특정 HTTPS 사이트에 연결할 수 없습니다

방금 새 아파트로 이사했고 라우터를 통해 인터넷에 연결했는데 SSL을 사용하는 일부 사이트에 연결할 수 없다는 것을 알게되었습니다.

예를 들어 PayPal에 연결하려는 경우 :

curl -v https://paypal.com
* About to connect() to paypal.com port 443 (#0)
*   Trying 66.211.169.3... connected
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* Unknown SSL protocol error in connection to paypal.com:443 
* Closing connection #0
curl: (35) Unknown SSL protocol error in connection to paypal.com:443 

curl -v -ssl https://paypal.com 동일한 출력을 제공합니다.

일부 사이트의 경우 다음과 같이 작동합니다.

curl -v https://www.google.com
* About to connect() to www.google.com port 443 (#0)
*   Trying 74.125.235.112... connected
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using ECDHE-RSA-RC4-SHA
* Server certificate:
*    subject: C=US; ST=California; L=Mountain View; O=Google Inc; CN=www.google.com
*    start date: 2011-10-26 00:00:00 GMT
*    expire date: 2013-09-30 23:59:59 GMT
*    common name: www.google.com (matched)
*    issuer: C=ZA; O=Thawte Consulting (Pty) Ltd.; CN=Thawte SGC CA
*    SSL certificate verify ok.
> GET / HTTP/1.1
> User-Agent: curl/7.22.0 (x86_64-pc-linux-gnu) libcurl/7.22.0 OpenSSL/1.0.1 zlib/1.2.3.4 libidn/1.23 librtmp/2.3
> Host: www.google.com
> Accept: */*
> 
< HTTP/1.1 302 Found
< Location: https://www.google.co.jp/
  .
  .
  .

Windows 7도 설치된 Ubuntu 12.04를 사용하고 있습니다. 이 사이트는 Windows에서 작동합니다 :(

이 정보가 도움이되는지 확실하지 않지만 실행 ifconfig하고 다음을 얻었습니다.

eth0      Link encap:Ethernet  HWaddr 1c:c1:de:bc:e2:4f  
          inet6 addr: 2408:c3:7fff:991:686b:8d18:81b3:8dd1/64 Scope:Global
          inet6 addr: 2408:c3:7fff:991:1ec1:deff:febc:e24f/64 Scope:Global
          inet6 addr: fe80::1ec1:deff:febc:e24f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:87075 errors:0 dropped:0 overruns:0 frame:0
          TX packets:54522 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:78167937 (78.1 MB)  TX bytes:10016891 (10.0 MB)
          Interrupt:46 Base address:0x4000 

eth1      Link encap:Ethernet  HWaddr ac:81:12:0d:93:80  
          inet6 addr: fe80::ae81:12ff:fe0d:9380/64 Scope:Link
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:498
          TX packets:0 errors:26 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Interrupt:17 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:630 errors:0 dropped:0 overruns:0 frame:0
          TX packets:630 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:39592 (39.5 KB)  TX bytes:39592 (39.5 KB)

ppp0      Link encap:Point-to-Point Protocol  
          inet addr:180.57.228.200  P-t-P:118.23.8.175  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:39631 errors:0 dropped:0 overruns:0 frame:0
          TX packets:22391 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:43462054 (43.4 MB)  TX bytes:2834628 (2.8 MB)

PING을 실행했습니다.

