Fritzbox https Webseite nicht erreichbar

[lukass2000]

Hallo,

hab heute die Fritzbox meines Vaters mit der Kindersicherung/Blacklist und Gastzugang konfiguriert.
Nun werden ja bestimmte Seiten geblockt und es erscheint eine Fritzbox Meldung "Die Internetnutzung ist gesperrt" oder ähnlich.
Das passt perfekt und kommt immer wenn eine URL per http:// aufgerufen wird.
Wird eine Seite per https:// aufgerufen, erhalte ich aber nur eine Fehlermeldung "Diese Webseite ist nicht erreichbar", reiner Text ohne alles.

Kann ich das eventuell irgendwo einstellen, das auch bei https:// Seiten die schöne Fritzbox Meldung kommt?

Extrem stört das bei der Zeitbeschränkung der Kindersicherung, da kommt dann nämlich nicht der Hinweis mit der Möglichkeit ein Ticket einzulösen, sondern eben nur die Text Errormeldung

Danke!

 

[InFlame]

Ist bei https:// aus technischen Gründen ohne Zertifikatfehler nicht möglich. Daher wird die Anfrage einfach geblockt

 

[lukass2000]

Das macht die Funktionen aber dann relativ unbrauchbar, da ja fast alle Webseiten mittlerweile auf https:// leiten.
Kann man dafür nicht ein Zertifikat "hinterlegen" z.B. ein LetsEncrypt?

 

[up.whatever]

Nein, das ist nicht möglich.

 

[lukass2000]

Hab heute mal mit "meinem" IT Experten gesprochen.
Er meinte, das Google mittlerweile aus Ranking-Gründen bereits die kleinste private Webseite dazu "zwingt" per https aufrufbar zu sein, auch wenn dann meist "nur" ein Lets-Encrypt Zertifikat zum Einsatz käme.

Hab das bei mir heute noch etwas getestet.
Der Gestzugang ist so eigentlich fast unbrauchbar, die Kindersicherung ebenfalls.
Bereits wenn ich nun google.at aufrufe, was vermutlich viele machen, komme ich ja auf https://google.at und somit auf die Fehlermeldung und keine Fritzbox Vorschaltseite

Verstehe ich nicht ganz, das es hier seitens Fritzbox keine Lösung gibt?
LG

 

[Tom_123]

Hi,

das ist der Sinn von SSL/TLS Verbindungen. Der Inhalt der Verbindung soll von Dritten nicht mitgelesen/manipuliert (das würde die Fritz!Box machen) werden können. Es gibt bei manchen größeren Firewalls die Möglichkeit, durch die Instalaltion eines Root Zertifikates, den Traffic zu scannen und Verbindungen umzuleiten. Dies ist aber eigentlich nicht im Sinne von verschlüsselten Verbindungen. AVM hält sich zum Glück an diesen Grundsatz und klinkt sich nicht in diese Verbindungen mit ein.

 

[lukass2000]

Ich bin mir nicht sicher, ob ich mein "Problem" richtig beschrieben habe, oder ob ich da was nicht richtig verstehe.

Ich beschreib das mal Schritt für Schritt in 2 Scenarien:

1.)
1.1) =>Ich habe ein Kindersicherung eingerichtet und dort z.B. eine Nutzungsdauer von 60 Minuten eingerichtet.
1.2) =>Mein Junior Surft im Internet rum und sucht diverse Seiten zu Modellbau.
1.3) =>Nach Ablauf der 60 Minuten ist er auf der Webseite http://testtest.com
1.4) =>Er wird nun auf die "interne Fritzbox Vorschaltseite" geleitet und es wird ihm angezeigt, das sein Zeitvolumen abgelaufen ist und er mittels einem Ticket dies verlängen könnte.
1.5) =>Alles perfekt, genau so soll es sein, falls er sich eine "Belohnung" verdient hat, bekommt er einen Ticketcode und kann 45 Minuten weiter surfen....

