Este artigo contém algumas sugestões para resolução de problemas comuns com o Cato Client.
Nota: Se o Cato Client apresentar um erro ao conectar ao Cato Cloud, consulte o seguinte artigo: Erros de Login do Cato Client
Conflitos do Cato Client com Clientes VPN de Terceiros
Desafio
Quando clientes de VPN de terceiros estão instalados no mesmo computador que o Cato Client, os drivers de terceiros podem entrar em conflito com o Cato Client e sobrepor as configurações. Por exemplo, o Cisco AnyConnect pode sobrepor as configurações de DNS para o Cato Client.
Solução
Cato Networks fornece recomendações por SO do Cliente Cato, conforme descrito abaixo:
Windows: Consulte o seguinte artigo da KB: Trabalhando com o Serviço de Relé DNS
macOS: O Cliente Cato no macOS não pode operar junto com outro Perfil de VPN conectado.
iOS: Consulte o seguinte artigo da KB Implantar uma VPN por Aplicativo com Intune para iOS (EA)
Android: Não suportado.
Linux: Por favor, desconecte o Cliente Cato enquanto estiver usando uma VPN de terceiros.
Por favor, note: Executar o Cliente Cato no modo de túnel completo junto com uma VPN de terceiros não é recomendado.
Desafio
O software antivírus pode identificar o tráfego do Cato VPN Client como malicioso e, por engano, bloquear o tráfego VPN.
Solução
Se você determinar que o software antivírus no laptop ou dispositivo bloqueia o Cato Client, estas são suas opções para permitir a conexão VPN:
- Configurar as configurações do antivírus e criar uma exceção para o Cliente Cato.
- Entre em contato com o Suporte da Cato Networks para coordenar com o fornecedor do antivírus a inclusão do nosso Cliente na lista branca; isso pode levar tempo, portanto, uma exceção é recomendada, se possível.
Dica: Você pode desativar temporariamente o software antivírus para verificar se este software está bloqueando o tráfego do Cato Client.
Desafio
É possível que um firewall bloqueie a porta específica que o Client usa para conectar ao Cato Cloud.
Solução
Vários tipos de firewalls podem bloquear o Cato Client de conectar ao Cato Cloud. As seções a seguir descrevem soluções para cada tipo de firewall; use a solução que é aplicável à sua rede.
Firewall de Rede
Verifique as configurações do firewall de rede e veja se ele bloqueia o tráfego UDP nas portas 53 e 443. Se bloquear, adicione uma regra que permita o tráfego UDP nas portas 53 e 443 e os URLs e endereços IP descritos em Pré-requisitos para Instalação do Cato Client.
Firewall de Endpoint
Para computadores endpoint, você deve ter certeza de que o agente do firewall endpoint não está bloqueando a conexão. Se um agente firewall de endpoint estiver instalado no seu computador, verifique as configurações do agente e veja se está configurado para bloquear tráfego UDP nas portas 53 ou 443. Recomendamos que você entre em contato com o fornecedor do agente e peça para colocar o Cato Client na lista branca e os URLs e endereços IP descritos em Pré-requisitos para Instalação do Cato Client.
Para o sistema operacional Windows, verifique as configurações do firewall do Windows e veja se estão configuradas para bloquear tráfego UDP nas portas 53 ou 443. Você também pode mudar a porta padrão do Cato Client de 443 para 1337. Para mais informações sobre como alterar a porta padrão, veja Configurando uma Porta UDP Diferente para o Cliente Cato.
Desafio
O Cato Client não consegue autenticar com o Cato Cloud quando o PC do usuário não utiliza os cifradores DTLS necessários durante a negociação DTLS.
Solução
Confirme que os cifradores DTLS descritos em Conjuntos de Cifradores Usados pelo Cato Socket e Cliente SDP estejam incluídos na configuração de criptografia do PC. Para dispositivos Windows, isso pode ser verificado na seguinte chave de registro:
- Suítes de Cifras: Computador\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002
- Algoritmos de Assinatura: Computador\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010003
Desafio
Se sua rede local usa a mesma sub-rede que a faixa de IP do Cato VPN, redes sobrepostas podem causar conflitos de IP e problemas de roteamento. Por exemplo, os Cato Clients não conseguem conectar ao Cato Cloud.
Solução
Por padrão, a Cato Networks usa a sub-rede 10.41.0.0/16 como faixa de VPN. Você pode alterar a faixa de IP da rede local para evitar conflito com a faixa de IP do Cato VPN. Você também pode mudar a faixa de VPN padrão no Cato Management Application (Recursos > Faixas de IP).
