この記事には、Catoクライアントに関する一般的な問題のトラブルシューティングのためのいくつかの提案が含まれています。
注意: CatoクライアントがCatoクラウドへの接続中にエラーを発生させる場合は、次の記事を参照してください: Catoクライアントのログインエラー
Catoクライアントとサードパーティ製VPNクライアントの競合
課題
サードパーティのVPNクライアントがCatoクライアントと同じコンピュータにインストールされていると、サードパーティのドライバがCatoクライアントと競合して設定を上書きすることがあります。 例えば、Cisco AnyConnectがCatoクライアントのDNS設定を上書きすることがあります。
解決策
Cato Networksが提供する各CatoクライアントOSに対する推奨事項は以下の通りです。
Windows: 次のKB記事を参照してください: DNSリレーサービスの操作
macOS: macOS上のCatoクライアントは他の接続されたVPNプロファイルと同時に実行できません。
iOS: 次のKB記事を参照してください iOSにIntuneでPer APP VPNを展開する(EA)
Android: サポートされていません。
Linux: 他社のVPNを実行している間はCatoクライアントを切断してください。
注: CatoクライアントのフルトンネルモードをサードパーティのVPNと一緒に実行することは推奨されていません。
課題
ウイルス対策ソフトウェアがCato VPNクライアントのトラフィックを悪意のあると識別し、誤ってVPNトラフィックをブロックすることがあります。
解決策
ウイルス対策ソフトがCatoクライアントをブロックしていると判断した場合、次のいずれかの方法でVPN接続を許可できます。
- ウイルス対策設定を設定し、Catoクライアントの例外を作成します。
- Cato Networksサポートに連絡してウイルス対策ベンダーと調整し、クライアントをホワイトリストに追加してもらってください。これには時間がかかることがあるため、可能であれば例外の作成をお勧めします。
ヒント: 一時的にウイルス対策ソフトを無効にして、このソフトがCatoクライアントのトラフィックをブロックしているかどうかを確認できます。
課題
ファイアウォールがCatoクラウドに接続するためにクライアントが使用する特定のポートをブロックする可能性があります。
解決策
いくつかの種類のファイアウォールがCatoクライアントのCatoクラウドへの接続を妨げる可能性があります。 以下のセクションでは各ファイアウォールタイプの解決策を説明します。ネットワークに適用可能な解決策を使用してください。
ネットワークファイアウォール
ネットワークファイアウォールの設定を確認し、ポート53および443でUDPトラフィックがブロックされているかどうかを確認します。 もしそうなら、ポート53および443でUDPトラフィックを許可し、Catoクライアントのインストールに必要な事項に記載されているURLとIPアドレスを許可するルールを追加してください。
エンドポイントファイアウォール
エンドポイントコンピュータの場合、エンドポイントファイアウォールエージェントが接続をブロックしていないことを確認する必要があります。 エンドポイントファイアウォールエージェントがコンピュータにインストールされている場合、エージェント設定を確認し、ポート53または443でUDPトラフィックをブロックするように構成されているかどうかを確認します。 エージェントベンダーに連絡し、CatoクライアントおよびCatoクライアントのインストールに必要な事項に記載されているURLおよびIPアドレスをホワイトリストに含めるよう依頼することをお勧めします。
Windows OSの場合、Windowsファイアウォールの設定を確認し、ポート53または443でUDPトラフィックをブロックするように構成されているかどうかを確認します。 Catoクライアントのデフォルトポートを443から1337に変更することもできます。 デフォルトポートの変更についての詳細情報は、Catoクライアントの別のUDPポートの設定を参照してください。
課題
Catoクライアントは、ユーザーのPCがDTLSハンドシェイク時に必要なDTLS暗号を使用していない場合、Catoクラウドと認証できません。
解決策
CatoソケットおよびSDPクライアントで使用される暗号スイートに記載されたDTLS暗号がPCの暗号化設定に含まれていることを確認します。 Windowsデバイスの場合、次のレジストリキーの下で確認できます:
- 暗号スイート: コンピューター\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002
- 署名アルゴリズム: コンピューター\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010003
課題
ローカルネットワークがCato VPN IP範囲と同じサブネットを使用している場合、重複するネットワークはIPの競合やルーティングの問題を引き起こす可能性があります。 例えば、CatoクライアントはCatoクラウドに接続できません。
解決策
デフォルトでは、Cato Networksは10.41.0.0/16サブネットをVPNの範囲として使用します。 Cato VPN IP範囲との競合を避けるためにローカルネットワークのIP範囲を変更することができます。 Cato管理画面 (リソース > IP範囲) でデフォルトのVPN範囲を変更することもできます。
次のスクリーンショットは、VPNユーザーのための10.43.0.0/16サブネットのカスタムIP範囲の例を示しています。
課題
CatoクライアントはCatoクラウドに正常に接続しますが、ユーザーはVPN接続を介してWANまたはインターネットリソースにアクセスできません。
解決策
この状況では、CatoクライアントはCatoクラウドとの接続性がありますが、他の何かがWANまたはインターネットへのアクセスをブロックしています。 Cato管理画面で次の設定が正しく構成されているか確認できます。
WANおよびインターネットアクセスのトラブルシューティングに関する詳細情報は、インターネットサービスリーチャビリティのトラブルシューティングおよび内部リソースアクセスのトラブルシューティングを参照してください。
CatoのWANまたはインターネットファイアウォールは、CatoクライアントのWANまたはインターネットリソースへのアクセスをブロックする可能性があります。 Cato管理画面(セキュリティ > WANファイアウォール または インターネットファイアウォール)でファイアウォールのルールベースを確認し、ファイアウォールがVPNアクセスを許可することを確認してください。 例えば、WANファイアウォールは、VPNユーザーがサイトにアクセスすることを許可するルールを持っているか?
