문제
macOS Ventura 및 iOS 장치에서 사용자는 Cato에 연결할 때 내부 자원에 접근할 수 없습니다.
환경
- macOS Ventura 13.0 이상
- iPhone iOS 16 이상
- 버전에 상관없이 Cato SDP 클라이언트
- 내부 도메인에 대해 설정된 DNS 전달
이유
SDP 사용자에게 적용된 Cato의 DNS 설정이 기본값(빈 필드)인 경우, Cato는 클라이언트에게 다음 DNS 정보를 푸시합니다:
- 기본 DNS 서버 10.254.254.1
- 보조 DNS 서버 8.8.8.8
Cato의 테스트에 따르면, 계정이 위와 같이 구성되거나 공용 DNS 서버(예: 8.8.8.8 또는 1.1.1.1)를 사용할 때 macOS/iOS는 구성된 공용 DNS 서버에 대한 이름 확인에 DoH(HTTPS를 통한 DNS) 또는 DoT(TLS를 통한 DNS)를 선호하는 경향이 있습니다. Cato는 현재 DoH/DoT를 지원하지 않습니다.
한 번 macOS/iOS가 DoH/DoT를 준수하는 DNS 서버를 인식하면, Cato의 DNS 서버 IP를 포함하여 다른 DNS 서버는 무시됩니다. 자세한 내용은 Apple 토론에서 확인할 수 있습니다.
Cato PoPs 는 DNS 전달을 DoH/DoT 패킷에 대해 지원하지 않기 때문에, DNS 전달이 실패하고, 사용자는 내부 리소스에 접근할 수 없거나 검색된 DNS 결과가 예상과 다를 수 있습니다.
기계에서 선호하는 DNS 서버는 터미널에서 scutil --dns를 실행하여 식별할 수 있습니다. 다음 출력은 macOS가 8.8.8.8을 기본 DNS로 선호하는 것을 보여줍니다.
MacBook-Air-2:~ xx$ scutil --dns
DNS 구성
해결자 #1
nameserver[0] : 8.8.8.8
nameserver[1] : 10.254.254.1
if_index : 24 (utun8)
플래그 : 보조, A 레코드 요청
도달 : 0x00000003 (도달 가능, 일시적 연결)
순서 : 101200
엔터티 간 DNS 설정이 충돌할 때, 호스트에 가장 가까운 엔터티(호스트 > 사이트 > 그룹 > 계정)가 우선권을 가집니다. 자세한 내용은 DNS 설정 구성을 참조하세요
해결방법
이것은 Apple이 적극적으로 해결 중인 알려진 문제입니다. 다음 해결 방법을 Cato에서 구현할 수 있습니다:
1. 방화벽 규칙에서 DoH (HTTPS를 통한 DNS) 및 TLS를 통한 DNS을 차단하여 이 프로토콜이 Cato를 통해 도달할 수 없도록 합니다. 이렇게 하면 macOS/iOS가 Cato의 기본 DNS 서버인 10.254.254.1로 UDP 기반 DNS를 통해 전환하며, DNS 전달이 가능해집니다.
2. CMA에서유일한 명시적 DNS 서버로 10.254.254.1 설정. 이렇게 하면 8.8.8.8(또는 다른 DoH/DoT 지원 DNS 서버)이 기기의 기본 DNS로 설정되는 것을 막고, 모든 DNS 쿼리를 Cato가 처리하도록 강제합니다.
DNS 서버는 전역 또는 그룹별로 설정할 수 있으며, 선호되는 사전 구성된 '모든 SDP 사용자' 사용자 그룹입니다. 자세한 내용은 SDP 사용자 DNS 설정의 중앙 집중식 관리를 참조하세요.
댓글 0개
댓글을 남기려면 로그인하세요.