অভ্যন্তরীণ সম্পদ অ্যাক্সেস সমস্যা সমাধান

ওভারভিউ

অভ্যন্তরীণ সম্পদে ক্রমাগত অ্যাক্সেস নিশ্চিত করা নেটওয়ার্কের উৎপাদনশীলতা এবং নিরাপত্তা বজায় রাখার জন্য অত্যন্ত গুরুত্বপূর্ণ। তবে, বিভিন্ন কারণ অ্যাক্সেস বিঘ্নিত করতে পারে, যার ফলে খারাপ ব্যবহারকারীর অভিজ্ঞতা এবং কর্মপ্রবাহ বাধাগ্রস্ত হয়। এই প্লেবুকটি Cato Cloud এর মধ্যে অভ্যন্তরীণ সম্পদে WAN অ্যাক্সেস সমস্যার সমস্যা সমাধানের জন্য একটি বিস্তৃত গাইড প্রদান করতে চায়।

লক্ষণ

অভ্যন্তরীণ সম্পদে অ্যাক্সেস করতে ব্যর্থতা বিভিন্ন উপায়ে প্রকাশ পেতে পারে। একজন প্রশাসক নিম্নলিখিত লক্ষণগুলি লক্ষ্য করতে পারেন:

  • অভ্যন্তরীণ সার্ভার ডোমেইন নাম সমাধান করা যাবে না
  • অভ্যন্তরীণ সার্ভার প্রবেশযোগ্য নয়
  • WAN ফায়ারওয়াল নিয়মের অসঙ্গতি
  • SDP ক্লায়েন্ট অভ্যন্তরীণ সম্পদে পৌঁছাতে পারছে না
  • রিমোট পোর্ট ফরওয়ার্ডিং (RPF) উৎস আহরণ করা যাবে না
  • LAN পর্যবেক্ষণ হোস্ট অবপ্রাপ্ত

সম্ভব কারণসমূহ

  • রাউটিং সমস্যা
  • DNS ফরওয়ার্ডিং ভুল কনফিগারেশন
  • WAN ফায়ারওয়াল ভুল কনফিগারেশন
  • SDP ক্লায়েন্টের নেটওয়ার্কের সঙ্গে ওভারল্যাপ
  • নিরাপত্তা হস্তক্ষেপ
  • গন্তব্য হোস্ট সংযোগ সমস্যা

প্রারম্ভিক মূল্যায়ন

নোট

নোট: নিশ্চিত করুন আপনার একটি WAN ফায়ারওয়াল নিয়ম রয়েছে (ইভেন্ট ট্র্যাকিং সক্রিয় করা হয়েছে, ক্ষণস্থায়ী পরীক্ষার জন্য তৈরি থাকলেও)।

ব্রাউজারের মাধ্যমে অভ্যন্তরীণ সার্ভার প্রবেশের সাথে সম্পর্কিত সমস্যার জন্য, দেখুন ব্রাউজার অ্যাক্সেস সমস্যার সমাধান

CMA তে প্রিসেট নির্বাচন করে WAN ফায়ারওয়াল, IPS এবং এন্টি-ম্যালওয়্যার ইভেন্ট পর্যালোচনা করুন। আকর্ষণীয় ট্রাফিক সংকুচিত করার জন্য ফিল্টার সেট করুন এবং পরীক্ষা করুন যে প্রবাহটি WAN ফায়ারওয়াল বা IPS/AM ইঞ্জিনগুলি দ্বারা ব্লক করা হয়েছে কিনা। নিয়ম ক্ষেত্রটি সেই নিয়ম প্রদর্শন করবে যা ট্রাফিকের সঙ্গে মেলে।

এই প্রাথমিক মূল্যায়নের ধাপগুলি অনুসরণ করে নিশ্চিত করে নিন যে আপনি যথাযথ সমস্যার সমাধানের অংশটি পর্যালোচনা করেছেন:

সমস্যা সমাধানের জটিলতা

একজন প্রশাসক উল্লেখিত উপসর্গগুলি মোকাবিলা করতে পারে এমন সমস্যার সমাধানের ধাপগুলি নিচে তালিকাভুক্ত হয়েছে। এই ধাপগুলি সমস্যার সম্ভাব্য কারণগুলি নির্ধারণ করার জন্য তৈরি করা হয়েছে। সমাধানের ধাপগুলি প্লেবুকে পরে হাইলাইট করা হবে।

অডিট ট্রেইল লগ পরীক্ষা করা।

অভ্যন্তরীণ সম্পদের অ্যাক্সেসে প্রভাব ফেলতে পারে এমন কোনো সংশোধিত লগের জন্য অডিট ট্রেইল পরীক্ষা করুন। এতে অন্তর্ভুক্ত রয়েছে WAN ফায়ারওয়াল নিয়ম, AM/IPS সেটিংস এবং TLS পরিদর্শন।

