L'accès à certains sites Web https échoue en raison de l'absence de hello serveur.

L'accès à certains sites Web https échoue en raison de l'absence de hello serveur.

7315
Created On 11/02/22 15:20 PM - Last Modified 01/08/25 06:44 AM


Symptom


Accéder à certains sites Web https tels que « https:// " ne marche pas.

Environment


  • Pare-feu Palo Alto
  • Système d'exploitation PAN pris en charge
  • Client derrière un pare-feu accédant à des sites Web https

Cause


  • Le PC ne reçoit pas le message d'accueil du serveur pendant la négociation TLS .
  • Problème possible de MTU.

Resolution


Confirm the MTU issue by using the following guidelines.
  1. Appliquez un filtre avec source et destination pour capturer le trafic et voir les compteurs.
  2. Exécutez la commande « show counter global filter packet-filter yes delta yes » deux fois. Cela effacera les anciennes valeurs du compteur.
  3. Essayez de vous connecter au site Web présentant des problèmes en utilisant « https:// ".
  4. Réexécutez la commande « show counter global filter packet-filter yes delta yes » et vérifiez les compteurs pour MTU répertoriés ci-dessous.
:flow_fwd_mtu_exceeded   7   0 info      flow   forward   Packets lengths exceeded MTU
:flow_fwd_ip_df          5   0 drop      flow   forward   Packets dropped: exceeded MTU but DF bit present
  1. Vérifiez le pcap capturé pour voir le paquet à l'étape « drop », cela affichera les paquets abandonnés. Le serveur hello à l'étape drop confirmera l'abandon du paquet en raison d'un problème de MTU.
  2. Si le pare-feu possède les compteurs mentionnés ci-dessus et que le serveur hello est au stade « drop » : ?????
  • Vérifiez les interfaces de pare-feu où passe le trafic et confirmez que le MTU configuré est le même que celui négocié par MSS lors de l'établissement de liaison TCP .
  1. si les compteurs n'affichent aucun problème de MTU et que le pcap à aucun stade n'affiche le bonjour du serveur :
  • Le problème ne vient pas du pare-feu.
  • Examinez les autres périphériques du patch pour confirmer si la chute se produit sur d’autres périphériques du chemin.
  • Une possibilité est qu'un tunnel se trouve après le pare-feu (IPSEC ou GRE) ou tout autre appareil où le MTU est inférieur au MSS négocié lors de la négociation TCP .
  1. Si le problème concerne le pare-feu et qu'une assistance est requise pour le dépannage, ouvrez un dossier d'assistance avec les détails ci-dessus.

Additional Information


Quelques articles connexes qui aideront au dépannage et à la résolution :
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kF1vCAE&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language