问题
当在两个站点之间通过Cato Sockets的离线或Alt-WAN链接时,TLS连接可能会失败。
环境
- 两个Cato站点之间的TLS连接。
- TLS检查已启用
- 流量命中的网络规则在(复杂规则)下面(更多信息见下方)
故障排除
- 当在简单的离线或Alt-WAN网络规则上方存在复杂网络规则时,如在与复杂网络规则合作所述,将强制执行TCP代理。
- 以下是一个简单离线规则放置于复杂规则下的场景示例。 规则是复杂的,因为它包含一个定义的应用程序。
- 在这种情况下,Socket无法评估SYN数据包上的网络规则并将其发送至PoP。 TCP代理仅在客户端(站点A)一侧完成TCP握手,如下图所示。
-
网络配置文件在站点A Socket上决定,并切换到离线传输。 在此之后,SSL握手开始,Socket A通过离线发送客户端您好。
-
客户端您好到达服务器,但服务器甚至没有与客户端完成TCP握手。 结果,服务器向客户端发送一个重置,终止连接。
- 可以通过在服务器端运行一次数据包捕捉来观察上述行为。 查看如何在Socket上捕获流量
解决方案
如在处理离线流量中所述,解决方案是将简单的离线或Alt-WAN规则移到任何复杂规则之上。 这样做时,Sockets可以立即评估网络规则并通过离线或Alt-WAN路由数据包。
路径中的PoP和TCP代理在双向上被消除。 数据包在两个Sockets之间直接发送。
或者,虽然不推荐,但在账户级别禁用TLS检查可以解决该问题,因为它将禁用TCP代理的执行。
0 条评论
请登录写评论。