ping www.paypal.com
PING e6166.b.akamaiedge.net (184.31.66.234) 56(84) bytes of data.
64 bytes from a184-31-66-234.deploy.akamaitechnologies.com (184.31.66.234): icmp_req=1 ttl=54 time=15.3 ms
64 bytes from a184-31-66-234.deploy.akamaitechnologies.com (184.31.66.234): icmp_req=2 ttl=54 time=15.0 ms
64 bytes from a184-31-66-234.deploy.akamaitechnologies.com (184.31.66.234): icmp_req=3 ttl=54 time=15.2 ms
64 bytes from a184-31-66-234.deploy.akamaitechnologies.com (184.31.66.234): icmp_req=4 ttl=54 time=17.2 ms
64 bytes from a184-31-66-234.deploy.akamaitechnologies.com (184.31.66.234): icmp_req=5 ttl=54 time=16.6 ms
64 bytes from a184-31-66-234.deploy.akamaitechnologies.com (184.31.66.234): icmp_req=6 ttl=54 time=16.7 ms
64 bytes from a184-31-66-234.deploy.akamaitechnologies.com (184.31.66.234): icmp_req=7 ttl=54 time=14.8 ms
^C
--- e6166.b.akamaiedge.net ping statistics ---
7 packets transmitted, 7 received, 0% packet loss, time 6009ms
rtt min/avg/max/mdev = 14.878/15.890/17.214/0.901 ms

그리고 www없이 :

ping paypal.com
PING paypal.com (66.211.169.66) 56(84) bytes of data.
^C
--- paypal.com ping statistics ---
303 packets transmitted, 0 received, 100% packet loss, time 302265ms

경마장 :

traceroute www.paypal.com
traceroute to www.paypal.com (184.31.66.234), 30 hops max, 60 byte packets
 1  118.23.8.175 (118.23.8.175)  8.424 ms  8.404 ms  8.540 ms
 2  118.23.10.121 (118.23.10.121)  8.212 ms  8.189 ms  8.162 ms
 3  122.1.164.213 (122.1.164.213)  9.405 ms  11.359 ms  13.469 ms
 4  60.37.55.165 (60.37.55.165)  8.049 ms  8.072 ms  8.040 ms
 5  118.23.168.89 (118.23.168.89)  8.574 ms  8.549 ms  8.558 ms
 6  210.163.230.238 (210.163.230.238)  8.667 ms  7.605 ms  7.545 ms
 7  xe-4-0-0.a21.osakjp01.jp.ra.gin.ntt.net (61.213.169.218)  18.255 ms  18.232 ms xe-3-0-0.a21.osakjp01.jp.ra.gin.ntt.net (61.213.162.206)  19.042 ms
 8  * * *
 9  * * *
   .
   .
   .
29  * * *
30  * * *

www가없는 경우 :

traceroute paypal.com
traceroute to paypal.com (66.211.169.66), 30 hops max, 60 byte packets
 1  118.23.8.175 (118.23.8.175)  5.607 ms  5.674 ms  5.875 ms
 2  118.23.10.121 (118.23.10.121)  5.468 ms  5.453 ms  5.576 ms
 3  122.1.164.213 (122.1.164.213)  7.595 ms  10.062 ms  11.660 ms
 4  60.37.55.165 (60.37.55.165)  5.684 ms  5.660 ms  5.635 ms
 5  60.37.27.90 (60.37.27.90)  5.960 ms  5.924 ms  5.898 ms
 6  ae-11.r20.tokyjp01.jp.bb.gin.ntt.net (129.250.12.197)  86.468 ms  30.960 ms  30.899 ms
 7  as-1.r20.sttlwa01.us.bb.gin.ntt.net (129.250.4.189)  161.185 ms  144.343 ms  132.410 ms
 8  ae-1.r05.sttlwa01.us.bb.gin.ntt.net (129.250.5.47)  139.008 ms  127.377 ms  139.050 ms
 9  xe-0.sprint.sttlwa01.us.bb.gin.ntt.net (129.250.9.190)  116.006 ms  104.306 ms  115.954 ms
10  144.232.1.153 (144.232.1.153)  141.046 ms  129.870 ms  140.991 ms
11  sl-crs2-sj-0-5-2-0.sprintlink.net (144.232.18.204)  131.271 ms  131.248 ms  142.544 ms
12  sl-st31-sj-0-15-0-0.sprintlink.net (144.232.8.151)  129.543 ms  141.575 ms  141.066 ms
13  * * *
14  * * *
    .
    .
    .
29  * * *
30  * * *

tcpdump :