সার্ভার ডোমেইন নাম রেজোলিউশন সমস্যার সমাধান

DNS রেজোলিউশন পরীক্ষা করা

যদি অভ্যন্তরীণ সম্পদকে তার ডোমেইন নাম ব্যবহার করে অ্যাক্সেসযোগ্য করা হয়, তাহলে কমান্ড লাইনের nslookup বা dig কমান্ডগুলি ব্যবহার করে অভ্যন্তরীণ সার্ভারের ডোমেইন নাম সমাধান করা যায় কিনা তা নিশ্চিত করুন।

আপনার অ্যাকাউন্টে অভ্যন্তরীণ DNS রেজোলিউশনের জন্য দুটি পরিস্থিতি থাকতে পারে:

  • যদি কোনো ব্যক্তিগত DNS সার্ভার IP ঠিকানা প্রতিষ্ঠানটিতে ব্যবহৃত হয়, তবে প্রভাবিত ব্যবহারকারীরা অভ্যন্তরীণভাবে DNS সার্ভারে পৌঁছাতে পারবেন কিনা তা নিশ্চিত করুন। যদি না হয়, তাহলে অপ্রাপ্য অভ্যন্তরীণ সার্ভার সমস্যার সমাধান এর মতো DNS সার্ভারের সংযোগযোগ্যতার সমস্যা সমাধান করুন।
  • যদি অ্যাকাউন্টে ডিফল্ট Cato DNS সার্ভার 10.254.254.1, অ্যাকাউন্ট-সংজ্ঞায়িত DNS সার্ভার, অথবা পরিচিত পাবলিক DNS (8.8.8.8, 1.1.1.1, বা 9.9.9.9) ব্যবহার করা হয়, তাহলে পরবর্তী ধাপে DNS ফরওয়ার্ডিং সমস্যা সমাধান করুন।

DNS ফরওয়ার্ডিং যাচাই করা

অভ্যন্তরীণ ডোমেইন নামের উপর নির্ভরশীল ট্রাফিক প্রবাহগুলি (যেমন pc1.domain.net) CMA-এ সঠিকভাবে DNS ফরওয়ার্ডিং কনফিগার করা উচিত। এছাড়াও এটি অত্যন্ত গুরুত্বপূর্ণ যে Cato DNS প্রবাহগুলো বাধা দেয় যাতে ডোমেইন নাম সঠিকভাবে সমাধান করতে পারে।

DNS ফরওয়ার্ডিং সমস্যা সমাধান এ ব্যাখ্যা হিসেবে নির্দিষ্ট DNS সার্ভারগুলিতে DNS কুইয়ারী গন্তব্য করা হলে তা DNS ফরওয়ার্ডিং কাজ করতে পারে।

অপ্রাপ্য অভ্যন্তরীণ সার্ভার সমস্যা সমাধান

Cato রাউটিং টেবিল যাচাই করা

রাউটিং টেবিলটি সামর্থন, মেট্রিক্স এবং আরও কিছু যাচাইয়ের জন্য ব্যবহার করা যেতে পারে:

  • অনুসন্ধান স্ট্রিংয়ে রিসোর্স IP ঠিকানা অনুসন্ধান করুন এবং নিশ্চিত করুন যে সঠিক সাইটের মাধ্যমে বিদ্যমান মিলিত রুট রয়েছে।
  • যদি কোনও রুট পাওয়া না যায়, এর অর্থ হয়ে দাঁড়ায় যে Cato এই রুটটির সম্পর্কে অবগত নয়, ফলে এটি এই গন্তব্যস্থলে রুট করতে সক্ষম নয়। এই সমস্যা সমাধান করতে দেখুন রাউটিং সমস্যা সমাধান
  • যদি একই গন্তব্যের জন্য রুট থাকে, নিশ্চিত করুন যে BGP গতিশীল রেঞ্জ অন্যান্য স্থির রুটের সাথে ওভারল্যাপ না করে। নিম্ন মেট্রিকের রুট প্রাধান্য পায়।
  • BGP বিভিন্ন সাইট থেকে অতিরিক্ত রুটও বিজ্ঞাপন করতে পারে। ওজন, AS দৈর্ঘ্য বা MED সহ নিম্ন মেট্রিকের রুট প্রাধান্য পায়। রাউটিং টেবিল ক্ষেত্রসমূহ বোঝা দেখুন।
  • মেট্রিক সমস্যাসমূহের সমাধানে দেখুন রাউটিং সমস্যা সমাধান

