Excluir dominio y Excluir la tunelización dividida de aplicaciones causando problemas con varias aplicaciones en macOS Catalina

Cuando GlobalProtect se configura con excluir dominio y/o excluir la aplicación para enviar tráfico a través del adaptador físico, varias aplicaciones se congelan o salen por error en macOS Catalina 10.15.x.

Por ejemplo, en Google Chrome, se verán errores como "ERR_NETWORK_CHANGED" o "ERR_TIMED_OUT" en el navegador.
Del mismo modo, para la aplicación Microsoft Teams, la aplicación pierde conexión intermitentemente y veremos un error similar en el registro de teams (consulte el error a continuación)

-- info -- OnErrorOccurred - Description: CNS:Get Method: GET Error: net::ERR_TIMED_OUT

• GlobalProtect cliente 5.1 y 5.2.
• macOS Catalina 10.15.x.
• Navegadores afectados: Chrome
• Aplicaciones afectadas: Microsoft Teams.

• El problema parece afectar únicamente a macOS Catalina 10.15.x cuando la GlobalProtect puerta de enlace está configurada para usar "excluir dominio" o "excluir aplicación".
• La causa parece ser con la llamada del sistema macOS API relacionada con la extensión del sistema específica de macOS Catalina.
• Palo Alto Networks ha abierto una consulta con Apple y más detalles se pueden ver en este enlace en los foros de desarrolladores de Apple.
• Para obtener más información, consulte Apple Bug ID FB7868606 y consulte la exención de responsabilidad de Palo Alto Networks a continuación.

• Actualice a la última macOS BigSur 11.2.x o superior
• Si no puede actualizar a macOS BigSur, utilice el túnel completo en la configuración del GlobalProtect gateway desactivando el túnel dividido.
• Si no puedes desactivar la tunelización dividida en la configuración de la GlobalProtect puerta de enlace, también puedes usar el navegador Safari o Firefox como solución alternativa.

Descargo de responsabilidad:Tenga en cuenta que las siguientes declaraciones sobre las extensiones de sistema de Apple y el navegador Chrome se realizan con información limitada disponible a través de sus respectivos sitios web, documentación y tickets de soporte. Palo Alto Networks no es responsable ni puede ser considerado responsable de cualquier información proporcionada en productos de terceros, por la funcionalidad de productos de terceros, o futuros cambios de productos en productos de terceros. 
Según las recomendaciones de Apple, a partir de macOS Catalina, GlobalProtect 5.2.4 utiliza extensiones del sistema macOS para facilitar la tunelización dividida del tráfico a destinos basados en la configuración de la puerta de enlace. Observamos que los usuarios finales no se enfrentaban a problemas para acceder a destinos de túnel dividido en Safari, pero el navegador Chrome mostraba constantemente A "el cambio de red se detectaba, ERR_NETWORK_CHANGED". 
GlobalProtect utiliza API [setTunnelNetworkSettings] para establecer las nuevas IP una vez que el IP dominio/subdominio determinado cambie, de lo contrario el sistema no redirigirá la TCP conexión / a UDP GlobalProtect . La necesidad de llamar con frecuencia a esto se atribuye a los ips en API la nube que cambian constantemente para las aplicaciones SaaS. Apple no restringe que una aplicación llame a esto API varias veces o con frecuencia. El navegador Chrome de Google intenta supervisar los cambios en las interfaces de red, con el fin de garantizar una buena experiencia de usuario. Cuando GlobalProtect llama a [NEAppProxyProvider setTunnelNetworkSettings] para admitir los casos de uso de túnel dividido por dominios, Chrome lo percibe como un cambio de interfaz de red, interrumpiendo la conexión al dominio del sitio web. Este problema no se ve en otros navegadores convencionales como Safari y Firefox.
También hemos notado recientemente que cuando el caso de uso anterior se probó con macOS Big Sur junto con GlobalProtect la versión 5.2.4: incluir dominios, excluir dominios y todos los dominios abiertos sin ningún error err_network_changed en el navegador Chrome. Esperamos que esto se deba a cambios realizados en Big Sur por Apple que afectan el comportamiento de las extensiones del sistema. Apple o Google no han proporcionado confirmación oficial sobre este problema.

Apple Developer Forum

Nota:Otras aplicaciones también pueden verse afectadas por este problema.