Bank-ID

Vad är det för router och vilken ISP är det ni får bredband från och är er externa IP-adress CG-NAT'ad eller publik?

Du kommer inte få någon hjälp här heller om detta är frågeställningen.

Nej, det finns inget i Telenors router som stoppar bankid. Det är ju bara att köra dator direktkopplad (om du vill utesluta Telenors utrustning) och kolla felkoderna du får i bankid för Windows mot https://help.bankid.com/BIDFiles/sv/meddelandekoder.htm Uppge sedan meddelandekoden hos banken. Är det en bärbar eller har datorn WiFi kan du testa att ansluta till din mobiltelefon (internetdelning). Vid felanmälan glöm då inte att uppge IP-nummer, kan mycket väl vara så att bankid blockerar din CGNAT-adress (edit: alltså den delade publika) eller dylikt.

Du kollar i din router vilken WAN-IP den får och kollar sedan om det är en publik adress eller inte. Är det CGNAT så börjar din IP på 100.64 (.X.X).

Googlar du my ip address så säger Google vad din externa (publika) IP är.

[Edit]

Då kopplar du direkt till mediaomvandlaren, den är bara från Telenor om du sitter på ett slutet nät. Mediaomvandlaren är egentligen bara en switch med SFP-modul.

Kanske går trafiken genom en HTTP-proxy? BankID:s server använder certificate pinning, vilket innebär att det bara går att ansluta till den om man har ett visst certifikat, vilket bara BankID-appen har. Proxyn, om en sådan finns, saknar det certifikat som behövs och kan därmed inte ansluta (å appens vägnar).

Jag kör Userscript Proxy hemma, och BankID är en av många appar som av just ovanstående anledning inte funkar om jag inte lägger till ett undantag som gör att proxyn ignorerar dess trafik. Proxy konfigureras per Wi‑Fi på Android och iOS, så om jag byter till mobilnätet istället för Wi‑Fi funkar det, eftersom proxyn då inte används alls.

Inte som någon tröst, men jag hade samma problem om jag körde ett hotells WiFi men inte om jag körde 3G. Deras WiFi var inget konstigt men väldigt långsamt(hela ön går förvisso via satellit). Detta oavsett om jag provade med BankID eller mobilt BankID. Banken kunde inte göra mycket. Samma problem oavsett om jag var där år 2016 eller år 2017. Men när man var åter på fastlandet med snabbare WiFi hos nästa hotell så var det inga problem.

Så något dumt kör Nexus med som kräver något speciellt. I mitt fall tror jag att det var hastigheten.

Prova att stänga av t.ex. transparent proxy och paket inspektion, om något sådan är påslagen i brandväggen.

@Alling: Proxy sätts inte upp efter interface i Windows. TS kommer behöva gräva lite mer.

Mm, men nätverket kanske har en proxy konfigurerad? Inte expert på hur det där funkar tyvärr.

@Amdee, jag provade att curl:a den domän BankID-appen försöker ansluta till, cavainternal.bankid.com, över HTTPS. Fick följande resultat, som visar att jag åtminstone kan ansluta dit, men att TLS-handskakningen misslyckas (pga certificate pinning; min dator är ju inte BankID-appen). Blir det likadant för dig?

$ curl https://cavainternal.bankid.com
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.haxx.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

$ curl https://cavainternal.bankid.com --insecure
curl: (52) Empty reply from server

@Alling: Wireshark eller dylikt bör säga om han kan ansluta överhuvudtaget. Kan vara lite överkurs...

Är Cisco'n patchad med det senaste så att den inte har blivit kapad?
https://www.google.com/search?q=Cisco+RV320+patch
https://www.cisco.com/c/en/us/support/routers/rv320-dual-giga...

Om ni kör med en säkerhetslösning som t.ex. Symantec, Avast etc så lär ni vara medvetna om att de kan "stjäla" https/tls trafik mha sitt egna MITM-certifikat och spionerar på er krypterade internettrafik. Stäng helst av den "säkerheten".

<edit>Bankid kör med egensignerade klient/server certifikat och som ges inte ut av någon publik CA.
CN = BankID SSL Root CA v1
OU = Infrastructure CA
O = Finansiell ID-Teknik BID AB
CN = cavainternal.bankid.com
SERIALNUMBER = 5566304928
OU = CAVA
O = Finansiell ID-Teknik BID AB
C = SE
DNS Name=cavainternal.bankid.com
</edit>

Bumpar detta då en bekant med Telias mobila bredband har liknande problem.
Mobilt bankid funkar över mobilens egna 4g-data, men om man kör via wifi-routern (telia mobilt bredband med cgnat) kan bankid ej ansluta. Det funkade för en vecka sen. Det kan vara så att cgnat är nyintroducerat.
Samma beteende på flera olika enheter.
Något tips förutom "ring telia", vilket såklart ska göras!

Tror bankid bara står och tuggar och tillslut time:ar ut.
Jag ska dit i helgen igen för ytterligare felsökning. Jag tänkte ta med en annan 4G-router för att kunna utesluta om det är routern i sig eller något längre bort i telias nät som strular, och sedan kontakta telia.
Återkommer!

Det var routern som spökade.