IPSec নীতি ভিত্তিক রাউটিং যাচাই করা

যদি অভ্যন্তরীণ রিসোর্স IPSec এর মাধ্যমে প্রাপ্য হয়, নিশ্চিত করুন যে সঠিক পরিসর সাইটের IPSec ও নেটওয়ার্ক সেকশনগুলিতে নির্ধারিত হয়েছে, যেমন IPSEC সমস্যা সমাধান প্লেবুক এ ব্যাখ্যা করা হয়েছে।

যদি নীতি ভিত্তিক রাউটিং কনফিগার করা থাকে, সকল ট্রাফিক সিলেক্টরকে অভ্যন্তরীণ সম্পদে সংযোগস্থাপন নিশ্চিত করার জন্য Cato এবং IPSec ফায়ারওয়াল /রাউটার উভয়ের মধ্যে মেলে হতে হবে।

অভ্যন্তরীণ সম্পদের জীবন্ততা যাচাই করা

যদি অভ্যন্তরীণ সম্পদ একটি সকেট বা vSocket এর পিছনে অবস্থিত হয়, সাইটে পরিচিত হোস্ট পৃষ্ঠার সর্বশেষ হোস্ট অ্যাক্টিভিটি মান চেক করুন। সাইটের জন্য পরিচিত হোস্ট প্রদর্শন করা দেখুন।

সাইট দ্বারা সম্প্রতি দেখা যায় নি এমন হোস্টগুলি সম্ভবত বন্ধ হয়ে থাকতে পারে বা নেটওয়ার্কের সাথে সংযুক্ত না হতে পারে।

WebUI থেকে প্যাকেট সংগ্রহ চালান এবং LAN এর মধ্যে যেকোনো সম্ভাব্য সমস্যা সনাক্ত করুন।

TLS প্রবাহ যাচাই করা

যদি আকর্ষণীয় ট্রাফিক TLS হয় এবং আপনি চেক করেছেন যে পূর্বের ধাপগুলি ট্রাফিককে অনুমোদন করেছে। পরীক্ষা করুন যে ট্রাফিক প্রবাহটি কাটো দ্বারা TLS পরিদর্শন হচ্ছে কিনা। এটি ফায়ারওয়াল নিয়মে পাওয়া যাবে যার TLS পরিদর্শন ক্ষেত্রটি 1 এ সেট রয়েছে।

যদি তাই হয়, তবে TLS পরিদর্শন নীতি কনফিগার করুন নির্দেশ অনুযায়ী কাটো মূল সার্টিফিকেটটি উৎস ডিভাইসে ইনস্টল করতে হবে। অন্যথায়, কোনো সার্টিফিকেট ত্রুটি এবং সম্ভাব্য রিসোর্স অ্যাক্সেস সমস্যা প্রতিরোধ করতে TLS পরিদর্শন বাইপাস করুন।

ওয়ান ফায়ারওয়াল নিয়ম অমিল সমস্যা সমাধান

একটি ফায়ারওয়াল নিয়ম কনফিগার করার সময়, এটা সম্ভব যে ট্রাফিকটি ভুল নিয়মে মূল্যায়িত হচ্ছে। এই অংশটি সমস্ত সম্ভাব্য অমিল দৃশ্যপট এবং এই সমস্যাটি কিভাবে সমাধান করা যায় তা কভার করে।

কাস্টম অ্যাপ্লিকেশনের যাচাইকরণ

যদি আগ্রহী ট্রাফিকটি একটি কাস্টম অ্যাপ্লিকেশনের সাথে মিলিত আশা করা হয় এবং ফায়ারওয়াল ইভেন্টের মধ্যে পাওয়া অ্যাপ্লিকেশন ক্ষেত্রটি মেলে না, নিশ্চিত করুন যে কাস্টম অ্যাপটি সঠিকভাবে কনফিগার করা হয়েছে। মনে রাখবেন যে যখন ওভারল্যাপিং কাস্টম অ্যাপস বিদ্যমান, কাটো শুধুমাত্র ট্রাফিককে একটি কাস্টম অ্যাপস হিসেবে চিহ্নিত করে। 

এই সমস্যাটি প্রতিরোধ করতে, দয়া করে ওভারল্যাপিং কাস্টম অ্যাপ্লিকেশন সমাধান অংশটি দেখুন।

বিল্ট-ইন অ্যাপ্লিকেশন/সেবা যাচাইকরণ

যদি কোন বিল্ট-ইন অ্যাপ্লিকেশন বা সেবার সাথে মিলিত হওয়ার জন্য আগ্রহী ট্রাফিকের আশা করা হয় এবং ট্রাফিকটি ভুল ফায়ারওয়াল নিয়মের সাথে মেলে, তাহলে নিম্নলিখিতগুলি পরীক্ষা করুন:

