Les utilisateurs de macOS Ventura et iOS ne peuvent pas accéder aux ressources internes via Cato

Problème

Sur les appareils macOS Ventura et iOS, les utilisateurs ne peuvent pas accéder aux ressources internes lorsqu'ils sont connectés à Cato

Environnement

• macOS Ventura 13.0 ou ultérieur
• iPhone iOS 16 ou ultérieur
• Client Cato SDP quelle que soit la version
• Transfert de DNS configuré pour les domaines internes

Raison

Si les paramètres DNS de Cato appliqués aux utilisateurs SDP sont par défaut (champs vides), Cato enverra au client les informations DNS suivantes :

• Serveur DNS primaire 10.254.254.1
• Serveur DNS secondaire 8.8.8.8

Selon les tests de Cato, lorsque le compte est configuré comme ci-dessus ou en utilisant un serveur DNS public connu (comme 8.8.8.8 ou 1.1.1.1), macOS/iOS sont susceptibles de préférer DoH (DNS sur HTTPS) ou DoT (DNS sur TLS) pour la résolution de noms vers le serveur DNS public configuré. Cato ne prend actuellement pas en charge DoH/DoT. 

Une fois que macOS/iOS détecte un serveur DNS compatible avec DoH/DoT, il ignorera tout autre serveur DNS, y compris le serveur DNS de Cato. Des informations supplémentaires peuvent être trouvées dans cette discussion Apple.

Étant donné que les points de présence de Cato ne supportent pas le transfert DNS pour les paquets DoH/DoT, le transfert DNS échoue, l'utilisateur ne peut pas atteindre les ressources internes, ou les résultats DNS récupérés ne sont pas ceux attendus.

Les serveurs DNS préférés sur la machine peuvent être identifiés en exécutant scutil --dns dans le terminal. La sortie suivante montre que macOS préfère 8.8.8.8 comme DNS Primaire.

MacBook-Air-2:~ xx$ scutil --dns 
Configuration DNS

résolveur #1
nameserver[0] : 8.8.8.8
nameserver[1] : 10.254.254.1
if_index : 24 (utun8)
flags : Supplémentaire, Demande d'enregistrements A
reach : 0x00000003 (Atteignable,Connexion Transitoire)
ordre : 101200

Soyez conscient que lorsque les configurations DNS entre les entités entrent en conflit, l'entité la plus proche de l'hôte (de l'hôte > site > groupe > compte) prévaut. Pour plus d'informations, voir Configuration des Paramètres DNS

Solution

C'est un problème connu sur lequel Apple travaille activement. Les solutions de contournement suivantes peuvent être mises en œuvre chez Cato :

1. Bloquer DoH (DNS sur HTTPS) et DNS sur TLS dans une règle de pare-feu pour empêcher ces protocoles d'être accessibles via Cato. Cela obligera macOS/iOS à passer au serveur DNS par défaut de Cato, 10.254.254.1, sur le DNS basé sur UDP, permettant le transfert DNS.

2. Définir 10.254.254.1 comme le seul serveur DNS DE MANIÈRE EXPLICITE dans CMA. Cela empêchera 8.8.8.8 (ou tout autre serveur DNS compatible DoH/DoT) d'être défini comme le DNS primaire de la machine et forcera tous les requêtes DNS à être gérées par Cato.

Le serveur DNS peut être défini globalement ou par groupe, de préférence le groupe d'utilisateurs préconfiguré 'Tous les utilisateurs SDP'. Pour plus d'informations, voir Gestion centralisée des Paramètres DNS des Utilisateurs SDP