客户端无法通过非对称路由建立SSL会话

客户端无法通过非对称路由建立SSL会话

17679
Created On 02/14/25 07:15 AM - Last Modified 10/30/25 06:12 AM


Symptom


  • 客户端无法与非对称路由建立SSL会话。
  • 仅SSL会话受到影响。HTTPHTTP运行正常。
  • 防火墙不传输来自客户端的ACK数据包。

Environment


  • 平台:任何 PAN-OS 防火墙。
  • PAN-OS:版本 PAN-247099 已修复:11.2.2、11.1.5、11.1.4-h4、11.1.3-h2、11.1.2-h9、11.0.7、10.2.11、10.2.10-h2、10.2.8-h10、10.2.9-h9、10.2.7-h11 或更高版本。
  • 防火墙仅接收具有非对称路由的客户端到服务器方向的数据包。
  • 来自客户端的 Client Hello 通过多个数据包到达。

Cause


  • 累积代理在版本中默认启用,PAN-247099 已得到解决。
  • 如果会话中启用了聚合代理,则直到防火墙收到 Server Hello 后,它才会停止运行。
  • 使用非对称路由时,防火墙将不会传递来自客户端的ACK数据包,直到聚集代理解除。
  • 如果在该防火墙上配置了任何解密规则,就会发生这种情况,即使相应的会话本身未被解密。

Resolution


  • PAN-279500 中将解决此问题。
  • 暂时的解决方法是禁用防火墙上的累积代理。
    >> 调试数据平面设置 ssl 解密累积-客户端-hello 禁用是
  • 另一个解决方法是从客户端浏览器禁用 PQC。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000TperCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language