Internet explorer & ASA - Cannot display the webpages!!!

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
Avatar utente
rinux
Cisco fan
Messaggi: 71
Iscritto il: mer 22 apr , 2009 4:20 pm
Località: near Frosinone

Ciao,
da qualche giorno non riesco più ad entrare su alcuni ASA utilizzando internet explorer... funziona con altri browser, funziona anche da cmd line con openssl per vedere se inizia la comunicazione, invece explorer risponde subito con:

Codice: Seleziona tutto

  Internet Explorer cannot display the webpage
...ok, il nome sul DNS punta ad un IP e il revers ad altro nome; ok il certificato è un self signed certificate... ma cosa sta facendo IE che si rifiuta di iniziare la connessione???

Wireshark mi riporta un inizio di sessione SSLv2 e poi un pacchetto TLSv1 in risposta decodificato come 'Alert (Level: Fatal, Description: Handshake Failure)'. :?

Qualche protocollo disabilitato/cambiato dalle ultime FIX di sicurezza per IE??? Posso cambiare qualche setup sull'ASA o su IE per poter tornare ad utilizzare la connessione VPN SSL clientless :?:

NB: non ho provato ancora, ma mi segnalano che anche AnyConnect ha problemi dunque forse c'entra qualche libreria su Windows visto che sul ASA non è cambiato nulla...

73 de Arturo
Top
Avatar utente
rinux
Cisco fan
Messaggi: 71
Iscritto il: mer 22 apr , 2009 4:20 pm
Località: near Frosinone

Anche disabilitando il protocollo SSLv2 su IE ottengo lo stesso risultato e WireShark riporta:

Codice: Seleziona tutto

SSLv3 Record Layer: Alert (Level: Fatal, Description: Handshake Failure)
73
Top
Avatar utente
rinux
Cisco fan
Messaggi: 71
Iscritto il: mer 22 apr , 2009 4:20 pm
Località: near Frosinone

Trovato l'arcano... roba da protocolli... mancava il 3DES forse alla fine non ha mai funzionato con IE :x e non me ne sono accorto prima; mi hanno sviato le notizie di questi giorni su IE ed i vari aggiornamenti che si sono susseguiti sui PC Windows... :D

In pratica se nel profilo ci sono i soli protocolli AES128-SHA1 ed AES256-SHA1, IE non comunica!!!! Ho trovato l'arcano guardando in parallelo l'inizio delle due sessioni con IE e con Firefox... il primo pacchetto che mi ha incuriosito era l'hello... da un lato WireShark lo riconosceva come SSL (IE) dall'altro come TLSv1 (FF)... come ho aperto quello di IE ed ho visto la suite di protocolli supportati ho iniziato a smadonnare perchè ricordavo bene che nessuno di quelli era nell'elenco dei protocolli inseriti nel profilo su ASA :x

Bene,
problema archiviato! 8)
Top
Rispondi

Torna a “VPN”