macOS वेंचुरा और iOS उपयोगकर्ता Cato के माध्यम से आंतरिक संसाधनों तक पहुँचने में असमर्थ

समस्या

macOS वेंचुरा और iOS उपकरणों पर, उपयोगकर्ता Cato से जुड़ने पर आंतरिक संसाधनों तक नहीं पहुँच सकते हैं।

पर्यावरण

• macOS वेंचुरा 13.0 या बाद का संस्करण
• आईफोन iOS 16 या बाद का संस्करण
• SDP क्लाइंट संस्करण की परवाह किए बिना
• आंतरिक डोमेन्स के लिए विन्यस्त किया गया DNS अग्रेषण

कारण

यदि SDP उपयोगकर्ताओं पर लागू Cato DNS सेटिंग्स डिफ़ॉल्ट (खाली फ़ील्ड्स) हैं, तो Cato क्लाइंट को निम्नलिखित DNS जानकारी पुश करेगा:

• प्राथमिक DNS सर्वर 10.254.254.1
• द्वितीयक DNS सर्वर 8.8.8.8

Cato के परीक्षणों के आधार पर, जब खाता उपरोक्त के अनुसार या एक ज्ञात सार्वजनिक DNS सर्वर (जैसे 8.8.8.8 या 1.1.1.1) का उपयोग करते हुए कॉन्फ़िगर किया जाता है, तो macOS/iOS DoH (हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सुरक्षित पर DNS) या DoT (DNS over TLS) को कॉन्फ़िगर किया हुआ सार्वजनिक DNS सर्वर की ओर नाम संकल्प के लिए प्राथमिकता देंगे। Cato वर्तमान में DoH/DoT का समर्थन नहीं करता है। 

एक बार जब macOS/iOS DoH/DoT का पालन करने वाला DNS सर्वर देखता है, तो यह किसी अन्य DNS सर्वर, जिसमें Cato का DNS सर्वर IP शामिल होता है, को अनदेखा कर देगा। अधिक जानकारी इस Apple चर्चा में पाई जा सकती है।

चूंकि Cato PoPs समर्थित नहीं है DoH/DoT पैकेट के लिए DNS अग्रेषण DNS अग्रेषण विफल होता है, उपयोगकर्ता आंतरिक संसाधनों तक नहीं पहुंच सकता, या प्राप्त DNS परिणाम अपेक्षित नहीं होते।

मशीन पर प्राथमिक DNS सर्वर को टर्मिनल में scutil --dns चलाकर पहचाना जा सकता है। निम्नलिखित आउटपुट दिखाता है कि macOS 8.8.8.8 को प्राथमिक DNS सर्वर के रूप में प्राथमिकता देता है।

MacBook-Air-2:~ xx$ scutil --dns 
DNS कॉन्फ़िगरेशन

रिज़ॉल्वर #1
नामसर्वर[0] : 8.8.8.8
नामसर्वर[1] : 10.254.254.1
if_index : 24 (utun8)
ध्वज : पूरक, ए रिकॉर्ड अनुरोध करें
पहुँच : 0x00000003 (पहुंचने योग्य, अस्थायी कनेक्शन)
क्रम : 101200

ध्यान दें कि जब संस्थाओं के बीच DNS सेटिंग्स में संघर्ष होता है, तो होस्ट के निकटतम इकाई (होस्ट > साइट > समूह > खाता से) को प्राथमिकता दी जाती है। अधिक जानकारी के लिए, देखें DNS सेटिंग्स कॉन्फ़िगर करना

समाधान

यह एक ज्ञात समस्या है जिसे Apple सक्रिय रूप से हल कर रहा है। Cato में निम्नलिखित वर्कअराउंड को लागू किया जा सकता है:

1. फ़ायरवॉल नियम में DoH (डीएनएस ओवर हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सुरक्षित) और डीएनएस ओवर TLS को ब्लॉक करें ताकि ये प्रोटोकॉल Cato के माध्यम से पहुंच योग्य न हो सकें। यह macOS/iOS को Cato के डिफ़ॉल्ट DNS सर्वर, 10.254.254.1, पर UDP-आधारित DNS के माध्यम से स्विच करने के लिए मजबूर करेगा, जिससे DNS अग्रेषण की अनुमति मिलती है।

2। CMA में केवल DNS सर्वर के रूप में 10.254.254.1 को स्पष्ट रूप से सेट करें। यह 8.8.8.8 (या किसी अन्य DoH/DoT समर्थित DNS सर्वर) को मशीन के प्राथमिक DNS के रूप में सेट होने से रोकेगा और सभी DNS क्वेरियों को Cato द्वारा हैंडल करने के लिए मजबूर करेगा।

DNS सर्वर को वैश्विक स्तर पर या प्रत्येक समूह के अनुसार सेट किया जा सकता है, предпочтित रूप से पूर्वनिर्धारित एसडीपी उपयोगकर्ता उपयोगकर्ता समूह। अधिक जानकारी के लिए, देखें SDP उपयोगकर्ता DNS सेटिंग्स का केंद्रीकृत प्रबंधन