  • 'ভুল' মিলিত ফায়ারওয়াল নিয়মে কোন অ্যাপ্লিকেশন বা সেবা কনফিগার করা আছে।
  • এসব অ্যাপ্লিকেশন/সেবার মধ্যে কোনটি FW ইভেন্টের সম্পর্কিত অ্যাপস ক্ষেত্রটিতে তালিকাভুক্ত আছে কিনা।

অ্যাপ/সেবা শনাক্তকরণ একটি বহু ধাপের প্রক্রিয়া যা প্রোটোকল শনাক্তকরণ দিয়ে শুরু হয় এবং তারপর সকল সম্ভাব্য মেলানো অ্যাপ্লিকেশন গুলো যা সম্পর্কিত অ্যাপস ক্ষেত্রের অন্তর্ভুক্ত হয়। যেকোনো 'সংক্রান্ত অ্যাপ' যে কোন ফ্লোতে শনাক্ত হয় তা চূড়ান্ত অ্যাপ (অ্যাপ্লিকেশন ক্ষেত্র) সিদ্ধান্ত নির্বিশেষে একটি ফায়ারওয়াল নিয়মের সাথে মিলবে।

নিচের উদাহরণে, SMB ট্রাফিক নিয়ম #1 এর সাথে মেলে নিয়ম #2 এর পরিবর্তে। এটি কারণ নিয়ম #1 এ TCP সেবা (সম্পর্কিত অ্যাপস মধ্যে অন্তর্ভুক্ত) রয়েছে, যদিও চূড়ান্ত অ্যাপ (অ্যাপ্লিকেশন ক্ষেত্র) হল SMB

এই প্রত্যাশিত আচরণটি সমাধান করতে ফায়ারওয়াল নিয়ম অর্ডার করা দেখুন।

কনফিগার করা ডোমেইন নাম যাচাইকরণ

যদি একটি ফায়ারওয়াল নিয়মে একটি ডোমেইন বা পুরো ডোমেইন নাম (FQDN) অবজেক্ট থাকে, তাহলে চিন্থিত করুন FW ইভেন্টে ডোমেইন নাম ক্ষেত্রটি কী। ফায়ারওয়াল নিয়মের মধ্যে ডোমেইন/পুরো ডোমেইন নাম (FQDN) অবজেক্টটি এই ক্ষেত্রের সাথে সমান হতে হবে।

মনে রাখবেন একটি পুরো ডোমেইন নাম (FQDN) হল পুরো ডোমেইন নামে সঠিক মিল। উদাহরণস্বরূপ, পুরো ডোমেইন নাম (FQDN) example.com শুধুমাত্র example.com. এর সাথে মিল করুন

অন্যদিকে, একটি ডোমেইন হল একটি শীর্ষ স্তরের (TLD) অথবা দ্বিতীয় স্তরের ডোমেইন (SLD) যা সকল সাবডোমেইনের সাথে মিল করে। উদাহরণস্বরূপ, ডোমেইন example.com www.example.com এবং host.example.com এর সাথে মিলে যায়।

এইচটিটিপি, TLS, বা ডিএনএস প্রবাহ থেকে Cato সঠিক ডোমেইন নাম নির্ধারণ করতে না পারার পরিস্থিতি হতে পারে। এই ধরনের সমস্যার সমাধানের জন্য ডোমেইন নাম বেমেল সমস্যা সমাধান দেখুন।

SDP ক্লায়েন্ট সফটওয়্যার অভ্যন্তরীণ সম্পদগুলিতে পৌঁছাতে পারছে না সমস্যা সমাধান।

এই অংশটি বিশেষভাবে SDP ক্লায়েন্ট সফটওয়্যার মাধ্যমে অভ্যন্তরীণ রিসোর্সগুলিতে পৌঁছানোর সমস্যাগুলি নিয়ে আলোচনা করে।

ব্যবহারকারীর হোম নেটওয়ার্ক সাবনেট ওভারল্যাপ পরীক্ষা করা হচ্ছে।

যদি SDP ক্লায়েন্ট সফটওয়্যার সার্ভার পিং সহ অভ্যন্তরীণ সম্পদগুলিতে সংযোগ করতে না পারে, তবে দেখুন ব্যবহারকারীর হোম নেটওয়ার্ক এবং অভ্যন্তরীণ সম্পদযুক্ত সাইটের মধ্যে IP ঠিকানা ওভারল্যাপ রয়েছে কি না। যদি তাই হয়, তাহলে অভ্যন্তরীণ সার্ভারে সংযোগ করার সময় ক্লায়েন্টের রাউটিং টেবিল স্থানীয় NIC-এর দিকে ইশারা করবে, যার ফলে সংযোগ ব্যর্থ হবে।

