Hardware y software

Firewall DLink DSR1000 SSL y TLS

iZiDuR
iZiDuR #1 Jul '23

Hola gente, haber si me podéis ayudar.

Tengo un DLink DSR1000 en un cliente que funciona perfectamente lo que son las conexiones, pero tiene un problema en la fuente y a veces se reinicia solo, entonces nos ha pedido que se lo cambiemos por otro DSR1000, la cosa es que he realizado un backup de la configuración de antiguo y se la he puesto al nuevo.

Uno de los problemas que estoy teniendo es que cuando meto en rango al cliente ejemplo los DSR 1000 su ip default de conf. son 192.168.10.1 cuando intento conectar con cualquier navegador me da un error de SSL Dismatch y he intentado con 4 navegadores diferentes, borrancho cache, bajando la seguridad y mil pollas mas y no consigo conectar, al final tengo que traerme el Firewall a la oficina y conectarlo a un PC con windows server 2003 y con la version de explorer me deja añadir excepcion para poder entrar, ¿Alguien sabe como mierda puedo saltarme esto? por que quiero me gustaria configurar los firewall de mis clientes cuando me piden uno nuevo en remoto y no tener que depender de un PC antiguo.

He probado: Duckduck go, explorer, chrome, firefox, edge.
He probado: A bajarle la seguridad al minimo.
He probado a borrar el cache de SSL
He probado a borrar todo el cache de los exploradores.
He compatibilizado Internet a todos los protocolos SSL y TLS 1.0 hacia arriba.

Antes no tenia problema, pero es que encima en Dlink no pone absolutamente nada de como solventar este problema.

¿Alguien puede ayudarme?

#2
comentario moderado
#3
comentario moderado
2 comentarios moderados
iZiDuR
iZiDuR #4 Jul '23

¿Realmente esto es problema tan sencillo?

Porque si es tan sencillo, no veo la solución. Porque mira que hago cosas complejas con estos Firewalls DSR1000 y los exprimo al máximo, pero o es la tontería más grande o no la veo ni con mis ojos ni con la de 2 compañeros más.

#2 Asi que al primer comentario, no he pedido opinion sobre la marca Dlink o sobre el modelo DSR1000, a los clientes se les ofrece alternativas, Cisco, Dlink, etc.. y ellos eligen dentro de sus posibilidades, piensa que en algunas ocasiones tenemos que montar 100-150 firewalls de estos para 3-4 equipos, creo que un DSR1000 es mas que suficiente.

#3 Por otro lado al segundo comentario, la informatica es muy compleja, y por muy bueno que seas, dia a dia tendras dudas, una seran absurdas y otras muy completas, y ayudarnos entre todos no esta nada mal. Al igual que te creo un macrolan con tunneles ipsec's contra vpn certificadas con redireccionamientos por mas de 500 equipos repartidos por todo el planeta puedo fallar en algo tan tonto que no consigo ver, que es entrar por primera vez a la configuracion default a un firewall que esta en rango y nos esta dando problemas de ssl.

1 respuesta
PiPePiTo
PiPePiTo #5 Jul '23

#2 #3 lo bueno de la informática a veces es que preguntas cosas en foros y no te responden con subnormalidades así, con lo que a veces hasta uno aprende algo nuevo.

Si no vais a aportar nada útil a la conversación por qué os molestais?

Por casualidad, están todos los relojes bien? Quiero decir que las fechas en los cacharros estén correctamente con su día y hora.

La única vez que a mi me ha saltado eso ha sido porque tenia la fecha de mi pc como un mes atrasada

Jocaru
Jocaru #6 Jul '23

Ve por pasos, cosas que yo haría:

  • ver exactamente el error de ssl que te da el navegador
  • comprobar con un curl con la opción -v, mira qué protocolos te está ofreciendo
  • una vez has conseguido entrar con el server 2003, comprobar que el firmware esté en la misma versión que el otro
  • lo que te ha dicho el compañero #4 de la hora, en el curl debería salirte la hora del servidor
  • tiene acceso ssh? Si es que sí, es otra opción para configurarlo por ahí
  • comprobar validez (ignora errores de que la CA no es válida o es un certificado autofirmado) de ssl con herramientas como certigo (https://github.com/square/certigo) u openssl
iZiDuR
iZiDuR #7 Jul '23

La hora está bien, tanto en mi ordenador, como en el ordenador remoto y configuro por varios NTP, la hora es algo que descarto por qué en varios ordenadores lo he probado.

Yo lo que hago lo primero es meter la red del cliente en 10.x que es por defecto donde viene el Firewall, y con conectar la Lan 1 al Pc del cliente debería ser suficiente para entrar a 192.168.10.1 pruebo con http o https y sigue consigo el mismo error. Error de protocolo SSL versión Dismatch. La cosa es que me daría igual si el explorador me dejara añadir una excepción y decirle que me da igual los riesgos.

La cosa es que en los PC que son "nuevos" Windows 10 o Windows 11 que son la mayoría de nuestras oficinas o de nuestros clientes nos arroja ese error. Pero no es que lo haya probado en 1 o 2 PC es que me pasa en todos los ordenadores donde conecto por primera vez un DSR1000 de fábrica. He probado a ir todas las versión de SSL diferentes disponibles para windows10 y 11.

Y mi única solución válida es en un PC que tenemos con Windows Server 2003 R2 con cualquier explorador me da la opción de añadir excepción y en otro PC que tenemos Windows Server 2008 que lo usamos para periféricos antiguos para configuración de velocity en COM de balanzas y scanners. En esos pc tal como me viene que DRS lo pincho, lo pongo en rango, añado excepción y a rular.

¿No es curioso? Me cabrea no dar con la solución, por qué cuando entro en con el Windows 2003 por primera vez, le pongo la opción Modo Mantenimiento activado, ya puedo pincharlo donde quiera que tb entro, pero es algo que no debería de ser así, si DLINK nos vende estos dispositivos deberíamos poder entrar sin tener que hacer todas estas florituras. SSH si que tiene pero por defecto no lo lleva activado tienes que añadirselo y configurarse lo.

iZiDuR
iZiDuR #8 Jul '23

El lunes a primera hora conectaré uno nuevo y le haré un curl -v a https://192.168.10.1

Y por otro lado entraré a GitHub a ver el complemento ese de certificados haber si me arroja algo de luz.

iZiDuR
iZiDuR #9 Ago '23

comprobar validez (ignora errores de que la CA no es válida o es un certificado autofirmado) de ssl con herramientas como certigo (https://github.com/square/certigo)

gracias tio!! con esto lo he conseguido!! eres un puto crack! era el puto cerfiticado.

Usuarios habituales

  • iZiDuR
  • Jocaru
  • PiPePiTo
  • neo-ns
  • Userfdt6

Tags