1   0.000000    114.178.88.59   66.211.169.66   TCP 76  37374 > https [SYN] Seq=0 Win=14520 Len=0 MSS=1452 SACK_PERM=1 TSval=68855 TSecr=0 WS=64
2   0.136291    66.211.169.66   114.178.88.59   TCP 80  https > 37374 [SYN, ACK] Seq=0 Ack=1 Win=4356 Len=0 MSS=1460 WS=1 TSval=3608913175 TSecr=68855 SACK_PERM=1
3   0.136322    114.178.88.59   66.211.169.66   TCP 68  37374 > https [ACK] Seq=1 Ack=1 Win=14528 Len=0 TSval=68889 TSecr=3608913175
4   0.137409    114.178.88.59   66.211.169.66   SSL 309 Client Hello
5   0.274446    66.211.169.66   114.178.88.59   SSL 95  [TCP Previous segment lost] Continuation Data
6   0.274469    114.178.88.59   66.211.169.66   TCP 80  [TCP Dup ACK 4#1] 37374 > https [ACK] Seq=242 Ack=1 Win=14528 Len=0 TSval=68923 TSecr=3608913175 SLE=2881 SRE=2908
7   7.117833    91.189.89.76    114.178.88.59   TLSv1   142 Application Data, Application Data
8   7.118823    114.178.88.59   91.189.89.76    TLSv1   216 Application Data, Application Data, Application Data, Application Data
9   7.393725    91.189.89.76    114.178.88.59   TCP 68  https > 41264 [ACK] Seq=75 Ack=149 Win=146 Len=0 TSval=875420654 TSecr=70634
10  60.301444   66.211.169.66   114.178.88.59   TCP 56  https > 37374 [RST, ACK] Seq=2908 Ack=242 Win=4597 Len=0

이것은 일본 ISP이며 모뎀 / 라우터에 케이블로 연결하는 경우에도 사용자 이름과 비밀번호를 추가해야하지만 Ubuntu의 "유선"연결을 사용하면 추가 할 수 없습니다. 내 집 동료가 OCN 연결을 만들라고했지만 그것이 네트워크 유형인지 아니면 일본 회사인지는 확실하지 않습니다 ... 그러나 그녀의 컴퓨터를보고 나서 우리는 그것이 PPPoE 연결이라는 것을 알았습니다. 인터넷 검색을 한 후 PPPoE 연결을 만들려면 DSL 연결을 만들어야하며 암호와 사용자 이름을 추가 할 수 있다는 것을 알게되었습니다. 또한 "유선"연결이 자동으로 연결되지 않도록 변경했습니다.

모뎀에 직접 연결하면 같은 문제가 발생합니다.

DSL MTU를 500, 1500, 1492 및 1482로 변경하려고 시도했지만 차이가 없었습니다.

또한 어떤 이유로 우분투가 항상 연결을 선택하지는 않지만 연결하기 위해 때로는 다시 시작해야합니다.

이것은 오래된 질문이지만 Google을 통해 여기에 오는 사람들에게는 도움이 될 것입니다. SSL의 조각화가 잘못되어 프로토콜이 중단되는 문제가 있습니다. PPPOE를 사용하는 경우 라우터 / DSL / 케이블 모뎀의 일반 MTU는 1492입니다. 너무 높아 조각화가 발생할 수 있습니다. 1476은 대부분의 사이트에서 사용할 수있는 마법의 숫자입니다. 일부 사이트는 다른 SSL 구현을 사용하므로 1480 또는 1488이 작동 할 수 있습니다. MOST 호환성을 위해 네트워크 장치 (라우터, 모뎀 등)의 WAN쪽에있는 MTU는 1476이어야합니다.

시도해 볼 몇 가지 사항은 다음과 같습니다.