192.168.0.0/24, 192.168.1.0/24 বা 10.0.0.0/24 IP পরিসীমা সহ রিমোট সাইটগুলি সহজেই হোম ওয়্যারলেস রাউটারের IP পরিসীমার সাথে ওভারল্যাপ হতে পারে, যা প্রায়শই ডিফল্ট DHCP সেটিংস হিসাবে এই IP পরিসীমা ব্যবহার করে।

এই সমস্যার সমাধান করতে, SDP ক্লায়েন্ট রিমোট WAN সম্পদে সংযুক্ত হতে পারবে না এ বর্ণিত পদক্ষেপগুলি অনুসরণ করুন।

macOS এবং iOS ব্যবহারকারীরা অভ্যন্তরীণ ডোমেইন সমাধান করছেন না।

macOS Ventura এবং iOS ব্যবহারকারীরা Cato এর মাধ্যমে অভ্যন্তরীণ সম্পদগুলি অ্যাক্সেস করতে পারছে না তে যেমন ব্যাখ্যা করা হয়েছে, যদি SDP ক্লায়েন্ট অভ্যন্তরীণ সম্পদগুলির সাথে তার ডোমেইন নাম ব্যবহার করে সংযোগ করতে না পারে তবে তারা তার IP ঠিকানা ব্যবহার করে এটি অ্যাক্সেস করতে পারে, এটি সম্ভব যে DNS ফরওয়ার্ডিং DoH (DNS over HTTPS) অথবা DoT (DNS over TLS) শেষপয়েন্ট দ্বারা ব্যবহৃত হলে ব্যর্থ হচ্ছে। ক্যাটো বর্তমানে DoH/DoT সমর্থন করে না।

এই সমস্যার সমাধান করতে, DNS ফরওয়ার্ডিং সমস্যা সমাধান দেখুন। বিকল্পভাবে, Cato DNS সার্ভার (10.254.254.1) কে CMA এ শেষপয়েন্টটির একমাত্র DNS সার্ভার হিসাবে সংজ্ঞায়িত করা যেতে পারে।

অ্যান্ড্রয়েড ব্যবহারকারীরা অভ্যন্তরীণ ডোমেইন সমাধান করছেন না।

যেমনটি Android ডিভাইসগুলি Cato-এর মাধ্যমে অভ্যন্তরীণ সম্পদে পৌঁছাতে অক্ষম এ ব্যাখ্যা করা হয়েছে, যদি SDP ক্লায়েন্ট তার ডোমেইন নাম ব্যবহার করে অভ্যন্তরীণ সম্পদের সাথে সংযোগ স্থাপন করতে না পারে কিন্তু তারা সেটি IP ঠিকানা ব্যবহার করে পৌঁছাতে সক্ষম হয়, তাহলে এটি সম্ভাব্য যে DNS ফরওয়ার্ডিং ডিফল্ট আচরণ হিসাবে ডিভাইস দ্বারা ব্যবহৃত স্বয়ংক্রিয় ব্যক্তিগত DNS (default behavior) এর কারণে ব্যর্থ হচ্ছে, যা DNS রেজলিউশনের জন্য DoH/DoT প্রয়োগ করে। এটি বর্তমানে Cato দ্বারা সমর্থিত নয়।

এই সমস্যার সমাধানের জন্য, দেখুন DNS ফরওয়ার্ডিং সমস্যা সমাধান। অন্যথায়, ডিভাইসে ব্যক্তিগত DNS নিষ্ক্রিয় করা যেতে পারে।

RPF অভ্যন্তরীণ সম্পদ ত্রুটিনির্ণয়

RPF ঘটনা বিশ্লেষণ

CMA-তে RPF প্রিসেট নির্বাচন করে RPF ঘটনা রিভিউ করুন। ঘটনা তৈরি হয়েছে কিনা নিশ্চিত করুন যা নিশ্চিত করবে যে বাহ্যিক Cato IP উপলব্ধ। লক্ষ্য করুন যে গন্তব্যস্থল IP ঠিকানা হল RPF নিয়মে কনফিগার করা বাহ্যিক সর্বসাধারণের জন্য IP।

নোট: ইনবাউন্ড RPF ইভেন্টগুলি কখনও কখনও ব্যবহারকারীর প্রদর্শন নাম দেখাতে পারে, যদিও ট্রাফিকটি ব্যবহারকারী-আরম্ভিত নয়। এটি প্রত্যাশিত আচরণ

Cato প্ল্যাটফর্মের ইভেন্ট ক্ষেত্রগুলি টানেল, হোস্ট, এবং ব্যবহারকারীর এজেন্ট থেকে মেটাডেটা সংগ্রহ করে, শুধু ট্রাফিক প্রবাহ নয়। তাহলে, যদি একটি ডিভাইসে ব্যবহারকারী সনাক্ত করা হয় সকেট বা টানেল এর পিছনে, তাদের নাম ইভেন্টে প্রদর্শিত হতে পারে—এমনকি ইনবাউন্ড ট্রাফিকের জন্য।

