Este artículo contiene algunas sugerencias para la resolución de problemas comunes con el Cliente de Cato.
Nota: Si el Cliente de Cato presenta un error al conectar al Cato Cloud, consulte el siguiente artículo: Errores de inicio de sesión del Cliente de Cato
Conflictos del Cliente de Cato con Clientes VPN de terceros
Desafío
Cuando los clientes VPN de terceros están instalados en la misma computadora que el Cliente de Cato, los controladores de terceros pueden entrar en conflicto con el Cliente de Cato y anular la configuración. Por ejemplo, Cisco AnyConnect puede anular la configuración de DNS para el Cliente de Cato.
Solución
Cato Networks proporciona recomendaciones por Sistema Operativo de Cliente Cato, como se detalla a continuación:
Windows: Por favor refiérase al siguiente artículo de KB: Trabajando con el Servicio de Relevo DNS
macOS: Cliente Cato en macOS no puede funcionar junto con otro Perfil de VPN conectado.
iOS: Por favor refiérase al siguiente artículo de KB Implementar una VPN por Aplicación con Intune para iOS (EA)
Android: No soportado.
Linux: Por favor, desconecte el Cliente Cato mientras ejecuta una VPN de terceros.
Por favor tenga en cuenta: Ejecutar el Cliente Cato en modo de túnel completo junto con una VPN de terceros no es recomendado.
Desafío
El software antivirus puede identificar el tráfico del Cliente de Cato VPN como malicioso y, por error, bloquear el tráfico VPN.
Solución
Si determina que el software antivirus en el portátil o dispositivo bloquea el Cliente de Cato, estas son sus opciones para permitir la conexión VPN:
- Configurar la configuración del antivirus y crear una excepción para el Cliente Cato.
- Contacte al Soporte de Cato Networks para coordinar con el proveedor de antivirus la inclusión de nuestro cliente en la lista blanca; esto puede llevar tiempo, por lo que se recomienda una excepción si es posible.
Consejo: Puede desactivar temporalmente el software antivirus para comprobar si este software está bloqueando el tráfico del Cliente de Cato.
Desafío
Es posible que un firewall bloquee el puerto específico que el Cliente utiliza para conectarse al Cato Cloud.
Solución
Varios tipos de firewalls pueden impedir que el Cliente de Cato se conecte al Cato Cloud. Las siguientes secciones describen soluciones para cada tipo de firewall; use la solución que sea aplicable a su red.
Firewall de red
Verifique la configuración del firewall de red y vea si bloquea el tráfico UDP en los puertos 53 y 443. Si es así, añada una regla que permita el tráfico UDP sobre los puertos 53 y 443 y las URLs y direcciones IP descritas en Requisitos previos para instalar el Cliente de Cato.
Firewall de endpoint
Para las computadoras endpoint, debe asegurarse de que el agente del firewall de endpoint no está bloqueando la conexión. Si hay un agente de firewall de endpoint instalado en su computadora, verifique la configuración del agente y vea si está configurado para bloquear el tráfico UDP sobre el puerto 53 o 443. Recomendamos que contacte al vendor del agente y les pida que incluyan en la lista blanca al Cliente de Cato y las URLs y direcciones IP descritas en Requisitos previos para instalar el Cliente de Cato.
Para Windows OS, verifique la configuración del firewall de Windows y vea si están configuradas para bloquear el tráfico UDP sobre el puerto 53 o 443. También puede cambiar el puerto predeterminado del Cliente de Cato de 443 a 1337. Para obtener más información sobre cómo cambiar el puerto predeterminado, consulte Configuración de un puerto UDP diferente para el Cliente de Cato.
Desafío
El Cliente de Cato no puede autenticarse con el Cato Cloud cuando el PC del usuario no utiliza los cifrados DTLS requeridos durante el handshake de DTLS.
Solución
Confirme que los cifrados DTLS descritos en Suites de cifrado utilizadas por el Socket y Cliente SDP de Cato están incluidos en la configuración de criptografía del PC. Para dispositivos Windows, esto se puede verificar bajo la siguiente registry key:
- Suites de Cifrado: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002
- Algoritmos de Firma: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010003
Desafío
Si su red local utiliza la misma subred que el rango de IP del Cliente de Cato, las redes superpuestas pueden causar conflictos de IP y problemas de routing. Por ejemplo, los Clientes de Cato no pueden conectarse al Cato Cloud.
Solución
De forma predeterminada, Cato Networks utiliza la subred 10.41.0.0/16 como rango de VPN. Puede cambiar el rango de IP de la red local para evitar conflictos con el rango de IP del Cliente de Cato. También puede cambiar el rango de VPN predeterminado en la Aplicación de Gestión de Cato (Recursos > Rangos de IP).