Aktuell und praktisch sieht das aber eher so aus:
2.)
2.1) =>Ich habe ein Kindersicherung eingerichtet und dort z.B. eine Nutzungsdauer von 60 Minuten eingerichtet.
2.2) =>Mein Junior Surft im Internet rum und sucht diverse Seiten zu Modellbau.
2.3) =>Nach Ablauf der 60 Minuten ist er auf der Webseite https://testtest.com
2.4) =>Da er sich auf einer https Webseite befand, wird er nun NICHT auf die "interne Fritzbox Vorschaltseite" geleitet, sondern erhält nur die Meldung "Diese Webseite ist nicht erreichbar" und irgendeinen Fehlercode

Hier müsste die Fritzbox nun so "intelligent" sein, das diese auf die "interne" Fritzbox Vorschaltseite weiterleitet.
Die Fritzbox Vorschaltseite kann ja auch eine http sein, das ergibt doch in meinen Augen kein Problem, das Internet lebt doch auch von Weiterleitungen egal ob von einer http Seite zu https oder umgekehrt.

Hierfür muss die Fritzbox oder AVM ja auch absolut nichts mitlesen oder mitschneiden?
Die Fritzbox hat einen Timer und nach Ablauf dieser Zeit hat die Fritzbox die Aufgabe auf die "interne" Vorschaltseite zu leiten, da spielt SSL doch absolut keine Rolle?
Ich versteh das Problem hier absolut nicht?

Das Gleiche gilt auch, wenn ich eine Webseite in die Blacklist eintrage.
Ist es eine http Seite, alles okay.
Trage ich eine https Seite ein, nur der Error-Text.
Nachdem aber der Error-Text erscheint, muss die Fritzbox doch auf irgendwas reagiert haben, die Webseite wird ja richtig geblockt. Sprich die Fritzbox müsste doch nur noch auf die "interne" Webseite umleiten und alles ist gut?
LG

 

[up.whatever]

Dein Problem wurde bestens verstanden, aber du scheinst die Antworten nicht zu verstehen.

Edit:

Hierfür muss die Fritzbox oder AVM ja auch absolut nichts mitlesen oder mitschneiden?

Doch, die Fritzbox muss die Anfrage an die https-Seite mitlesen und an deren Stelle beantworten. Das ist ein Man in the middle Angriff und SSL/TLS ist darauf ausgelegt genau dies zu verhindern.

PS: statt über Fritzbox Vorschaltseiten könntest du auch einfach auf direktem Weg mit deinem Junior kommunizieren.

 

[lukass2000]

@up.whatever
Es geht gar nicht um meinen Junior, der musste nur als Beispiel herhalten.

Doch, die Fritzbox muss die Anfrage an die https-Seite mitlesen und an deren Stelle beantworten. Das ist ein Man in the middle Angriff und SSL/TLS ist darauf ausgelegt genau dies zu verhindern.

Das verstehe ich nach wie vor nicht?

-> Ich starte den Browser am Smartphone
-> Browser startet mit der vorkonfigurierten Startseite z.B. https://google.com, ist ja recht gängig
-> Browser sagt Smartphone, stell Internetverbindung her
-> Smartphone stellt Verbindung mit Fritzbox her und sagt hallo, ich will ins Internet
-> Fritzbox sagt, das klappt derzeit nicht, da durch Zeitsperre blockiert
-> Fritzbox sagt, ich schick dir alternativ meine Vorschaltseit
-> Browser sagt, okay das kann ich darstellen
-> Alles okay, User sieht am Smartphone die Fritzbox Vorschaltseite

In diesem Scenario ist es doch absolut unrelevant, was passiert wäre, wenn die Fritzbox ins Internet weiter geroutet hätte, folglich eine Abfrage passiert wäre ob http oder https und der Verbindungsaufbau seinen Lauf gefunden hätte.
Das ganze Scenario muss sich doch schon vorher abspielen, wenn die Fritzbox die Internetverbindung doch sowie so blockiert, was spielt es da für eine Rolle, ob die weitere Verbindung per http oder https stattgefunden hätte?

Was verstehe ich da denn falsch?

LG

 

[up.whatever]

Dein Verständnis von der Funktionsweise des Internets schlichtweg komplett falsch. Es wird zu keinem Zeitpunkt eine TCP-Verbindung zwischen Browser/Smartphone und der Fritzbox hergestellt, die Box leitet die IP-Pakete nur zum nächsten Router weiter. Es gibt kein "hallo, ich will ins Internet".

