Проблема с HTTPS через VPN
У меня очень странная проблема, и я хотел бы найти отправную точку для ее решения.
Проблема появляется на моих ноутбуках с Ubuntu (16.04 и 19.04), когда я включаю VPN (network-manager-vpnc) , но только на WiFi моего родителя . И это супер странная вещь для меня. Когда я переключаюсь на модем на моем телефоне, тогда все (кроме очень слабого сигнала GSM:]) в порядке. Более того, похоже, что проблема только с HTTPS-соединениями. curl зависает на TLS:
$ curl https://www.onet.pl/ -v
* Expire in 0 ms for 6 (transfer 0x55cd601785c0)
... <Expire in... repeated many times>...
* Expire in 0 ms for 1 (transfer 0x55cd601785c0)
* Trying 213.180.141.140...
* TCP_NODELAY set
* Expire in 200 ms for 4 (transfer 0x55cd601785c0)
* Connected to www.onet.pl (213.180.141.140) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
Но когда используется HTTP:
$ curl onet.pl
<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx</center>
</body>
</html>
он возвращает ответ.
Есть идеи, что может быть не так? Пожалуйста, дайте мне знать, если вам нужна дополнительная информация, чтобы помочь.
2 ответа
Это могло быть то, потому что маршрутизатор Wi-Fi отбрасывает пакеты.
Это происходит, когда размер пакетов к большому.
попытайтесь понизить свой размер MTU.
Если Ваше имя интерфейса Wi-Fi является wl0:
sudo ifconfig wl0 mtu 1400
Эта установка является безопасной и не персистентной по перезагрузке.
Если это работает, и Вы принимаете ответ, который я обновлю с объяснением на том, почему это происходит :)
Если Ваш поставщик использует своего рода подсистему балансировки нагрузки как RouterOS PCC (Классификатор Для каждого подключения) использующий both-addresses-and-ports, который мог быть проблемой, потому что это не играет хорошо с HTTPS.
Другая возможная причина является прозрачным прокси, когда not-so-experienced администратор сети пытается сделать перенаправление порта на пакетах, которые предназначены к 443 портам. Но я не протестировал его через, таким образом, я не на 100% уверен, имеет ли это место. Можно проверить его, Вы проходите через прокси с простым тестом telnet, как представлено в сюда.