【智慧墙】【VPN】DEBUG发现访问特定网站MSS值过低导致打不开

韩鑫斌发表于:2021年05月25日 11:37:31更新于:2021年08月12日 16:23:23

问题描述

PC (IP:202.120.142.168)通过防火墙访问外部网站dykt.yiban.cn(IP:112.65.235.31)打不开页面,在防火墙内外网口抓包发现服务器的ack包防火墙没有转发给PC。

抓包如下:

image.png

适用场景

通用

原因分析

经过debug dp flow,发现是服务器端回复数据时MSS Values 值过低,导致防火墙

进行了deny动作(防火墙内部MSS 不能低于 200 ,linux不能低于88)。

如下图:

image.png

解决办法

修改可转发MSS值最小值为64,重试后可以正常访问访dykt.yiban.cn。

更改方法如下:

(1).首先查看当前默认值:

NSG> show dp var || grep min_sack_mss

min_sack_mss                            :200  

(2).更改min_sack_mss 值:

NSG-config] set dp int min_sack_mss 64

(3).保存。

 NSG> save config


温馨提示:

   以上未能解答您的问题,请联系我们 4009-303-120;若偶遇线路繁忙,请选择在线咨询(电话QQ同号)