SSL-Zertifikate durch VPN blockiert?

tag-icon tag-icon ssl nat nftables
SSL-Zertifikate durch VPN blockiert?

Ich habe einen Server, der eine Website hostet, die über https auf Port 443 bereitgestellt wird. Die Website ist nicht direkt für das öffentliche Internet zugänglich, aber der Datenverkehr wird über ein VPN von einer EC2-Instanz geleitet, die über eine öffentliche IP verfügt.

Auf die Website kann vom Hostserver, von Computern im selben internen Netzwerk und von Computern im VPN zugegriffen werden, bei denen es sich nicht um die EC2-Instanz handelt.

Wenn Sie den Befehl openssl s_client -connect www.mydomain.tld:443von einem dieser Computer aus eingeben, erhalten Sie die folgende Antwort:

CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = cloud.hss.ac.uk
verify return:1
---
Certificate chain......
[Truncated for brevity]

Derselbe Befehl, der auf der EC2-Instance oder von einem Computer außerhalb des internen oder VPN-Netzwerks ausgegeben wird, gibt jedoch die folgende Antwort aus:

CONNECTED(00000003)

Wir bekommen also eine Verbindung, aber keine SSL-Zertifikate?

Wenn Sie die Protokollebene in der Apache-Konfigurationsdatei auf „Debug“ setzen, wird angezeigt, dass die SSL-Zertifikate bereitgestellt werden, die EC2-Instanz jedoch aus irgendeinem Grund nicht erreichen.

Die EC2-Instanz sendet eingehende Anfragen auf den Ports 80 und 443 einfach per NAT an den Host-Server, wobei IFtables verwendet wird. Hier sind die Einstellungen in/etc/nftables.conf

#!/usr/sbin/nft -f

flush ruleset

table ip nat {
    chain prerouting {
    meta nftrace set 1
        type nat hook prerouting priority -100; policy accept;

        iifname "eth0" tcp dport { 80, 443 } dnat to x.x.x.x
    counter
    }

    chain postrouting {
    meta nftrace set 1
        type nat hook postrouting priority 100; policy accept;

        masquerade
    }
}

Dies funktioniert alles einwandfrei auf Port 80.

Mir gehen die Ideen aus, deshalb suche ich hier nach welchen.

Falls das relevant ist, handelt es sich bei dem VPN um ein Hamachi-VPN.

IP-Weiterleitung ist aktiviert:

sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

verwandte Informationen