天窗外链无法访问排查点总结:1、检查外链是否被脚本改造成功,如xxx--xxx--xx.proxy.xy.com
2、检查外链解析的IP是否为天窗虚拟服务的IPv6地址,telnet解析的IPv6地址端口是否通
3、AD抓客户端外链请求是否收到,AD wget去访问真实外链网站是否正常(要注意wget一下大网站的时候,可能解析到IPv6地址,AD wget会导致走IPv6链路访问,这样是无法判断AD从IPv4链路去访问真实外链是否正常,直接抓网站IPv4地址即可),AD部署在内网,可能从IPv4去访问外链时候,被安全设备拦截,没有放通上互联网。
4、后端不发包,后台wget正常,检查是否开启DNS代理,DNS代理必须配置。
5、主站和外链都为https,外链使用的SSL卸载策略有SNI填写,SSL握手导致无法下发服务器证书,前端握手有问题。
解决方案:正确配置两个SSL卸载策略,主站SSL卸载策略必须配置SNI,外链SSL卸载策略不配置SNI,外链*.proxy才能匹配到不配置SNI兜底的证书。
②外链的SSL卸载策略,不能填写SNI标识,留空即可
③虚拟服务关联两个SSL卸载策略位置需要注意,主站是有SNI标识的卸载策略放第一个,外链的卸载策略放最后,多个卸载策略关联时候,遵循从上往下匹配原则
建议使用Chrome浏览器访问!