Не удается подключиться к определенным сайтам HTTPS

Question 1

Если вы просто хотите отключить WebM:

Откройте URL about:config Примите предупреждение. Найдите media.webm.enabled и дважды щелкните по нему, чтобы переключить значение. Установите его на false. Изменения немедленно применяются.

В противном случае нет простого способа отключить WebM без повторной компиляции. Перекомпиляция так же проста, как:

sudo apt-get build-dep firefox
apt-get source firefox
cd firefox-*
editor debian/rules
dpkg-buildpackage -b -us -uc

На шаге editor отрегулируйте параметры configure.

Question 2

Это старый вопрос, но для тех, кто попадает сюда через Google, это поможет. Проблема в том, что фрагментация на SSL плохая и нарушает протокол. Если вы используете PPPOE, нормальный MTU в вашем маршрутизаторе / DSL / кабельный модем составляет 1492. Это слишком велико и приведет к фрагментации. 1476 - это волшебное число, которое будет работать с большинством сайтов. Некоторые сайты используют разные реализации SSL, поэтому 1480 может работать или даже 1488. Для совместимости MOST MTU на стороне WAN вашего сетевого устройства (маршрутизатор, модем и т. Д.) Должен быть 1476.

Question 3

Question 4

Вот несколько вещей, которые нужно попробовать:

Проверьте настройки сетевой карты. Ни один из ваших этажных интерфейсов не показывает адреса IPv4. Убедитесь, что IPv4 включен (возможно, вам необходимо восстановить соединение с маршрутизатором для обновления IP-адреса). Если это не сработает, попробуйте отключить поддержку IPv6 и посмотрите, не изменилось ли это. Сделайте это, щелкнув правой кнопкой мыши значок сети по вашим часам (когда на Ethernet-соединении это пара стрелок, одна направленная вверх, другая вниз) и выберите «Изменить соединения ...». На вкладке «Настройки IPv4» убедитесь, что она установлена в «Автоматический (DHCP)». Если вы хотите отключить IPv6, перейдите на его вкладку и установите для нее «Игнорировать». Проверьте, можете ли вы подключаться к сайтам, используя другие методы. Что ping отвечает за сайты, с которыми вы не можете подключиться? Как насчет traceroute (возможно, вам придется установить traceroute для его использования, FYI)? Их ответы могут помочь вам устранить эту проблему. Если они не могут попасть на сервер URL, это может быть проблема DNS (однако, если они могут попасть на сервер URL-адреса, но затем будут удалены, это может означать, что эти команды заблокированы). Обход маршрутизатора. Если ваш маршрутизатор и модем - это две разные машины, попробуйте подключить компьютер непосредственно к модему и посмотреть, не изменит ли это что-либо. Перезагрузите модем и маршрутизатор. Иногда они просто сосут. Перезагрузите компьютер. Иногда они просто сосут. Попробуйте другой компьютер. Если он у вас есть, другой компьютер работает, если этот не удается? Если нет, то это может быть что-то с вашим конкретным компьютером. Очистите кеш вашего компьютера, файлы cookie и т. Д. Иногда файлы cookie с плохими сеансами, кеш и т. Д. Могут помешать подключению к сайту (у меня была проблема с Google некоторое время назад). Очистите их и начните свежими и посмотрите, что вы получите. Отключите все VPN-соединения. Протокол «точка-точка» часто используется для VPN (интерфейс PPP), и VPN могут препятствовать подключению к сайтам. Убедитесь, что вы не подключены, щелкнув значок своей сети по вашим часам, найдя запись «VPN Connections» и убедившись, что листинг не указан (если у вас нет пункта меню «VPN Connections», t есть одна настройка). Если есть какие-либо проверки, то вы подключены к нему, отключите его.

Помните: не все, что вы делаете, приведет к простой «работе или сбою», любое изменение реакции сервера на ваш запрос скажет нам что-то. Итак, если вы сделаете что-либо из вышеперечисленного и получите новое сообщение, не забудьте обновить свой вопрос.

Question 5

Я видел это поведение дважды на практике, для которого я нашел следующие решения.

