Sitio web inaccesible debido a la lista negra de IP de Cato o bloqueo geográfico

Problema

Al intentar acceder a un sitio web específico a través del Cato Cloud, la página no se carga y finalmente se agota el tiempo de espera. Sin embargo, el mismo sitio es accesible al omitir el Cato Cloud.

Este problema puede surgir por dos razones principales:

1. Cato IP en la lista negra por el sitio web

Ciertos sitios web, como Hulu, ESPN o sitios gubernamentales, pueden no ser accesibles a través de Cato debido a restricciones internas o categorizaciones que bloquean la dirección IP pública de Cato.

Aunque Cato no tiene control sobre este comportamiento, hay algunas formas de solucionar y superar este problema.

2. Sitios web bloqueados geográficamente

Algunos gobiernos y otras organizaciones pueden solo permitir el acceso a sus sitios web desde direcciones IP registradas en su propio país o jurisdicción. Esto se conoce como bloqueo geográfico.

Cato Networks tiene PoPs desplegados en todo el mundo, pero el PoP al que te conectas no necesariamente estará en el mismo país/estado en el que resides. Si ese es el caso, cuando visitas un sitio web alojado dentro de tu país/estado, el sitio vería la conexión proveniente de una dirección IP registrada fuera de tu jurisdicción, la dirección IP externa del PoP.

Si el sitio web está usando bloqueo geográfico para restringir el acceso solo a direcciones IP del país/estado, el sitio web no se cargará. En algunos casos, puedes ver una página de bloqueo del servidor web, pero la mayoría de las veces el sitio web simplemente agotará el tiempo de espera y se mostrará un error en el navegador como los de abajo.

Chrome:

Firefox:

Edge:

Solución de problemas

  • Ejecuta una captura de paquetes local, ya sea en el PC o a través de el socket para confirmar que no hay respuestas del servidor del sitio web. Solo verás paquetes SYN saliendo o un handshake de 3 vías completo sin intercambio en la capa de aplicación. Un paquete RST también puede venir del servidor del sitio web, lo cual sería una clara indicación de que la IP de Cato está siendo bloqueada.
  • También es posible que partes del sitio web no se carguen completamente, lo que puede indicar una redirección a otro servidor que bloquea rangos de IP de Cato. Recoge un archivo HAR a través de la herramienta de desarrollo del navegador para un análisis adicional.

Solución

  • Contacta al administrador del sitio web y pregunta la razón por la que los rangos de IP de Cato están siendo bloqueados. Solicita al administrador que incluya en la lista blanca los rangos de IP listados en esta guía según la ubicación del PoP.
  • Si se determinó que los usuarios afectados provenían de un lugar específico, aplica una regla básica de red, selecciona el método de Route via y elige una ubicación diferente que tendrá acceso al sitio web.

Si lo anterior no resuelve el problema, continúa con los siguientes pasos según la ubicación del usuario afectado:

Cliente SDP de Cato

  • Para IPs de Cato en la lista negra: Puedes habilitar backhaul a través de un socket en la regla de red y seleccionar un sitio que tenga acceso al sitio web. El PoP todavía realizará escaneos de seguridad y luego enrutará el tráfico SDP al sitio seleccionado para que el tráfico salga a través del puerto WAN del socket.
  • Para sitios web bloqueados geográficamente: Deberías poder acceder al sitio web mientras estás en tu propio país/estado al desconectarte del cliente VPN. Esto no será posible si se aplica Always-On en el cliente.
  • Alternativamente, puedes crear una configuración de túnel dividido y excluir las direcciones IP del sitio web. Cualquier tráfico a las direcciones IP excluidas no se enviará a Cato.

Socket

  • Define el sitio web en una regla de red como un objeto Domain o Application y habilita backhaul hairpinning. Esto permite que el tráfico que coincide con la regla de red vaya al PoP para escaneos de seguridad. El tráfico se enruta de nuevo al sitio definido para que el tráfico salga a través del puerto WAN del socket local. Asegúrate de seguir las mejores prácticas de FW y bloquea el protocolo QUIC para identificar con precisión el sitio web/aplicación.
  • Como último recurso, puedes realizar un bypass local para que el tráfico salga directamente a través del puerto WAN del socket al sitio web de destino.  Esta no es una solución ideal ya que evita la infraestructura de Cato PoP y no se aplica seguridad a este tráfico.  

IPSec Site conectado a Cato

  • Define el sitio web en una regla de red como un objeto Domain o Application y habilita backhaul a través de IPsec. Esto permite que el tráfico que coincide con la regla de red vaya al PoP para escaneos de seguridad. El tráfico se enruta de nuevo al sitio de IPsec para que el tráfico salga a través del puerto WAN del firewall local. La configuración de enrutamiento en el firewall es necesaria para que esta opción funcione. Asegúrate de seguir las mejores prácticas de FW y bloquea el protocolo QUIC para identificar con precisión el sitio web/aplicación.
  • Como último recurso, puedes cambiar la política de enrutamiento en el dispositivo IPsec local para que el tráfico a las direcciones IP del sitio web no pase por el túnel IPsec de Cato. Esta no es una solución ideal ya que evita la infraestructura de Cato PoP y no se aplica seguridad a este tráfico.  

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 2 de 2

0 comentarios