La siguiente captura de pantalla muestra un ejemplo de un rango de IP personalizado de la subred 10.43.0.0/16 para usuarios VPN:
Desafío
El Cliente de Cato se conecta con éxito al Cato Cloud, pero los usuarios no pueden acceder a los recursos de WAN o Internet a través de la conexión VPN.
Solución
En esta situación, el Cliente de Cato tiene conectividad al Cato Cloud, pero algo más está bloqueando el acceso a WAN o Internet. Puede verificar que los siguientes settings estén configurados correctamente en la Aplicación de Gestión de Cato:
Para obtener más información sobre resolución de problemas de acceso a WAN e Internet, consulte Resolución de problemas de accesibilidad del servicio de Internet y Resolución de problemas de acceso a recursos internos.
El firewall de WAN o Internet de Cato puede bloquear el acceso para Clientes de Cato a los recursos de WAN o Internet. Verifique las bases de reglas del firewall en la Aplicación de Gestión de Cato (Seguridad > Firewall de WAN o Firewall de Internet) y asegúrese de que el firewall permita el acceso VPN. Por ejemplo, ¿el firewall de WAN tiene una regla que permite a los usuarios de VPN acceder al site?
Para obtener más información sobre el firewall de Cato y las mejores prácticas, consulte Políticas de firewall de Internet y WAN: mejores prácticas .
Cuando la configuración de DNS está mal configurada, los usuarios no pueden conectarse a los recursos de red. Las Aplicaciones de Gestión de Cato le permiten configurar la configuración de DNS para toda la cuenta en Network > Configuración de DNS. También puede configurar la configuración de DNS para cada site, grupo y Usuario SDP.
Por defecto, Cato Networks utiliza los siguientes servidores DNS: DNS primario – 10.254.254.1 y DNS secundario – 8.8.8.8.
Si desea acceder a un recurso interno (WAN) con un servidor DNS local, asegúrese de que el DNS de su cuenta esté configurado para usar el DNS local. Por ejemplo, los usuarios solo pueden acceder al dominio interno images.mycompany.com si su cuenta está configurada con su servidor DNS local o con DNS Forwarding. De lo contrario, el DNS para esa dirección no se resolverá.
Para que los usuarios de VPN se conecten a un recurso de Internet, como www.catonetworks.com, la configuración de DNS para su cuenta debe contener al menos un servidor DNS público. Este servidor permite la resolución de DNS para el Internet público.
Para obtener más información sobre cómo configurar la configuración de DNS para su cuenta, consulte Configuración de configuración de DNS.
Algunos contenidos de Internet están restringidos según la ubicación geográfica del Cliente de Cato. Si se encuentra físicamente en un país con acceso limitado a Internet, no podrá acceder al contenido bloqueado desde ese país.
Para obtener más información, consulte Sitio web inaccesible debido a la lista negra de IP de Cato o bloqueos geográficos.
Desafío
En entornos Windows, los usuarios pueden experimentar un rendimiento lento de aplicaciones, fallos de resolución DNS o inestabilidad del túnel VPN. Estos problemas comúnmente se remontan a una función llamada Resolución de Nombres Inteligente Multihomed.
Esta función envía consultas DNS en paralelo a través de todas las interfaces de red disponibles (por ejemplo, Ethernet, Wi-Fi, VPN). La primera respuesta DNS se utiliza, independientemente de la fuente. Aunque está diseñado para la velocidad, esto puede causar:
Consultas DNS que omitan el VPN y resuelvan a través de DNS público/local
Fallos en la resolución de dominios internos basada en VPN
Retrasos inesperados o tráfico mal enrutado
Solución
Deshabilitar la Resolución de Nombres Multi-Homed Inteligente para Aplicar la Resolución DNS Basada en Interfaces: Para asegurar que las consultas DNS se enruten solo a través del adaptador previsto (típicamente el túnel VPN), desactive esta característica de Windows. Esto permite que Windows use servidores DNS basados en métricas de interfaz y prioridad de enrutamiento, un comportamiento que es crítico para el túnel dividido y las búsquedas de dominios privados/internos.
Para deshabilitar:
Política de Grupo: Configuración de Computadora > Plantillas Administrativas > Red > Cliente DNS > Desactivar resolución de nombres inteligente multihomed → Activado
O a través del Registro:[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DNSClient]"DisableSmartNameResolution"=dword:00000001
Desafío
Una política de GPO restrictiva puede bloquear la instalación del Adaptador de Cato durante el proceso de instalación o actualización del Cliente de Cato. Las reglas de GPO, como "Instalación restringida de dispositivos no descritos por política", pueden bloquear la instalación del adaptador.
Solución
Permita que la política de GPO permita la instalación del Adaptador de Cato.
0 comentarios
Inicie sesión para dejar un comentario.