Houve uma postagem há alguns dias aqui falando sobre se o GlobalProtect foi impactado pelas recentes atualizações do Windows 10/11 lançadas em abril.
https://www.reddit.com/r/paloaltonetworks/comments/1ci9wlz/windows_kb5036893kb5036892_break_vpn_connections/?utm_source=share&utm_medium=web3x&utm_name=web3xcss&utm_term=1&utm_content=share_button
Desde que as atualizações foram lançadas em abril, temos recebido muito tráfego no firewall com o motivo do encerramento da sessão indicando: “decrypt-unsupport-param”. Algumas outras notas sobre esses registros é que o firewall não mostra o tráfego de cada sessão sendo decriptografado e estes estão originando de clientes VPN GlobalProtect. Usamos o modo “sempre ligado” para o nosso GlobalProtect, usando um certificado para autenticação no pré-login e SAML + MFA (entra-id) após logar no laptop. O que o usuário experimenta é o reinício da sessão no navegador e, então, ter que atualizar para que a página carregue.
A autenticação parece funcionar bem, no entanto.
Você provavelmente está enfrentando isso
Aqui também, nossa configuração de VPN é um pouco diferente (não sempre ligada), mas estamos vendo muitos parâmetros não suportados decriptados no encerramento da sessão. Recebemos tantas reclamações que tivemos que desativar a decriptação para usuários de VPN, tenho um caso aberto com o suporte; estamos coletando muitos logs agora e o caso está sendo escalado. O suporte me disse que não veem nenhum caso semelhante aberto, fico feliz por não estarmos sozinhos. Começamos a receber reclamações por volta de 29 de maio, falei com a equipe responsável pela atualização do Windows, que disse que lançou o patch no dia 25, então disseram que não está relacionado. A maioria dos usuários não trabalha no final de semana, então não tenho certeza se não é relacionado.
Desative a criptografia kyber no Chrome e Edge.
Desinstalei uma das atualizações e parece que resolveu o problema.
Vou testar amanhã, um por um, para ver se consigo descobrir.
Qual atualização você desinstalou? Tive esse problema com usuários específicos e acabei desistindo do meu ticket de suporte hoje.
Só para esclarecer, enquanto estiver em modo túnel completo, os usuários não conseguem navegar na maioria dos sites sem receber uma redefinição de conexão. Estou na versão 10.1.10, a única solução que encontrei foi, no perfil de descriptografia, desmarcar “Bloquear sessões com versões não suportadas”… então tudo funciona… mas somente porque não está mais sendo decriptografado.