Site Web inaccessible en raison du blocage des adresses IP de Cato ou du blocage géographique

Problème

Lors de la tentative d'accès à un site web spécifique via le Cato Cloud, la page ne se charge pas et finit par expirer. Cependant, le même site est accessible en contournant le Cato Cloud.

Ce problème peut survenir pour deux raisons principales :

1. IP de Cato mise sur liste noire par le site web

Certains sites web, tels que Hulu, ESPN ou des sites gouvernementaux, peuvent ne pas être accessibles via Cato en raison de restrictions internes ou de catégorisations qui bloquent l'adresse IP publique de Cato.

Bien que Cato n'ait pas de contrôle sur ce comportement, il existe quelques moyens de résoudre et de surmonter ce problème.

2. Sites web bloqués géographiquement

Certains gouvernements et autres organisations peuvent n'autoriser l'accès à leurs sites web qu'à partir d'adresses IP enregistrées dans leur propre pays ou juridiction. Ceci est connu sous le nom de blocage géographique.

Cato Networks a des PoPs déployés dans le monde entier, mais le PoP auquel vous vous connectez ne se trouve pas forcément dans le même pays/état que vous. Si tel est le cas, lorsque vous visitez un site web hébergé dans votre pays/état, le site verrait la connexion provenir d'une adresse IP enregistrée hors de votre juridiction, l'adresse IP externe du PoP.

Si le site web utilise le blocage géographique pour restreindre l'accès uniquement aux adresses IP du pays/état, le site web ne se chargera pas. Dans certains cas, vous pouvez voir une page de blocage du serveur web, mais la plupart du temps, le site web expirera simplement et une erreur du navigateur s'affichera comme celles ci-dessous.

Chrome :

Firefox :

Edge :

Dépannage

  • Exécutez une capture de paquets localement soit sur le PC soit via le socket pour confirmer qu'il n'y a pas de réponses du serveur du site web. Vous ne verrez que des paquets SYN sortant ou une poignée de main en 3 voies complète sans échange au niveau application. Un paquet RST peut également provenir du serveur du site web, ce qui serait une indication claire que l'IP de Cato est bloquée.
  • Il est également possible que certaines parties du site web ne se chargent pas entièrement, ce qui peut indiquer une redirection vers un autre serveur qui bloque les plages IP de Cato. Collectez un fichier HAR via l’outil de développement du navigateur pour une analyse plus approfondie.

Solution

  • Contactez l'administrateur du site web et renseignez-vous sur la raison pour laquelle les plages IP de Cato sont bloquées. Demandez à l'administrateur d'inclure dans la liste blanche les plages d'IP répertoriées dans ce guide en fonction de l'emplacement du PoP.
  • Si les utilisateurs affectés ont été déterminés comme étant d'un emplacement spécifique, appliquez une règle de réseau de base, sélectionnez la méthode de routage Route via et choisissez un autre emplacement qui aura accès au site web.

Si cela ne résout pas le problème, continuez avec les étapes suivantes en fonction de l'emplacement de l'utilisateur affecté :

Client SDP de Cato

  • Pour les IPs de Cato sur liste noire : Vous pouvez activer le backhaul via un socket dans la règle de réseau et sélectionner un site qui a accès au site web. Le PoP effectuera toujours des analyses de sécurité et acheminera ensuite le trafic SDP vers le site sélectionné afin que le trafic sorte par le port WAN du socket.
  • Pour les sites web bloqués géographiquement : Vous devriez pouvoir accéder au site web tout en étant dans votre propre pays/état en vous déconnectant du client VPN. Cela ne sera pas possible si Always-On est appliqué sur le client.
  • Vous pouvez également créer une configuration de tunnel partagé et exclure les adresses IP du site web. Tout trafic vers les adresses IP exemptées ne sera pas envoyé à Cato.

Socket

  • Définissez le site web dans une règle de réseau en tant qu'objet Domaine ou Application et activez le backhaul hairpinning. Cela permet au trafic qui correspond à la règle de réseau de se rendre au PoP pour des analyses de sécurité. Le trafic est ensuite réacheminé vers le site défini pour que le trafic sorte par le port WAN du socket local. Assurez-vous de suivre les meilleures pratiques FW et bloquez le protocole QUIC pour identifier précisément le site web/l'application.
  • En dernier recours, vous pouvez effectuer un contournement local afin que le trafic sorte directement via le port WAN du socket vers le site web cible.  Ce n'est pas une solution idéale car elle évite l'infrastructure PoP de Cato et aucune sécurité n'est appliquée à ce trafic.  

Site IPSec connecté à Cato

  • Définissez le site web dans une règle de réseau en tant qu'objet Domaine ou Application et activez le backhaul via IPSec. Cela permet au trafic qui correspond à la règle de réseau de se rendre au PoP pour des analyses de sécurité. Le trafic est ensuite réacheminé vers le site IPSec pour que le trafic sorte par le port WAN du pare-feu local. La configuration du routage sur le pare-feu est nécessaire pour que cette option fonctionne. Assurez-vous de suivre les meilleures pratiques FW et bloquez le protocole QUIC pour identifier précisément le site web/l'application.
  • En dernier recours, vous pouvez modifier la politique de routage sur le dispositif IPsec local afin que le trafic vers les adresses IP du site web ne passe pas par le tunnel IPsec de Cato. Ce n'est pas une solution idéale car elle évite l'infrastructure PoP de Cato et aucune sécurité n'est appliquée à ce trafic.  

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 2 sur 2

0 commentaire