Сбой соединения TLS через Вне Облака или Alt-WAN связи

Проблема

Соединение TLS может прерваться при прохождении через связь Вне Облака или Alt-WAN между двумя Сокетами Cato. 

Среда

• Соединение TLS между двумя Сайтами Cato.
• Инспекция TLS включена
• Сетевое правило, которое охватывает трафик, находится ниже сложного правила (подробнее см. ниже)

Поиск и устранение неисправностей

• Прокси TCP будет применен, когда существует сложное сетевое правило выше простого правила сети Вне Облака или Alt-WAN, как объяснено в Работа с Сложными Сетевыми Правилами
• Ниже приведен пример сценария, в котором простое правило вне облака размещено ниже сложного правила. Правило сложное, потому что оно содержит определенное Приложение.

• В этом сценарии, Сокет не может оценить сетевое правило на пакете SYN и отправляет его на PoP. TCP-прокси завершает TCP-рукопожатие только на стороне Клиента (Сайт A), как показано на диаграмме ниже.

• Профиль сети определяется на Сокете Сайта A, и он переключается на транспортировку Вне Облака. После этого инициируется SSL-рукопожатие, и Сокет A отправляет Клиент Hello через Вне Облака.

• Клиент Hello приходит на сервер, но сервер еще даже не завершил TCP-рукопожатие с клиентом. В результате сервер отправляет RESET клиенту, завершая соединение.

• Такое поведение можно наблюдать со стороны сервера, запустив захват пакетов. См. как захватить трафик на Сокете

Решение

Как упоминалось в Работа с Трафиком Вне Облака, решение - переместить простое правило Вне Облака или Alt-WAN выше любых сложных правил. При этом, сокеты могут оценивать сетевое правило и немедленно направлять пакеты через Вне Облака или Alt-WAN.

PoP и TCP-прокси исключаются из пути в обоих направлениях. Пакеты отправляются напрямую между обоими Сокетами.

В качестве альтернативы, хотя это и не рекомендуется, отключение инспекции TLS на уровне учетной записи может решить проблему, так как это отключит применение TCP-прокси.