Cet article contient quelques suggestions pour le dépannage des problèmes courants avec le Cato Client.
Remarque : Si le Cato Client présente une erreur lors de la connexion au Cato Cloud, consultez l'article suivant : Erreurs de connexion du Cato Client
Conflits du Cato Client avec les clients VPN tiers
Défi
Lorsque des clients VPN tiers sont installés sur le même ordinateur que le Cato Client, les pilotes tiers peuvent entrer en conflit avec le Cato Client et remplacer les paramètres. Par exemple, Cisco AnyConnect peut remplacer les paramètres DNS du Cato Client.
Solution
Cato Networks fournit des recommandations par Client OS Cato, comme décrit ci-dessous :
Windows : Veuillez consulter l’article KB suivant : Travailler avec le service de relais DNS
macOS : Le Client Cato sur macOS ne peut pas fonctionner en parallèle avec un autre Profil VPN connecté.
iOS :Veuillez consulter l’article KB suivant Déployer un VPN par Application avec Intune pour iOS (EA)
Android : Non pris en charge.
Linux : Veuillez déconnecter le Client Cato lors de l'utilisation d'un VPN tiers.
Veuillez noter : L'exécution du Client Cato en mode tunnel complet avec un VPN tiers n'est pas recommandée.
Défi
Le logiciel antivirus peut identifier le trafic du Cato VPN Client comme malveillant et, par erreur, bloquer le trafic VPN.
Solution
Si vous déterminez que le logiciel antivirus de l'ordinateur portable ou de l'appareil bloque le Cato Client, voici vos options pour autoriser la connexion VPN :
- Configurer les paramètres antivirus et créer une exception pour le Client Cato.
- Contactez le Support de Cato Networks pour coordonner avec le fournisseur d'antivirus afin de mettre notre client en liste blanche ; cela peut prendre du temps, donc une exception est recommandée si possible.
Astuce : Vous pouvez désactiver temporairement le logiciel antivirus pour vérifier si ce logiciel bloque le trafic du Cato Client.
Défi
Il est possible qu'un pare-feu bloque le port spécifique que le Client utilise pour se connecter au Cato Cloud.
Solution
Plusieurs types de pare-feu peuvent empêcher le Cato Client de se connecter au Cato Cloud. Les sections suivantes décrivent les solutions pour chaque type de pare-feu ; utilisez la solution qui s'applique à votre réseau.
Pare-feu réseau
Vérifiez les paramètres du pare-feu réseau et vérifiez s'il bloque le trafic UDP sur les ports 53 et 443. Si c'est le cas, ajoutez une règle qui permet le trafic UDP sur les ports 53 et 443 ainsi que les URL et adresses IP décrites dans les Prérequis pour l'installation du Client Cato.
Pare-feu de l'endpoint
Pour les ordinateurs endpoint, vous devez vous assurer que l'agent pare-feu de l'endpoint ne bloque pas la connexion. Si un agent pare-feu de l'endpoint est installé sur votre ordinateur, vérifiez les paramètres de l'agent et voyez s'il est configuré pour bloquer le trafic UDP sur le port 53 ou 443. Nous vous recommandons de contacter le fournisseur de l'agent et de leur demander d'inscrire sur la liste blanche le Client Cato ainsi que les URL et adresses IP décrites dans les Prérequis pour l'installation du Client Cato.
Pour le système d'exploitation Windows, vérifiez les paramètres du pare-feu Windows et voyez s'ils sont configurés pour bloquer le trafic UDP sur les ports 53 ou 443. Vous pouvez également changer le port par défaut du Client Cato de 443 à 1337. Pour plus d'informations sur le changement du port par défaut, consultez Configurer un port UDP différent pour le Client Cato.
Défi
Le Client Cato ne peut pas s'authentifier avec le Cato Cloud lorsque le PC de l'utilisateur n'utilise pas les chiffrements DTLS requis pendant le handshake DTLS.
Solution
Confirmez que les chiffrements DTLS décrits dans les Suites de chiffrement utilisées par le Socket Cato et le Client SDP sont inclus dans la configuration de cryptographie du PC. Pour les appareils Windows, cela peut être vérifié sous la clé de registre suivante :
- Suites de Chiffrement : Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002
- Algorithmes de Signature : Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010003
Défi
Si votre réseau local utilise le même sous-réseau que la plage IP du VPN Cato, les réseaux qui se chevauchent peuvent provoquer des conflits IP et des problèmes de routage. Par exemple, les Clients Cato ne peuvent pas se connecter au Cato Cloud.
Solution
Par défaut, Cato Networks utilise le sous-réseau 10.41.0.0/16 comme plage VPN. Vous pouvez changer la plage IP du réseau local pour éviter un conflit avec la plage IP du VPN Cato. Vous pouvez également modifier la plage VPN par défaut dans l'application de gestion Cato (Ressources > Plages IP).
