Browser Access Portal Troubleshooting

 

Visión general

Los Portales de aplicaciones (también conocidos como Acceso por Navegador) permiten a los usuarios acceder a sus recursos corporativos internos estableciendo un túnel seguro a través de Internet. Este servicio no requiere una conexión SDP, pero sí requiere que los usuarios sean usuarios SDP licenciados. Este manual discute problemas comunes de acceso del navegador y proporciona pasos de solución de problemas para abordarlos.

Síntomas

  • Un usuario que accede al Portal de aplicaciones recibe una página de acceso denegado

  • La aplicación no aparece en el Portal de Acceso del Navegador
  • La aplicación no carga.

  • Contenido faltante en la aplicación web

  • Formato incorrecto de contenidos en aplicaciones web. Por ejemplo, los elementos están dispuestos aleatoriamente en la página, el texto está en el tamaño de fuente incorrecto, las imágenes no están correctamente alineadas, etc.

  • Las aplicaciones se agotan por acceso por navegador sin cliente; los usuarios del cliente SDP operan normalmente.

Posibles Causas

  • Configuraciones incorrectas
  • Uso del protocolo HTTP y la aplicación web contiene enlaces HTTP absolutos a otros contenidos

Solucionar el Problema

Esta sección investigará los pasos para solucionar problemas comunes del Portal de aplicaciones.  

Usuarios no pueden acceder al Portal de aplicaciones

Cuando el usuario accede al Portal de aplicaciones utilizando la URL del portal especificada en Acceso > Portal de aplicaciones > Configuración, se encuentra con el mensaje de acceso denegado.

  1. Validar que el subdominio no contenga caracteres especiales. Caracteres como guiones no son compatibles. Consulte Cambiar el subdominio para excluir caracteres especiales para obtener instrucciones sobre cómo validar que se utilizan caracteres especiales en el subdominio.
  2. Verifica que el usuario sea un usuario SDP (licenciado). Solo los usuarios a los que se les ha asignado una licencia pueden acceder al Portal de Acceso del Navegador. Consulte Asignar licencia a usuarios para obtener instrucciones sobre cómo validar esto.  
  3. Si la autenticación SSO está habilitada y "Permitir inicio de sesión con Single Sign-On" está marcada (Acceso > Single Sign-On), verifica que el dominio del usuario esté incluido en los dominios permitidos.
     
  4. Verifica en los eventos cualquier error obvio. Ve a Inicio > Eventos y añade un filtro tal como se muestra a continuación. 

    Todos los eventos relacionados con el portal de acceso del navegador se mostrarán. A continuación se muestra un ejemplo de un evento de acceso denegado.  

Las aplicaciones no aparecieron en la página de inicio de la aplicación

Cuando el usuario inicia sesión en el Portal de Acceso del Navegador, aplicaciones específicas no aparecen.

  1. Valide que la aplicación esté agregada en Acceso > Portal de Aplicaciones > Aplicaciones. Si no está agregada allí, no se reflejará en la página de inicio del Portal de Aplicaciones.
  2. Asegúrese de que el usuario tenga acceso a la aplicación. Si no es así, no podrá verla en la página de inicio de la aplicación. Esto se puede hacer en Acceso > Portal de Aplicaciones > Política de Acceso.
  3. Para obtener instrucciones sobre cómo resolver estos problemas, consulte Agregar aplicación al portal de acceso del navegador y Configurar la política de acceso para usuarios permitidos.

La Aplicación No Carga

Al hacer clic en el icono de la aplicación, el navegador puede no mostrar contenido, y la aplicación sigue cargando hasta que se agota el tiempo.

Si ocurre lo anterior, recopile los siguientes datos:

