Global Protect Clientless VPN Portal no puede cargar la aplicación web con el navegador Chrome
32694
Created On 02/19/20 21:22 PM - Last Modified 02/21/25 02:08 AM
Symptom
- El cliente ha actualizado el servidor web para una de las aplicaciones publicadas detrás del Portal sin cliente VPN
- La aplicación web deja de funcionar específicamente en el navegador Chrome - otros navegadores están trabajando
- El navegador Chrome muestra una página en blanco y un icono giratorio
- No se muestra ningún error en la consola de herramientas de > de desarrollador en el navegador Chrome
Environment
- Navegador Chrome (todas las versiones)
- PanOS Global Protect Clientless VPN (todas las versiones)
Cause
- Después de actualizar el servidor web para la aplicación, la aplicación solicita contenido externo adicional que no se solicitó anteriormente:
- fonts.googleapis.com
- fonts.gstatic.com
- Las políticas de seguridad estaban permitiendo desde la zona "ClientlessVPN" a la zona "Confianza", que es donde se hospeda la aplicación del servidor web
- Las políticas de seguridad no permitían desde la zona "ClientlessVPN" a la zona "Detrust" que se requiere para alcanzar "fonts.googleapis.com" y "fonts.gstatic.com".El tráfico está golpeando un Deny policy .
- El navegador Chrome no muestra el contenido restante de la página cuando no puede recuperar el contenido de las fuentes.(Internet Explorer y Firefox muestran el contenido de la aplicación web aunque tampoco puedan recuperar el contenido de las fuentes).
Resolution
- La resolución es permitir que la zona ClientlessVPN a la zona Untrust permita que el tráfico recupere el contenido de las fuentes de Google.
Additional Information
- Si hay registro habilitado en la denegación policy - habrá un registro de tráfico para el tráfico denegado
- Los pcaps sin cliente VPN mostrarán que HTTP GET las solicitudes se reciben en el lado del PCAP cliente, pero no están presentes en el lado del servidor PCAP - lo que indica que el ha bloqueado estos paquetes que entran en el firewall portal
- Las capturas de fiddler tomadas en el equipo cliente mostrarán que se envió una HTTP GET solicitud desde el cliente al Portal sin VPN cliente, pero no se recibió ninguna respuesta.