서버 hello가 없어 특정 https 웹사이트에 접속할 수 없습니다.

• 팔로 알토 방화벽
• 지원되는 PAN-OS
• 방화벽 뒤에 있는 클라이언트가 https 웹사이트에 접속

• TLS 협상 중에 PC가 서버 hello를 수신하지 못합니다.
• MTU 문제일 수 있습니다.

1. 트래픽을 캡처 하고 카운터를 확인하려면 소스와 데스티네이션 입력하세요.
2. " show counter global filter packet-filter yes delta yes " 명령을 두 번 실행합니다. 이렇게 하면 이전 카운터 값이 지워집니다.
3. "https://"를 사용하여 문제가 있는 웹사이트에 연결을 시도해 보세요. ".
4. " show counter global filter packet-filter yes delta yes " 명령을 다시 실행하여 아래 나열된 MTU에 대한 카운터를 확인하세요.

:flow_fwd_mtu_exceeded   7   0 info      flow   forward   Packets lengths exceeded MTU
:flow_fwd_ip_df          5   0 drop      flow   forward   Packets dropped: exceeded MTU but DF bit present

5. " drop " 단계에서 패킷을 보려면 캡처된 pcap 확인하세요. 그러면 삭제된 패킷이 표시됩니다. 삭제 단계의 서버 hello는 MTU 문제로 인한 패킷 삭제를 확인합니다.
6. 방화벽 위에서 언급한 카운터가 있고 서버 hello가 "drop" 단계에 있는 경우: ??????

• 트래픽이 통과하는 방화벽 인터페이스를 검토하고 해당 위치에 구성된 MTU가 TCP 핸드셰이크 중에 MSS가 협상한 것과 동일한지 확인합니다.

7. 카운터에 MTU 문제가 표시되지 않고 어떤 단계에서든 pcap 서버 hello가 표시되지 않는 경우:

• 문제는 방화벽 에 있는 것이 아닙니다.
• 패치의 다른 장치를 검토하여 경로의 다른 장치에서도 저하가 발생하는지 확인합니다.
• 한 가지 가능성은 TCP 핸드셰이크 중에 협상된 MSS보다 MTU가 작은 방화벽 (IPSEC 또는 GRE) 또는 다른 디바이스 뒤에 있는 터널 입니다.

8. 문제가 방화벽 과 관련이 있고 문제 해결을 위한 지원이 필요한 경우, 위 세부 정보와 함께 지원 사례를 개설하세요.

• MTU 초과 확인 방법
• IPSEC 트래픽에 대한 TCP MSS 조정
• 시작하기: 패킷 캡처