Cato IPのブラックリストまたはジオブロックによりウェブサイトにアクセスできない

問題

Cato Cloudを介して特定のウェブサイトにアクセスしようとすると、ページの読み込みに失敗し、最終的にタイムアウトします。 しかし、Cato Cloudをバイパスすると、同じサイトにアクセスできます。

この問題は主に2つの理由で発生する可能性があります:

1. ウェブサイトによってブラックリストに登録されたCato IP

Hulu、ESPN、または政府のサイトなどの特定のウェブサイトは、内部制限やカテゴリ化により、CatoのパブリックIPアドレスをブロックして、Cato経由でのアクセスを許可していない可能性があります。

Catoはこの動作を制御できませんが、この問題をトラブルシューティングし、克服するためのいくつかの方法があります。

2. ジオブロックされたウェブサイト

一部の政府および他の組織は、自国または管轄内で登録されたIPアドレスからのみウェブサイトへのアクセスを許可する場合があります。 これはジオブロックとして知られています。

Cato Networksは世界中にPoPを展開していますが、接続するPoPは必ずしもあなたの住んでいる国/州にあるとは限りません。 その場合、国内/州でホストされたウェブサイトにアクセスすると、サイトは接続が管轄外に登録されているIPアドレス、つまりPoPの外部IPアドレスからのものであることを確認します。

ウェブサイトがジオブロックを使用して国内/州内のIPアドレスへのアクセスを制限している場合、ウェブサイトは読み込まれません。 場合によっては、ウェブサーバーからのブロックページが表示されることがありますが、ほとんどの場合、ウェブサイトは単にタイムアウトし、以下のようなブラウザエラーが表示されます。

Chrome:

Firefox:

Edge:

トラブルシューティング

  • PC上またはソケットを介してローカルパケットキャプチャを実行し、ウェブサイトサーバーからの応答がないことを確認します。 送信されるSYNパケットのみが見えるか、アプリケーション層の交換を伴わない完全な3ウェイハンドシェイクが見えます。 また、ウェブサイトサーバーからRSTパケットが送信されることがあり、これはCatoのIPがブロックされている明確な表示となります。
  • また、ウェブサイトの一部が完全に読み込まれない可能性があり、CatoのIP範囲をブロックする別のサーバーへのリダイレクトを示している可能性があります。 ブラウザの開発者ツールを使用してHARファイルを収集し、さらに分析します。

解決策

  • ウェブサイト管理者に連絡し、CatoのIP範囲がブロックされている理由を尋ねます。 PoPロケーションに従ってこのガイドに記載されているIP範囲をホワイトリストに追加するよう管理者に依頼してください。
  • 影響を受けたユーザーが特定のロケーションからと判明した場合、基本的なネットワークルールを適用し、経由地のルーティング手法を選択し、ウェブサイトにアクセスできる別のロケーションを選びます。

上記で問題が解決しない場合、影響を受けたユーザーがいる場所に基づいて次のステップを続行してください:

Cato SDPクライアント

  • ブラックリストに登録されたCatoのIPについて: ネットワークルールでソケットを介したバックホールを有効にして、ウェブサイトにアクセスできるサイトを選択することができます。 ポップはセキュリティスキャンを引き続き実行し、その後、SDPトラフィックを選択したサイトへルーティングし、トラフィックがソケットのWANポートを通じて出力されるようにします。
  • ジオブロックされたウェブサイトについて: VPNクライアントから切断することで、自国や地域にいる間にウェブサイトにアクセスできるはずです。 クライアントで常時オンが強制されている場合、これはできません。
  • またはスプリットトンネルの構成を作成し、ウェブサイトのIPアドレスを除外することができます。( 除外されたIPアドレスへのトラフィックはCatoに送信されません。

ソケット

  • ネットワークルールでウェブサイトをドメインオブジェクトまたはアプリケーションとして定義し、バックホール ヘアピンニングを有効にします。 これにより、ネットワークルールに一致するトラフィックがセキュリティスキャンのためにポップに行くことができます。 次に、トラフィックは定義されたサイトに戻され、トラフィックがローカルソケットのWANポートを介して出力されます。 FWベストプラクティスに従い、Webサイト/アプリケーションを正確に識別するためにQUICプロトコルをブロックしてください。
  • 最後の手段として、ローカルバイパスを実行して、トラフィックをソケットのWANポート経由でターゲットのウェブサイトに直接送信することができます。  これは理想的な解決策ではありません。Cato PoPインフラストラクチャをバイパスし、このトラフィックにセキュリティが適用されないためです。  

IPsec サイト接続済み Cato

  • ネットワークルールでウェブサイトをドメインオブジェクトまたはアプリケーションとして定義し、IPSec経由のバックホールを有効にします。 これにより、ネットワークルールに一致するトラフィックがセキュリティスキャンのためにPoPに移動することができます。 その後、トラフィックはIPSecサイトに戻され、ローカルファイアウォールのWANポートを経由して出力されます。 このオプションが機能するには、ファイアウォール上のルーティング設定が必要です。 FWベストプラクティスに従い、Webサイト/アプリケーションを正確に識別するためにQUICプロトコルをブロックしてください。
  • 最後の手段として、ローカルIPsecデバイスでルーティングポリシーを変更し、ウェブサイトのIPアドレス(複数可)へのトラフィックがCato IPsecトンネルを通過しないようにすることができます。 これは理想的な解決策ではありません。Cato PoPインフラストラクチャをバイパスし、このトラフィックにセキュリティが適用されないためです。  

この記事は役に立ちましたか?

2人中2人がこの記事が役に立ったと言っています

0件のコメント