質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.39%
OpenSSL

OpenSSLはSSL/TLSのプロトコルと一般的な暗号のライブラリを導入するオープンソースのソフトウェアのツールキットです。

Q&A

解決済

1回答

14365閲覧

opensslのs_client -connectで接続確認した時に特定サーバだけタイムアウトする。

Asak

総合スコア16

OpenSSL

OpenSSLはSSL/TLSのプロトコルと一般的な暗号のライブラリを導入するオープンソースのソフトウェアのツールキットです。

0グッド

1クリップ

投稿2019/03/27 01:24

編集2019/03/27 03:52

CentOS6
OpenSSL 1.0.1e-fips 11

TLS1.2を対応する為、設定後の接続確認を行っています。
SSHにてサーバー接続後コマンドラインからの実行です。

openssl s_client -connect xxxxxxxxxx.jp:443 -tls1_2
で確認を行っています。

試しにPaypalのテストサイトへ接続すると。

openssl s_client -connect tlstest.paypal.com:443 -tls1_2

CONNECTED(00000003)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV Root CA
verify return:1
接続出来ます。

ただ、上記の特定のサーバだけ

openssl s_client -connect xxxxxxxxxx.jp:443 -tls1_2

socket: Connection timed out
connect:errno=110
とタイムアウトとなってしまいます。
先方のサーバーは問題無いの一点張りで、調査の方が行き詰ってしまいました。
何かサーバーの方で調査する箇所などあれば、ご教示頂けると助かります。

宜しくお願い致します。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

TaichiYanagiya

2019/03/27 03:06

TLSv1.2 に未対応なのかもしれません。「-tls1_2」オプションをはずすとどうでしょうか?
t_obara

2019/03/27 03:13

コマンドオプションをご覧になり、詳細な情報が出せるものがないか探してみてください。ちなみに、実際にブラウザでアクセスしてtls1.2に対応しているのかご確認されているのですよね?
Asak

2019/03/27 03:15

回答ありがとうございます。 試してみましたが、同じ結果でした。 >openssl s_client -connect xxxxxxxxxxx.jp:443 socket: Connection timed out connect:errno=110 インターネットで調べた資料には サーバーは接続を拒否します。この場合、connect:Connection timedまたはconnect:errno = 110のようなメッセージが表示されます 。 このメッセージが表示されたら、正しいサーバーとポート番号を使用していることを確認してください。 そうであれば、サーバーは指定されたポートでセキュア接続を受け入れていません。 との事で先方に確認してみています。
Stan_Dma

2019/03/27 03:15

Is the version 1.0.1 of openssl is the one on the server or on your client?
t_obara

2019/03/27 03:17

> 試してみましたが、同じ結果でした。 「詳細な情報が出せる」オプションを指定してみてください。
Asak

2019/03/27 03:20

t_obara さん ありがとうございます、コマンド確認してみます。 情報が足りませんで申し訳ございません。 SSHにてサーバーへ接続しコマンドラインから行っています。 Stan_Dma Thanks It is a thing on the server.
Asak

2019/03/27 03:41

t_obara さん -debugを付けてみましたが、結果は変わりませんでした。 サーバーにすらたどりついて無さそうです。 Pingは戻さない様になっている様です。
t_obara

2019/03/27 04:02

-msg はいかがでしょう?
Asak

2019/03/27 23:37 編集

t_obara さん いろいろありがとうございます。 openssl s_client -connect XXXXXXXXXXXXXX.jp:443 -tls1_2 -msg socket: Connection timed out connect:errno=110 結果としては同じです。
t_obara

2019/03/27 04:31

なるほど、アクセス側のNW環境のような感じですね。ブラウザではアクセスできるのですか?
Asak

2019/03/27 23:41

t_obara さん クライアントのPC(Edgeなど)ですと XXXXXXXXXXXXXX.jpへのアクセスは制限されていて XXXXXXXXXXXXXX.jp/yyyyy/zzzzz.do で指定されたアドレスではレスポンスは返ってきます。 手持ちのサクラサーバーからs_clientを使うとタイムアウトしませんので、先方の個別制限の様な気がします。問合せ継続中です。 トレースルートを取ってみて先方のGWなりFWまで到達していれば、それが証明出来るかなと考えています。 みなさま、いろいろありがとうございます。
guest

回答1

0

自己解決

どこまで到達しているか確認の為、traceroute,tcptracertを使って確認を行いました。

traceroute XXXXXXXXXXXX.jp
traceroute to XXXXXXXXXXXX.jp (xxx.xxx.xxx.xxx), 30 hops max, 60 byte packets
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *

DNSから先に出て行ってない状態でした。

ポート指定など何度かやっているうちに

traceroute XXXXXXXXXXXX.jp
traceroute to XXXXXXXXXXXX.jp (xxx.xxx.xxx.xxx), 30 hops max, 60 byte packets
1 xx7.x5.x3.1 (xx7.x5.x3.1) 0.494 ms 0.349 ms 0.316 ms
2 * * *
3 * * *
4 0-0-1-1--2005.yyyyyy.yyyyyy.ad.jp (xx3.xx8.x2.x5) 1.332 ms 1.337 ms 1.322 ms
5 * * *
6 * * *
7 xx1.xx8.x6.xx0 (xx1.xx8.x6.xx0) 2.445 ms 2.419 ms 2.379 ms
8 xx1.xx8.xx0.x2 (xx1.xx8.xx0.x2) 1.653 ms 1.435 ms 1.717 ms
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *

DNSから先に出て行くようになりました。
この時点でTLS1.2で通信も出来る様になってい
Paypalなどは到達出来ていたので、DNSレコード破損か障害などだったのかも
知れません、TimeOutが起こった場合にTracerouteを使って調査する事も
解決の早道かと思います。

訂正します。

>DNSレコード破損か障害などだったのかも
TracerouteでIP取れてますのでDNSは通過してますね。

投稿2019/03/28 06:05

編集2019/03/29 01:55
Asak

総合スコア16

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.39%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問