  1. Recopilar una captura PCAP desde el Socket del sitio donde se aloja el servidor de la aplicación, como se explica en Cómo Capturar Tráfico en un Socket. Filtra la dirección IP de servidor web y el puerto 80 o 443, dependiendo del puerto configurado para la aplicación en CMA.
  2. Confirma si hay flujo de tráfico TCP desde el servidor web. Si no, verifica la conectividad local con el servidor. Sin NAT, el tráfico que llega a su servidor interno provendrá de una dirección IP pública.
  3. Verifique si se necesita usar el rango de IP NAT para el enrutamiento adecuado hacia/desde la red interna. Sin rango de IP NAT, el tráfico que llega al servidor interno provendrá de una dirección IP pública.
  4. Si se observa tráfico TCP en el paso #2, recopile un archivo HAR a través del Portal de Acceso del Navegador mientras accede a la aplicación siguiendo estos pasos:
    1. Desde el portal de acceso del navegador, haga clic derecho en cualquier lugar de la página y seleccione "Inspeccionar" en el menú contextual.
    2. Haga clic en el botón de configuración ubicado en la esquina superior derecha. Esta opción está disponible en Chrome. Si está usando un navegador diferente, proceda al paso #4.
    3. En Preferencias > Global, seleccione 'Abrir automáticamente DevTools para ventanas emergentes'.
    4. Haga clic en la aplicación desde el portal de acceso del navegador. Se abrirá una segunda pestaña. Aquí es donde debe llevarse a cabo la grabación. A menos que su navegador grabe automáticamente desde esta segunda pestaña (paso #3), deberá realizar esta acción manualmente en el siguiente paso.
    5. Siga las instrucciones de Cómo-Recopilar-Datos-HAR para reproducir el problema y recopilar el archivo HAR.
    6. Envíe esta información al Soporte de Cato para una mayor investigación. Consulte Elevación de casos al Soporte de Cato
  5. Si el archivo HAR muestra una redirección a un dominio interno, el navegador externo no podrá resolverlo ya que no realiza la resolución DNS con la red interna. Esta es actualmente una limitación de la solución de Acceso del Navegador, y el usuario debe conectarse a Cato vía el Cliente SDP.

Envíe esta información al Soporte de Cato para una mayor investigación. Consulte Aumento de casos al Soporte de Cato.

La Aplicación Web Presenta Problemas de Formato

El formato de la aplicación web es problemático, con elementos colocados de manera desordenada en la página, el texto muestra tamaños de fuente inconsistentes y las imágenes aparecen desalineadas. Este problema puede surgir cuando un cliente accede a una aplicación web a través del Portal de Acceso del Navegador utilizando el protocolo HTTP, y el código HTML de la aplicación web incluye enlaces HTTP absolutos a otros contenidos. Debido a que la conexión del Portal de Acceso del Navegador opera sobre HTTPS, los navegadores web contemporáneos restringirán el acceso a contenido HTTP, comúnmente denominado "contenido mixto."

Siga estos pasos para verificar si está encontrando este problema.

  1. Puede recopilar el archivo HAR a través del Portal de Acceso del Navegador mientras accede a la aplicación. Para obtener instrucciones detalladas, consulte Cómo-Recopilar-Datos-HAR.
  2. Si este es el problema, las herramientas de desarrollador web mostrarán bloques de contenido mixto, acompañado de una advertencia que indica que la conexión al sitio web no es segura.
  3. Haga clic derecho en cualquier lugar de la página y seleccione "Ver código fuente de la página." Esto abrirá el código fuente del sitio web.
  4. Examine cualquier enlace que comience con "http://" como se ilustra a continuación:
    <link href="http://nms-ubuntuserver.via.catonetworks.com/css/bootstrap.min.css" rel="stylesheet" type="text/css" />
  5. La presencia de enlaces HTTP en el código fuente es la razón por la cual el navegador está bloqueando el contenido.

  6. Siga las sugerencias descritas en Problemas de Formato para resolver este problema.

Las aplicaciones se agotan por acceso por navegador sin cliente; los usuarios del cliente SDP o los usuarios del sitio pueden acceder normalmente.

El portal se carga, pero las aplicaciones detrás de él no se abren. Los usuarios en la aplicación SDP basada en cliente o los usuarios detrás de los sockets cato pueden alcanzar todo normalmente. Los usuarios que acceden a través de Acceso por Navegador sin cliente experimentan tiempos de espera cuando intentan abrir cualquier aplicación.

Nota: El acceso remoto basado en el navegador no soporta la superposición de IPs entre un rango SNAT IP y el rango IP del sitio.

