调试挂在脉冲安全SSL VPN隧道中的HTTPS

Question

我有一个脉冲VPN客户端运行在Ubuntu18.04，并面临问题时，通过HTTPS连接到网站通过VPN。SSH和ping工作得很好。

Chrome和Firefox都挂着，“建立安全连接”和“执行TLS手持设备”。

我尝试使用openssl来检查https

robau@ubuntu:~$ openssl s_client -connect jira.mycompany.local:443
CONNECTED(00000005)

在CONNECTED之后，就没有输出了。

我能做些什么来调试出了什么问题？

Answer 1

如果某些ICMP Fragmentation needed消息被阻塞，那么您可能会遇到这个问题。SSL握手倾向于在连接早期使用大数据包，因此它们是煤矿中的金丝雀。关于IPsec管理费用的好文章：https://packetpushers.net/ipsec-bandwidth-overhead-using-aes/。IPv6流量为其ip报头使用额外的20个字节，并且还需要最小的MTU 1280，因此使用MTU 1000的隧道将不符合IPv6的要求。

Answer 2

正如Steffen在评论中提到的，这似乎是一个MTU问题。

我通过设置隧道后运行这个方法来解决这个问题：

 sudo ifconfig tun0 mtu 1000

我的隧道的默认设置是一个1400的MTU，与Windows用户的设置相比，我们看到他们使用的MTU为1240。

编辑

我发现MTU是通过从其他连接中得到最小MTU来计算的，并从中减去100。

参考资料：https://community.pulsesecure.net/t5/Pulse-Connect-Secure/Manually-Set-MTU-for-Network-Connect-Pulse/td-p/40593

更多信息：

然后，我发现了更多关于在较新版本和较旧版本中计算MTU的具体信息。

在早期的Pulse版本中，即在v5.2R2之前，虚拟适配器MTU是根据物理适配器MTU (主机的MTU )和PCS发送的MTU计算的。计算虚拟适配器MTU的公式基本上是: MIN (物理适配器MTU，来自PCS的MTU，TCP MSS值+ 40)。

https://docs.pulsesecure.net/WebHelp/PCS/9.0R3/AG/Content/PCS/PCS_AdminGuide_9.0R3/使用_这个_高级_Client.htm

我找不到其他的资源，所以如果任何人有更多的信息，这是非常欢迎！