当前位置: 首页>>其他好文>>正文


“阿里云ECS香港服务器HTTPS无法访问”问题追查记录

qingchuan 其他好文 , 去评论

1. 问题反馈:香港服务器HTTPS(443端口)被联通(或其他)网络拦截阻断无法访问!

HTTPS 无法访问

2. 阿里工程师接单,接单还比较快。开始处理问题后,他测试发现他那边的网络可以访问。

HTTPS 无法访问

3. 继续反馈北京这边访问https的443端口确实有问题。

HTTPS 无法访问

4. 阿里工程师认为:“我这边也是北京地区,但是同样是移动访问您访问器所走的网络链路可能不同的”, 建议我尝试SLB,然后,给出了SLB的连接地址:https://help.aliyun.com/document_detail/27551.html

HTTPS 无法访问

5. 阅读SLB的帮助文档发现,SLB即阿里的负载均衡服务。这是要钱的,相当于再买个公网IP加流量,这有推销嫌疑啊。遂果断拒绝:“我看了下,这种方式相当于是付费买个新的公网IP及流量。这中方式就算能行也不能接受啊,我之前买的ECS服务器,本身就有公网IP和流量了。我只是要解决个问题,你这不是让额外消费吗?!!”。
然后阿里工程师又建议使用多个命令收集更多信息帮助定位问题,如: ping/curl/telnet。

HTTPS 无法访问

6. 按照阿里工程师的要求,依次执行了ping/curl/telnent/wget等多个命令。其中ping正常,curl/telnet/wget均无法正常建立http连接。


#curl报错
curl: (35) Server aborted the SSL handshake
#wget报错
Unable to establish SSL connection. 

HTTPS 无法访问

7. https连接看起来肯定是有问题的,简单命令的报错不知所云,所以阿里工程师又建议使用更高级的tcpdump工具抓包来辅助定位问题。而且给了抓包帮助文档的地址:点击这里


#使用了以下命令抓取连接包:
 tcpdump -s 0 -i eth1 -vvv port 443

HTTPS 无法访问

8. 可能阿里工程师有自己偏好的数据包格式,所以又让给tcpdump增加-w data.cap参数重新抓包,照做如下:


wget https://ubuntuqa.com -S
--2018-09-07 15:58:44--  https://ubuntuqa.com/
Resolving ubuntuqa.com... 47.89.40.111
Connecting to ubuntuqa.com|47.89.40.111|:443... connected.
Unable to establish SSL connection.
服务器:
tcpdump -s 0 -i eth1 -vvv port 443 -w data.cap
抓包见附件。  附件
#注, 附件上传先压缩成zip, 因为阿里系统目前不支持cap后缀格式。

HTTPS 无法访问

9. 经过耐心等待,阿里工程师终于反馈了不算解决方案的解决方案:


 您好,这边分析抓包看到443端口在数据回包时存在无法传输成功的,情况如截图。有多次retransmission 重传的情况,这个现象应该是受跨境网络限制或者有相关阻断了。
目前从大陆内地访问香港及海外地域实例,是经过运营商国际路由节点,会受到到国际链路拥塞,以及运营商出境路由限制,导致网络链路不稳定或者异常,部分地区客户端无法正常访问某些网站。
公网链路情况,我们确实也无法控制,此问题已经反馈给运营商,但影响因素较多,没有较好效果。如果您的用户主要是面对国内,建议优先使用国内服务器站点,避免公网绕行限制。
如确实需要在香港地域使用,只能建议您优先使用http协议了。

HTTPS 无法访问

注:本文来自网络投稿,如果所使用的信息侵犯了您的权益,请联系我们,我们将第一时间配合处理。

本文由《纯净的天空》出品。文章地址: https://vimsky.com/article/3896.html,未经允许,请勿转载。