TLS HTTP/2 Webseiten werden nach dem Upgrade von Panos auf 9.1.14 nicht geladen
4788
Created On 06/12/22 22:22 PM - Last Modified 04/24/24 18:36 PM
Symptom
- Firewall aktualisiert auf PAN-OS 9.1.14
- TLS Webseiten können für HTTP/2-Datenverkehr nicht geladen werden, wenn der Datenverkehr entschlüsselt wird
- Es gibt keine Probleme für TLS den Datenverkehr mit http/1.1
Environment
- Alle Plattformen inklusive VM Firewalls
- PAN-OS 9.1.14
- HTTP/2-Datenverkehr
- SSL Entschlüsselung aktiviert
Cause
Wenn Sie Paketerfassungsfilter mithilfe IP des betreffenden Servers aktivieren und globale Zähler ausführen, sollten Sie in der Lage sein, zu bestätigen, ob der Datenverkehr http2
ist. Sie sollten auch in der Lage sein, die Warnmeldung "Number of unsupported ssl ext in server hello" zu sehen, wie unten gezeigt
> show counter global filter packet-filter yes delta yes
ssl_unsupported_server_extension 2 0 warn ssl pktproc Number of unsupported ssl ext in server hello
http2_process 1 0 info http2 pktproc Number of http2 connection process
http2_stream_session_alloc 1 0 info http2 pktproc Number of http2 stream sessions allocatedWenn Sie die gleichen Symptome zeigen, werden Sie firewall wahrscheinlich schlagenPAN-194395Resolution
Problemumgehung
- Wählen Sie das Entschlüsselungsprofil aus, das an die Entschlüsselung Policy angehängt ist, indem Sie Folgendes verwenden GUI: Objekte > Entschlüsselung > Entschlüsselungsprofil > (Wählen Sie das verwendete Profil aus)
- Wählen Sie auf der Registerkarte SSL Forward-Proxy die Option Strip ALPNaus. Mit dieser Einstellung handelt HTTPder /1.1 anstelle von HTTP/firewall2 aus
- Wenn die obige Problemumgehung nicht geeignet ist, führen Sie ein Downgrade der PAN-OS Version unter 9.1.14 durch
Derzeit steht die Release-Version, die PAN-OS dieses Problem beheben wird, noch aus.
Additional Information
PAN-189468ist unter panos 9.1.14 Bekannte Probleme in der folgenden Release Note aufgeführt:
PAN-OS 9.1.14 Bekannte Probleme