网络拓扑：

                  InWall Internet
                          |
                          | 
     ikev2 客户端-------路由器-----openvpn mtu1400-----VPS-------OutWall Internet
                          |
                          |
                     ikev2服务器

故障现象：
ios的ikev2客户端打开境内外网站正常
windows的ikev2客户端境内网站正常，不能打开境外https网站，境外http网站大部分资源加载不全

排查：
windows连接vpn后，使用ipip.net查看出口公网ip，发现已经是ikev2 vpn服务器出口ip，ping 境外ip是通的，telnet检查443端口是通，curl测试发现卡在证书协商
据此基本可以确定是mtu引起的问题，使用命令ping -l 1370 -f 境外网址，不断调整包大小，发现最大mtu是1370

解决办法：
连接vpn后，使用命令
netsh interface ipv4 set subinterface “vpn名称” mtu=1350 store=persistent
修改windows ikev2 虚拟网卡mtu为1350
问题解决

总结：
一开始使用的是ios的ikev2客户端，都没有出现问题，查找资料发现苹果系的ikev2客户端默认mtu是1280，苹果选择这个mtu大小还有一个原因是ipv6的最小包大小是1280
ikev2服务器strongswan应该是可以设置mtu的，后续更新。

附：
strongSwan Android client: MTU 1400
MacOS / iOS built-in IPsec client: MTU 1280
Windows built-in IPsec client: MTU 1400
Cisco VPN client: MTU 1300