非対称ルーティングでSSLセッションを確立できないクライアント

非対称ルーティングでSSLセッションを確立できないクライアント

13982
Created On 02/14/25 07:15 AM - Last Modified 10/30/25 06:12 AM


Symptom


  • 非対称ルーティングでSSLセッションを確立できないクライアント。
  • SSLセッションのみが影響を受けます。HTTPHTTPは正常に動作しています。
  • ファイアウォールはクライアントからのACKパケットを送信しません。

Environment


  • プラットフォーム: 任意の PAN-OS ファイアウォール。
  • PAN-OS: リリース PAN-247099 が修正されました: 11.2.2、11.1.5、11.1.4-h4、11.1.3-h2、11.1.2-h9、11.0.7、10.2.11、10.2.10-h2、10.2.8-h10、10.2.9-h9、10.2.7-h11 以降。
  • 非対称ルーティングを使用してクライアントからサーバーへの方向のパケットのみを受信するファイアウォール。
  • クライアントからの Client Hello は複数のパケットで到着します。

Cause


  • リリース PAN-247099 では累積プロキシがデフォルトで有効になっており、問題が解決されています。
  • 蓄積プロキシがセッションで有効になっている場合、ファイアウォールがServer Hello を受信するまでプロキシは解除されません。
  • 非対称ルーティングでは、蓄積プロキシが解除されるまで、ファイアウォールはクライアントからのACKパケットを渡しません。
  • 対応するセッション自体が復号化されていない場合でも、そのファイアウォールで復号化ルールが構成されている場合に発生します。

Resolution


  • これは PAN-279500 で対処される予定です。
  • 一時的な回避策としては、ファイアウォールで蓄積プロキシを無効にすることです。
    > デバッグデータプレーンをSSL復号化に設定し、accumulate-client-helloを無効にします。
  • 別の回避策は、クライアントブラウザから PQC を無効にすることです。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000TperCAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language