1.客户端和vpn同步抓包看是客户端没收到服务器返回的serverhello，vpn收到了serverhello，没有向客户端转发
2.vpn收到的serverhello报文长度是1515，Tun口默认mtu是1400，判断是超过了Tun口mtu导致的
3.大部分用户通过vpn访问都是正常的，对比正常用户抓包，正常用户收到的serverhello大小是1414
4.异常用户发出的tcp-syn中的mss是1460，正常用户发出的tcp-syn的mss是1360

5.通过netsh interface ipv4 show subinterfaces此指令，发现虚拟网卡的MTU值变成1500了，正常的值是1400

6.修改虚拟网卡的MTU值，将MTU改为1400。指令为netsh interface ipv4 set subinterface "需修改的连接名" mtu=你得出的合理值 store=persistent。修改后可以正常访问资源。

此案例是客户端的解决方案，适用于单个客户端出现的问题，客户不愿变更VPN设备的场景。

另有VPN设备的解决方案，适用全体用户。https://support.sangfor.com.cn/cases/list?product_id=20&type=1&category_id=4821&isOpen=true