এটি ফায়ারওয়াল বা রাউটিং নীতিসমূহ যেভাবে ট্রাফিক ব্যাখ্যা করে (যেগুলি দিক নির্দেশনায় সচেতন) তা থেকে আলাদা করে, কিন্তু এটি ইভেন্ট সম্পর্ককরণ এর জন্য স্বাভাবিক। 

 

ভৌগোলিক ব্লক ঘটনা বিশ্লেষণ

অভ্যন্তরীণ সার্ভারের অভ্যন্তরীণ IP ঠিকানার জন্য নির্ধারিত কোনো ঘটনাগুলি রিভিউ করুন। যে কোনও ভৌগোলিক ব্লকিং সীমাবদ্ধতা অভ্যন্তরীণ সার্ভারে সংযোগকে বাধা দিচ্ছে না তা নিশ্চিত করুন। যদি হ্যাঁ, তাহলে উৎস দেশের অনুমতি দেওয়ার জন্য ইনবাউন্ড দিকের স্থল সীমাবদ্ধতা নীতি সম্পাদনা করুন।

অভ্যন্তরীণ সম্পদের জীবন্ততা পরীক্ষা করা হচ্ছে

সাইটে পরিচিত হোস্ট পৃষ্ঠায় থেকে শেষ পরিচিত কার্যকলাপ মান চেক করুন। সাইটের জন্য পরিচিত হোস্ট প্রদর্শন করছেন দেখুন

যে হোস্টগুলি সাইট দ্বারা সম্প্রতি দেখা যায়নি তারা হয়ত বন্ধ বা নেটওয়ার্কে যুক্ত নয়।

WebUI থেকে একটি প্যাকেট ক্যাপচার চালান এবং LAN-এর ভিতরে কোনো সম্ভাব্য সমস্যা চিহ্নিত করুন।

অপ্রাপ্য LAN মনিটরিং হোস্ট ত্রুটিনির্ণয়

সংযুক্তি ইভেন্ট বিশ্লেষণ

CMA-তে LAN হোস্টগুলি অপ্রাপ্য প্রিসেট নির্বাচন করে সংযোগকারিতা ঘটনা রিভিউ করুন। হোস্ট অপ্রাপ্য ঘটনা তৈরি হবে যখন নির্ধারিত LAN হোস্ট আর অ্যাক্সেসযোগ্য না হয়।

স্থানীয় হোস্টের পথগম্যতা যাচাই করা

নির্ধারিত স্থানীয় হোস্টটিকে সকেট ওয়েবইউআই থেকে পিং করা যাবে কিনা নিশ্চিত করুন। যদি পিং সফল হয়, তাহলে নিম্নলিখিত পরীক্ষা করুন:

  • LAN মনিটরিং প্রোবগুলি 10.254.254.1 থেকে উৎসাহিত ICMP প্যাকেট, তাই এটা নিশ্চিত করা গুরুত্বপূর্ণ যে মনিটরিং করা হোস্টটির একটি পথ রয়েছে যা Socket ল্যান গেটওয়ে পর্যন্ত ফিরে যেতে সক্ষম হয় উত্তর দেওয়ার জন্য।
  • যদি ডিভাইসটি একটি স্থানীয় ফায়ারওয়াল চালাচ্ছে, তবে 10.254.254.1 IP ঠিকানা থেকে ICMP অনুমতি দিতে হবে।

প্যাকেট ক্যাপচার WebUI থেকে চালান এবং ল্যানের ভিতরে যেকোনো সম্ভাব্য সমস্যা চিহ্নিত করুন।

আবিষ্কৃত সমস্যা সমাধান

রাউটিং সমস্যা সমাধান

যদি অভ্যন্তরীণ রিসোর্সের দিকে রুট রাউটিং টেবিলে না পাওয়া যায়, তাহলে নিম্নলিখিত বিষয়গুলি পরীক্ষা এবং সমাধান করুন:

  • যদি সাইটের জন্য BGP কনফিগার করা থাকে, তাহলে নিশ্চিত করুন যে প্রতিবেশীরা রুটগুলো প্রচার করছে। BGP স্ট্যাটাস দেখান দেখুন। স্থানীয় রাউটার দ্বারা বিজ্ঞাপন করা BGP প্রিফিক্সগুলি পর্যালোচনা করা এবং নিশ্চিত করা গুরুত্বপূর্ণ যে Cato সেগুলি পাচ্ছে।
  • যদি BGP সেশন ডাউন হয়, তাহলে সংযোগ বিচ্ছিন্নতার সমস্যা ট্রাবলশুট করুন। BGP সেশন সংযোগ বিচ্ছিন্ন দেখুন।
  • যে সাইট রেঞ্জ হোস্ট করছে তা উপলব্ধ তা নিশ্চিত করুন। সাইট কানেক্টিভিটি ট্রাবলশুটিং দেখুন।

