TLS 연결 실패 오프 클라우드 또는 Alt-WAN 링크

문제

TLS 연결은 두 사이트 뒤 Cato 소켓 간에 오프 클라우드 또는 Alt-WAN 링크를 통해 이동할 때 실패할 수 있습니다． 

환경

• 두 사이트 사이에 TLS 연결．
• TLS 검사 활성화됨
• 트래픽이 도달하는 네트워크 규칙은 복잡한 규칙 아래에 있습니다 (자세한 정보는 아래 참조)

문제 해결

• 복잡한 네트워크 규칙 작업에 설명된대로 간단한 오프 클라우드 또는 Alt-WAN 네트워크 규칙 위에 복잡한 네트워크 규칙이 있을 때 TCP Proxy가 강제 적용됩니다
• 아래는 단순 오프 클라우드 규칙이 복잡한 규칙 아래에 배치된 시나리오의 예시입니다． 이 규칙은 정의된 애플리케이션을 포함하고 있기 때문에 복잡합니다．

• 이 시나리오에서 소켓은 SYN 패킷에서 네트워크 규칙을 평가할 수 없고 이를 PoP에 전송합니다． TCP 프록시는 아래 다이어그램에 표시된 것처럼 클라이언트 측 (사이트 A)에서만 TCP 핸드셰이크를 완료합니다.

• 네트워크 프로필은 사이트 A 소켓에서 결정되며 오프 클라우드 전송으로 전환됩니다． 그 후, SSL 핸드셰이크가 시작되고 소켓 A는 오프 클라우드로 클라이언트 헬로를 보냅니다．

• 클라이언트 헬로는 서버에 도착하지만, 서버는 클라이언트와의 TCP 핸드셰이크를 완전히 완료하지 않았습니다． 결과적으로 서버가 클라이언트에 리셋을 보내 연결을 종료했습니다．

• 위의 동작은 서버 측에서 패킷 캡처를 실행하여 확인할 수 있습니다． 소켓에서 트래픽을 캡처하는 방법 확인하기

해결책

오프 클라우드 트래픽 작업에서 언급된 대로 해결책은 단순 오프 클라우드 또는 Alt-WAN 규칙을 모든 복잡한 규칙 위로 이동하는 것입니다． 이렇게 하면 소켓이네트워크 규칙을 평가하고 오프 클라우드 또는 Alt-WAN을 통해 패킷을 즉시 라우팅할 수 있습니다.

PoP와 TCP 프록시는 양방향에서 경로에서 제거됩니다． 패킷은 양쪽 소켓 간에 직접 전송됩니다．

또는 권장하지는 않지만, 계정 수준에서 TLS 검사를 비활성화하면 TCP 프록시 강제 적용을 비활성화하여 문제를 해결할 수 있습니다．