Les appareils Android ne peuvent pas accéder aux ressources internes via Cato

Problème

Sur les appareils Android, les utilisateurs ne peuvent pas accéder aux ressources internes lorsqu'ils sont connectés à Cato

Environnement

• Android v9 et supérieur
• Client Cato SDP quel que soit la version
• Transfert de DNS configuré pour les domaines internes

Le Problème

Ce problème peut être lié au DNS privé d'Android. La fonctionnalité est activée par défaut dans la version 9 et supérieure et utilise un canal sécurisé pour se connecter au serveur DNS si le serveur le prend en charge.

Par défaut, le DNS privé est défini sur "Automatique", ce qui signifie qu'il utilise le serveur DNS spécifié par le réseau (adaptateur WiFi), et il tente une connexion DoT (DNS sur TLS) sur le port 853 avant de revenir à un DNS sur UDP sur le port 53.

Cato n'intercepte pas les requêtes DoT, le transfert DNS échoue, et l'utilisateur ne peut pas accéder aux ressources internes ou les résultats DNS récupérés ne sont pas ceux attendus.

La Solution

Les solutions suivantes peuvent être mises en œuvre :

1. Bloquer DoH (DNS sur HTTP) et DNS sur TLS dans une règle de pare-feu pour empêcher que ces protocoles soient accessibles via Cato. Cela obligera Android à basculer vers un DNS sur UDP, permettant le transfert DNS.

2. L'appareil peut encore essayer d'atteindre le serveur DNS spécifié par le réseau via UDP/53, auquel Cato n'applique pas de transfert DNS. Si tel est le cas, désactivez le DNS privé sur l'appareil. Accédez à Paramètres > Réseau et Internet (ou équivalent) sur votre appareil Android et désactivez le DNS privé.