共计 849 个字符,预计需要花费 3 分钟才能阅读完成。
今天早上起来发现公司 AnyConnect VPN 连不上了,到公司一看发现 LE 签发 SSL 证书没过期。
于是在另一条线路上抓包连接测试了一下:
11:17:40.133546 IP client.32834 > anyconnect.23333: Flags [S], seq 2506707736, win 64240, options [mss 1460,sackOK,TS val 1070019589 ecr 0,nop,wscale 7], length 0
11:17:40.149812 IP anyconnect.23333 > client.32834: Flags [S.], seq 3447629566, ack 2506707737, win 65160, options [mss 1460,sackOK,TS val 1648754051 ecr 1070019589,nop,wscale 6], length 0
11:17:40.149862 IP client.32834 > anyconnect.23333: Flags [.], ack 1, win 502, options [nop,nop,TS val 1070019605 ecr 1648754051], length 0
11:17:40.346911 IP client.32834 > anyconnect.23333: Flags [P.], seq 1:518, ack 1, win 502, options [nop,nop,TS val 1070019802 ecr 1648754051], length 517
11:17:40.356083 IP anyconnect.23333 > client.32834: Flags [R], seq 3447629567, win 65535, length 0
在 ASA 上同样看到了 connect refused 的日志记录,RST 包来源于 client。由此可知有中间设备检测到 TLS 后向两侧发送了 RST 报文。
然后我用了几个肯定是备过案的域名作为 SNI 连接,结果是可以正常连接上。那目前就可以确定成都企宽也开始封未备案域名 SNI 了……
正文完
