Der Zugriff auf bestimmte https-Websites schlägt aufgrund eines fehlenden Server-Hello fehl.

Der Zugriff auf bestimmte https-Websites schlägt aufgrund eines fehlenden Server-Hello fehl.

7301
Created On 11/02/22 15:20 PM - Last Modified 01/08/25 06:44 AM


Symptom


Der Zugriff auf bestimmte https-Websites wie „ https:// " funktioniert nicht.

Environment


  • Palo Alto-Firewalls
  • Unterstützte PAN-OS
  • Client hinter Firewall greift auf https-Websites zu

Cause


  • Der PC empfängt während der TLS -Aushandlung kein Server-Hello.
  • Mögliches MTU-Problem.

Resolution


Confirm the MTU issue by using the following guidelines.
  1. Wenden Sie einen Filter mit Quelle und Destination an, um den Datenverkehr zu erfassen und die Zähler anzuzeigen.
  2. Führen Sie den Befehl " show counter global filter packet-filter yes delta yes " zweimal aus. Dadurch werden alte Zählerwerte gelöscht.
  3. Versuchen Sie, über „https://“ eine Verbindung zur Website mit Problemen herzustellen. ".
  4. Führen Sie den Befehl „ show counter global filter packet-filter yes delta yes “ erneut aus und suchen Sie nach den unten aufgeführten Zählern für die MTU.
:flow_fwd_mtu_exceeded   7   0 info      flow   forward   Packets lengths exceeded MTU
:flow_fwd_ip_df          5   0 drop      flow   forward   Packets dropped: exceeded MTU but DF bit present
  1. Überprüfen Sie das erfasste pcap , um das Paket in der Phase „ Drop “ anzuzeigen. Dadurch werden die gelöschten Pakete angezeigt. Das Server-Hello in der Drop-Phase bestätigt den Paketverlust aufgrund eines MTU-Problems.
  2. Wenn die Firewall über die oben genannten Zähler verfügt und sich der Server-Hello im „Drop“-Stadium befindet: ?????
  • Überprüfen Sie die Firewall -Schnittstellen, über die der Datenverkehr läuft, und vergewissern Sie sich, dass die dort konfigurierte MTU mit der von MSS während des TCP Handshakes ausgehandelten MTU übereinstimmt.
  1. wenn die Zähler kein MTU-Problem anzeigen und das pcap zu keinem Zeitpunkt das Server-Hello anzeigt:
  • Das Problem liegt nicht an der Firewall.
  • Überprüfen Sie die anderen Geräte im Patch, um zu bestätigen, ob der Abfall auch bei anderen Geräten im Pfad auftritt.
  • Eine Möglichkeit besteht darin, dass sich hinter der Firewall (IPSEC oder GRE) oder einem anderen Gerät ein Tunnel , dessen MTU kleiner ist als die während des TCP Handshakes ausgehandelte MSS.
  1. Wenn das Problem auf die Firewall verweist und Sie Hilfe bei der Fehlerbehebung benötigen, eröffnen Sie einen Supportfall mit den oben genannten Details.

Additional Information


Einige verwandte Artikel, die bei der Fehlerbehebung und Lösung hilfreich sein werden:
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kF1vCAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language