Ano, mas pravdu … neni … nic mene je fakt, ze bez Avastu to funguje … neprikladal jsem tomu vahu … protoze Avast uzivam uz dele nez rok a do ted jsem problem nemel … zacalo to az po posledni aktualizaci Turrisu … zajimalo by me, co by s tim udelal rollback do funkcniho snapshotu.
Zde je vsak videt … ze to bude jen nejake zastupne jmeno … protoze ted je tam ‘turris.local’ a stejne ten cert neni validni a hlasi mi to stale stejnou chybu NEZABEZPECENEHO pripojeni
Že je označené jako nezabezpečeno je způsobené tím, že v turrisu self-signed certifikát, který nebyl podepsaný žádnou zavedenou certifikační autoritou (ale to není nic proti ničemu, spojení je stále bezpečné).
Zkus si z historie vymazat všechny výjimky pro tvůj router a pak to zkus znova.
Funguje ti už ukládání dat v reForis?
Pak mě ještě napadlo, že by to mohla způsobovat funkce Povolit testování protokolu WebSocket, v určitou chvíli se totiž v reForis volá websocket wss://ip.ad.re.sa/foris-ws a na google je dost zmínek o tom, že Avast rozbíjí websockety.
0 - Obě rozhrani se přepínala natvrdo do https a reForis neumožňovalo uložit některé změny nastavení. Pokud !! se mi nějakou záhadou povedlo připojit http, pak reForis fungovalo.
1 - zkusil jsem přístup na externí IP povolením port forwardu 8080 na 80 routeru … zde http fungovalo pro obě rozhraní a reForis bylo funkční
2 - na základě diskuse jsem v lokálu vypnul dočasně Avast a http fungovalo i lokálně
3 - Avast jsem opět povolil ( žádnou vyjímku jsem nedával ani jsem nenašel kde to zadat) a ve všech prohlížečích (Opera, Chrome, Edge) funguje lokálně připojení http a reForis je plně funkční
Gott gerechte, allmachtiger, barmherziger ! Gott im Himmel ! To by mně tedy zajímalo, co se to vyskytlo mezi nebem a zemí - *bude to něco v tom Ajaxu ??
Ano, přesně tak.
Resp. to je jediný způsob, jak jsme to dokázali reprodukovat.
Což mimo jiné vysvětluje, proč nám tuhle závadu nehlásil nikdo primárně na Linuxu (nepočítám virtualizovaný Linux na stroji s Avastem).
“Testování HTTPS” v Avastu dělá nějaké čachry s šifrovaným spojením (downgrade TLS), takže když se z reforisu odešle request na změnu nějakého nastavení, vloží se do toho ten Webový štít od Avastu.
Zvláštní je, že problém nedělají GET requesty - stránky se zobrazí v pohodě.
Ovšem POST requesty už to rozbijí, takže na backend ten request už nedorazí, což pak vypadá jako chyba reForisu.
S vypnutým “Testování HTTPS” nebo s nastavenou výjimkou pro adresu routeru, reforis funguje OK.
Avast je aktivní a v tuto chvíli nemám v Avastu žádnou vyjímku pro IP adresu a ani jsem ji nikdy neměl. Všechny moje prohlížeče (defaultní Opera, Chrome a Edge) se ve Win10 připojí k reForis nezabezpečeně HTTP a rozhraní je funkční.
Co bylo příčinou změny k lepšímu, zda jednorázové vypnutí Avastu nebo přístup z WAN, netuším. Sice jsem udělal z jiného důvodu výchozí reset nastavení Opery, ale změna k lepšímu proběhla současně u všech tří prohlížečů …
Tak jsem to nahlasil Avastu, uvidime, co se bude dit. Zadny kloudny log jsem z nej nevymamil. Jenom nejaky log webshieldu, kde pise, ze mnoha requestum na adresu routeru udelil vyjimku. Ale i tak je Reforis rozbity.
Zdravím,
můžu potvrdit, že problém je s inspekci HTTPS. Ale nejen v Avastu, ale také v ESETU a nakonec i ve VIPRE antiviru.
Pokud jsem do výjimek zadal kromě dns jména routeru (https://turris.domena) také IP adresu problém jsem nereprodukoval.
Po upgrade Turrisu 15.12.2022 na
|Verze reForisu|1.3.1|
|Verze Turris OS|6.0.4|
|Verze kernelu|5.15.82|
stačilo nastavit do výjimek antiviru jenom dns jméno a uložení nastavení v reForisu je funkční.