Por ejemplo, Acceso por Navegador está utilizando un rango NAT como 10.60.10.0/24. Al mismo tiempo, su red está anunciando una ruta más amplia, como 10.0.0.0/8, hacia Cato. Dado que 10.60.10.0/24 se encuentra dentro de ese bloque 10.0.0.0/8, la plataforma ve el tráfico devuelto como superpuesto con la propia subred del sitio. Cuando el tráfico intenta regresar a un usuario de Acceso por Navegador, la plataforma lo descarta para evitar crear un bucle de enrutamiento, ya que la ruta más amplia /8 traería el paquete de regreso hacia el sitio en lugar de al usuario. Esta superposición impide que la plataforma instale una ruta de retorno limpia para el tráfico de Acceso por Navegador.
 

Para resolver el problema, valide SNAT y Rutas de Cuenta

  1. Identifique el rango SNAT IP configurado para Acceso por Navegador.

  2. Navegue a la tabla de enrutamiento bajo su cuenta > red. Revise todas las rutas de cuenta y confirme que ninguna se superponga con el rango SNAT. Sin datos significa que no existe superposición en la tabla de enrutamiento. 

  3. Si existe una superposición:
    • Ajuste la configuración de enrutamiento para eliminar el conflicto.
    • Asegúrese de que las rutas anunciadas por BGP no cubran el rango SNAT.

Resolución de Problemas Descubiertos

Configuración Incorrecta

Muchos de los problemas mencionados anteriormente están relacionados con la configuración. Una vez que haya identificado las áreas mal configuradas, resolverlas debería solucionar el problema.

Cambiar el Subdominio para Excluir Caracteres Especiales

Navegue a Acceso > Single Sign-On y asegúrese de que no haya caracteres especiales en el campo de subdominio. Este requisito también se menciona en Configuración-del-Portal-de-Acceso-del-Navegador. Para más información sobre el impacto de cambiar el subdominio, consulte Cambiar-su-Nombre-de-Cuenta-y-Subdominio.

Asignación de Licencias a Usuarios

Navegar a Acceso > Usuarios > Directorio de Usuarios y validar que el usuario que accede al portal de acceso del navegador sea un usuario SDP licenciado


Para asignar una licencia a un usuario, consulte Asignación-de-Licencias-SDP-a-Usuarios 

Agregar una Aplicación al Portal de Acceso del Navegador

Navegue a Portal de Aplicaciones > Aplicación y valide que la aplicación esté agregada. Consulte Gestión-de-Aplicaciones-para-el-Portal-de-Acceso-del-Navegador para obtener detalles de configuración.

Configurar la Política de Acceso para Usuarios Permitidos

Navegue a Acceso > Portal de Aplicaciones > Política de Acceso y valide que el usuario pueda acceder a las aplicaciones. Para obtener detalles de configuración, consulte Definición-de-la-Política-de-Acceso-del-Navegador

Problemas de Formato

La solución implica modificar el código fuente de la aplicación ya que el navegador es responsable de bloquear el contenido mixto, no Cato. Se aconseja al cliente transformar los enlaces absolutos (aquellos que comienzan con http://) en el código HTML en enlaces relativos. Los enlaces relativos pueden ser relativos al protocolo o al root.
Por ejemplo, si tiene un enlace que se asemeja a:

href="http://www.mywebsite.com/css/stylesheet.css"

Un enlace relativo al protocolo sería como esto:

href="//www.mywebsite.com/css/stylesheet.css"

Un enlace relativo a la raíz se vería algo así:

href="/css/stylesheet.css"

Para más información sobre enlaces absolutos y relativos, puede referirse a absolute-vs-relative-urls

Aumento de casos al Soporte de Cato

Envíe un ticket de soporte con los resultados de los pasos de solución de problemas descritos anteriormente. Para problemas relacionados con el acceso a aplicaciones del portal del navegador, incluya también respuestas a las siguientes preguntas:

  1. ¿Cuál es el servidor de aplicación afectado? (IIS, Nginx, etc.)
  2. ¿La aplicación requiere autenticación adicional?
  3. ¿El usuario tiene acceso a los registros de aplicación o a los archivos de configuración? Si es así, ¿estos registros capturan el problema?
  4. ¿Cuáles son las ubicaciones desde las cuales los usuarios se conectan al portal SDP?
  5. ¿Pueden los usuarios conectarse a la aplicación cuando usan el Cliente Cato o cuando están detrás de un sitio de Socket?
  6. ¿Hay un balanceador de carga/servidor API/firewall entre ellos? 

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 2

0 comentarios