La capture d'écran suivante montre un exemple d'une plage IP personnalisée du sous-réseau 10.43.0.0/16 pour les utilisateurs de VPN :
Défi
Le Client Cato se connecte avec succès au Cato Cloud, mais les utilisateurs ne peuvent pas accéder aux ressources WAN ou Internet via la connexion VPN.
Solution
Dans cette situation, le client Cato a une connectivité au Cato Cloud, mais quelque chose d'autre bloque l'accès au WAN ou à Internet. Vous pouvez vérifier que les paramètres suivants sont configurés correctement dans l'application de gestion Cato :
Pour plus d'informations sur le dépannage de l'accès au WAN et à Internet, voir Dépannage de l'accessibilité des services Internet et Dépannage de l'accès aux ressources internes.
Le pare-feu WAN ou Internet de Cato peut bloquer l'accès des clients Cato aux ressources WAN ou Internet. Vérifiez les bases de règles du pare-feu dans l'application de gestion Cato (Sécurité > Pare-feu WAN ou Pare-feu Internet) et assurez-vous que le pare-feu autorise l'accès VPN. Par exemple, le pare-feu WAN a-t-il une règle qui permet aux utilisateurs VPN d'accéder au site ?
Pour plus d'informations sur le pare-feu Cato et les meilleures pratiques, voir Politiques de pare-feu Internet et WAN - Meilleures pratiques.
Lorsque les paramètres DNS sont mal configurés, les utilisateurs ne peuvent pas se connecter aux ressources réseau. Les applications de gestion Cato vous permettent de configurer les paramètres DNS pour l'ensemble du compte dans Réseau > Paramètres DNS. Vous pouvez également configurer les paramètres DNS pour chaque site, groupe et utilisateur SDP.
Par défaut, Cato Networks utilise les serveurs DNS suivants : DNS primaire - 10.254.254.1 et DNS secondaire - 8.8.8.8.
Si vous souhaitez atteindre une ressource interne (WAN) avec un serveur DNS local, assurez-vous que le DNS de votre compte est configuré pour utiliser le DNS local. Par exemple, les utilisateurs ne peuvent accéder au domaine interne images.mycompany.com que si votre compte est configuré avec votre serveur DNS local ou avec le DNS Forwarding. Sinon, le DNS pour cette adresse ne sera pas résolu.
Pour que les utilisateurs VPN se connectent à une ressource Internet, comme www.catonetworks.com, les paramètres DNS de votre compte doivent contenir au moins un serveur DNS public. Ce serveur permet la résolution DNS pour l'Internet public.
Pour plus d'informations sur la façon de configurer les paramètres DNS pour votre compte, consultez Configuration des paramètres DNS.
Certains contenus Internet sont restreints en fonction de la localisation géographique du Client Cato. Si vous êtes physiquement situé dans un pays où l'accès à Internet est limité, vous ne pouvez pas accéder au contenu bloqué de ce pays.
Pour plus d'informations, consultez Site Web inaccessible en raison de la mise sur liste noire de l'IP de Cato ou du blocage géographique.
Challenge
Dans les environnements Windows, les utilisateurs peuvent rencontrer une performance applicative lente, des échecs de résolution DNS ou une instabilité du tunnel VPN. Ces problèmes sont souvent attribués à une fonctionnalité appelée Smart Multi-Homed Name Resolution.
Cette fonctionnalité envoie les requêtes DNS en parallèle sur toutes les interfaces réseau disponibles (par exemple, Ethernet, Wi-Fi, VPN). La première réponse DNS est utilisée, quelle que soit la source. Bien que conçu pour la rapidité, cela peut entraîner :
Les requêtes DNS contournent le VPN et se résolvent via le DNS public/local
Échec de la résolution du domaine interne basé sur le VPN
Retards inattendus ou trafic mal dirigé
Solution
Désactiver la résolution de noms multi-homéd intelligente pour appliquer la résolution DNS basée sur l'interface : Pour garantir que les requêtes DNS sont routées uniquement via l'adaptateur prévu (typiquement le tunnel VPN), désactivez cette fonctionnalité Windows. Cela permet à Windows d'utiliser des serveurs DNS basés sur des métriques d'interface et la priorité de routage - un comportement qui est critique pour le tunnel fractionné et les recherches de domaine privé/interne.
Pour désactiver :
Groupe des administrateurs: Configuration de l'ordinateur > Modèles administratifs > Réseau > Client DNS > Désactiver la résolution intelligente de noms multinationaux → Activé
Ou via le Registre:[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DNSClient]"DisableSmartNameResolution"=dword:00000001
Défi
Une politique GPO restrictive peut bloquer l'installation de l'adaptateur Cato lors du processus d'installation ou de mise à niveau du Client Cato. Les règles GPO telles que « Installation restreinte de périphériques non décrits par la politique » peuvent bloquer l'installation de l'adaptateur.
Solution
Autoriser la politique GPO à permettre l'installation de l'adaptateur Cato.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.