이 문서에는 Cato 클라이언트와 관련된 일반적인 문제를 해결하기 위한 몇 가지 제안이 포함되어 있습니다.
참고: Cato 클라이언트가 Cato 클라우드에 연결할 때 오류가 발생하면 다음 문서를 참조하십시오: Cato 클라이언트 로그인 오류
Cato 클라이언트와 서드파티 VPN 클라이언트의 충돌
도전
Cato 클라이언트와 동일한 컴퓨터에 서드파티 VPN 클라이언트가 설치되면, 서드파티 드라이버가 Cato 클라이언트와 충돌하여 설정을 덮어쓸 수 있습니다. 예를 들어 Cisco AnyConnect는 Cato 클라이언트의 DNS 설정을 덮어쓸 수 있습니다.
해결책
Cato Networks는 Cato 클라이언트 OS별로 다음과 같이 권장합니다.
Windows: 다음 KB 문서를 참조하세요: DNS 릴레이 서비스 작업
macOS: macOS에서 Cato 클라이언트는 다른 연결된 VPN 프로필과 동시에 실행할 수 없습니다.
iOS: 다음 KB 문서를 참조하세요 iOS(EA)용 Intune으로 앱별 VPN 배포하기
Android: 지원되지 않습니다.
Linux: 타사 VPN을 실행하는 동안 Cato 클라이언트 연결을 해제하세요.
참고: Cato 클라이언트를 풀 터널 모드로 실행하면서 타사 VPN과 함께 사용하는 것은 권장되지 않습니다.
도전
안티바이러스 소프트웨어가 Cato VPN 클라이언트 트래픽을 악성으로 식별하여 실수로 VPN 트래픽을 차단할 수 있습니다.
해결책
랩톱 또는 장치의 안티바이러스 소프트웨어가 Cato 클라이언트를 차단한다고 판단되면, VPN 연결을 허용하는 다음 옵션을 사용할 수 있습니다:
- 안티바이러스 설정을 구성하고 Cato 클라이언트에 대한 예외를 생성합니다.
- Cato Networks 지원에 문의하여 안티바이러스 벤더와 협력하여 우리의 클라이언트를 화이트리스트에 추가합니다; 이는 시간이 걸릴 수 있으므로 가능하다면 예외를 설정하는 것이 좋습니다.
팁: 안티바이러스 소프트웨어를 일시적으로 비활성화하여 이 소프트웨어가 Cato 클라이언트 트래픽을 차단하는지 확인할 수 있습니다.
도전
방화벽이 Cato 클라이언트가 Cato 클라우드에 연결하는 데 사용하는 특정 포트를 차단할 수 있습니다.
해결책
다양한 유형의 방화벽이 Cato 클라이언트가 Cato 클라우드에 연결하지 못하게 할 수 있습니다. 다음 섹션에서는 각 방화벽 유형에 대한 해결책을 설명합니다. 네트워크에 적용 가능한 해결책을 사용하십시오.
네트워크 방화벽
네트워크 방화벽 설정을 확인하고 포트 53 및 443에서 UDP 트래픽을 차단하는지 확인하세요. 그렇다면 포트 53 및 443에서 UDP 트래픽을 허용하고 Cato Client 설치 전제 조건에 설명된 URL 및 IP 주소를 허용하는 규칙을 추가하세요.
엔드포인트 방화벽
엔드포인트 컴퓨터의 경우, 엔드포인트 방화벽 에이전트가 연결을 차단하지 않는지 확인해야 합니다. 컴퓨터에 엔드포인트 방화벽 에이전트가 설치되어 있는 경우, 에이전트 설정을 확인하고 포트 53 또는 443에서 UDP 트래픽을 차단하도록 구성되어 있는지 확인하세요. 에이전트 공급업체에 연락하여 Cato 클라이언트 및 Cato 클라이언트 설치 전제 조건에 설명된 URL 및 IP 주소를 화이트리스트에 추가하도록 요청하는 것이 좋습니다.
Windows OS의 경우, Windows 방화벽 설정을 확인하고 포트 53 또는 443에서 UDP 트래픽을 차단하도록 구성되어 있는지 확인하세요. Cato Client의 기본 포트를 443에서 1337로 변경할 수도 있습니다. 기본 포트를 변경하는 방법에 대한 더 많은 정보는 Cato 클라이언트를 위한 별도의 UDP 포트 구성을 참조하십시오.
도전
사용자의 PC가 DTLS 핸드셰이크 중에 필요한 DTLS 암호를 사용하지 않는 경우 Cato 클라이언트는 Cato 클라우드와 인증할 수 없습니다.
해결책
Cato 소켓 및 SDP 클라이언트에서 사용하는 암호 스위트에 설명된 DTLS 암호가 PC의 암호화 설정에 포함되어 있는지 확인하십시오. Windows 장치의 경우, 다음 레지스트리 키에서 확인할 수 있습니다:
- 암호 스위트: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002
- 서명 알고리즘: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010003
도전
로컬 네트워크가 Cato VPN IP 범위와 동일한 서브넷을 사용하는 경우, 중첩 네트워크가 IP 충돌 및 라우팅 문제를 일으킬 수 있습니다. 예를 들어 Cato 클라이언트는 Cato 클라우드에 연결할 수 없습니다.
