Сайт не открывается. TLS. В чем проблема?

Question

[Талян]

Сайт https://hosting.wialon.com
Открывается через любого провайдера.

Через нас почему-то неимоверно долго идет TLS рукопожатие, а затем с вероятностью 99% сайт сбросит соединение.
Мы берем BGP у билайна, при этом с билайновского интернета на том же компьютере сайт открывается нормально.

По хттп сайт так же не открывается, так как видимо в контенте есть ссылки на https.

Сайт открываю для примера с теле2, и с нас.
Вот два скриншота выполнения команды
openssl s_client -connect hosting.wialon.com:443
В консоли это выглядит одинаково, просто после ответа "CONNECTED(00000003)" ничего не происходит секунд 30, потом вываливается сертификат.
Через теле2 сертификат прилетает сразу же.
В консоли:

openssl s_client -connect hosting.wialon.com:443 через нас

https://pastebin.com/cJVeEx1Z

openssl s_client -connect hosting.wialon.com:443 через теле2

https://pastebin.com/ifegrSta

в вайршарке:

Мы:

Tele2:

Дампы с вайршарка:

Мы:

https://yadi.sk/d/XLhlZVcZRGdKUw

Теле2:

https://yadi.sk/d/en4aWQjNu1Zm1A

Я ума не приложу куда копать.
В чем может быть загвоздка, если при схеме
Билайн-BGP-Мы
У билайна сайт открывается, у нас - нет.

Может ли быть наложено какое-то ограничение со стороны хостинга на подсеть наших внешних адресов?

Проблема проявляется у всех наших абонентов.

Comments

[NewDevLab]

может кто-то где-то подменяет сертификат? не взлом, но вот антивирусы так делают.

[Талян]

NewDevLab, какие антивирусы)) я напрямую к ядру подключен внутри офиса провайдера, у меня линукс без всяких ативирусов)

Answer 1

[Valentin Barbolin]

Судя из дампа, до сервера не доходят пакеты или сервер отбрасывает ваш пакет. Возможно пакет дробиться, TLS не любит фрагментацию.
Сравните MTU на своем провайдере и на теле2.

https://help.keenetic.com/hc/ru/articles/214470885...

https://networkdirection.net/https-fragmentation-a...

Данные, подлежащие отправке, на уровне TCP представляются потоком байт, где каждый байт последовательно пронумерован. TCP делит поток на части — сегменты — и передает их на более низкий (сетевой) уровень для отправки получателю. В заголовке сегмента указывается его номер (Sequence number, Seq) — номер первого байта сегмента в общем потоке.
Получатель принимает сегменты и собирает из них исходный непрерывный поток байт, отправляет подтверждения.
В заголовке указывает номер подтверждения (Acknowledgment number, Ack) — порядковый номер следующего сегмента, ожидаемого от отправителя. Значение Ack означает, что вся непрерывная последовательность байт с первого до Ack-1 приняты успешно. Согласно спецификации, подтверждение для каждого сегмента не требуется. Одно подтверждение может отправляться сразу на несколько полученных сегментов.

Comments

[Талян]

Блин) предыдущий коммент для вас написал в секцию ответов случайно)
Вчера не успел отписаться. В общем проблема решилась сама. Мы просто ничего не делали, и вдруг сайт заработал.