@OliverIO sagte in Tailscale möchte nicht hinter Sophos:
aber wie will sophos das, ohne deep paket inspection genau herausfinden?
Die Deep Paket Inspection ist doch genau der Grund. 443 ist normalerweise ein Transparenter Proxy.
Internet Proxy kennst du ja bestimmt, da musst du im z.B. System extra einstellen das die Browser usw. den Proxy mit der IP 123.123.123.123 auf Port 3128 verwenden müssen.
Ist nur blöd, kann nicht jedes Programm mit umgehen usw.
Bei einem Transparenten Proxy lässt du diesen einfach auf Port 80 und 443 laufen. DNS funktioniert ganz normal über die DNS Server. Aber genau, die Pakete werden dabei geprüft, SSL wird aufgebrochen, nach intern wird dir ein gefaktes Zertifikat gemeldet (dem du vertraust weil der Admin das überall hinterlegt hat), nach außen findet dann die normale Kommunikation statt, aber mit der Firewall als "Man-in-the-middle"
Inzwischen muss man bei so etwas umfangreiche Ausnahmelisten pflegen weil die Gegenstelle, wenn diese denn will, feststellen kann ob die Verbindung aufgebrochen wurde und die Kommunikation verweigert. Banken lassen so etwas z.B. nicht zu, Microsoft 365 wird auch immer ausgenommen (und braucht auch noch UDP auf Port 443).
Und Websockets funktionieren - soweit ich weis und aus meiner Erfahrung - auch nicht. Außer man macht eine Ausnahme.
Der einfach Test ist, eine verschlüsselte Webseite aufzurufen und sich deren Zertifikat an zu sehen. Am besten eine Seite die wohl eher nicht in der Ausnahmeliste steht, z.B. das Forum hier.
Zudem: Tailscale nutzt den Port 443, richtig. Aber nicht unbedingt das https-Protokoll. Also den Port wie der Browser, aber nicht das Protokoll wie der Browser.
