El servicio de relé DNS es un servicio auxiliar del Cliente Cato, que se ejecuta en el punto final y se instala automáticamente en segundo plano cuando implementas una Política de Túnel Dividido. Te permite controlar cómo se gestionan las solicitudes DNS de un dispositivo para que puedas dirigir el tráfico a través de la ruta de red correcta. El Relé DNS intercepta las solicitudes DNS localmente y determina si cada solicitud debe resolverse utilizando el servidor DNS configurado por Cato, el servidor DNS del dispositivo local o un servidor DNS accesible a través de otra interfaz. Después de que la solicitud se resuelve, el Relé DNS puede actualizar la tabla de enrutamiento para el dominio de destino para que el tráfico subsiguiente siga la ruta correcta.
Nota: La actualización de la tabla de enrutamiento para solicitudes subsiguientes está disponible actualmente solo como EA.
Usando el Relé DNS, puedes definir un comportamiento de enrutamiento predeterminado para todo el tráfico y luego configurar exclusiones para consultas DNS específicas y tráfico de destino que deberían omitir esa ruta predeterminada. Por ejemplo, si todo el tráfico se dirige a la Cato Cloud por defecto, el Relé DNS puede procesar las solicitudes DNS excluidas y asegurarse de que el tráfico para esos destinos se envíe fuera del túnel a la ubicación adecuada. Este enfoque permite dirigir el tráfico basado en dominios de manera precisa, mientras se mantiene un enrutamiento consistente y una aplicación de políticas.
Nota
Nota: El servicio de relé DNS está disponible para el Cliente de Windows v5.20.2 y superiores.
La empresa ABC permite a los empleados remotos acceder a recursos internos ubicados en su WAN corporativa a través de un VPN de terceros. Al mismo tiempo, todo el tráfico de Internet y SaaS debe ser enrutado a través de la Cato Cloud usando el Cliente Cato. Para hacer cumplir esta política, el Cliente Cato está configurado como Siempre Activo, mientras que el VPN de terceros se habilita solo cuando el usuario necesita acceso a los recursos internos de WAN.
Cuando el usuario se conecta al VPN de terceros, el sistema operativo crea una nueva interfaz de red y rutas asociadas. El servicio de relé DNS detecta este cambio y ajusta cómo se gestionan las solicitudes DNS para asegurar que el tráfico continúe siguiendo el camino correcto.
Cuando el usuario envía una solicitud DNS para un servidor interno accesible a través del VPN de terceros, el Relé DNS intercepta la solicitud y determina que el destino debe resolverse utilizando el servidor DNS de terceros. La solicitud se reenvía a través de la interfaz VPN, y el tráfico subsiguiente a la base de datos se enruta a través del VPN de terceros.
Cuando el usuario envía una solicitud DNS para Salesforce, que es una aplicación web SaaS, el Relé DNS determina que la solicitud debe resolverse utilizando el servidor DNS configurado por Cato. La solicitud DNS se reenvía a través del Cliente Cato, y el tráfico hacia Salesforce se enruta a través de la Cato Cloud.
Esta configuración permite a la empresa ABC utilizar el VPN de terceros para acceder a recursos internos de WAN al tiempo que garantiza que el tráfico de Internet y SaaS siga siendo asegurado e inspeccionado por la Cato Cloud.
La empresa ABC permite a los empleados remotos acceder a la mayoría de los destinos de Internet directamente utilizando su conexión de red local. Sin embargo, el tráfico hacia ciertas aplicaciones corporativas y servicios SaaS sensibles debe ser asegurado e inspeccionado a través de la Cato Cloud. Para hacer cumplir esta política, los administradores configuran el Cliente Cato para asegurar solo destinos específicos mientras permite que todo el resto del tráfico utilice la conexión de Internet local.
Cuando el usuario se conecta a la red, el Cliente Cato está activo, y el servicio de relé DNS intercepta las solicitudes DNS. El Relé DNS evalúa cada solicitud y determina si el destino debe resolverse utilizando el servidor DNS configurado por Cato o el servidor DNS del dispositivo local.
Cuando el usuario envía una solicitud DNS para una aplicación corporativa que debe estar asegurada, el Relé DNS reenvía la solicitud a través del Cliente Cato, y el tráfico hacia el destino se enruta a través de la Cato Cloud. Para otros destinos de Internet, el Relé DNS utiliza el servidor DNS local, y el tráfico se envía directamente a través de la conexión de Internet local del usuario.
Esta configuración permite a la empresa ABC asegurar aplicaciones específicas a través de la Cato Cloud mientras permite que el tráfico de Internet bypass el túnel y vaya directamente al destino.
Las siguientes claves del registro de Windows controlan cómo el Relé DNS gestiona las solicitudes DNS, selecciona servidores DNS y responde a los cambios de interfaz de red.
|
Clave de Registro |
Descripción |
Valores |
|---|---|---|
|
DnsRelayUseAllInterfaces |
Controla si el Relé DNS recopila servidores DNS locales de todas las interfaces de red del dispositivo |
Activado – Recopilar servidores DNS de todas las interfaces Desactivado – Recopilar servidores DNS solo de interfaces seleccionadas |
|
DnsRelayBindingStrategy |
Controla a qué interfaz de red se vincula el Relé DNS al reenviar una consulta DNS a un servidor DNS local |
0 – Vincular a la interfaz física utilizada por el túnel 1 – Vincular a la interfaz donde está configurado el servidor DNS 2 – Vincular a la interfaz seleccionada por la mejor ruta |
|
DnsRelayUpdateOnAdapterChange |
Controla si el Relé DNS actualiza su configuración cuando una interfaz de red cambia Esto es necesario cuando trabajas con VPNs de terceros que puedes encender y apagar. |
Activado – Actualizar el Relé DNS cuando una interfaz cambia Desactivado – No actualizar el Relé DNS cuando ocurren cambios de interfaz |
0 comentarios
El artículo está cerrado para comentarios.