Un client incapable d'établir une session SSL avec un routage asymétrique
14089
Created On 02/14/25 07:15 AM - Last Modified 10/30/25 06:12 AM
Symptom
- Un client incapable d’établir une session SSL avec un routage asymétrique.
- Seule la session SSL est affectée. La session HTTP fonctionne correctement.
- Un pare-feu ne transmet pas les paquets ACK du client.
Environment
- Plateforme : Tout pare-feu PAN-OS.
- PAN-OS : Les versions PAN-247099 ont été corrigées : 11.2.2, 11.1.5, 11.1.4-h4, 11.1.3-h2, 11.1.2-h9, 11.0.7, 10.2.11, 10.2.10-h2, 10.2.8-h10, 10.2.9-h9, 10.2.7-h11 ou versions ultérieures.
- Pare-feu recevant uniquement des paquets de direction client vers serveur avec un routage asymétrique.
- Le message Bonjour du client arrive dans plusieurs paquets.
Cause
- Le proxy d'accumulation est activé par par défaut dans la version PAN-247099 a été résolu.
- Si le proxy d'accumulation est activé sur la session, il ne sera pas désactivé tant que le pare-feu n'aura pas reçu le Server Hello.
- Avec le routage asymétrique, un pare-feu ne transmettra pas les paquets ACK du client tant que le proxy d'accumulation n'est pas désactivé.
- Cela se produit si une règle de décryptage est configurée sur ce pare-feu, même si la session correspondante elle-même n'est pas déchiffrée.
Resolution
- Ce problème sera abordé dans le PAN-279500.
- La solution alternative temporaire consiste à désactiver le proxy d'accumulation sur le pare-feu.
> debug plan de données set ssl-decrypt accumulate-client-hello désactiver oui - Une autre solution alternative consiste à désactiver PQC à partir du navigateur client.
- Chrome : chrome://flags/#activer-tls13-kyber
- Bord : bord://flags/#activer-tls13-kyber
- Prise en charge hybride Kyber TLS 1.3 (accord de clé post-quantique TLS 1.3) > Sélectionnez « Désactivé » > Relancer