Ich verwende Surfshark VPN. Wenn ich VPN aktiviere bekomme ich keine Verbindung zu adminforge.de und auch keine Verbindung zu gruble.de.
lösen denn die Domains auf?
Unter Windows mit „nslookup“ und Linux „dig“.
Der kriegt das mit den SSL-Ciphern nicht hin. Laut How to Fix the PR_END_OF_FILE_ERROR (5 Methods) kann es am VPN Anbieter liegen.
Kannst du mal ein „curl -vi https://gruble.de“ machen?
curl -vi https://gruble.de ✔
* Host gruble.de:443 was resolved.
* IPv6: 2a01:4f8:13a:160c::232, 2a01:4f8:231:1726::33
* IPv4: 195.201.173.232, 159.69.72.33
* Trying [2a01:4f8:13a:160c::232]:443...
* Trying 195.201.173.232:443...
* ALPN: curl offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* CAfile: /etc/ssl/certs/ca-certificates.crt
* CApath: none
* TLS connect error: error:00000000:lib(0)::reason(0)
* OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to gruble.de:443
* closing connection #0
curl: (35) TLS connect error: error:00000000:lib(0)::reason(0)
Was kommt denn wenn du direkt mit telnet auf den port gehst oder mit openssl s_client?
Dein VPN Anbieter scheint da irgendwas mit SSL zu machen. Hier ein Beispiel über meinen VPN Anbieter aber über einen Proxy da ich nicht immer im VPN hier bin. Sollte aber Vergleichbar sein:
curl -vI --proxy socks5://192.168.x.x:1080 https://gruble.de
* Trying 192.168.x.x:1080...
* Host gruble.de:443 was resolved.
* IPv6: 2a01:4f8:231:1726::33, 2a01:4f8:13a:160c::232
* IPv4: 195.201.173.232, 159.69.72.33
* SOCKS5 connect to [2a01:4f8:231:1726::33]:443 (locally resolved)
* SOCKS5 request granted.
* Connected to 192.168.x.x () port 1080
* using HTTP/1.x
* ALPN: curl offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* CAfile: /etc/ssl/certs/ca-certificates.crt
* CApath: none
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384 / x25519 / id-ecPublicKey
* ALPN: server accepted h2
* Server certificate:
* subject: CN=gruble.de
* start date: Nov 21 22:54:54 2024 GMT
* expire date: Feb 19 22:54:53 2025 GMT
* subjectAltName: host "gruble.de" matched cert's "gruble.de"
* issuer: C=US; O=Let's Encrypt; CN=E5
* SSL certificate verify ok.
* Certificate level 0: Public key type EC/secp384r1 (384/192 Bits/secBits), signed using ecdsa-with-SHA384
* Certificate level 1: Public key type EC/secp384r1 (384/192 Bits/secBits), signed using sha256WithRSAEncryption
* Certificate level 2: Public key type RSA (4096/152 Bits/secBits), signed using sha256WithRSAEncryption
* Connected to 192.168.x.x (192.168.x.x) port 1080
* using HTTP/2
* [HTTP/2] [1] OPENED stream for https://gruble.de/
* [HTTP/2] [1] [:method: HEAD]
* [HTTP/2] [1] [:scheme: https]
* [HTTP/2] [1] [:authority: gruble.de]
* [HTTP/2] [1] [:path: /]
* [HTTP/2] [1] [user-agent: curl/8.11.1]
* [HTTP/2] [1] [accept: */*]
> HEAD / HTTP/2
> Host: gruble.de
> User-Agent: curl/8.11.1
> Accept: */*
Habe gerade festgestellt, dass es bei manchen Server Standorten funktioniert, bei anderen nicht…
ah sehr gut. dann würde ich das dort mal melden. Wer weiß was die Standorte da mit dem SSL machen …
Hallöchen zusammen,
bin heute frisch aF gejoined und habe exakt das gleiche Problem (Keine Verbindung zu aF) mit SurfShark.
