Amazon web services 与AWS全球加速器的TLS连接问题

我有一个工作负载平衡器（澳大利亚悉尼）/全球加速器设置，但是，中美洲地区（特别是萨尔瓦多和哥斯达黎加）的客户通过AWS全球加速器使用此设置时，我遇到了一些问题

对于我自己（澳大利亚悉尼）和美国的其他用户来说，通过全球加速器连接没有问题

我使用的客户机非常环保，执行大量命令行脚本并不舒服。从我对他们的测试来看，似乎TLS握手中出现了一些问题

这是一个不工作的全局加速器旋度

curl -Ikv https://GAIP1
* Rebuilt URL to: https://GAIP1/ 
*   Trying GAIP1...
* TCP_NODELAY set
* Connected to GAIP1 (GAIP1) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/cert.pem
  CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1):

* LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to GAIP1:443 
* stopped the pause stream!
* Closing connection 0
curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to GAIP1:443 

curl -Ikv https://GAIP2 
* Rebuilt URL to: https://GAIP2/ 
*   Trying GAIP2...
* TCP_NODELAY set
* Connected to GAIP2 (GAIP2) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/cert.pem
  CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to GAIP2:443 
* stopped the pause stream!
* Closing connection 0
curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to GAIP2:443 

这是一个工作负载平衡器

curl -Ikv https://loadbalancer.dns.name 
* Rebuilt URL to: https://loadbalancer.dns.name/ 
*   Trying ALBIP1...
* TCP_NODELAY set
* Connected to loadbalancer.dns.name (ALBIP1) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/cert.pem
  CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use h2
* Server certificate:
*  subject: CN=valid.domain
*  start date: Apr  9 00:00:00 2020 GMT
*  expire date: May  9 12:00:00 2021 GMT
*  issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon
*  SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x7fbdd4004800)
> HEAD / HTTP/2
> Host: loadbalancer.dns.name
> User-Agent: curl/7.54.0
> Accept: */*
> 
* Connection state changed (MAX_CONCURRENT_STREAMS updated)!
< HTTP/2 302 
HTTP/2 302 
< date: Tue, 12 May 2020 23:36:34 GMT
date: Tue, 12 May 2020 23:36:34 GMT
< content-type: text/html; charset=utf-8
content-type: text/html; charset=utf-8
< content-length: 200
content-length: 200
< location: http://loadbalancer.dns.name/Error?aspxerrorpath=/ 
location: http://loadbalancer.dns.name/Error?aspxerrorpath=/ 
< set-cookie: AWSALB=####; Expires=Tue, 19 May 2020 23:36:34 GMT; Path=/
set-cookie: AWSALB=####; Expires=Tue, 19 May 2020 23:36:34 GMT; Path=/
< set-cookie: AWSALBCORS=####; Expires=Tue, 19 May 2020 23:36:34 GMT; Path=/; SameSite=None; Secure
set-cookie: AWSALBCORS=####; Expires=Tue, 19 May 2020 23:36:34 GMT; Path=/; SameSite=None; Secure
< server: Microsoft-IIS/8.0
server: Microsoft-IIS/8.0
< x-powered-by: ASP.NET
x-powered-by: ASP.NET
< p3p: CP="NO COMPACT POLICY DEFINED"
p3p: CP="NO COMPACT POLICY DEFINED"
< x-frame-options: SAMEORIGIN
x-frame-options: SAMEORIGIN

< 
* Connection #0 to host loadbalancer.dns.name left intact

curl-Ikvhttps://loadbalancer.dns.name 
*重新生成的URL到：https://loadbalancer.dns.name/ 
*正在尝试。。。
*TCP_节点集
*已连接到loadbalancer.dns.name（ALBIP1）端口443（#0）
*阿尔卑斯山，提供h2
*ALPN，提供http/1.1
*密码选择：全部：！出口：！出口40:！出口56:！阿努尔：！低：！RC4:@强度
*已成功设置证书验证位置：
*CAfile:/etc/ssl/cert.pem
卡帕斯：没有
*TLSv1.2（输出），TLS握手，客户端问候（1）：
*TLSv1.2（IN）、TLS握手、服务器hello（2）：
*TLSv1.2（IN），TLS握手，证书（11）：
*TLSv1.2（IN）、TLS握手、服务器密钥交换（12）：
*TLSv1.2（IN），TLS握手，服务器完成（14）：
*TLSv1.2（输出）、TLS握手、客户端密钥交换（16）：
*TLSv1.2（OUT），TLS更改密码，客户端hello（1）：
*TLSv1.2（输出），TLS握手，完成（20）：
*TLSv1.2（IN），TLS更改密码，客户端hello（1）：
*TLSv1.2（IN），TLS握手，完成（20）：
*使用TLSv1.2/ECDHE-RSA-AES128-GCM-SHA256的SSL连接
*ALPN，服务器接受使用h2
*服务器证书：
*主题：CN=valid.domain
*开始日期：2020年4月9日00:00:00 GMT
*到期日期：格林威治时间2021年5月9日12:00:00
*发行人：C=美国；O=亚马逊；OU=服务器CA 1B；CN=亚马逊
*SSL证书验证正常。
*使用HTTP2，服务器支持多用途
*连接状态已更改（HTTP/2已确认）
*升级后正在将流缓冲区中的HTTP/2数据复制到连接缓冲区：len=0
*使用流ID:1（易处理0x7fbdd4004800）
>HEAD/HTTP/2
>主机：loadbalancer.dns.name
>用户代理：curl/7.54.0
>接受：*/*
> 
*连接状态已更改（最大并发流已更新）！

我曾尝试与AWS支持人员合作，但是，他们要求我运行一些UTIL，我的客户没有/已经表示他们已超出其conform区域，无法运行任何进一步的命令，因此我现在有点不知道问题可能是什么，以及我应该如何继续

以下是AWS支持人员希望客户端运行的内容

1） 运行tcp数据包时使用HTTP和HTTPs进行curl输出 同时捕获。运行tcp数据包非常重要 首先捕获，然后执行测试： 旋度-Ikv

旋度-Ikv

旋度-Ikv

旋度-Ikv

要捕获数据包，请运行以下命令： sudo tcpdump-n-vvv-s 65535-i任意-w GA.pcap

2） 您能否提供这些命令的输出：
hping3-S-C50-P443-V GAIP1

hping3-S-C50-P443-V GAIP2

提前谢谢你的帮助

--编辑 将危地马拉列入受影响国家名单

受影响国家/地区名单 萨尔瓦多 哥斯达黎加 危地马拉

---

这个问题也发生在我身上。客户端无法完成tls握手。