Catoファイアウォールおよびベストプラクティスに関するさらなる情報は、インターネットおよびWANファイアウォールポリシー – ベストプラクティスを参照してください。
DNS設定が誤って構成されている場合、ユーザーはネットワークリソースに接続できません。 Cato管理アプリケーションでは、ネットワーク > DNS 設定でアカウント全体のDNS設定を構成できます。 サイト、グループ、SDPユーザーごとにDNS設定を構成することもできます。
デフォルトで、Cato Networksは次のDNSサーバーを使用します: プライマリDNS – 10.254.254.1、セカンダリDNS – 8.8.8.8。
ローカルDNSサーバーを使用して内部リソース(WAN)にアクセスしたい場合は、アカウントのDNSがローカルDNSを使用するように構成されていることを確認してください。 例えば、アカウントがローカルDNSサーバーまたはDNSフォワーディングで設定されている場合にのみ、ユーザーは内部ドメインimages.mycompany.comにアクセスできます。 そうでなければ、そのアドレスのDNSは解決されません。
VPNユーザーがインターネットリソースに接続するには、アカウントのDNS設定に最低1つの公開DNSサーバーが含まれている必要があります。例: www.catonetworks.com。 このサーバーはパブリックインターネットのDNS解決を可能にします。
アカウントのDNS設定の構成方法について詳しくは、DNS設定の構成を参照してください。
一部のインターネットコンテンツは、Catoクライアントの地理的ロケーションに基づいて制限されています。 インターネットアクセスが制限された国に物理的に存在する場合、その国からブロックされたコンテンツにアクセスすることはできません。
詳細については、Cato IPのブラックリストまたはジオブロッキングによりウェブサイトがアクセス不能を参照してください。
課題
Windows環境で、ユーザーはアプリケーションパフォーマンスの低下、DNS解決の失敗、またはVPNトンネルの不安定性を経験することがあります。 これらの問題は、スマートマルチホームド名解決という機能に起因することが一般的です。
この機能は、すべての利用可能なネットワークインタフェース(例:イーサネット、Wi-Fi、VPN)を介して並列でDNSクエリを送信します。 ソースに関係なく、最初のDNS対応が使用されます。 速度を考慮して設計されていますが、これが原因で以下のことが発生する可能性があります:
VPNをバイパスして公開/ローカルDNSで解決するDNSクエリ
VPNベースの内部ドメイン解決が失敗する
予期しない遅延や誤ったルーティングによるトラフィック
ソリューション
インタフェースベースのDNS解決を強制するにはスマートマルチホームネーム解決を無効にする:DNSクエリが意図されたアダプタ(通常はVPNトンネル)のみを通過するように、このWindows機能を無効にします。 これは、インターフェースメトリックおよびルーティングの優先順位に基づいてDNSサーバーを使用することをWindowsに許可します。 - スプリットトンネリングおよびプライベート/内部ドメインルックアップにとって重要な動作です。
無効化するには:
グループポリシー: コンピューターの構成 > 管理用テンプレート > ネットワーク > DNSクライアント > スマートマルチホームド名解決を無効にする → 有効
またはレジストリを介して:[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DNSClient]"DisableSmartNameResolution"=dword:00000001
0件のコメント
サインインしてコメントを残してください。