TLS HTTP/2 páginas web no se cargan después de actualizar Panos a 9.1.14
4788
Created On 06/12/22 22:22 PM - Last Modified 04/24/24 18:36 PM
Symptom
- Firewall actualizado a PAN-OS 9.1.14
- TLS Las páginas Web no se cargarán para el tráfico HTTP/2 si se descifra el tráfico
- No se observan problemas para TLS el tráfico que usa http/1.1
Environment
- Todas las plataformas, incluidos los VM cortafuegos
- PAN-OS 9.1.14
- Tráfico HTTP/2
- SSL Descifrado habilitado
Cause
Si habilita los filtros de captura de paquetes utilizando el IP del servidor en cuestión y ejecuta contadores globales, debería poder confirmar si el tráfico es http2
También debería poder ver el mensaje del contador de advertencia "Número de ssl ext no admitidos en el servidor hola" como se muestra a continuación
> show counter global filter packet-filter yes delta yes
ssl_unsupported_server_extension 2 0 warn ssl pktproc Number of unsupported ssl ext in server hello
http2_process 1 0 info http2 pktproc Number of http2 connection process
http2_stream_session_alloc 1 0 info http2 pktproc Number of http2 stream sessions allocatedSi muestra firewall los mismos síntomas, es probable que esté golpeandoPAN-194395Resolution
Solución
- Seleccione el perfil de descifrado que se adjunta al descifrado medianteGUI: Objetos > Perfil de descifrado Policy > > (Seleccione el perfil utilizado)
- En la ficha SSL Proxy de reenvío , seleccione Strip ALPN. Con esta configuración, el firewall negocia HTTP/1.1 en lugar de HTTP/2
- Si la solución anterior no es adecuada, degrade la versión anterior a 9.1.14 PAN-OS
Actualmente, la PAN-OS versión de lanzamiento que resolverá este problema aún está pendiente.
Additional Information
PAN-189468aparece en PANOS 9.1.14 Problemas conocidos en la siguiente nota de la versión:
PAN-OS 9.1.14 Problemas conocidos