昨天白天在 MikroTik RouterOS 路由器上面配置 L2TP VPN 的时候,修改了一些参数。然后晚上回去发现上不去一些网站了,这些网站大多是国内的一些网站。最后发现是 tls 握手的时候出现了问题,然后进一步排查到了是 路由器 桥接网口的 MTU 值有问题。修正之后问题就解决了。
-
昨晚网站上不去,但是不是全部上不去。首先 微软的必应能用,然后像 IBM 的一些技术性的网站、英伟达的一些技术性的网站也是能上去的。同时知乎、简书也能上的去,就是无法加载图片。此外 CSDN、百度等一些网站是完全打不开的。所以肯定不是校园网及其外面哪一层防火墙的问题。
-
然后发现一个问题,似乎都是 https 的站点上不去,因为通过终端 curl 工具,上面提到的上不去的网站通过 http 协议访问的时候就没有问题。
-
然后继续用 curl 工具,添加了
-v这个参数发现在执行curl https://blog.csdn.net -k -v的时候,程序总是停留在* TLSv1.2 (OUT), TLS handshake, Client hello (1):这样一句内容中,但是正常的网站,比如必应,则是会很快接着* TLSv1.2 (IN), TLS handshake, Server hello (2):这样的一个内容。也就是说,这个 TLS/SSL 相关通信的方式的握手并不能正确完成。 -
因为白天配置过 L2TP/IPsec 的VPN,这个配置的过程中有一些操作,一开始觉得会影响这个握手。所以开始对所有配置进行检查。
-
但是检查到一半的时候,发现,TLS/SSL 这个是在 IP/TCP 之上的,所以我路由器配置的一些 L2TP 相关的内容应该并没有关系。
-
所以然后想起来对路由器的网桥还改过,当时主要改动的是 ARP 像相关的内容,然后将 ARP 相关的内容进行了复原。但是还是没有用。
-
最后想起来 MTU 值被修改了。所有网口都是 1500 的大小,但是网桥被错误的修改成了 1450。修改回去之后,网络就正常。。
-
看起来应该是 MTU 值得变化,导致了一些数据包被拆,然后被某些网站的服务器拦截了下来。
-
最后问题解决了。