Ein Client kann keine SSL Sitzung mit asymmetrischem Routing herstellen

Ein Client kann keine SSL Sitzung mit asymmetrischem Routing herstellen

14027
Created On 02/14/25 07:15 AM - Last Modified 10/30/25 06:12 AM


Symptom


  • Ein Client kann keine SSL Sitzung mit asymmetrischem Routing herstellen.
  • Nur die SSL Sitzung ist betroffen. Die HTTP Sitzung funktioniert einwandfrei.
  • Eine Firewall überträgt keine ACK Pakete vom Client.

Environment


  • Plattform: Jede PAN-OS-Firewall.
  • PAN-OS: Versionen PAN-247099 wurde behoben: 11.2.2, 11.1.5, 11.1.4-h4, 11.1.3-h2, 11.1.2-h9, 11.0.7, 10.2.11, 10.2.10-h2, 10.2.8-h10, 10.2.9-h9, 10.2.7-h11 oder höher.
  • Die Firewall empfängt nur Client-zu-Server-Richtungspakete mit asymmetrischem Routing.
  • Client Hello vom Client kommt in mehreren Paketen an.

Cause


  • Der Akkumulationsproxy ist in der Version PAN-247099 Standard(-) aktiviert.
  • Wenn der Akkumulationsproxy für die Sitzung aktiviert ist, wird er erst deaktiviert, wenn die Firewall „Server Hello“ empfängt.
  • Beim asymmetrischen Routing lässt eine Firewall keine ACK Pakete vom Client weiter, bis der Akkumulationsproxy deaktiviert ist.
  • Dies geschieht, wenn auf dieser Firewall eine Regel Entschlüsselung ist, auch wenn die entsprechende Sitzung selbst nicht entschlüsselt wird.

Resolution


  • Es wird in PAN-279500 behandelt.
  • Die vorübergehende Workaround besteht darin, den Akkumulationsproxy auf der Firewall zu deaktivieren.
    > Debug- Datenebene, SSL-Entschlüsselung festlegen, Client-Hello akkumulieren, deaktivieren, ja
  • Eine andere Workaround besteht darin, PQC im Client Browser zu deaktivieren.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000TperCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language