Global Protect Clientless VPN Portal kann Webanwendung nicht mit Chrome-Browser laden

Global Protect Clientless VPN Portal kann Webanwendung nicht mit Chrome-Browser laden

32694
Created On 02/19/20 21:22 PM - Last Modified 02/21/25 02:08 AM


Symptom


  • Der Kunde hat den Webserver für eine der veröffentlichten Apps hinter dem Clientless Portal aktualisiert VPN
  • Die Web-Anwendung funktioniert nicht mehr speziell im Chrome-Browser - andere Browser funktionieren
  • Der Chrome-Browser zeigt eine leere Seite und ein Spinning-Symbol an.
  • Im Chrome-Browser wird kein Fehler in der Konsole "Developer Tools ->" angezeigt.

Environment


  • Chrome Browser (alle Versionen)
  • PanOS Global Protect Clientless VPN (alle Versionen)

Cause


  • Nach dem Aktualisieren des Webservers für die Anwendung fordert die Anwendung zusätzliche externe Inhalte an, die zuvor nicht angefordert wurden:
    • fonts.googleapis.com
    • fonts.gstatic.com
  • Die Sicherheitsrichtlinien erlaubten von Zone "ClientlessVPN" bis Zone "Vertrauen", in der die Webserveranwendung gehostet wird.
  • Die Sicherheitsrichtlinien ließen von Zone "ClientlessVPN" in die Zone "Untrust" nicht zu, die erforderlich ist, um "fonts.googleapis.com" und "fonts.gstatic.com" zu erreichen.Der Verkehr trifft eine Deny policy .
  • Der Chrome-Browser zeigt den verbleibenden Seiteninhalt nicht an, wenn der Inhalt der Schriftarten nicht abgerufen werden kann.(Internet Explorer und Firefox zeigen den Inhalt der Webanwendung an, obwohl die auch nicht in der Lage sind, den Inhalt der Schriftarten abzurufen).

Resolution


  1. Die Lösung besteht darin, die Von-Zone ClientlessVPN in die Zone Untrust zuzulassen, um dem Datenverkehr zu erlauben, die Inhalte der Google-Schriftarten abzurufen.

Additional Information


  • Wenn die Protokollierung auf dem Deny aktiviert policy ist, wird ein Datenverkehrsprotokoll für den verweigerten Datenverkehr angezeigt.
  • Clientlose VPN Pcaps zeigen an, dass HTTP GET Anforderungen auf der Clientseite empfangen werden, aber nicht auf der PCAP Serverseite vorhanden sind – was darauf PCAP hinweist, dass die firewall diese Pakete blockiert haben, die in das Portal gelangen
  • Fiddler-Erfassungen, die auf dem Clientcomputer aufgenommen wurden, zeigen an, dass HTTP GET eine Anforderung vom Client an das clientlose Portal gesendet VPN wurde, aber keine Antwort empfangen wurde.


Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000POjmCAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language