1. 네트워크 카드 설정을 확인하십시오. eth 인터페이스 중 어느 것도 IPv4 주소를 표시하지 않습니다. IPv4가 켜져 있는지 확인하십시오 (IP를 갱신하기 위해 라우터와의 연결을 다시 설정해야 할 수도 있음). 그래도 문제가 해결되지 않으면 IPv6 지원을 끄고 차이가 있는지 확인하십시오. 시계로 네트워킹 아이콘을 마우스 오른쪽 버튼으로 클릭하고 (이더넷 연결시 화살표 쌍, 하나는 위, 아래는 아래로) "연결 편집 ..."을 선택하면됩니다. "IPv4 설정"탭에서 "자동 (DHCP)"으로 설정되어 있는지 확인하십시오. IPv6을 끄려면 해당 탭으로 이동하여 "무시"로 설정하십시오.

2. 다른 방법으로 사이트에 연결할 수 있는지 확인하십시오. ping연결할 수없는 사이트에 대해 어떤 반응이 있습니까? 어때요 traceroute(FYI를 사용하려면 traceroute를 설치해야 할 수도 있습니다)? 응답이 문제 해결에 도움이 될 수 있습니다. URL 서버에 접속할 수 없으면 DNS 문제 일 수 있습니다 (단, URL 서버에 접속할 수 있지만 삭제 된 경우 해당 명령이 차단 된 것일 수 있음).

3. 라우터를 우회하십시오. 라우터와 모뎀이 서로 다른 시스템 인 경우 컴퓨터를 모뎀에 직접 연결하여 변경 사항이 있는지 확인하십시오.

4. 모뎀과 라우터를 다시 시작하십시오. 때때로, 그들은 단지 빨아.

5. 컴퓨터를 다시 시작하십시오. 때때로, 그들은 단지 빨아.

6. 다른 컴퓨터를 사용해보십시오. 컴퓨터가 하나라도 있으면이 컴퓨터가 실패한 곳에서 다른 컴퓨터가 작동합니까? 그렇지 않은 경우 특정 컴퓨터에 문제가있을 수 있습니다.

7. 컴퓨터의 캐시, 쿠키 등을 지 웁니다. 때때로 잘못된 세션 쿠키, 캐시 등이 사이트 연결을 방해 할 수 있습니다 (Google에이 문제가있는 경우가 있습니다). 그것들을 지우고 신선하게 시작하고 당신이 얻는 것을보십시오.

8. VPN 연결을 끊습니다. 지점 간 프로토콜은 종종 VPN (PPP 인터페이스)에 사용되며 VPN은 사이트 연결을 방해 할 수 있습니다. 시계로 네트워크 아이콘을 마우스 오른쪽 버튼으로 클릭하고 "VPN 연결"항목을 찾은 후 목록이 선택되어 있지 않은지 확인하십시오 ( "VPN 연결"메뉴 항목이없는 경우 연결되어 있지 않은지 확인하십시오). t 하나 설정). 확인 된 것이 있으면 연결되어있는 것입니다.

기억하십시오 : 당신이 모든 것이 간단한 발생합니다 "직장이나 실패," 어떤 요청에 대한 서버의 반응의 변화는 우리에게 뭔가를 말할 것이다. 따라서 위의 방법 중 하나를 수행하고 새 메시지를 받으면 질문을 업데이트하는 것을 잊지 마십시오.

실제로이 동작을 두 번 보았으므로 다음 해결책을 찾았습니다.