해결책
기본적으로 Cato Networks는 10.41.0.0/16 서브넷을 VPN 범위로 사용합니다. 로컬 네트워크 IP 범위를 변경하여 Cato VPN IP 범위와의 충돌을 피할 수 있습니다. 또한 Cato 관리 응용 프로그램(리소스 > IP 범위)에서 기본 VPN 범위를 변경할 수 있습니다.
다음 스크린샷은 VPN 사용자를 위한 10.43.0.0/16 서브넷의 맞춤형 IP 범례의 예시를 보여줍니다:
문제점
Cato 클라이언트가 Cato 클라우드에 성공적으로 연결되었으나, 사용자는 VPN 연결을 통해 WAN 또는 인터넷 리소스에 접근할 수 없습니다.
해결책
이 상황에서는 Cato 클라이언트가 Cato 클라우드와 연결이 되어 있지만, 다른 무엇인가가 WAN 또는 인터넷 접근을 막고 있습니다. Cato 관리 애플리케이션에서 다음 설정이 제대로 구성되었는지를 확인할 수 있습니다:
WAN 및 인터넷 접근 문제 해결에 대한 추가 정보는 인터넷 서비스 접근성 문제 해결 및 내부 리소스 접근 문제 해결를 참조하십시오.
Cato WAN 또는 인터넷 방화벽은 Cato 클라이언트의 WAN 또는 인터넷 리소스 접근을 차단할 수 있습니다. Cato 관리 애플리케이션에서 방화벽 규칙 기반(보안 > WAN 방화벽 또는 인터넷 방화벽)을 확인하고, 방화벽이 VPN 접근을 허용하는지 확인하십시오. 예를 들어, WAN 방화벽에 VPN 사용자가 사이트에 접근할 수 있도록 허용하는 규칙이 있는지?
Cato 방화벽 및 모범 사례에 대한 더 많은 정보를 알고 싶으면 인터넷 및 WAN 방화벽 정책 – 모범 사례를 참조하십시오.
DNS 설정이 잘못 구성된 경우, 사용자는 네트워크 리소스에 연결할 수 없습니다. Cato 관리 애플리케이션은 네트워크 > DNS 설정에서 전체 계정의 DNS 설정을 구성할 수 있습니다. 사이트, 그룹 및 SDP 사용자별로 DNS 설정을 구성할 수도 있습니다.
기본적으로 Cato Networks는 다음 DNS 서버를 사용합니다: 1차 DNS – 10.254.254.1 및 2차 DNS – 8.8.8.8.
로컬 DNS 서버를 사용하여 내부 리소스(WAN)에 접근하려면, 계정의 DNS가 로컬 DNS를 사용하도록 구성되어 있는지 확인하십시오. 예를 들어, 계정이 로컬 DNS 서버 또는 DNS 포워딩과 함께 설정되어 있는 경우에만, 사용자는 내부 도메인 images.mycompany.com에 접근할 수 있습니다. 그렇지 않으면, 해당 주소의 DNS는 해결되지 않습니다.
VPN 사용자가 www.catonetworks.com과 같은 인터넷 리소스에 연결하려면 계정의 DNS 설정에 적어도 하나의 공개 DNS 서버가 포함되어 있어야 합니다. 이 서버는 공용 인터넷의 DNS 해결을 제공합니다.
계정에 대한 DNS 설정을 구성하는 방법에 대한 더 많은 정보는 DNS 설정 구성을 참조하십시오.
일부 인터넷 콘텐츠는 Cato 클라이언트의 지리적 위치에 따라 제한됩니다. 인터넷 접속이 제한된 국가에 물리적으로 위치한 경우, 해당 국가에서 차단된 콘텐츠에 접근할 수 없습니다.
자세한 정보는 Cato IP 블랙리스트 또는 지오 차단으로 인해 웹사이트에 접근할 수 없음을 참조하십시오.
과제
Windows 환경에서는 사용자가 애플리케이션 성능 저하, DNS 해결 실패, 또는 VPN 터널 불안정을 경험할 수 있습니다. 이 문제는 일반적으로 스마트 다중 홈 이름 확인이라고 불리는 기능으로 거슬러 올라갑니다.
이 기능은 모든 사용 가능한 네트워크 인터페이스(예: Ethernet, 와이파이, VPN)를 통해 병렬로 DNS 쿼리를 전송합니다. 소스에 관계없이 첫 번째 DNS 대응이 사용됩니다. 속도를 위해 설계되었으나 이는 다음을 유발할 수 있습니다:
DNS 쿼리가 VPN을 우회하고 공용/로컬 DNS를 통해 해결
VPN 기반 내부 도메인 해결 실패
예기치 않은 지연 또는 잘못된 방향의 트래픽
해결책
인터페이스 기반 DNS 해결을 강제하기 위해 스마트 다중 네트워크 이름 해결을 비활성화: DNS 쿼리가 지정된 어댑터(일반적으로 VPN 터널)만 통해 라우팅되도록 하려면 이 Windows 기능을 비활성화하십시오. 이는 Windows가 인터페이스 메트릭스 및 라우팅 우선순위에 따라 DNS 서버를 사용할 수 있게 해주며, 이는 분할 터널링 및 비공개/내부 도메인 조회에 매우 중요합니다.
비활성화:
그룹 정책: 컴퓨터 구성 > 관리 템플릿 > 네트워크 > DNS 클라이언트 > 스마트 다중 홈 이름 해상도 끄기 → 활성화됨
또는 레지스트리를 통해:[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DNSClient]"DisableSmartNameResolution"=dword:00000001
댓글 0개
댓글을 남기려면 로그인하세요.