問題
macOS VenturaおよびiOSデバイスでは、ユーザーがCatoに接続中に内部リソースにアクセスできません
環境
- macOS Ventura 13.0以降
- iPhone iOS 16以降
- バージョンに関わらず、Cato SDP クライアント
- 内部ドメイン用に構成されたDNSフォワーディング
理由
SDPユーザーに適用されたCatoのDNS設定がデフォルト(空欄)の場合、Catoはクライアントに次のDNS情報を送信します:
- プライマリ DNS サーバー 10.254.254.1
- セカンダリ DNS サーバー 8.8.8.8
Catoのテストに基づくと、アカウントが上記のように設定されているか、既知のパブリックDNSサーバー(例: 8.8.8.8または1.1.1.1)を使用している場合、macOS/iOSは設定されたパブリックDNSサーバーへの名前解決のためにDoH(DNS over HTTPS)またはDoT(DNS over TLS)を優先する可能性があります。 Catoは現在、DoH/DoTをサポートしていません。
macOS/iOSは、DoH/DoTに準拠したDNSサーバーを確認すると、CatoのサーバーIPを含む他のDNSサーバーを無視します。 詳細については、このAppleディスカッションを参照してください。
CatoのポップはDNSフォワーディングをDoH/DoTパケットのサポートをしていないため、DNSフォワーディングが失敗し、ユーザは内部リソースにアクセスできません。または取得されたDNS結果が期待される結果ではありません。
マシン上の優先DNSサーバーは、ターミナルでscutil --dnsを実行することで識別できます。 次の出力は、macOSがプライマリDNSサーバーとして8.8.8.8を優先することを示しています。
MacBook-Air-2:~ xx$ scutil --dns
DNS設定
リゾルバ #1
nameserver[0] : 8.8.8.8
nameserver[1] : 10.254.254.1
if_index : 24 (utun8)
フラグ : 補足, Aレコードの要求
到達 : 0x00000003 (到達可能, 一時的 な接続)
順序 : 101200
エンティティ間でDNS設定が競合する場合、ホストに最も近いエンティティ(ホスト > サイト > 管理者グループ > アカウント)が優先されることに注意してください。 詳細については、DNS設定を参照してください
ソリューション
これは、Appleが積極的に取り組んでいる既知の問題です。 以下の回避策はCatoで実装できます:
1. DoH(DNS over HTTPS)やDNS over TLSをファイアウォールルールでブロックして、これらのプロトコルがCatoを介して到達可能にならないようにします。 これは、macOS/iOSにデフォルトのDNSサーバー、10.254.254.1をUDPベースのDNSで使用させ、DNSフォワーディングを可能にします。
2。 CMAで唯一のDNSサーバーとして10.254.254.1を明示的に設定します。 これにより、8.8.8.8(または任意のDoH/DoT対応のDNSサーバー)がマシンのプライマリDNSとして設定されるのを防ぎ、すべてのDNSクエリをCatoが処理するように強制します。
DNSサーバーはグローバルまたはグループごとに設定できますが、事前に設定された'全てSDPユーザー'ユーザーグループが望ましいです。 詳細については、SDPユーザーDNS設定の中央管理を参照してください。
0件のコメント
サインインしてコメントを残してください。