Problema
Uma conexão TLS pode falhar ao passar por um link Fora da Nuvem ou Alt-WAN entre dois sites atrás de Sockets Cato.
Ambiente
- Conexão TLS entre dois sites Cato.
- Inspeção TLS Ativada
- A regra de rede que o tráfego acerta está abaixo de uma regra complexa (mais informações abaixo)
Solução de Problemas
- O proxy TCP será aplicado quando uma regra de rede complexa existir acima da regra de rede simples Fora da Nuvem ou Alt-WAN, conforme explicado em Trabalhando com Regras de Rede Complexas
- Abaixo está um exemplo de cenário onde uma regra simples Fora da Nuvem é colocada abaixo de uma regra complexa. A regra é complexa porque contém uma Aplicação definida.
- Neste cenário, o Socket não pode avaliar a regra de rede no pacote SYN e o envia para o PoP. O proxy TCP completa o handshake TCP apenas no lado do cliente (Site A), como mostrado no diagrama abaixo.
-
O perfil de rede é decidido no Socket do Site A, e ele muda para o transporte Fora da Nuvem. Em seguida, o handshake SSL é iniciado, e o Socket A envia o Hello Cliente pelo Fora da Nuvem.
-
O Hello Cliente chega ao Servidor, mas o Servidor nem mesmo completou o handshake TCP com o Cliente. Como resultado, o servidor enviou um RESET para o cliente, encerrando a conexão.
- O comportamento acima pode ser observado do lado do servidor executando uma captura de pacotes. Veja Como Capturar Tráfego em um Socket
Solução
Como mencionado em Trabalhando com Tráfego Fora da Nuvem, a solução é mover a regra simples Fora da Nuvem ou Alt-WAN acima de qualquer regra complexa. Ao fazer isso, os sockets podem avaliar a regra de rede e rotear pacotes pelo Fora da Nuvem ou Alt-WAN imediatamente.
O PoP e o proxy TCP são eliminados do caminho em ambas as direções. Pacotes são enviados diretamente entre ambos os Sockets.
Alternativamente, embora não seja recomendado, desativar a inspeção TLS no nível da conta pode resolver o problema, pois isso desativará a aplicação do proxy TCP.
0 comentário
Por favor, entre para comentar.