El acceso a ciertos sitios web https falla debido a la falta del saludo del servidor.

El acceso a ciertos sitios web https falla debido a la falta del saludo del servidor.

7301
Created On 11/02/22 15:20 PM - Last Modified 01/08/25 06:45 AM


Symptom


Acceder a ciertos sitios web https como " https:// " no funciona.

Environment


  • Cortafuegos de Palo Alto
  • Sistema operativo PAN compatible
  • Cliente detrás de un cortafuegos que accede a sitios web https

Cause


  • La PC no recibe el saludo del servidor durante la negociación TLS .
  • Posible problema de MTU.

Resolution


Confirm the MTU issue by using the following guidelines.
  1. Aplicar un filtro con origen y destino para capturar tráfico y ver los contadores.
  2. Ejecute el comando " show counter global filter packet-filter yes delta yes " dos veces. Esto borrará los valores del contador anterior.
  3. Intente conectarse al sitio web con problemas usando "https:// ".
  4. Vuelva a ejecutar el comando " show counter global filter packet-filter yes delta yes " y verifique los contadores de MTU que se enumeran a continuación.
:flow_fwd_mtu_exceeded   7   0 info      flow   forward   Packets lengths exceeded MTU
:flow_fwd_ip_df          5   0 drop      flow   forward   Packets dropped: exceeded MTU but DF bit present
  1. Verifique el pcap capturado para ver el paquete en la etapa de " descarte ". Esto mostrará los paquetes descartados. El saludo del servidor en la etapa de descarte confirmará la descarte del paquete debido a un problema de MTU.
  2. Si el cortafuegos tiene los contadores mencionados anteriormente y el servidor hola está en la etapa "drop": ?????
  • Revise las interfaces del cortafuegos por donde pasa el tráfico y confirme que la MTU configurada allí sea la misma que la que MSS negoció durante el protocolo de enlace TCP .
  1. Si los contadores no muestran ningún problema de MTU y el pcap en cualquier etapa no muestra el saludo del servidor:
  • El problema no está en el cortafuegos.
  • Revise los otros dispositivos en el parche para confirmar si la caída está ocurriendo en otros dispositivos en la ruta.
  • Una posibilidad es que haya un túnel después del cortafuegos (IPSEC o GRE) o cualquier otro dispositivo donde la MTU sea menor que el MSS negociado durante el protocolo de enlace TCP .
  1. Si el problema apunta al cortafuegos y se necesita ayuda para solucionarlo, abra un caso de soporte con los detalles anteriores.

Additional Information


Algunos artículos relacionados que ayudarán con la solución y resolución de problemas:
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kF1vCAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language