No nejsem si jist, po jakési změně my začalo v Opeře všechno chodit (funkční http). Na základě tvého postu jsem zadal “teprve nyní vyjímky” (http://192.168.2.1 a https://192.168.2.1) v Avastu a přepnul rozhraní reForis do https a nastal problém. Cookies jsem smazal.
Po restartu PC jsem obě vyjimky zrušil, http přihlášení bylo funkční a reForis fungovalo.
Z mého pozorování plyne, že problém není v antiviru (který je vypnutý nebo s vyjímkou) ale https a nepochopitelném vynuceném přepínání browseru do https.
Pokud jsem přihlášen v reForis, vypnu Avast, tak pokus o přepnutí do https nejde, místo https musím zadat port 443. Ale to zas souvisí asi s cache a cookies browseru… prostě pokusy na změny, ne nastavení Avast a pokusy o připojení http a https, nereagují adekvátně.
===
Závěr … https s vyjímkami v Avastu mi reForis v lokálu nefunguje, po aktivaci port forwardu 8080 na 80 … přístup na externí IP je reForis je bez problému v http.
Ale to bude problém Opery, protože lokálně s vyjímkami v Avastu se Chrome dá připojit http i https, ale https zase reForis neumožní změnu nastavení.
Edit: tak opět chybné tvrzení … i Chrome se přepne s vyjímkami v Avastu do nefunkčního https.
.
Moje pokus mi neindikují zcela jasný důvod s vyjimkou toho, že https nefunguje ani bez antiviru či s vyjímkou a http funguje vždy. EDIT
když si přidám port forvard lokálně tak jsem úspěšný
Jardo myslim si, ze ve forwardovani to neni, ani v portech …
Avast pouzivam dele nez 1-2 roky a do ted nebyl s Avastem problem … vcetne scanovani HTTPS , na HTTP se ani nepripojim, prohlizece me nepusti … na Macu v Safari uz vubec ne.
Po upgradu v listopadu cca , doslo k problemu s ukladanim , i drive jsem mel upozorneni na nezabezpecene pripojeni … problem bude v podepisovani certifikatu a reForisu vuci Antiviru … protoze LuCi fungovalo i pres tuto chybu, i bez vyjimky v antiviru …
Jak jsem zde popisoval zde : Vyjimka v avastu na lokale resi https problem , staci pridal v LAN Siti vyjimku na IP adresu Turrisu a vse funguje … bez nejakych nesmyslnych forwadingu …
Ja mam Edge, Firefox, i Safari v defaultu a je proste problem ja jakekoliv masine, co jsem zkousel…
CO se cookies tyce … tak session neni secure (je otazka zda je to odklepnutim se pripojit i bez zabezpeceni) …
Taky vím, že by se to mělo chovat jinak. Ale nevím, čím je způsobeno natvrdo přepínání do HTTPS.
Je ale možné, že jsem v tom zamotaný vlivem jiných faktorů … podstatné je, že jsem si problém vyřešil.
HTTP mi lokálně vyhovuje proto, že mi prohlížeč uloží heslo, kdežto v HTTPS ho musím vždy zadat
ahoj, já už si nemyslím že je to přepínám z http do https. Ale pokud se nad tím zamyslím na úrovni antiviru (esetu, avastu), tak problém může být filtrováním (ssl, tls) komunikace. Docela blbým zvykem se teď stalo, že antiviry začaly zprasovat certifikáty… namísto orginální certifikátu vkládají svůj:
Jednoduše eset si problédne vaši https komunikaci a vystaví Vám vlastní kořenový certifikát, aby Vám to nehlásilo, že došlo (Middleware odposlechu).
Kdo tento problém má, ať zkusí (vypnout filtrování https) a uvidí zda mu to přestane. Já jsem díky tomuto nastavení zatím v pohodě. Časem na to kouknu, zda to jde nastavit jen pro doménu “turris a ip: 192.168.1.1”, teď je to vypnuté pro celou (ssl, tls komunikaci).
Avast uz certifikaty browseru neprasi. Pouziva SSLKEYLOGFILE, kam mu browser ulozi vygenerovane klice ke kazde komunikaci, ktera probiha. Z nejakeho duvodu to same neumi v Thunderbirdu, takze tomu certifikaty prasi.
