Dispositivos Android no pueden acceder a recursos internos a través de Cato

Problema

En dispositivos Android, los usuarios no pueden acceder a los recursos internos cuando están conectados a Cato

Entorno

• Android v9 y superior
• Cliente Cato SDP sin importar la versión
• Reenvío de DNS configurado para dominios internos

El Problema

Este problema puede estar relacionado con el DNS privado de Android. La función está habilitada por defecto en la versión 9 y superior y utiliza un canal seguro para conectarse al servidor DNS si el servidor lo admite.

Por defecto, el DNS Privado está configurado como "Automático", lo que significa que utiliza el servidor DNS especificado por la red (adaptador WiFi), e intenta una conexión DoT (DNS sobre TLS) por el puerto 853 antes de volver al DNS basado en UDP en el puerto 53.

Cato no intercepta las consultas DoT, el Reenvío de DNS falla, y el usuario no puede acceder a recursos internos o los resultados DNS obtenidos no son los esperados.

La Solución

Se pueden implementar las siguientes soluciones:

1. Bloquear DoH (DNS sobre HTTP) y DNS sobre TLS en una regla de Firewall para evitar que estos protocolos sean accesibles a través de Cato. Esto obligará a Android a cambiar al DNS basado en UDP, lo que permitirá el Reenvío de DNS.

2. El dispositivo aún puede intentar alcanzar el servidor DNS especificado por la red a través de UDP/53, al cual Cato no aplica Reenvío de DNS. Si ese es el caso, deshabilite DNS privado en el dispositivo. Ve a Ajustes > Red e Internet (o equivalente) en tu dispositivo Android y apaga DNS privado.