Kein Zugriff auf Web-Interface mit IBM Thinkpad T43??

[Ebi]

Hallihallo und ein gesundes und erfolgreiches neues Jahr!

Ich habe hier ein Problem mit Clients, welche einfach nicht auf das Web-Interface des Intranators zugreifen können. Es handelt sich hierbei übrigens ausschließlich um IBM T43 Thinkpads...

Ich habe nun schon so ziemliche Proxy an / aus / direkt ins LAN / VPN / SSL / nicht-SSL / Vollzugriff-Firewall -Varianten durch, ich bekomm einfach keinen Zugriff. Im Messages-Protokoll wird absolut nix protokolliert, auch der Netzwerksniffer (client-seitig) liefert mir keine weltbewegenden Erkenntnisse (das moved permanently zur SSL-Seite kommt noch, http-connect ist auch da, danach is Sense)... Kurzum, ich bin mit meinem Latein am Ende.

Gibts da noch irgendwelche Diagnosemöglichkeiten / Ideen wie ich an die Sache herangehen könnte?

Liebe Grüße,
Jens Eberhardt

[Gerd von Egidy]

Hallo,

(das moved permanently zur SSL-Seite kommt noch, http-connect ist auch da, danach is Sense)

Nun, das ist doch schon mal was: wenn der Client ein "moved permanently" zurückbekommt, ist also die IP-Verbindung soweit in Ordnung. Es ist also wohl eher kein Problem aus der Richtung IP/ARP/Routing/DHCP.

Kann es sein, dass der Browser ein Problem mit dem SSL hat? Probieren Sie mal einen anderen Browser (z.B. Firefox wenn Sie bisher IE haben oder umgekehrt). Funktionieren SSL-Verbindungen zu anderen Websites?

Haben Sie im Browser einen Proxy eingetragen oder nicht? Verändern Sie auch hier mal die Einstellungen.

Macht vielleicht eine Personal Firewall oder ein HTTP-Virenscanner auf dem Client Probleme? Schalten Sie die mal aus.

Viel Erfolg bei der Fehlersuche.

Herzliche Grüße,

v. Egidy

[Ebi]

Mhm....

Also mit Firefox gehts, wenn ich SSL im Intranator ausschalte gehts auch mitm IE.

Andere SSL-Verschlüsselte Seiten gehen auch mit dem IE. Komisch ist, das ich auf allen anderen Clients hier keinerlei Probleme habe, nur mit den 4 Thinkpads die hier rumstehen bekomm ich einfach keinen Zugriff. Proxyeinstellung und Virenscanner waren dabei irrelevant, nix von beiden hatte Veränderungen gebracht.

*15min später*

Konnte das mittlerweile auf das Zertifikat einschränken. Es handelt sich hierbei um ein Zertifikat, welches von der Windows 2003 Server-CA signiert wurde und in der Active Directory Domäne den Clients als vertrauenswürdig gemeldet wurde.

Diese Zertifikate funktionieren aber im Internet Explorer auf den Thinkpads nicht (hab das grad noch an einem anderen Webserver mit ebenfalls von der W2K3-Server-CA signiertem Zertifikat getetestet). Der Intranator als Fehlerursache ist also raus... Nur wen frag ich jetz? Microsoft oder IBM / Lenovo? *grübel*

Vielen Dank für die Antwort,
Liebe Grüße,
Jens Eberhardt

[Ebi]

Also,

ich hab eben die Ursache des Problems gefunden... und die heißt *trommelwirbel* Netgear ProSafe VPN Client.

Wenn bei diesem im Certificate Manager im Kartenreiter "Root CA Certificates" das Root-CA-Zertifikat der Windows 2003-Server-CA importiert wird, erstellt der VPN Client im lokalen Zertifikatspeicher eine Kopie des Zertifikats mit Verwendungszweck "IP Sicherheitsendsystem" ("IP security end system"). Wenn nun das Root Zertifikat normal über Domänenrichtlinien eingebunden ist wird dieses durch Windows selbst beim Starten des PCs mit dem Verwendungszweck "<Alle>" importiert (kann durchaus auch mehrmals vorkommen).

Seiten mit SSL-Zertifikaten, welche durch genau jene Root-CA zertifiziert wurden, können fortan nicht mehr im Internet Explorer erreicht werden. Erst nach löschen der durch den VPN-Client erstellten Root-CA-Kopien mit Verwendungszweck "IP Sicherheitsendsystem" lassen sich diese wieder erreichen. Damit verschwindet das Root-Zertifikat allerdings auch wieder aus der Liste der "configured roots" im Netgear Certificate Manager.

Ob das Auswirkungen auf die VPN-Verbindung hat und ob es hier Workarounds gibt werde ich heut Nacht mal testen.

Vielleicht hilft dies hier ja jemandem mit ähnlichen Problemen.


Liebe Grüße,
Jens Eberhardt

[Ebi]

Nach umkonfigurieren der "Trust Policy" des Netgear Clients im Certificate Manager lief das VPN... auch mit gelöschtem Root Zertifikat mit Verwendungszweck "IP Sicherheitsendsystem". Ergo, es gehen sowohl VPN als auch der Zugriff auf das Intranator Webinterface mit per Windows 2003 Server Root-CA zertifiziertem SSL-Zertifikat.

Liebe Grüße,
Jens Eberhardt