Fallo de Conexión TLS sobre Enlaces Fuera de la Nube o Alt-WAN

Problema

Una conexión TLS puede fallar cuando se utiliza un enlace Fuera de la Nube o Alt-WAN entre dos sitios detrás de Sockets de Cato. 

Entorno

• Conexión TLS entre dos sitios de Cato.
• Inspección TLS está Habilitada
• La regla de red que el tráfico impacta está debajo de una regla compleja (más información abajo)

Resolución de Problemas

• El proxy TCP se aplicará cuando exista una regla de red compleja por encima de la regla de red simple Fuera de la Nube o Alt-WAN como se explica en Trabajando con Reglas de Red Complejas
• A continuación se muestra un ejemplo de un escenario donde una regla simple fuera de la nube se coloca debajo de una regla compleja. La regla es compleja porque contiene una Aplicación definida.

• En este escenario, el Socket no puede evaluar la regla de red en el paquete SYN y lo envía al PoP. El proxy TCP completa el apretón de manos TCP solo del lado del cliente (Sitio A), como se muestra en el diagrama a continuación.

• El perfil de red se decide en el Socket del Sitio A, y cambia al transporte fuera de la nube. Después de esto, se inicia el apretón de manos SSL, y el Socket A envía el Client Hello sobre el fuera de la nube.

• El Client Hello llega al servidor, pero el servidor ni siquiera ha completado el apretón de manos TCP con el cliente. Como resultado, el servidor envía un RESET al cliente, terminando la conexión.

• El comportamiento anterior se puede ver desde el lado del servidor ejecutando una captura de paquetes. Consulte Cómo Capturar Tráfico en un Socket

Solución

Como se menciona en Trabajando con Tráfico Fuera de la Nube, la solución es mover la regla simple Fuera de la Nube o Alt-WAN por encima de cualquier regla compleja. Al hacer esto, los sockets pueden evaluar la regla de red y enrutar paquetes sobre Fuera de la Nube o Alt-WAN de inmediato.

El PoP y el proxy TCP se eliminan del camino en ambas direcciones. Los paquetes se envían directamente entre ambos Sockets.

Alternativamente, aunque no se recomienda, deshabilitar la inspección TLS a nivel de cuenta puede resolver el problema, ya que desactivará la aplicación del proxy TCP.