Некоторые компьютеры в локальной сети успешно пытались атаковать «человек в середине». Это был ARP-спуфинг шлюза, таким образом перенаправляя весь трафик, чтобы пройти через эту машину, изменяя запросы и другие неприятные вещи. Машина работала под Windows и обнаружила, что она заражена некоторыми вредоносными программами. Как только эта машина была отключена от сети физически, симптомы исчезли. Проблема MTU на вашем или другом шлюзе. В шлюзах IPv4 отвечают за фрагментацию и повторную сборку IP-пакетов в сети, если размер фреймов сетей, для которых он маршрутизирует трафик, не является одинаковым. Для DSL-соединений с использованием PPPoE / PPPoA размер MTU обычно меньше 1500 байт на стороне локальной сети. Также между маршрутизаторами происходит сбой, и вам необходимо включить TCP MSS Clamping на вашем маршрутизаторе. Мне всегда нужно было установить это при подключении моего предыдущего интернет-провайдера, но он решал больше, чем просто связанные с SSL-проблемы. Проверьте, есть ли у вашего модема / маршрутизатора такой вариант. Подумайте об этом как обходном пути. Я был в сети, вероятно, с прозрачным прокси-сервером, который также пропускал SSL-трафик, но по какой-то причине не удалось запустить TLSv1. Тот же запрос работал при использовании VPN-соединения. scaryTry работает curl с опцией --sslv3. Если это решает, то воняет.

Общие вещи, которые нужно попробовать:

Некоторый компьютер в локальной сети успешно пытался атаковать «человек-в-середине». Это был ARP-спуфинг шлюза, таким образом перенаправляя весь трафик, чтобы пройти через эту машину, изменяя запросы и другие неприятные вещи. Машина работала под Windows и обнаружила, что она заражена некоторыми вредоносными программами. Как только эта машина была отключена от сети физически, симптомы исчезли. Захватите трафик с помощью tcpdump или Whireshark и проанализируйте его (разместите здесь, например,).

  # 1. start the dump
$ sudo tcpdump -w httpstrafficdump.pcap -i eth0 -s 0 port 443
  # 2. open a new terminal window and do your HTTPS request there (curl/browser)
  # 3. end tcpdump (Ctrl+C)
  # 4. open the file in wireshark
$ wireshark httpstrafficdump.pcap

Если вы повторно используете ошибки повторной сборки или предыдущий сегмент, это явный признак потери пакетов, вызванной неправильным размером MTU. Однако трафик HTTPS зашифрован и трудно анализировать из сетевого трафика сам по себе.

Изменить:

Из вашего tcpdump корень вашей проблемы SSL ясен: TCP Previous segment lost. Здесь должно применяться общее устранение неполадок в сети, но оно может выходить за пределы вашей локальной сети и проблемы с вашим интернет-провайдером.

regretoverflow · Answer 1 · 25 May 2018 в 06:25

Это старый вопрос, но для тех, кто попадает сюда через Google, это поможет. Проблема в том, что фрагментация на SSL плохая и нарушает протокол. Если вы используете PPPOE, нормальный MTU в вашем маршрутизаторе / DSL / кабельный модем составляет 1492. Это слишком велико и приведет к фрагментации. 1476 - это волшебное число, которое будет работать с большинством сайтов. Некоторые сайты используют разные реализации SSL, поэтому 1480 может работать или даже 1488. Для совместимости MOST MTU на стороне WAN вашего сетевого устройства (маршрутизатор, модем и т. Д.) Должен быть 1476.

9

ответ дан regretoverflow 25 May 2018 в 06:25

1

Я не вижу, как фрагментация нарушит SSL. Фрагментированные пакеты будут повторно собраны маршрутизаторами в IPv4. SSL происходит поверх TCP, на уровне, где вы этого не заметите. Я думаю, что это связано с значениями MTU, но я не думаю, что ваше объяснение квалифицируется. Я думаю, что это связано с тем, что настройки MTU не синхронизированы на обоих концах, что приводит к неправильному повторной сборке фрагментированных пакетов. Магическое число может работать в вашем случае, но не для других. – gertvdijk 24 June 2013 в 22:17
2

Бит DF (Dont Fragment) всегда настроен на трафик SSL по дизайну - фрагментация - это дыра в безопасности. Фрагментированный пакет SSL будет удален в 99,9% случаев. Слишком низкий MTU на трафике PPoE приведет к фрагментации. – regretoverflow 26 June 2013 в 07:48
3

Это случилось со мной с веб-сайтом PayPal. Я попытался согласиться с MTU 1476 и не работал, но с 1480 работал. Спасибо! – playful 20 July 2015 в 01:17
4

Я провел 6 утра до 2 вечера, пытаясь решить эту проблему, пока не нашел ваш ответ. Очень признателен! – WayBehind 7 April 2016 в 23:09
5

