Nedá sa nadviazať TLS spojenie medzi dvoma konkrétmymi strojmi

Úvodom: Viem, že tieto stránky sú prevažne o Linuxe a FOSS a môj problém sa týka Windows, ale nenapadá ma iná vhodná skupina bystrých ľudí, na ktorých by som sa obrátil. V tomto smere prosím o zhovievavosť.

Z jedného konkrétneho PC (PC1) nemôžem nadviazať TLS spojenie s jedným konkrétnym serverom. Zo susedného PC (PC2) spojenie funguje bez problémov. Iné TLS spojenia z PC1 fungujú. Oba stroje sú Windows 7 SP1 + všetky aktualizácie. Problém je nízkoúrovňový, lebo nesúvisí s konkrétnym protokolom na aplikačnej vrstve (HTTPS, FTP s vyžadovaným TLS), nesúvisí s konkrétnym prehliadačom/ FTP klientom, nezávisí od windows účtu, pod ktorým som práve prihlásený, prejavuje sa aj v "Safe mode with networking".

Keď skúsim openssl s_client -connect... (v Cygwin-e) dostanem na PC1 jediný riadok CONNECTED(00000004). Na PC2 dostanem normálny dlhý výpis s certifikátmi a ďalšími údajmi o spojení.

Asi najlepšie to bude demonštrovať na FTP spojení (logy sú z FileZill-y).

PC2 - spojenie funguje:
Kód: [Vybrat]
13:17:09 Status: Connecting to 37.9.175.131:21...
13:17:09 Status: Connection established, waiting for welcome message...
13:17:09 Trace: CFtpControlSocket::OnReceive()
13:17:09 Response: 220 ftp.websupport.sk
13:17:09 Trace: CFtpLogonOpData::ParseResponse() in state 1
13:17:09 Trace: CControlSocket::SendNextCommand()
13:17:09 Trace: CFtpLogonOpData::Send() in state 2
13:17:09 Command: AUTH TLS
13:17:09 Trace: CFtpControlSocket::OnReceive()
13:17:09 Response: 234 AUTH TLS successful
13:17:09 Trace: CFtpLogonOpData::ParseResponse() in state 2
13:17:09 Status: Initializing TLS...
13:17:09 Trace: tls_layer_impl::client_handshake()
13:17:09 Trace: tls_layer_impl::continue_handshake()
13:17:09 Trace: tls_layer_impl::continue_handshake()
13:17:09 Trace: tls_layer_impl::continue_handshake()
13:17:09 Trace: tls_layer_impl::continue_handshake()
13:17:09 Trace: TLS Handshake successful
13:17:09 Trace: Protocol: TLS1.3, Key exchange: ECDHE-SECP384R1-RSA-PSS-RSAE-SHA256, Cipher: AES-256-GCM, MAC: AEAD
13:17:09 Trace: tls_layer_impl::verify_certificate()

PC1 - nedokončí sa TLS handshake:
Kód: [Vybrat]
13:11:32 Status: Connecting to 37.9.175.131:21...
13:11:32 Status: Connection established, waiting for welcome message...
13:11:32 Trace: CFtpControlSocket::OnReceive()
13:11:32 Response: 220 ftp.websupport.sk
13:11:32 Trace: CFtpLogonOpData::ParseResponse() in state 1
13:11:32 Trace: CControlSocket::SendNextCommand()
13:11:32 Trace: CFtpLogonOpData::Send() in state 2
13:11:32 Command: AUTH TLS
13:11:32 Trace: CFtpControlSocket::OnReceive()
13:11:32 Response: 234 AUTH TLS successful
13:11:32 Trace: CFtpLogonOpData::ParseResponse() in state 2
13:11:32 Status: Initializing TLS...
13:11:32 Trace: tls_layer_impl::client_handshake()
13:11:32 Trace: tls_layer_impl::continue_handshake()
13:11:32 Trace: tls_layer_impl::continue_handshake()
13:11:32 Trace: tls_layer_impl::continue_handshake()
13:11:52 Error: Connection timed out after 20 seconds of inactivity
13:11:52 Trace: CFtpControlSocket::ResetOperation(2114)

