TLS连接失败在离线或Alt-WAN链接上

问题

当在两个站点之间通过Cato Sockets的离线或Alt-WAN链接时，TLS连接可能会失败。 

环境

• 两个Cato站点之间的TLS连接。
• TLS检查已启用
• 流量命中的网络规则在(复杂规则)下面（更多信息见下方）

故障排除

• 当在简单的离线或Alt-WAN网络规则上方存在复杂网络规则时，如在与复杂网络规则合作所述，将强制执行TCP代理。
• 以下是一个简单离线规则放置于复杂规则下的场景示例。 规则是复杂的，因为它包含一个定义的应用程序。

• 在这种情况下，Socket无法评估SYN数据包上的网络规则并将其发送至PoP。 TCP代理仅在客户端(站点A)一侧完成TCP握手，如下图所示。

• 网络配置文件在站点A Socket上决定，并切换到离线传输。 在此之后，SSL握手开始，Socket A通过离线发送客户端您好。

• 客户端您好到达服务器，但服务器甚至没有与客户端完成TCP握手。 结果，服务器向客户端发送一个重置，终止连接。

• 可以通过在服务器端运行一次数据包捕捉来观察上述行为。 查看如何在Socket上捕获流量

解决方案

如在处理离线流量中所述，解决方案是将简单的离线或Alt-WAN规则移到任何复杂规则之上。 这样做时，Sockets可以立即评估网络规则并通过离线或Alt-WAN路由数据包。

路径中的PoP和TCP代理在双向上被消除。 数据包在两个Sockets之间直接发送。

或者，虽然不推荐，但在账户级别禁用TLS检查可以解决该问题，因为它将禁用TCP代理的执行。