В настоящее время я пытаюсь устранить проблему, из-за которой некоторые пользователи систем Windows 7 и XP не могут получить доступ к веб-сайту SSL в нашей сети. Один и тот же сайт отлично работает на наших серверах (Server 2003, полностью обновленный, и сервер Ubuntu) и на всех наших машинах OSX. Наш шлюз - это машина, на которой работает ISA 2003, которая предоставляет сети сервисы межсетевого экрана и NAT.
До сих пор я сузил его до проблемы с MTU - когда я устанавливаю для окна Windows 7 значение MTU 1100 (например), сайт работает нормально, но когда я снова меняю MTU до 1500, сайт отказывается загружаться. При выполнении «ping-теста» с параметром «Не фрагментировать» и указанием определенного размера можно определить MTU, но он также менялся несколько раз за последние несколько часов ...
На сетевом уровне, когда сайт отказывается загружать, удаленный сервер отправляет сброс TCP сразу после (или очень близко к концу) подтверждения SSL.
Есть ли способ принудительно установить MTU для определенного IP-адреса? В качестве альтернативы, есть ли какое-либо объяснение такого поведения (возможно, метод проверки автоматического определения MTU пути работает)?
это удаленный сайт? Использует ли он VPN-туннель между сайтами? Во многих туннелях vpn вам нужно изменить MTU, так как накладные расходы туннельных пакетов. Я видел похожие проблемы, когда на сайтах есть туннель GRE или IPSEC. Фактически, мы даже не знали, что он был там, но, по-видимому, офис использовал 2 разных этажа в здании, разделенных дюжиной других, и здание не позволяло им запускать свою собственную сеть, они должны были использовать здания "общественные", поэтому кто-то в сети установил туннель между двумя маршрутизаторами.