Manche Standorte funktionieren, manche nicht (auch innerhalb des gleichen Landes) .
Scheint also nach wie vor irgendwas schief zu laufen.
Kann ich irgendwie dazu beitragen, dass wir der Sache weiter auf den Grund gehen?
Ist da von aF-Seite überhaupt was möglich?
Irgendwelche Informationen die dazu hilfreich wären?
Sowas wie „Welches Protokoll wird genutzt?“ o.ä.?
Freue mich auf Antwort und wünsche Euch allen einen super Start in die neue Woche.
Beste Grüße
Willkommen.
Ich frage mich wie weit ihr denn die IPs von z.B. dnsforge.de erreichen könnt.
Könnt ihr dort mal einen ping/mtr drauf laufen lassen?
Hallo,
besten Dank für die ultraschnelle Antwort.
Sehr gerne:
Auszug aus funktionierendem Routing (Verbindung zu aF erfolgreich):
|------------------------------------------------------------------------------------------|
| WinMTR statistics |
| Host - % | Sent | Recv | Best | Avrg | Wrst | Last |
|------------------------------------------------|------|------|------|------|------|------|
| No response from host - 100 | 7 | 0 | 0 | 0 | 0 | 0 |
| 172.20.21.254 - 0 | 34 | 34 | 19 | 20 | 28 | 21 |
| 172.20.22.3 - 0 | 34 | 34 | 19 | 20 | 28 | 21 |
| No response from host - 100 | 7 | 0 | 0 | 0 | 0 | 0 |
| 37.120.217.129 - 0 | 34 | 34 | 23 | 39 | 89 | 40 |
| 146.70.0.154 - 0 | 34 | 34 | 19 | 20 | 28 | 21 |
| be-402-3901.core1n.fra2.de.m247.ro - 0 | 34 | 34 | 19 | 21 | 29 | 22 |
| vlan3905.pni1.fra2.de.m247.ro - 0 | 34 | 34 | 19 | 21 | 28 | 21 |
| 213-133-113-5.clients.your-server.de - 0 | 34 | 34 | 19 | 24 | 43 | 43 |
| core23.fsn1.hetzner.com - 0 | 34 | 34 | 24 | 25 | 33 | 26 |
|core-spine-rdev2.cloud2.fsn1.hetzner.com - 55 | 11 | 5 | 0 | 25 | 28 | 25 |
| No response from host - 100 | 7 | 0 | 0 | 0 | 0 | 0 |
| 24316.your-cloud.host - 0 | 34 | 34 | 24 | 25 | 33 | 26 |
| dnsforge.de - 0 | 34 | 34 | 24 | 25 | 33 | 26 |
|________________________________________________|______|______|______|______|______|______|
Und hier bei gescheitertem:
|------------------------------------------------------------------------------------------|
| WinMTR statistics |
| Host - % | Sent | Recv | Best | Avrg | Wrst | Last |
|------------------------------------------------|------|------|------|------|------|------|
| No response from host - 100 | 7 | 0 | 0 | 0 | 0 | 0 |
| 172.20.21.254 - 3 | 34 | 33 | 0 | 17 | 20 | 17 |
| 172.20.22.3 - 0 | 37 | 37 | 16 | 17 | 19 | 18 |
| No response from host - 100 | 7 | 0 | 0 | 0 | 0 | 0 |
| 145.223.8.3 - 3 | 34 | 33 | 0 | 17 | 20 | 17 |
| et-0-0-3.cr2-lux4.ip4.gtt.net - 3 | 34 | 33 | 0 | 17 | 19 | 17 |
| ae4.cr5-fra6.ip4.gtt.net - 0 | 37 | 37 | 19 | 21 | 23 | 22 |
| 213.39.38.166 - 3 | 34 | 33 | 0 | 21 | 23 | 21 |
| ae1-2014.nbg40.core-backbone.com - 3 | 34 | 33 | 0 | 25 | 27 | 25 |
| core-backbone.hetzner.com - 3 | 34 | 33 | 0 | 33 | 58 | 31 |
| core23.fsn1.hetzner.com - 0 | 37 | 37 | 36 | 38 | 54 | 38 |
|core-spine-rdev1.cloud2.fsn1.hetzner.com - 64 | 11 | 4 | 0 | 65 | 145 | 40 |
| No response from host - 100 | 7 | 0 | 0 | 0 | 0 | 0 |
| 24316.your-cloud.host - 0 | 37 | 37 | 35 | 36 | 39 | 38 |
| dnsforge.de - 0 | 37 | 37 | 35 | 36 | 39 | 38 |
|________________________________________________|______|______|______|______|______|______|
Ich musste tatsächlich aber diesmal ein ganz anderes Land wählen um den Fehler rekonstruieren zu können.