• 로컬 네트워크의 일부 컴퓨터가 MITM (Man-in-the-Middle) 공격을 시도했습니다. 게이트웨이를 ARP 스푸핑하여 모든 트래픽을이 시스템을 통과하도록 리디렉션하여 요청 및 기타 불쾌한 것들을 수정했습니다. 컴퓨터가 Windows를 실행 중이고 일부 악성 코드에 감염된 것으로 나타났습니다. 이 시스템을 네트워크에서 물리적으로 분리하자마자 증상이 사라졌습니다.
• 귀하 또는 다른 게이트웨이 의 MTU 문제 . IPv4 게이트웨이에서 트래픽을 라우팅하는 네트워크의 프레임 크기가 동일하지 않으면 네트워크에서 IP 패킷을 조각화하고 다시 어셈블해야합니다. PPPoE / PPPoA를 사용하는 DSL 연결의 경우 MTU 크기는 일반적으로 LAN 쪽에서 1500 바이트보다 작습니다. 또한 사이에 라우터가 있으면 라우터에서 TCP MSS 클램핑 을 활성화 해야합니다. 나는 항상 내 이전 ISP의 연결이 설정하는 데 필요한, 그러나 그것은 단지 SSL 관련 문제보다 해결했다. 모뎀 / 라우터에 이러한 옵션이 있는지 확인하십시오. 이 문제를 해결 방법으로 고려하십시오.
• SSL 트래픽을 전달하기 위해 투명 프록시를 실행하는 네트워크 에 있었지만 어떤 이유로 TLSv1에서 실패했습니다. VPN 연결을 사용할 때 동일한 요청이 작동했습니다. 무서운 옵션으로
  실행 해보십시오 . 그것이 해결되면 악취가 난다.curl--sslv3

시도해야 할 일반적인 사항 :

• 모뎀 / 라우터에서 최신 펌웨어를 실행하고 있는지 확인하십시오. 그렇지 않은 경우 업그레이드를 시도하십시오.

• tcpdump또는 Whireshark를 사용하여 트래픽을 캡처하고 분석하십시오 (예 : 여기에 게시).

    # 1. start the dump
  $ sudo tcpdump -w httpstrafficdump.pcap -i eth0 -s 0 port 443
    # 2. open a new terminal window and do your HTTPS request there (curl/browser)
    # 3. end tcpdump (Ctrl+C)
    # 4. open the file in wireshark
  $ wireshark httpstrafficdump.pcap
  

  당신이 얻는 경우 재 조립 오류 또는 손실 이전 세그먼트 반복을, 이것은 잘못된 MTU 크기로 인한 패킷 손실에 대한 명확한 기호입니다.
  그러나 HTTPS 트래픽은 암호화되어 네트워크 트래픽 자체에서 분석하기가 어렵습니다.

편집하다:

tcpdump에서 SSL 문제의 근원은 분명 TCP Previous segment lost합니다. 일반적인 네트워킹 문제 해결이 여기에 적용되어야하지만 로컬 네트워크 범위를 벗어나거나 ISP에 문제가있을 수 있습니다.

안녕하세요, 이탈리아 출신의 marcovaleriof입니다. 최근에 여러분과 비슷한 문제가있었습니다. 모든 Linux 컴퓨터는 더 이상 https 웹 사이트에 연결할 수 없지만 Android 또는 Windows 장치에는 문제가 없었습니다. 문제는 길이가 1492mtu 인 DSL 라우터와 IS 1500 인 기본 Linux mtu 사이의 MTU 분리로 인해 발생했습니다. 사실이 명령을 루트로 실행하는 것은 사실상

ifconfig wlan0 mtu 1492 up

(영어로 설정하면 net 인터페이스의 mtu 값-내 경우 wlan0-1492 길이)이 문제를 제거했습니다. 감사합니다! 이것이 누군가를 도울 수 있기를 바랍니다.

모든 도움을 주셔서 감사합니다. 문제가 마침내 해결되었습니다!

MTU가 MTU를 제한 pppoeconf하기 때문에 PPPoE 연결을 설정하는 데 도움이되고 결국 MTU를 제한하려고했습니다 . 그런 다음 이전에 사용한 DSL 연결을 비활성화했습니다.

비슷한 문제가 발생하는 사람은 입력 sudo ppoeconf하고 지침 을 따라이 솔루션을 사용해보십시오 . 그런 다음 연결 pon adsl-provider하고 연결을 끊을 수 있습니다poff