由于缺少服务器问候，访问某些 https 网站失败。

• Palo Alto 防火墙
• 支持的 PAN OS
• 防火墙后面的客户端访问 https 网站

• 在TLS协商期间，PC 未收到服务器 hello。
• 可能存在 MTU 问题。

1. 应用具有源和目标的过滤器来捕获流量并查看计数器。
2. 运行“ show counter global filter packet-filter yes delta yes ”命令两次。这将清除旧的计数器值。
3. 尝试使用“https:// “。
4. 重新运行“ show counter global filter packet-filter yes delta yes ”命令并检查下面列出的 MTU 计数器。

:flow_fwd_mtu_exceeded   7   0 info      flow   forward   Packets lengths exceeded MTU
:flow_fwd_ip_df          5   0 drop      flow   forward   Packets dropped: exceeded MTU but DF bit present

5. 检查捕获的pcap以查看处于“丢弃”阶段的数据包，这将显示丢弃的数据包。丢弃阶段的服务器问候将确认由于 MTU 问题导致的数据包丢弃。
6. 如果防火墙有上面提到的计数器并且服务器 hello 处于“丢弃”阶段：?????

• 检查流量通过的防火墙接口，并确认在那里配置的 MTU 与TCP握手期间 MSS 协商的 MTU 相同。

7. 如果计数器未显示任何 MTU 问题且任何阶段的pcap均未显示服务器 hello：

• 问题不在于防火墙。
• 检查补丁中的其他设备，以确认路径中的其他设备是否发生掉线。
• 一种可能性是防火墙（IPSEC 或 GRE）或任何其他设备之后的隧道的MTU 小于TCP握手期间协商的 MSS。

8. 如果问题出在防火墙上，且需要帮助进行故障排除，请使用上述详细信息打开支持案例。

• 如何验证 MTU 是否超出
• IPSEC 流量的TCP MSS 调整
• 入门：数据包捕获