المستخدمون على macOS Ventura وiOS غير قادرين على الوصول إلى الموارد الداخلية عبر كاتو

المشكلة

على أجهزة macOS Ventura وiOS، المستخدمون غير قادرين على الوصول إلى الموارد الداخلية عند الاتصال بكتو

البيئة

  • macOS Ventura 13.0 أو أحدث
  • iPhone iOS 16 أو أحدث
  • عميل Cato SDP بغض النظر عن الإصدار
  • توجيه DNS مُعد للمجالات الداخلية

السبب

إذا كان إعدادات DNS في Cato المطبقة على مستخدمي SDP هي الافتراضية (الحقول فارغة)، فإن كاتو سيدفع إلى العميل المعلومات التالية عن DNS:

  • الخادم DNS الرئيسي 10.254.254.1
  • الخادم DNS الثانوي 8.8.8.8

استنادًا إلى اختبارات Cato، عندما يتم تكوين الحساب كما هو موضح أعلاه أو باستخدام خادم DNS عام معروف (مثل 8.8.8.8 أو 1.1.1.1)، يُفضل نظام macOS/iOS استخدام DoH (DNS عبر HTTPS) أو DoT (DNS عبر TLS) لحل الأسماء تجاه خادم DNS العام المُكوّن. كاتو حاليًا لا يدعم DoH/DoT. 

بمجرد أن يرى macOS/iOS خادم DNS متوافق مع DoH/DoT، فإنه سيتجاهل أي خادم DNS آخر، بما في ذلك عنوان خادم DNS لكتو. يمكن العثور على مزيد من المعلومات في نقاش Apple.

نظرًا لأن كاتو PoPs لا تدعم توجيه DNS لحزم DoH/DoT، يفشل توجيه DNS، لا يمكن للمستخدم الوصول إلى الموارد الداخلية، أو لا تكون نتائج DNS المُسترجعة كما هو متوقع.

يمكن تحديد خوادم DNS المفضلة على الجهاز عن طريق تشغيل scutil --dns في المحطة. يوضح المحتوى التالي أن نظام macOS يفضل 8.8.8.8 كخادم DNS الرئيسي.

MacBook-Air-2:~ xx$ scutil --dns 
تكوين DNS

الوسيط #1
أسماء الخوادم[0] : 8.8.8.8
أسماء الخوادم[1] : 10.254.254.1
if_index : 24 (utun8)
علامات : تكميلي، طلب سجلات A
الوصول : 0x00000003 (يمكن الوصول إليه، اتصال عابر)
الترتيب : 101200

كن مدركًا أنه عندما تتعارض إعدادات DNS بين الكيانات، تأخذ الكيان الأقرب للمضيف (من المضيف > الموقع > المجموعة > الحساب) الأولوية. لمزيد من المعلومات، راجع إعدادات DNS

الحل

هذه مشكلة معروفة أن Apple تعمل بنشاط على حلها. يمكن تنفيذ الحلول التالية في كاتو:

1. احظر DoH (DNS عبر HTTPS) وDNS عبر TLS في قاعدة جدار ناري لمنع هذه البروتوكولات من أن تصبح متاحة عبر كاتو. سيجبر هذا macOS/iOS على التحول إلى خادم DNS الافتراضي لكتو، 10.254.254.1، عبر DNS المستند إلى UDP، مما يسمح بتوجيه DNS.

٢. قم بتعيين 10.254.254.1 كخادم DNS الوحيد بشكل صريح في CMA. سيمنع هذا 8.8.8.8 (أو أي خادم DNS آخر يدعم DoH/DoT) من أن يصبح خادم DNS الرئيسي للجهاز وسيجبر جميع طلبات DNS لتتم إدارتها بواسطة كتو.

يمكن تعيين خادم DNS عالميًا أو كل مجموعة، ويفضل مجموعة المستخدمين المُعدة مسبقًا 'جميع مستخدمي SDP'. للحديث عن المزيد من المعلومات، راجع إدارة مركزية لإعدادات DNS لمستخدمي SDP

 

هل كان هذا المقال مفيداً؟

1 من 1 وجدوا هذا مفيداً

لا توجد تعليقات