen Versuch mit der 3.2.2 FW musste ich das dem Browser unbekannte SSL-Zertifikat des Routers akzeptieren

vielleicht ein Problem Eures Browser(Zertifikat-Setups?

- Clemens

[vanhaakonnen]

Ich hab eben auf einem PC den Firefox komplett neuinstalliert. Öffne ich die https-Seite zum ersten Mal, muss ich auch das Zertifikat zunächst importieren. Sobald ich das getan habe, kommt die o.g. beschriebene Meldung... :/

[Drusus]

Moin,

vielleicht ein Problem Eures Browser(Zertifikat-Setups?

Habe testweise das Zertifikat und die DrayTek CA geloescht. Dann muss beim ertsen Zugriff das Zertifikat neu importiert werden aber das Problem bleibt bestehen.

Wie schon zuvor erwaehnt habe ich auch schon einen Test mit OpenSSL gemacht und dort tritt der gleiche Fehler auf. Ist also unabhaengig von dem Browser.
Erstaunlich allerdings, dass es bei dir geht. Ist das wirklich Firmware 3.2.2 auf einem Vigor 2930? Haengt das evtl. noch von dem genauen Typ ab? In meinem Fehlerfall ist es ein 2930VS.

Tschau,
Drusus.

[vanhaakonnen]

Ich habe vorgestern an Draytek eine Mail geschrieben.. Mal sehen, was man dort zu dem Problem sagt.

[nobody]

Was habt Ihr denn unter:
SSL VPN,
General Setup
Port: ?
und Encryption Key Algorithm: ?
eingetragen ?

ggf. mal das auf einen anderen port als den 443 legen,

Geht dann wieder die Administration über https ?

[Drusus]

Moin,

sowohl die Umstellung auf einen anderen Port (444 statt 443) als auch die Umstellung der Encryption (von default RC4 auf high AES/3DES) aendert nichts an dem Problem.

Tschau,
Drusus.

[Drusus]

Moin,

nur zur Info: das Problem scheint auch nicht von den verwendeten Zertifikaten abzuhaengen. Sowohl bei der Nutzung des builtin Zertifikats (self-signed) als auch bei der Verwendung eines neu generierten (und natuerlich von einer Trusted CA signiertem) Zertifikat tritt das Problem mit dem fehlerhatfen Message Authentication Codes auf.

Auch die Umstellung auf Encryption Key Type Low (DES) aendert nichts an dem Problem.

Tschau,
Drusus.

[cbeckstein]

Moin,

vielleicht ein Problem Eures Browser(Zertifikat-Setups?

Habe testweise das Zertifikat und die DrayTek CA geloescht. Dann muss beim ertsen Zugriff das Zertifikat neu importiert werden aber das Problem bleibt bestehen.

Wie schon zuvor erwaehnt habe ich auch schon einen Test mit OpenSSL gemacht und dort tritt der gleiche Fehler auf. Ist also unabhaengig von dem Browser.
Erstaunlich allerdings, dass es bei dir geht. Ist das wirklich Firmware 3.2.2 auf einem Vigor 2930? Haengt das evtl. noch von dem genauen Typ ab? In meinem Fehlerfall ist es ein 2930VS.

Tschau,
Drusus.

es geht (aus dem lokalen Netz)... und die FW ist 3.2.2... das konkrete Modell ist ein 2930VSn...

- Clemens

[Drusus]

Moin,

habe das ganze nun auch nochmal von der WAN Seit4e aus probiert. Auch dort ist mit der aktuellen Firmware kein https:// Zugang moeglich.

Andere Benutzer haben ja das gleiche Problem. Was mich wundert ist das Clemens das Problem nicht hat. Benutzen wir da wirklich die gleiche Firmware Version? Nicht das du da einen anderen Build oder eine andere Sprache hast. Hier der Output von meinem:

Code: Alles auswählen

router> sys version
Router Model: Vigor2930 series    Version: v3.2.2 English
Profile version: 3.0.0    Status: 1 (0x2c59c507)
Router IP: 192.168.1.250    Netmask: 255.255.255.0
Firmware Build Date/Time: Wed Jan 14 15:56:9.23 2009
Revision: 10447 2930


Mit der Release geht der https:// Zugriff definitiv nicht mehr (mit 3.2.1 noch ohne Probleme).

Tschau,
Drusus.

[vanhaakonnen]

Ich kann Licht ins Dunkle bringen und zitiere dazu mal das Fazit meines Supportfalls bei Draytek:

Ich habe nun folgende Informationen von unseren Kollegen aus Taiwan erhalten. Sie haben recht bezüglich des "Bugs". In der aktuellsten Version funktioniert HTTPS nicht mehr wenn unter "Remote Access Control" der Haken bei IPSec nicht gesetzt wird. Wir sind dabei dieses Problem zu fixen, um und schnellstmöglich eine neue Version anbieten zukönnen. Wir bitten Sie vorüber gehen entweder, die alte Version oder den Hacken in der neue Version bei IPSec zusetzen.

[cbeckstein]

Ich kann Licht ins Dunkle bringen und zitiere dazu mal das Fazit meines Supportfalls bei Draytek:

Ich habe nun folgende Informationen von unseren Kollegen aus Taiwan erhalten. Sie haben recht bezüglich des "Bugs". In der aktuellsten Version funktioniert HTTPS nicht mehr wenn unter "Remote Access Control" der Haken bei IPSec nicht gesetzt wird. Wir sind dabei dieses Problem zu fixen, um und schnellstmöglich eine neue Version anbieten zukönnen. Wir bitten Sie vorüber gehen entweder, die alte Version oder den Hacken in der neue Version bei IPSec zusetzen.

jawohl... nun ist es hell:
bei mir war der Haken gesetzt...

nur warum der Support von Draytek, den Bug in Anführungszeichen setzt, liegt für mich noch im Dunklen...

- Clemens