TLS接続の失敗オフクラウドまたはAlt-WANリンクで

問題

TLS接続は、Catoソケットの背後にある2つのサイト間でオフクラウドまたはAlt-WANリンクを経由する場合、失敗する可能性があります。 

環境

• 2つのCatoサイト間のTLS接続。
• TLSインスペクションが有効
• トラフィックがヒット数するネットワークルールは、下記の(複雑なルール)の下にあります。

トラブルシューティング

• 複雑なネットワークルールの詳細に説明されているように、単純なオフクラウドまたはAlt-WANネットワークルールの上に複雑なネットワークルールが存在する場合、TCPプロキシが強制されます。
• 以下に、単純なオフクラウドルールが複雑なルールの下に配置されるシナリオの例を示します。 このルールは定義済みのアプリケーションを含むため、複雑です。

• このシナリオでは、ソケットはSYNパケット上のネットワークルールを評価できず、PoPに送信します。 TCPプロキシは、下記の図に示すように、クライアント側 (サイトA) のみでTCPハンドシェイクを完了します。

• ネットワークプロファイルはサイトAのソケットで決定され、オフクラウドトランスポートに切り替わります。 これに続いてSSLハンドシェイクが開始され、ソケットAはオフクラウド経由でクライアントヘローを送信します。

• クライアントヘローがサーバーに到達しますが、サーバーはクライアントとのTCPハンドシェイクを完了していません。 その結果、サーバーはクライアントにRESETを送信し、接続を終了しました。

• 上記の動作は、サーバー側でパケットキャプチャを実行することで確認できます。 ソケットでのトラフィックのキャプチャ方法を見る

解決策

オフクラウドトラフィックの詳細で説明されているように、解決策は簡単なオフクラウドまたはAlt-WANルールを複雑なルールの上に移動することです。 これを行うと、ソケットはネットワークルールを評価し、オフクラウドまたはAlt-WANを経由してパケットを即座にルーティングできます。

PoPとTCPプロキシは、両方向の経路から除去されます。 パケットは両方のソケット間で直接送信されます。

あるいは、推奨されませんが、アカウントレベルでTLSインスペクションを無効にすることで問題を解決できます。これにより、TCPプロキシの施行が無効になります。