Échec de la connexion TLS sur les liens Hors-Cloud ou Alt-WAN

Problème

Une connexion TLS peut échouer lorsqu'elle transite par un lien Hors-Cloud ou Alt-WAN entre deux sites derrière des Sockets Cato. 

Environnement

• Connexion TLS entre deux sites Cato.
• Inspection TLS activée
• La règle de réseau que le trafic touche est en dessous d'une règle complexe (plus d'informations ci-dessous)

Dépannage

• Le proxy TCP sera appliqué lorsqu'une règle de réseau complexe existe au-dessus de la règle de réseau simple Hors-Cloud ou Alt-WAN comme expliqué dans Travailler avec des règles de réseau complexes
• Ci-dessous un exemple d'un scénario où une règle simple hors-cloud est placée en dessous d'une règle complexe. La règle est complexe parce qu'elle contient une application définie.

• Dans ce scénario, le Socket ne peut pas évaluer la règle de réseau sur le paquet SYN et l'envoie au PoP. Le proxy TCP complète uniquement le handshake TCP côté client (Site A), comme le montre le diagramme ci-dessous.

• Le profil de réseau est décidé sur le Socket de Site A, et il passe au transport hors-cloud. Après cela, le handshake SSL est initié, et le Socket A envoie le Client Hello sur le hors-cloud.

• Le Client Hello arrive au serveur, mais le serveur n'a même pas complété le handshake TCP avec le client. En conséquence, le serveur envoie un RESET au client, terminant ainsi la connexion.

• Le comportement ci-dessus peut être observé depuis le côté serveur en faisant une capture de paquets. Voir comment capturer le trafic sur un Socket

Solution

Comme mentionné dans Travailler avec du trafic hors-cloud, la solution consiste à déplacer la règle simple Hors-Cloud ou Alt-WAN au-dessus de toute règle complexe. En faisant cela, les Sockets peuvent évaluer la règle de réseau et diriger les paquets via Hors-Cloud ou Alt-WAN immédiatement.

Le PoP et le proxy TCP sont éliminés du chemin dans les deux directions. Les paquets sont envoyés directement entre les deux Sockets.

Alternativement, bien que cela ne soit pas recommandé, désactiver l'inspection TLS au niveau du compte peut résoudre le problème car cela désactivera l'application du proxy TCP.