святая корова! Это позволило мне sudo yum install docker-engine после добавления репозитория yum.dockerproject.org в поле CentOS 7: sudo ip link set mtu 1476 dev enp6s0, чтобы снизить MTU с его значения по умолчанию от 1500 до 1476. Я почесывал голову на день, пытаясь понять, почему yum .dockerproject.org был доступен через https из других узлов в той же сети. – jwd630 11 November 2016 в 21:09

Shauna · Answer 2 · 25 May 2018 в 06:25

Вот несколько вещей, которые нужно попробовать:

Проверьте настройки сетевой карты. Ни один из ваших этажных интерфейсов не показывает адреса IPv4. Убедитесь, что IPv4 включен (возможно, вам необходимо восстановить соединение с маршрутизатором для обновления IP-адреса). Если это не сработает, попробуйте отключить поддержку IPv6 и посмотрите, не изменилось ли это. Сделайте это, щелкнув правой кнопкой мыши значок сети по вашим часам (когда на Ethernet-соединении это пара стрелок, одна направленная вверх, другая вниз) и выберите «Изменить соединения ...». На вкладке «Настройки IPv4» убедитесь, что она установлена в «Автоматический (DHCP)». Если вы хотите отключить IPv6, перейдите на его вкладку и установите для нее «Игнорировать». Проверьте, можете ли вы подключаться к сайтам, используя другие методы. Что ping отвечает за сайты, с которыми вы не можете подключиться? Как насчет traceroute (возможно, вам придется установить traceroute для его использования, FYI)? Их ответы могут помочь вам устранить эту проблему. Если они не могут попасть на сервер URL, это может быть проблема DNS (однако, если они могут попасть на сервер URL-адреса, но затем будут удалены, это может означать, что эти команды заблокированы). Обход маршрутизатора. Если ваш маршрутизатор и модем - это две разные машины, попробуйте подключить компьютер непосредственно к модему и посмотреть, не изменит ли это что-либо. Перезагрузите модем и маршрутизатор. Иногда они просто сосут. Перезагрузите компьютер. Иногда они просто сосут. Попробуйте другой компьютер. Если он у вас есть, другой компьютер работает, если этот не удается? Если нет, то это может быть что-то с вашим конкретным компьютером. Очистите кеш вашего компьютера, файлы cookie и т. Д. Иногда файлы cookie с плохими сеансами, кеш и т. Д. Могут помешать подключению к сайту (у меня была проблема с Google некоторое время назад). Очистите их и начните свежими и посмотрите, что вы получите. Отключите все VPN-соединения. Протокол «точка-точка» часто используется для VPN (интерфейс PPP), и VPN могут препятствовать подключению к сайтам. Убедитесь, что вы не подключены, щелкнув значок своей сети по вашим часам, найдя запись «VPN Connections» и убедившись, что листинг не указан (если у вас нет пункта меню «VPN Connections», t есть одна настройка). Если есть какие-либо проверки, то вы подключены к нему, отключите его.

Помните: не все, что вы делаете, приведет к простой «работе или сбою», любое изменение реакции сервера на ваш запрос скажет нам что-то. Итак, если вы сделаете что-либо из вышеперечисленного и получите новое сообщение, не забудьте обновить свой вопрос.

1) Извините, не знаю, как это сделать. cyberciti.biz/faq/setting-up-an-network-interfaces-file - не уверены, какие IP-адреса нужно добавить. 2) Я добавил оба из оригинального вопроса. 3) Я посмотрю, есть ли у меня этот вариант завтра (модем и т. Д. В комнате комнаты). 4) То же, что и выше, хотя я по крайней мере перезапустил маршрутизатор. 5) Пробовал несколько раз. 6) У меня нет другого comp с ubuntu, эти соединения работают, однако, когда я переключаюсь на Windows. 7) Пробовал это. — mind.blank, 17 September 2012 в 21:01
@ mind.blank Вам не нужно ничего делать в этой ссылке. Просто щелкните правой кнопкой мыши значок сети по часам и выберите «Изменить подключения ...». Нажмите на соединение и выберите " Редактировать " и выберите «Настройки IPv4», и убедитесь, что он установлен в положение «Автоматически (DHCP)». Затем перейдите в «Настройки IPv6», и убедитесь, что " Требовать адреса IPv6 для этого соединения, чтобы завершить " un проверено. Сохраните и снова подключите. Если / если вы хотите отключить IPv6, вернитесь на вкладку «Параметры IPv6» и измените «Автоматический». к "Игнорировать". — Shauna, 17 September 2012 в 22:25
В сетевых подключениях & gt; DSL & gt; Изменить, настройки IPv4 включены «Автоматический (PPPoE)» и нет вкладки IPv6 ... — mind.blank, 18 September 2012 в 06:56

gertvdijk · Answer 3 · 25 May 2018 в 06:25

Я видел это поведение дважды на практике, для которого я нашел следующие решения.