A captura de tela a seguir mostra um exemplo de uma faixa de IP personalizada da sub-rede 10.43.0.0/16 para usuários de VPN:
Desafio
O Cato Client conecta-se com sucesso ao Cato Cloud, mas os usuários não conseguem acessar recursos WAN ou da Internet pela conexão VPN.
Solução
Nesta situação, o Cato Client tem conectividade com o Cato Cloud, mas algo está bloqueando o acesso WAN ou da Internet. Você pode verificar se as seguintes configurações estão corretamente configuradas no Cato Management Application:
Para mais informações sobre solução de problemas de acesso WAN e Internet, veja Solução de Problemas de Acessibilidade do Serviço de Internet e Solução de Problemas de Acesso a Recursos Internos.
O firewall Cato WAN ou Internet pode bloquear o acesso de Cato Clients aos recursos da WAN ou Internet. Verifique as bases de regras do firewall no Cato Management Application (Segurança > Firewall WAN ou Firewall da Internet) e certifique-se de que o firewall permite o acesso VPN. Por exemplo, o firewall WAN tem uma regra que permite que os usuários VPN acessem o site?
Para mais informações sobre o firewall da Cato e melhores práticas, veja Políticas de Firewall da Internet e WAN – Melhores Práticas.
Quando as configurações de DNS estão mal configuradas, os usuários não conseguem se conectar aos recursos da rede. As aplicações de gerenciamento da Cato permitem que você configure as configurações de DNS para toda a conta em Rede > Configurações de DNS. Você também pode configurar as configurações de DNS para cada site, grupo e usuário SDP.
Por padrão, a Cato Networks usa os seguintes servidores DNS: DNS primário – 10.254.254.1 e DNS secundário – 8.8.8.8.
Se você deseja acessar um recurso interno (WAN) com um servidor DNS local, certifique-se de que o DNS da sua conta esteja configurado para usar o DNS local. Por exemplo, os usuários só podem acessar o domínio interno images.mycompany.com se a sua conta estiver configurada com seu servidor DNS local ou com Encaminhamento de DNS. Caso contrário, o DNS para esse endereço não será resolvido.
Para que usuários VPN se conectem a um recurso da Internet, como www.catonetworks.com, as configurações de DNS da sua conta devem conter pelo menos um servidor DNS público. Este servidor permite a resolução de DNS para a Internet pública.
Para mais informações sobre como configurar as configurações de DNS para a sua conta, consulte Configurando Configurações de DNS.
Algum conteúdo da Internet é restrito com base na localização geográfica do Cliente Cato. Se você estiver fisicamente localizado em um país com acesso limitado à Internet, você não pode acessar o conteúdo bloqueado desse país.
Para mais informações, consulte Website inacessível devido ao bloqueio de IP da Cato ou bloqueio geográfico.
Desafio
Em ambientes Windows, usuários podem experimentar desempenho lento de aplicações, falhas na resolução de DNS ou instabilidade no túnel VPN. Esses problemas são comumente rastreados até um recurso chamado Smart Multi-Homed Name Resolution.
Este recurso envia consultas DNS em paralelo por todas as interfaces de rede disponíveis (por exemplo, Ethernet, Wi-Fi, VPN). A primeira resposta de DNS é utilizada, independentemente da origem. Embora projetado para velocidade, isso pode causar:
Consultas DNS ignorarem o VPN e resolverem via DNS público/local
Falha na resolução de domínios internos baseados em VPN
Atrasos inesperados ou tráfego mal direcionado
Solução
Desabilitar Smart Multi-Homed Name Resolution para Forçar Resolução de DNS Baseada na Interface: Para garantir que as consultas DNS sejam roteadas apenas através do adaptador pretendido (normalmente o túnel VPN), desative este recurso do Windows. Isso permite que o Windows use servidores DNS com base em métricas de interface e prioridade de roteamento - um comportamento que é crítico para o túnel dividido e consultas de domínios privados/internos.
Para desabilitar:
Grupo de Administradores : Configuração do Computador > Modelos Administrativos > Rede > Cliente DNS > Desativar resolução de nome inteligente multi-homed → Ativado
Ou via Registro:[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DNSClient]"DisableSmartNameResolution"=dword:00000001
Desafio
Uma política GPO restritiva pode bloquear a instalação do adaptador Cato durante o processo de instalação ou atualização do Cato Client. Regras GPO como "Instalação restrita de dispositivos não descritos pela política" podem bloquear a instalação do adaptador.
Solução
Permitir que a política GPO permita a instalação do adaptador Cato.
0 comentário
Por favor, entre para comentar.