Un cliente no puede establecer una sesión SSL con enrutamiento asimétrico
14027
Created On 02/14/25 07:15 AM - Last Modified 10/30/25 06:12 AM
Symptom
- Un cliente no puede establecer una sesión SSL con enrutamiento asimétrico.
- Solo se ve afectada la sesión SSL . La sesión HTTP funciona bien.
- Un cortafuegos no transmite paquetes ACK desde el cliente.
Environment
- Plataforma: Cualquier firewall PAN-OS.
- PAN-OS: Se han corregido las versiones PAN-247099: 11.2.2, 11.1.5, 11.1.4-h4, 11.1.3-h2, 11.1.2-h9, 11.0.7, 10.2.11, 10.2.10-h2, 10.2.8-h10, 10.2.9-h9, 10.2.7-h11 o posteriores.
- Firewall que recibe únicamente paquetes en dirección cliente-servidor con enrutamiento asimétrico.
- El saludo del cliente llega en varios paquetes.
Cause
- El proxy de acumulación está habilitado de valor predeterminado en la versión PAN-247099 y se ha abordado.
- Si el proxy de acumulación está activo en la sesión, no se desactivará hasta que el cortafuegos reciba Server Hello.
- Con enrutamiento asimétrico, un cortafuegos no pasará paquetes ACK del cliente hasta que se desactive el proxy de acumulación.
- Esto sucede si se configura alguna regla de descifrado en ese cortafuegos, incluso si la sesión correspondiente en sí no está descifrada.
Resolution
- Se abordará en el PAN-279500.
- La solución alternativa temporal es deshabilitar el proxy de acumulación en el cortafuegos.
> depurar plano de datos establecer ssl-decrypt acumular-cliente-hola deshabilitar sí - Otra solución alternativa es deshabilitar PQC desde el explorador del cliente.
- Cromo: Chrome://flags/#enable-tls13-kyber
- Borde: borde://banderas/#enable-tls13-kyber
- Soporte híbrido Kyber de TLS 1.3 (acuerdo de clave post-cuántica de TLS 1.3) > Seleccionar "Deshabilitado" > Reiniciar