修复瞻博网络 SRX 中的 SSL 问题

网络工程 杜松 srx
2022-02-22 23:44:55

我们确实有问题;我们设置了一个使用过的瞻博网络 SRX3400 集群,希望将我们的配置从旧的 SRX3400 集群移动到新的集群(出于某种原因),但是一切正常,但我们无法通过“某些”网站进行 HTTPS 流量。

  • 谷歌、亚马逊和 https 工作,但我们无法通过 StackExchange 进行流量
  • 当我们在流会话上进行流量时,我可以看到 Junos:SSL 和 Junos:Amazin 但是在访问 StackExchange 时它说:Junos:SSL/INCONCLUSIVE
  • 可以与防火墙后面的服务器建立 ssh 连接
  • 可以与防火墙后面的服务器建立 http 连接
  • 无法双向建立 https 连接
  • 能ping通防火墙
  • 可以ping防火墙后面的服务器

我们计划与网络管理员长期合作,因为我们有很多这样的问题。这个任务基本上就是一个测试任务那个。

2个回答

我知道这是一个老问题,但对于其他有类似问题的人来说,听起来新 SRX 上没有配置 TCP-MSS 钳位。

您不可避免地会在 SRX 上阻塞 ICMP,这反过来会破坏 PMTUD 并在 MTU 大小更改时导致 TCP 出现问题。

这在 SSL 密钥交换期间造成严重破坏,其中有效负载几乎总是大于 1500 字节。

要解决此问题,请在 SRX 上使用以下命令:

set security flow tcp-mss all-tcp mss 1380

其中 mss 大小小于 1400 字节。

您设置的数字越低,传输相同数量的数据所需的 TCP 数据包就越多,所以目标要高;)

Juniper 有一个很好的技术库页面,用于解决 SSL 代理问题。这是一个复杂的主题——尤其是如果您对 PKI 概念不是很熟悉的话——而且他们在将一些常用命令汇总到一个备忘单方面做得很好。还有关于相关日志记录的信息。

https://www.juniper.net/documentation/en_US/junos/topics/task/troubleshooting/security-ssl-proxy-troubleshooting.html#id-ssl-proxy-counters-errors

其它你可能感兴趣的问题
上一篇设备可以连接到超过 2.4 和 5 GHz 通道的频率列表 下一篇聚合链路和RSTP