Wenn du https://google.com in deinen Browser eintippst passiert grob das folgende:

1. Der Hostname google.com wird zu einer IP Adresse aufgelöst, in der Regel per DNS, auf Details können wir hier verzichten.
2. Es wird versucht eine TCP-Verbindung zu Port 443 dieser Adresse aufzubauen. Hierzu geht ein entsprechend adressiertes SYN-Paket über den IP-Stack des Smartphone Betriebssystems an den nächsten Router auf dem Weg dorthin, das ist bei dir die Fritzbox
3. Die Fritzbox leitet das Paket an den nächsten Router (beim Provider) weiter und über diverse weitere Router gelangt es - soweit möglich - zum Zielsystem und wird von diesem mit einem SYN-ACK beantwortet um die TCP Verbindung aufzubauen.
4. Nachdem der TCP-Handshake erfolgreich war, findet über die bestehende Verbindung ein TLS Handshake statt. Die Gegenstelle sendet hierbei unter anderem ihr Zertifikat. Der Browser prüft, ob das zur angefragten Domain (google.com) passt, von einer als vertrauenswürdig eingestuften Stelle (CA) unterschrieben wurde und noch gültig ist. Ist irgendetwas davon nicht erfüllt, gibt es eine Fehlermeldung und der gesamte Vorgang bricht ab.
5. Nachdem die TLS Verbindung steht sendet der Browser seinen HTTP Request ("gib mir Seite") und erhält von der durch das Zertifikat verifizierten(!) Gegenstelle eine Antwort.

Um bei diesem Vorgang irgendetwas auf HTTP-Ebene umleiten zu können, müsste die Fritzbox erst die TCP-Verbindung an sich selber umleiten (Punkt 3) und dann deinem Browser auch noch ein zur ursprünglichen Anfrage passendes Zertifikat "google.com" präsentieren (Punkt 4). Da alle vom Browser standardmäßig als Vertrauenswürdig eingestuften CAs ein solches Zertifikat nur dem tatsächlichen Besitzer der Domain google.com, und nicht etwa deiner Fritzbox, ausstellen, scheitert dein Vorhaben zwangsweise an dieser Stelle. Da dies auch bei AVM bekannt ist, brechen sie die TCP-Verbindung bei HTTPS darum einfach schon nach Punkt 2 ab.

Bei unverschlüsseltem HTTP fällt Punkt 4 komplett weg, da kann die FritzBox die TCP-Verbindungsanfrage auf Port 80 einfach abfangen und selber mit einer HTTP-Umleitung beantworten. Der Browser "denkt" in diesem Fall, dass ihm die Umleitung von der angefragten Seite geschickt wurde!

 

[lukass2000]

Hi,
du schreibst bei Punkt 3 "...Die Fritzbox leitet das Paket an den nächsten Router (beim Provider) weiter..."...
Ohne jetzt all das was hier so im Hintergrund abläuft richtig zu verstehen, ist in meinem Verständnis genau hier der springende Punkt.
Die Fritzbox leitet was auch immer weiter...
Aber genau das darf die Fritzbox ja nicht, da eine "Weiterleitungssperre" bedingt durch die Zeitbegrenzung der Kindersicherung vorliegt.
Hier fängt sozusagen die Fritzbox die Übertragung ab und leitet auf die eigene Fritzbox Vorschaltseite...

Nutzt du selbst eine Fritzbox?
Besteht die Möglichkeit, das du mir mal eine Zeitsperre einrichtest und schaust was bei dir passiert?

Ich habe nämlich an den AVM Support geschrieben und die schreiben, das egal ob http oder https Aufruf bei einer Zeitsperre über die Kindersicherung immer die Fritzbox Vorschaltseite angezeigt werden muss.
Es gäbe keinen technischen Grund, das dies nicht so sein sollte.
Auch habe angeblich noch niemand anders so ein Problem gemeldet, was ja aber vermutlich nichts heißen soll.

Sozusagen müsste es laut AVM klappen, warum also bei mir nicht?