Website Inacessível devido ao IP da Cato na lista negra ou Bloqueio Geográfico

Problema

Quando tentam acessar um site específico através da Cato Cloud, a página não carrega e, eventualmente, expira. Entretanto, o mesmo site é acessível quando se ignora a Cato Cloud.

Este problema pode ocorrer devido a dois motivos principais:

1. IP da Cato na lista negra pelo Website

Certos sites, como Hulu, ESPN, ou sites governamentais, podem não ser acessíveis via Cato devido a restrições internas ou categorização que bloqueiam o Endereço IP Público da Cato.

Embora a Cato não tenha controle sobre esse comportamento, há algumas maneiras de solucionar e superar esse problema.

2. Sites Bloqueados Geograficamente

Alguns governos e outras organizações podem permitir o acesso aos seus sites apenas a partir de Endereços IP registrados em seu próprio País ou jurisdição. Isso é conhecido como bloqueio geográfico.

A Cato Networks possui PoPs implantados ao redor do mundo, mas o PoP ao qual você se conecta nem sempre estará no mesmo País/Estado onde você mora. Se for o caso, ao visitar um site hospedado dentro do seu País/Estado, o site verá a conexão vindo de um Endereço IP registrado fora da sua jurisdição, o Endereço IP Externo do PoP.

Se o site estiver usando bloqueio geográfico para restringir o acesso apenas a Endereços IP do País/Estado, o site não carregará. Em alguns casos, você poderá ver uma Página de Bloqueio do servidor web, mas na maioria das vezes, o site simplesmente expira e é exibido um Erro no navegador como os abaixo.

Chrome:

Firefox:

Edge:

Solução de Problemas

  • Realize uma captura de pacotes localmente no PC ou via a socket para confirmar que não há respostas do servidor do website. You will only see SYN packets going out or a complete 3-way handshake with no application-layer exchange. Um pacote RST também pode vir do servidor do site o que seria uma indicação clara de que o IP da Cato está sendo bloqueado.
  • Também é possível que partes do site não carreguem totalmente, o que pode indicar um redirecionamento para outro servidor que bloqueia Intervals de IP da Cato. Colete um arquivo HAR através da ferramenta de desenvolvedor do navegador para mais análise.

Solução

  • Entre em contato com o Administrador do Website e pergunte o motivo pelo qual os Intervals de IP da Cato estão sendo bloqueados. Request the admin to whitelist the IP ranges listed in this guide according to the PoP location.
  • Se os usuários afetados foram determinados como sendo de um local específico, aplique uma Regra de Rede básica, selecione o método de Roteamento Rota via e escolha um local diferente que terá acesso ao site.

Se o acima não resolver o problema, prossiga com as seguintes etapas com base no local onde o usuário afetado está localizado:

Cliente SDP

  • Para IPs da Cato na lista negra: Você pode habilitar backhaul via um socket na Regra de Rede e selecionar um site que tem acesso ao site. O PoP ainda irá realizar verificações de segurança e depois redirecionará o tráfego do SDP para o site selecionado, para que o tráfego saia pela porta WAN do socket.
  • Para Sites Bloqueados Geograficamente: Você deve ser capaz de acessar o site enquanto estiver em seu próprio País/Estado ao se desconectar do cliente VPN. Isso não será possível se o Sempre Ativo for aplicado no cliente.
  • Alternatively, you can create a split tunnel configuration and exempt the IP address(es) of the website. Qualquer tráfego para os Endereços IP isentos não será enviado à Cato.

Socket

  • Defina o site em uma Regra de Rede como um Objeto Domínio ou Aplicação e ative backhaul hairpinning. Isso permite que o tráfego que corresponde à Regra de Rede vá ao PoP para verificações de segurança. O tráfego é então roteado de volta ao site definido para que o tráfego saia pela porta WAN do socket local. Certifique-se de seguir as Melhores Práticas de FW e bloquear o protocolo QUIC para identificar com precisão o Website/Aplicação.
  • Como último recurso, você pode realizar um ignore local para que o tráfego vá direto pela porta WAN do socket para o site alvo.  Esta não é uma solução ideal, pois ignora a infraestrutura PoP da Cato e nenhuma segurança é aplicada a este tráfego.  

Site IPSec Conectado ao Cato

  • Defina o website em uma Regra de Rede como um objeto Domínio ou Aplicação e habilite backhaul via IPSec. Isso permite que o Tráfego que corresponde à Regra de Rede vá para o PoP para escaneamento de segurança. O tráfego é então roteado de volta para o site IPSec para que o tráfego saia através da porta WAN do firewall local. A configuração de roteamento no firewall é necessária para que esta opção funcione. Certifique-se de seguir as Melhores práticas de FW e bloqueie o protocolo QUIC para identificar com precisão o Website/Aplicação.
  • Como último recurso, você pode alterar a Política de Roteamento BGP no Dispositivo IPsec local para que o Tráfego para o(s) Endereço(s) IP do Website não seja roteado pelo túnel IPsec da Cato. Esta não é uma solução ideal, pois ignora a infraestrutura de PoP da Cato e nenhuma segurança é aplicada a este Tráfego.  

Esse artigo foi útil?

Usuários que acharam isso útil: 2 de 2

0 comentário