PC1 - TLS spojenia na iné servrery normálne fungujú:
Kód: [Vybrat]
13:10:37 Status: Connecting to 37.9.175.24:21...
13:10:37 Status: Connection established, waiting for welcome message...
13:10:37 Trace: CFtpControlSocket::OnReceive()
13:10:37 Response: 220 ftp.websupport.sk
13:10:37 Trace: CFtpLogonOpData::ParseResponse() in state 1
13:10:37 Trace: CControlSocket::SendNextCommand()
13:10:37 Trace: CFtpLogonOpData::Send() in state 2
13:10:37 Command: AUTH TLS
13:10:37 Trace: CFtpControlSocket::OnReceive()
13:10:37 Response: 234 AUTH TLS successful
13:10:37 Trace: CFtpLogonOpData::ParseResponse() in state 2
13:10:37 Status: Initializing TLS...
13:10:37 Trace: tls_layer_impl::client_handshake()
13:10:37 Trace: tls_layer_impl::continue_handshake()
13:10:37 Trace: tls_layer_impl::continue_handshake()
13:10:37 Trace: tls_layer_impl::continue_handshake()
13:10:37 Trace: tls_layer_impl::continue_handshake()
13:10:37 Trace: TLS Handshake successful
13:10:37 Trace: Protocol: TLS1.3, Key exchange: ECDHE-SECP384R1-RSA-PSS-RSAE-SHA256, Cipher: AES-256-GCM, MAC: AEAD
13:10:37 Trace: tls_layer_impl::verify_certificate()

Poradíte mi, prosím, niekto, ako to opraviť bez reinštalácie OS?

P.S.:
@administrátor: Toto je druhá verzia textu. O originál som prišiel, lebo ma odhlásilo zo stránky. Klikol som na "Prohlédnout", prečítal som si text, niečo som opravil a doplnil, znova som klikol na "Prohlédnout" a bol som odhlásený. Medzi tými dvoma klikmi na "Prohlédnout" nemohlo byť viac než 10s. Je to hnusná chyba, prosím, opravte ju.


Re:Nedá sa nadviazať TLS spojenie medzi dvoma konkrétmymi strojmi
« Odpověď #1 kdy: 18. 02. 2021, 14:57:49 »
To spojení se ukončí pro neaktivitu – viděl bych problém spíš na úrovni IP vrstvy, možná se někde nějaký paket zahodí. Podíval bych se na to pomocí tcpdump nebo Wiresharku na úrovni paketů.

RDa

  • *****
  • 1 464
    • Zobrazit profil
    • E-mail
Re:Nedá sa nadviazať TLS spojenie medzi dvoma konkrétmymi strojmi
« Odpověď #2 kdy: 18. 02. 2021, 15:08:55 »
Mozna to nebude tvuj pripad, ale mas tam nastaveny pevny adresy?
Muzes to zkusit hodit na jinou/dalsi sitovku?

Ja nedavno resil problem, proc se mi SSH odpojuje z virtualky - a pak jsem zjistil, ze se to vysere kvuli tomu, ze BMC sdili sitovku a nejak se tam popletou mac adresy - ale kolidovalo jenom BMC vs VIRTUAL, do HOST to nekecalo. Mozna to je bug hw, ze tam jdou nastavit mac adresy jenom dve, a pri trech to zacne delat psi kusy :(

Re:Nedá sa nadviazať TLS spojenie medzi dvoma konkrétmymi strojmi
« Odpověď #3 kdy: 18. 02. 2021, 15:40:48 »
@RDa: Bingo!

PC1 má 2 sieťové karty (jednu na doske). Prehodil som kábel z karty v slote do karty na doske a spojenie ide. IP adresu som nechal automatickú cez DHCP. Predtým bola pridelená konštantná na konkrétnu MAC adresu cez DHCP.

Stále nechápem, čo mohlo vadiť tomu jedinému spojenu PC1<->server a nevadilo žiadnemu inému ani nevadilo žiadnemu nešifrovanému. To môžem dohľadávať, až sa budem niekedy nudiť. Hlavne že to ide.

Veľká vďaka za tip!