যদি রাউটিং টেবিলে দেখা রাউট মেট্রিক ভুল রাউটিং প্রক্রিয়ার কারণ হয়, তাহলে নিম্নলিখিত বিষয়গুলি পরীক্ষা এবং সমাধান করুন:

  • টানেল মেট্রিকের মানগুলি সাধারণত Cato দ্বারা সেট করা হয়। যতক্ষণ না তারা একই ধরনের সাইট থেকে প্রাপ্ত হয়, যেমন IPSec বা Socket সাইট, ততক্ষণ রিডান্ডেন্ট রুটগুলি একই টানেল মেট্রিক থাকা উচিত।
  • ওজন মান CMA, নেটওয়ার্ক > সাইট > সাইট কনফিগারেশন > BGP এ কনফিগার করা যাবে। এই পৃষ্ঠায় কনফিগার করা মেট্রিক মান রাউটিং টেবিলে ওজন হিসাবে দেখা যাবে। সাইটের জন্য মেট্রিক পরিবর্তন করলে রিডান্ডেন্ট রুটগুলির জন্য ভুল রাউটিং প্রক্রিয়াগুলি ঠিক হবে।
  • এএস দৈর্ঘ্য এবং মেট্রিক বৈষম্যকর মানগুলি বাহ্যিক রাউটার থেকে প্রাপ্ত হয়। প্রয়োজন হলে এই ডিভাইসে তাদের পরিবর্তিত হতে হবে।

ভুল ইতিবাচক IPS/এন্টি-ম্যালওয়্যার ব্লক সমাধান করা

যদি IPS/AM দ্বারা মজার ট্রাফিক ব্লক করা হয়, তাহলে আপনি IPS এবং এন্টিম্যালওয়্যার সেটিংসে WAN পরিসর সহ অনুমোদিত তালিকা যোগ করতে পারেন।

 

ওভারল্যাপিং কাস্টম অ্যাপ্লিকেশন সমাধান করা

কাস্টম অ্যাপ্লিকেশন সঠিক IP ঠিকানা, ডোমেইন, পোর্ট এবং প্রোটোকল অন্তর্ভুক্ত করে তা নিশ্চিত করুন। পরিচয় জন্য কোন কাস্টম অ্যাপ্লিকেশন নির্বাচন করা হয়েছে তাতে কোনো যুক্তি নেই, তাই কাস্টম অ্যাপ্লিকেশনকে অবশ্যই অনন্যভাবে সংজ্ঞায়িত করা উচিত অন্য কাস্টম অ্যাপ্লিকেশনের সাথে ওভারল্যাপ এড়াতে। আরও তথ্যের জন্য, দেখুন কাস্টম অ্যাপ্লিকেশনসের সাথে কাজ করা

ফায়ারওয়াল নিয়মের ক্রম

মনে রাখবেন যে ফায়ারওয়াল নিয়মগুলি তাদের ক্রম অনুযায়ী মূল্যায়ন করা হয়, তাই আরও সাধারণ নিয়মের উপরে আরও নির্দিষ্ট নিয়মগুলি নির্ধারণ করা গুরুত্বপূর্ণ। উদাহরণস্বরূপ, ফায়ারওয়াল নিয়ম যা একটি কাস্টম অ্যাপ্লিকেশন, বিল্ট-ইন অ্যাপ্লিকেশন, ডোমেইন, পুরো ডোমেইন নাম (FQDN), বা কাস্টম সার্ভিস নির্ধারণ করে তা এমন ফায়ারওয়াল নিয়মের উপরে রাখা উচিত যা বিভাগসমূহ, কাস্টম ক্যাটেগরি, বা সেবাসমূহ অন্তর্ভুক্ত করে।

নিচের স্ক্রীনশটে, নিয়ম #1-এ একটি কাস্টম সার্ভিস রয়েছে, যার মধ্যে twitter.com-এর জন্য IP রেঞ্জ অন্তর্ভুক্ত করা হয়েছে এবং এটি নিয়ম #2-এর উপরে রাখা হয়েছে যা অ্যাপ্লিকেশন বিভাগসমূহ অন্তর্ভুক্ত করে। নিয়ম #1 নিয়ম #2-এর চেয়ে বেশি নির্দিষ্ট এবং এটি twitter.com-এর উদ্দেশ্যে থাকা ট্রাফিকের জন্য আরও ভাল মিল হবে। এটি অতিরিক্তভাবে TCP নিষ্ক্রিয় করবে এবং অফ-ক্লাউড বা আল্ট-ওয়ান রাউটিং সমস্যাগুলি সমাধান করবে কারণ নিয়ম #1 একটি সহজ নিয়ম।

