サーバー hello が見つからないため、特定の https Web サイトへのアクセスが失敗します。

• パロアルトファイアウォール
• サポートされているPAN-OS
• ファイアウォールの背後にあるクライアントが https ウェブサイトにアクセスする

• PC はTLSネゴシエーション中にサーバー hello を受信しません。
• MTU の問題の可能性があります。

1. 送信元と宛先を含むフィルターを適用してトラフィックをキャプチャ、カウンターを表示します。
2. 「 show counter global filter packet-filter yes delta yes 」コマンドを 2 回実行します。これにより、古いカウンター値がクリアされます。
3. 「https://」を使用して問題のあるウェブサイトに接続してみてください「」。
4. 「 show counter global filter packet-filter yes delta yes 」コマンドを再実行し、以下にリストされている MTU のカウンターを確認します。

:flow_fwd_mtu_exceeded   7   0 info      flow   forward   Packets lengths exceeded MTU
:flow_fwd_ip_df          5   0 drop      flow   forward   Packets dropped: exceeded MTU but DF bit present

5. キャプチャされたpcapをチェックして、「ドロップ」ステージのパケットを確認します。これにより、ドロップされたパケットが表示されます。ドロップ ステージの server hello は、MTU の問題によるパケット ドロップを確認します。
6. ファイアウォールに上記のカウンターがあり、サーバー Hello が「ドロップ」段階にある場合: ?????

• トラフィックが通過するファイアウォールインターフェイスを確認し、そこに設定されている MTU がTCPハンドシェイク中に MSS がネゴシエートしたものと同じであることを確認します。

7. カウンターに MTU の問題が示されず、どの段階でもpcap にサーバー hello が表示されない場合:

• 問題はファイアウォールにはありません。
• パッチ内の他のデバイスを確認して、パス内の他のデバイスでもドロップが発生しているかどうかを確認します。
• 1 つの可能性としては、ファイアウォール(IPSEC または GRE) の後のトンネル、またはTCPハンドシェイク中にネゴシエートされた MSS よりも MTU が小さいその他のデバイスが挙げられます。

8. 問題がファイアウォールに起因しており、トラブルシューティングに支援が必要な場合は、上記の詳細を記載したサポートケースを開いてください。

• MTU超過の確認方法
• IPSECトラフィックのTCP MSS調整
• はじめに: パケットキャプチャ