Некоторые компьютеры в локальной сети успешно пытались атаковать «человек в середине». Это был ARP-спуфинг шлюза, таким образом перенаправляя весь трафик, чтобы пройти через эту машину, изменяя запросы и другие неприятные вещи. Машина работала под Windows и обнаружила, что она заражена некоторыми вредоносными программами. Как только эта машина была отключена от сети физически, симптомы исчезли. Проблема MTU на вашем или другом шлюзе. В шлюзах IPv4 отвечают за фрагментацию и повторную сборку IP-пакетов в сети, если размер фреймов сетей, для которых он маршрутизирует трафик, не является одинаковым. Для DSL-соединений с использованием PPPoE / PPPoA размер MTU обычно меньше 1500 байт на стороне локальной сети. Также между маршрутизаторами происходит сбой, и вам необходимо включить TCP MSS Clamping на вашем маршрутизаторе. Мне всегда нужно было установить это при подключении моего предыдущего интернет-провайдера, но он решал больше, чем просто связанные с SSL-проблемы. Проверьте, есть ли у вашего модема / маршрутизатора такой вариант. Подумайте об этом как обходном пути. Я был в сети, вероятно, с прозрачным прокси-сервером, который также пропускал SSL-трафик, но по какой-то причине не удалось запустить TLSv1. Тот же запрос работал при использовании VPN-соединения. scaryTry работает curl с опцией --sslv3. Если это решает, то воняет.

Общие вещи, которые нужно попробовать:

Некоторый компьютер в локальной сети успешно пытался атаковать «человек-в-середине». Это был ARP-спуфинг шлюза, таким образом перенаправляя весь трафик, чтобы пройти через эту машину, изменяя запросы и другие неприятные вещи. Машина работала под Windows и обнаружила, что она заражена некоторыми вредоносными программами. Как только эта машина была отключена от сети физически, симптомы исчезли. Захватите трафик с помощью tcpdump или Whireshark и проанализируйте его (разместите здесь, например,).

  # 1. start the dump
$ sudo tcpdump -w httpstrafficdump.pcap -i eth0 -s 0 port 443
  # 2. open a new terminal window and do your HTTPS request there (curl/browser)
  # 3. end tcpdump (Ctrl+C)
  # 4. open the file in wireshark
$ wireshark httpstrafficdump.pcap

Если вы повторно используете ошибки повторной сборки или предыдущий сегмент, это явный признак потери пакетов, вызванной неправильным размером MTU. Однако трафик HTTPS зашифрован и трудно анализировать из сетевого трафика сам по себе.

Изменить:

Из вашего tcpdump корень вашей проблемы SSL ясен: TCP Previous segment lost. Здесь должно применяться общее устранение неполадок в сети, но оно может выходить за пределы вашей локальной сети и проблемы с вашим интернет-провайдером.

Я попытался запустить curl с --sslv3, и он все еще не работает. Также я попытался захватить дамп, но он, похоже, не работает? tcpdump: WARNING: eth0: no IPv4 address assigned 0 packets captured 6 packets received by filter 0 packets dropped by kernel - Я не уверен, как назначить IPv4 ... Мне придется завтра пробовать завтра, так как он опаздывает, и мой мозг не работает хорошо. Спасибо за вашу помощь до сих пор! — mind.blank, 17 September 2012 в 21:45
@ mind.blank Для вас это ppp0 интерфейс вместо eth0, который заставляет меня думать: зачем вам нужен PPP для соединения при использовании маршрутизатора? — gertvdijk, 17 September 2012 в 21:51
Нормальный "проводной" соединение ничего не подбирало. Теперь я добавил tcpdump в нижней части моего вопроса с более подробной информацией о том, почему я использую PPPoE. Также, если вам нужна дополнительная информация с дампа, пожалуйста, скажите мне. — mind.blank, 18 September 2012 в 08:23
@ mind.blank Дамп очень полезен, но не указывает на решение. См. Мой обновленный ответ. — gertvdijk, 18 September 2012 в 11:59

Не удается подключиться к определенным сайтам HTTPS

3 ответа

Другие вопросы по тегам:

Похожие вопросы: