Android 장치가 Cato를 통해 내부 자원에 접근할 수 없음

문제

안드로이드 장치에서, 사용자들이 Cato에 연결되어 있을 때 내부 자원에 접근할 수 없음

환경

• Android v9 이상
• 버전에 상관없이 Cato SDP 클라이언트
• 내부 도메인에 대해 구성된 DNS 전달

문제점

이 문제는 Android의 개인 DNS와 관련이 있을 수 있습니다. 이 기능은 기본적으로 버전 9 이상에서 활성화되며, 서버가 지원하는 경우 DNS 서버에 보안 채널을 이용하여 연결합니다.

기본적으로, 개인 DNS는 "자동"으로 설정되어 있으며, 이는 네트워크에 지정된 (WiFi 어댑터) DNS 서버를 사용하며, 포트 853에서 DoT (DNS over TLS) 연결을 시도한 후 포트 53의 UDP 기반 DNS로 되돌아갑니다.

카토는 DoT 쿼리를 차단하지 않으며, DNS 전달이 실패하고 사용자는 내부 리소스에 도달할 수 없거나 가져온 DNS 결과가 예상과 다를 수 있습니다.

해결책

다음 해결책들을 구현할 수 있습니다：

1. 방화벽 규칙에서 DoH (DNS over HTTP) 그리고 DNS over TLS를 차단하여 이러한 프로토콜이 카토를 통해 도달하지 못하도록 합니다. 이렇게 하면 안드로이드가 UDP 기반 DNS로 전환하여 DNS 전달을 허용합니다.

2． 장치는 여전히 UDP/53을 통해 네트워크에 지정된 DNS 서버에 도달하려고 시도할 수 있으며, 카토는 이에 대해 DNS 전달을 적용하지 않습니다. 그렇다면 장치에서 사설 DNS를 비활성화하십시오． Android 장치에서 설정 > 네트워크 및 인터넷 (또는 동등 항목)으로 이동하여 Private DNS를 끕니다.