成都移动企宽开始封未备案域名 SNI 了

今天早上起来发现公司 AnyConnect VPN 连不上了，到公司一看发现 LE 签发 SSL 证书没过期。

于是在另一条线路上抓包连接测试了一下：

11:17:40.133546 IP client.32834 > anyconnect.23333: Flags [S], seq 2506707736, win 64240, options [mss 1460,sackOK,TS val 1070019589 ecr 0,nop,wscale 7], length 0
11:17:40.149812 IP anyconnect.23333 > client.32834: Flags [S.], seq 3447629566, ack 2506707737, win 65160, options [mss 1460,sackOK,TS val 1648754051 ecr 1070019589,nop,wscale 6], length 0
11:17:40.149862 IP client.32834 > anyconnect.23333: Flags [.], ack 1, win 502, options [nop,nop,TS val 1070019605 ecr 1648754051], length 0
11:17:40.346911 IP client.32834 > anyconnect.23333: Flags [P.], seq 1:518, ack 1, win 502, options [nop,nop,TS val 1070019802 ecr 1648754051], length 517
11:17:40.356083 IP anyconnect.23333 > client.32834: Flags [R], seq 3447629567, win 65535, length 0

在 ASA 上同样看到了 connect refused 的日志记录，RST 包来源于 client 。由此可知有中间设备检测到 TLS 后向两侧发送了 RST 报文。

然后我用了几个肯定是备过案的域名作为 SNI 连接，结果是可以正常连接上。那目前就可以确定成都企宽也开始封未备案域名 SNI 了……

nivalxer

62 天前

域名备案。同成都移动企业专线。前段时间因为我们有一个域名没有做备案，阻断了我们的所有入站端口，关键我们有一些端口业务，最后移动客户经理排查了几天才告知我们原因。按他们说法，域名+接入备案都要做。所以我们老老实实做了备案，提交了解封申请后才解封，前后花了大概 1 个月时间。

nivalxer

62 天前

@OLOrz 按照要求，域名做完备案了，在哪里接入，还需要接入商再新增接入备案才合法。一个域名下允许多个接入备案，即部分云商，部分运营商这样。用了几个接入按道理都要备。只不过目前云商一般只查备案，移动比较神经，要查接入。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1031577