Vorhin ging beim gleichen Land Standort X, dafür aber Standort Y nicht.
Jetzt funktionieren plötzlich beide.
Ergänzung:
Während ich den Beitrag verfasst habe, funktionierte Standort X dann plötzlich nicht mehr, aber der andere wieder.
Sehr merkwürdig alles.
Daher ein drittes ping/mtr:
|------------------------------------------------------------------------------------------|
| WinMTR statistics |
| Host - % | Sent | Recv | Best | Avrg | Wrst | Last |
|------------------------------------------------|------|------|------|------|------|------|
| No response from host - 100 | 6 | 0 | 0 | 0 | 0 | 0 |
| 172.20.21.254 - 0 | 31 | 31 | 24 | 25 | 28 | 26 |
| 172.20.22.3 - 9 | 23 | 21 | 0 | 25 | 28 | 27 |
| No response from host - 100 | 6 | 0 | 0 | 0 | 0 | 0 |
| 86.38.98.2 - 0 | 31 | 31 | 24 | 26 | 28 | 26 |
| bei-b2-link.ip.twelve99.net - 0 | 31 | 31 | 25 | 26 | 29 | 26 |
| bei-b4-link.ip.twelve99.net - 0 | 31 | 31 | 24 | 26 | 30 | 26 |
| hbg-bb3-link.ip.twelve99.net - 75 | 8 | 2 | 0 | 32 | 32 | 32 |
| hbg-b2-link.ip.twelve99.net - 0 | 31 | 31 | 31 | 34 | 50 | 32 |
| hetzner-ic-383975.ip.twelve99-cust.net - 0 | 31 | 31 | 41 | 43 | 45 | 43 |
| core24.fsn1.hetzner.com - 0 | 31 | 31 | 41 | 42 | 45 | 43 |
|core-spine-rdev1.cloud2.fsn1.hetzner.com - 86 | 7 | 1 | 0 | 43 | 43 | 43 |
| No response from host - 100 | 6 | 0 | 0 | 0 | 0 | 0 |
| 24283.your-cloud.host - 0 | 31 | 31 | 41 | 42 | 45 | 43 |
| dnsforge.de - 0 | 31 | 31 | 41 | 43 | 45 | 43 |
|________________________________________________|______|______|______|______|______|______|
Hoffe das ist so hilfreich und kein nonsense^^
Grüße o7
Alle 3 MTRs sagen mir aber das was durch gegangen ist. Also geht dann nur die Namensauflösung nicht oder geht der gesamte Traffic nicht?
Kannst du https://49.12.67.122 aufrufen und erhälst einen Zertifikatsfehler? Und https://dnsforge.de kannst du dann nicht aufrufen?
Guten Morgen,
Zu Frage 1:
Korrekt:
https://49.12.67.122/
Sichere Kommunikation mit der Gegenstelle ist nicht möglich: Angeforderter Domainname stimmt nicht mit dem Zertifikat des Servers überein.
HTTP Strict Transport Security: false
HTTP Public Key Pinning: false
Zertifikatskette:
-----BEGIN CERTIFICATE-----
MIIDsTCCAzigAwIBAgISBg3oKeHET7xIf8sxXDkKWwftMAoGCCqGSM49BAMDMDIx
…
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIEVjCCAj6gAwIBAgIQY5WTY8JOcIJxWRi/w9ftVjANBgkqhkiG9w0BAQsFADBP
…
...
