Exclure le canal de fractionnement des applications et exclure les tunnels d’application causant des problèmes avec plusieurs applications sur macOS Catalina

GlobalProtectLorsqu’elles sont configurées avec le domaine exclu et/ou excluent l’application pour envoyer du trafic via l’adaptateur physique, plusieurs applications gèlent ou s’ingérationnt sur macOS Catalina 10.15.x.

À titre d’exemple, dans Google Chrome, on verra des erreurs comme « ERR_NETWORK_CHANGED » ou « ERR_TIMED_OUT » dans le navigateur.
De même, pour l’application Microsoft Teams, l’application perd par intermittence la connexion et nous verrons une erreur similaire dans le journal des équipes (voir erreur ci-dessous)

-- info -- OnErrorOccurred - Description: CNS:Get Method: GET Error: net::ERR_TIMED_OUT

• GlobalProtect client 5.1 et 5.2.
• macOS Catalina 10.15.x.
• Navigateurs concernés: Chrome
• Applications affectées : Équipes Microsoft.

• Le problème ne semble affecter macOS Catalina 10.15.x que lorsque la GlobalProtect passerelle est configurée pour utiliser « exclure le domaine » et/ou « exclure l’application ».
• La cause semble être avec l’appel du système macOS API lié à l’extension du système spécifique à macOS Catalina.
• Palo Alto Networks a ouvert une enquête avec Apple et plus de détails peuvent être consultés sur ce lien sur les forums de développeurs Apple.
• Pour plus de détails, référez Apple Bug ID FB7868606 et voir la clause de non-responsabilité de Palo Alto Networks ci-dessous.

• Mise à niveau vers le dernier macOS BigSur 11.2.x ou plus
• Si vous ne pouvez pas passer à macOS BigSur, il suffit d’utiliser le tunnel complet sur GlobalProtect la configuration de la passerelle en désactivant le tunnel divisé.
• Si vous ne pouvez pas désactiver le creusement fractionnant sur GlobalProtect la passerelle config, vous pouvez également utiliser le navigateur Safari ou Firefox comme solution de contournement.

Avertissement : Veuilleznoter que les déclarations ci-dessous concernant les extensions système d’Apple et chrome browser sont faites avec des informations limitées disponibles via leurs sites Web respectifs, la documentation et les billets de soutien. Palo Alto Networks n’est pas responsable et ne peut être tenu responsable des informations fournies sur des produits tiers, de la fonctionnalité de produits tiers ou des changements futurs de produits dans les produits tiers. 
Selon les recommandations d’Apple, à partir de macOS Catalina, GlobalProtect 5.2.4 utilise des extensions système macOS pour faciliter le fractionnement du trafic vers des destinations basées sur la configuration de la passerelle. Nous avons observé que les utilisateurs finaux n’étaient pas confrontés à des problèmes d’accès à des destinations à tunnel partagé sur Safari, mais le navigateur Chrome s’est constamment affiché « le changement de réseau a été détecté, ERR_NETWORK_CHANGED » ou parfois il A faudrait beaucoup de temps pour charger. 
GlobalProtect utilise API [setTunnelNetworkSettings] pour définir les nouveaux ADRESSES IPs une fois IP que le domaine particulier / modifications subdomain, sinon le système ne sera pas rediriger le / connexion à TCP UDP GlobalProtect . La nécessité d’appeler fréquemment cela API est attribuée à l’évolution constante des adresses IP Cloud pour les applications SaaS. Apple n’empêche pas une application d’appeler cela API plusieurs fois ou fréquemment. Chrome Browser de Google tente de surveiller les modifications apportées aux interfaces réseau, afin d’assurer une bonne expérience utilisateur. GlobalProtectLorsqu’il appelle le [NEAppProxyProvider setTunnelNetworkSettings] pour prendre en charge les cas d’utilisation split-tunneling by Domains, Chrome perçoit cela comme un changement d’interface réseau, perturbant la connexion au domaine du site Web. Ce problème n’est pas vu dans d’autres navigateurs grand public tels que Safari et Firefox.
Nous avons également récemment remarqué que lorsque le cas d’utilisation ci-dessus a été testé avec macOS Big Sur avec GlobalProtect 5.2.4 version: inclure des domaines, exclure les domaines, et tous les domaines ouverts sans aucune erreur de err_network_changed sur le navigateur chrome. Nous nous attendons à ce que cela pourrait être dû à des modifications apportées à Big Sur par Apple qui a un impact sur le comportement des extensions du système. Apple ou Google n’ont pas fourni de confirmation officielle sur cette question.

Apple Developer Forum

Note: D’autres applications peuvent également être affectées par ce problème.