Problema
En dispositivos macOS Ventura y iOS, los usuarios no pueden acceder a recursos internos cuando están conectados a Cato
Entorno
- macOS Ventura 13.0 o posterior
- iPhone iOS 16 o posterior
- Cliente Cato SDP independientemente de la versión
- Reenvío de DNS configurado para dominios internos
Razón
Si las configuraciones de DNS de Cato aplicadas a los usuarios de SDP son predeterminadas (campos vacíos), Cato enviará al cliente la siguiente información de DNS:
- Servidor DNS Primario 10.254.254.1
- Servidor DNS Secundario 8.8.8.8
Basado en las pruebas de Cato, cuando la cuenta está configurada como arriba o usando un servidor DNS público conocido (como 8.8.8.8 o 1.1.1.1), es probable que macOS/iOS prefiera DoH (DNS sobre HTTPS) o DoT (DNS sobre TLS) para la resolución de nombres hacia el servidor DNS público configurado. Actualmente, Cato no soporta DoH/DoT.
Una vez que macOS/iOS detecta un servidor DNS compatible con DoH/DoT, ignorará cualquier otro servidor DNS, incluido el IP del Servidor DNS de Cato. Se puede encontrar más información en esta discusión de Apple.
Puesto que las ubicaciones de Cato no soportan Reenvío de DNS para paquetes DoH/DoT, el reenvío de DNS falla, el usuario no puede alcanzar recursos internos o los resultados DNS recuperados no son los esperados.
Los servidores DNS preferidos en la máquina pueden identificarse ejecutando scutil --dns en el terminal. La siguiente salida muestra que macOS prefiere 8.8.8.8 como el servidor DNS principal.
MacBook-Air-2:~ xx$ scutil --dns
Configuración de DNS
resolver #1
nameserver[0] : 8.8.8.8
nameserver[1] : 10.254.254.1
if_index : 24 (utun8)
flags : Suplementario, Solicitar registros A
alcance : 0x00000003 (Alcanzable,Conexión Transitoria)
orden : 101200
Tenga en cuenta que cuando las configuraciones de DNS entre entidades entran en conflicto, la entidad más cercana al host (de host > sitio > grupo > cuenta) tiene prioridad. Para más información, vea Configuración de DNS
Solución
Este es un problema conocido en el que Apple está trabajando activamente. Los siguientes métodos alternativos pueden ser implementados en Cato:
1. Bloquear DoH (DNS sobre HTTPS) y DNS sobre TLS en una Regla de Firewall para evitar que estos protocolos sean accesibles a través de Cato. Esto forzará a macOS/iOS a cambiar al Servidor DNS predeterminado de Cato, 10.254.254.1, sobre DNS basado en UDP, permitiendo el reenvío de DNS.
2. Establecer 10.254.254.1 como el único servidor DNS DE MANERA EXPLÍCITA en CMA. Esto evitará que 8.8.8.8 (o cualquier otro servidor DNS compatible con DoH/DoT) se establezca como el DNS principal de la máquina y forzará a que TODAS las consultas DNS sean manejadas por Cato.
El servidor DNS se puede establecer a nivel global o por grupo, preferiblemente el grupo de usuarios preconfigurado 'All SDP Users'. Para más información, vea Gestión Centralizada de la Configuración DNS del Usuario SDP
0 comentarios
Inicie sesión para dejar un comentario.