-----END CERTIFICATE-----
Zu Frage 2:
Beim Aufruf von aF:
Ich sehe dass der TLS-Handshake ewig angezeigt wird und als Fehelrmeldung kommt dann:
PR_END_OF_FILE_ERROR
Fix war bisher immer wechseln des VPN Standorts.
Beste Grüße
welches zertifikat gibt er denn aus mit VPN? Kannst du mal ein curl -v darauf machen wenn möglich? Was treiben die VPN Anbieter dort? Wie baust du die Verbindung zum VPN Anbieter auf? Versuch mal mit Wireguard ob das dort auch passiert.
Connection kommt zustande:
curl -v https://community.adminforge.de
* Host community.adminforge.de:443 was resolved.
* IPv6: (none)
* IPv4: 176.9.8.206
* Trying 176.9.8.206:443...
* schannel: disabled automatic use of client certificate
* ALPN: curl offers http/1.1
* ALPN: server accepted http/1.1
* Established connection to community.adminforge.de (176.9.8.206 port 443) from 10.14.0.2 port 60301
* using HTTP/1.x
> GET / HTTP/1.1
> Host: community.adminforge.de
> User-Agent: curl/8.16.0
> Accept: */*
>
* Request completely sent off
* schannel: remote party requests renegotiation
* schannel: renegotiating SSL/TLS connection
* schannel: SSL/TLS connection renegotiated
* schannel: remote party requests renegotiation
* schannel: renegotiating SSL/TLS connection
* schannel: SSL/TLS connection renegotiated
< HTTP/1.1 200 OK
< Date: Tue, 16 Dec 2025 09:46:58 GMT
< Server: nginx
< Content-Type: text/html; charset=utf-8
< Vary: Accept-Encoding,Accept
< X-Frame-Options: SAMEORIGIN
< X-XSS-Protection: 1; mode=block
< X-Content-Type-Options: nosniff
< X-Permitted-Cross-Domain-Policies: none
< Referrer-Policy: no-referrer
< X-Discourse-Route: categories/index
< Cross-Origin-Opener-Policy: same-origin-allow-popups
< Cache-Control: no-cache, no-store, max-age=0
< X-Discourse-Cached: skip
< X-Request-Id: 45ac8237-41d4-4901-be85-061dc101a33d
< X-Runtime: 0.117102
< X-Discourse-TrackView: 1
< Expires: Tue, 16 Dec 2025 09:46:58 GMT
< Strict-Transport-Security: max-age=31536000; includeSubdomains; preload
< Permissions-Policy: clipboard-read=*, clipboard-write=*
< Expect-CT: enforce, max-age=21600
< Transfer-Encoding: chunked
<
</html>
* Connection #0 to host community.adminforge.de:443 left intact
Connection TLS Handshake kommen nicht zustande:
curl -v https://community.adminforge.de
* Host community.adminforge.de:443 was resolved.
* IPv6: (none)
* IPv4: 176.9.8.206
* Trying 176.9.8.206:443...
* schannel: disabled automatic use of client certificate
* ALPN: curl offers http/1.1
* schannel: failed to receive handshake, SSL/TLS connection failed
* closing connection #0
curl: (35) schannel: failed to receive handshake, SSL/TLS connection failed
Was der Anbieter treibt kann ich tatsächlich nicht sagen xD
Wie genau er die Verbindung aufbaut entzieht sich meiner Kenntnis, ist eine Client-Software vom Anbieter direkt.
Und bez. Protokolle, funfact ich nutze tatsächlich das Wireguard.
Ich könnte max. noch OpenVPN auswählen.
hab leider keine Idee warum die da manchmal SSL Probleme haben…
Naja,
ein Versuch war es wert^^
Gibt ja zum Glück nen Workaround.
Habt einen schönen Tag.
Und falls noch wer was dazu findet, gerne anfügen o7
