TLS连接失败在离线或Alt-WAN链接上

问题

当在两个站点之间通过Cato Sockets的离线或Alt-WAN链接时,TLS连接可能会失败。 

环境

  • 两个Cato站点之间的TLS连接。
  • TLS检查已启用
  • 流量命中的网络规则在(复杂规则)下面(更多信息见下方)

故障排除

  • 当在简单的离线或Alt-WAN网络规则上方存在复杂网络规则时,如在与复杂网络规则合作所述,将强制执行TCP代理。
  • 以下是一个简单离线规则放置于复杂规则下的场景示例。 规则是复杂的,因为它包含一个定义的应用程序。

  • 在这种情况下,Socket无法评估SYN数据包上的网络规则并将其发送至PoP。 TCP代理仅在客户端(站点A)一侧完成TCP握手,如下图所示。

  • 网络配置文件在站点A Socket上决定,并切换到离线传输。 在此之后,SSL握手开始,Socket A通过离线发送客户端您好。

  • 客户端您好到达服务器,但服务器甚至没有与客户端完成TCP握手。 结果,服务器向客户端发送一个重置,终止连接。

  • 可以通过在服务器端运行一次数据包捕捉来观察上述行为。 查看如何在Socket上捕获流量

解决方案

如在处理离线流量中所述,解决方案是将简单的离线或Alt-WAN规则移到任何复杂规则之上。 这样做时,Sockets可以立即评估网络规则并通过离线或Alt-WAN路由数据包。

路径中的PoP和TCP代理在双向上被消除。 数据包在两个Sockets之间直接发送。

或者,虽然不推荐,但在账户级别禁用TLS检查可以解决该问题,因为它将禁用TCP代理的执行。

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论