ডোমেইন নাম মেলেনি সমস্যা সমাধান

ডোমেইন/পুরো ডোমেইন নাম (FQDN) ভিত্তিক ফায়ারওয়াল নিয়মের মিলের সমস্যা নিম্নরূপ সমাধান করা যায়:

  • HTTP/S-এর মতো প্রোটোকলের জন্য, Cato GET অনুরোধ বা SNI (TLS handshake থেকে) থেকে ডোমেইন নির্ধারণ করতে পারে, তাই এটি সমাধান করতে গুরুত্বপূর্ণ কী এই ক্ষেত্রগুলি (FW ইভেন্টে দৃশ্যমান হিসাবে ডোমেইন নাম) এবং নিশ্চিত করুন যে তারা ফায়ারওয়াল নিয়মে নির্ধারিত হয়েছে।
  • SSH বা SMB-এর মত অন্যান্য প্রোটোকলের ক্ষেত্রে যারা ডোমেইন পাঠায় না সাধারণ পাঠ্য পর্যায়ে, Cato DNS অনুরোধ এবং প্রতিক্রিয়া থেকে ডোমেইন নির্ধারণের জন্য নির্ভর করে। ব্যক্তিগত DNS ব্যবহারের সময় এটি বিশেষভাবে সমালোচনামূলক কারণ আমাদের নিশ্চিত করতে হবে DNS প্রশ্ন/প্রতিক্রিয়া Cato পেরিয়ে গিয়েছে। দেখুন DNS এবং আপনার Cato অ্যাকাউন্টের জন্য সেরা চর্চাসমূহ
  • ডোমেইন নাম/অ্যাপ্লিকেশন মিলানোর জন্য DNS over HTTPS (DoH) এবং DNS over TLS সমর্থিত নয়, তাই, তারা ফায়ারওয়াল নিয়মে ব্লক করতে হবে যাতে DNS প্রশ্ন UDP/53 এ স্থানান্তরিত হতে পারে।

DNS ফরওয়ার্ডিং সমস্যা সমাধান

আপনি শুধুমাত্র DNS ফরওয়ার্ডিং ব্যবহার করতে পারেন যখন DNS প্রশ্ন নিম্নলিখিত DNS সার্ভারগুলির জন্য নির্ধারিত হয়:

  • Cato এর ডিফল্ট DNS সার্ভার 10.254.254.1
  • অ্যাকাউন্ট স্তরের DNS সার্ভারগুলি, নেটওয়ার্ক > DNS সেটিংস এর অধীনে কনফিগার করা হয়েছে
  • 8.8.8.8, 1.1.1.1, এবং 9.9.9.9-এর মত সুপরিচিত DNS সার্ভার। সুপরিচিত DNS সার্ভারের তালিকা ভিন্ন PoPs-এর মধ্যে পরিবর্তিত হতে পারে। উদাহরণস্বরূপ, চীন এবং সিডনি।

DNS ফরওয়ার্ডিংয়ের জন্য DNS over HTTPS (DoH) এবং DNS over TLS সমর্থিত নয়, তাই, তারা ফায়ারওয়াল নিয়মে ব্লক করতে হবে যাতে DNS প্রশ্ন UDP/53 এ স্থানান্তরিত হতে পারে। এই সমাধানটি বিশেষ করে macOS, iOS এবং Android-এর SDP ক্লায়েন্টদের জন্য প্রযোজ্য।

 

Cato সাপোর্টে কেস তুলে ধরা

উপরের সমস্যার সমাধানকরণের ধাপগুলির ফলাফল সহ একটি সাপোর্ট টিকেট জমা দিন। অনুগ্রহ করে টিকেটে নিম্নলিখিত তথ্য অন্তর্ভুক্ত করুন:

  • অভিজ্ঞ সমস্যার বিস্তারিত এবং ব্যবহারকারীদের উপর সামগ্রিক প্রভাব।
  • সম্পর্কিত ফায়ারওয়াল ইভেন্ট এবং ফায়ারওয়াল নিয়ম কনফিগারেশন।
  • সমস্যাটি পুনরায় উৎপন্ন করুন এবং স্ব-সেবা সহায়তা চালান। টুল দ্বারা উৎপন্ন টিকেট নম্বর অন্তর্ভুক্ত করুন।
  • যদি প্রভাবিত ব্যবহারকারী SDP ক্লায়েন্ট ব্যবহার করে Cato সাথে সংযুক্ত হন, অনুগ্রহ করে SDP ক্লায়েন্ট ব্যবহার করে সমস্যাটি রেকর্ড করুন
  •  

Was this article helpful?

0 out of 0 found this helpful

0 comments