Problema
Em dispositivos macOS Ventura e iOS, os usuários não conseguem acessar recursos internos quando conectados ao Cato
Ambiente
- macOS Ventura 13.0 ou posterior
- iPhone iOS 16 ou posterior
- Cliente SDP Cato independentemente da versão
- Encaminhamento DNS configurado para domínios internos
Motivo
Se as configurações DNS Cato aplicadas aos usuários SDP forem padrão (campos vazios), Cato enviará ao cliente as seguintes informações DNS:
- Servidor DNS Primário 10.254.254.1
- Servidor DNS Secundário 8.8.8.8
Com base nos testes da Cato, quando a conta está configurada como acima ou usando um servidor DNS público conhecido (como 8.8.8.8 ou 1.1.1.1), é provável que o macOS/iOS prefira DoH (DNS sobre HTTPS) ou DoT (DNS sobre TLS) para resolver nomes em direção ao servidor DNS público configurado. Cato atualmente não suporta DoH/DoT.
Uma vez que o macOS/iOS vê um servidor DNS que é compatível com DoH/DoT, ele ignorará qualquer outro servidor DNS, incluindo o IP do Servidor DNS da Cato. Mais informações podem ser encontradas nesta discussão da Apple.
Como os Pops da Cato não suportam Encaminhamento DNS para pacotes DoH/DoT, o encaminhamento DNS falha, o usuário não consegue acessar recursos internos ou os resultados DNS obtidos não são os esperados.
Os servidores DNS preferidos na máquina podem ser identificados executando scutil --dns no terminal. A saída a seguir mostra que o macOS prefere 8.8.8.8 como o servidor DNS principal.
MacBook-Air-2:~ xx$ scutil --dns
Configuração DNS
resolvedor #1
nameserver[0] : 8.8.8.8
nameserver[1] : 10.254.254.1
if_index : 24 (utun8)
flags : Bandeiras, Solicitar registros A
reach : 0x00000003 (Alcançável,Conexão Transitória)
ordem : 101200
Esteja ciente de que quando as configurações DNS entre entidades entram em conflito, a entidade mais próxima do host (de host > site > grupo > conta) tem precedência. Para mais informações, consulte Configurações DNS
Solução
Este é um problema conhecido em que a Apple está trabalhando ativamente. Os seguintes métodos alternativos podem ser implementados na Cato:
1. Bloquear DoH (DNS sobre HTTPS) e DNS sobre TLS em uma Regra de Firewall para evitar que esses protocolos sejam acessíveis via Cato. Isso forçará o macOS/iOS a mudar para o servidor DNS padrão da Cato, 10.254.254.1, sobre DNS baseado em UDP, permitindo o Encaminhamento DNS.
2. Defina 10.254.254.1 como o único Servidor DNS EXPLICITAMENTE no CMA. Isso impedirá que 8.8.8.8 (ou qualquer outro servidor DNS compatível com DoH/DoT) seja definido como o DNS primário da máquina e forçará que TODAS as consultas DNS sejam tratadas pela Cato.
O Servidor DNS pode ser configurado globalmente ou por grupo, de preferência no grupo de usuários pré-configurado 'Todos Usuários SDP'. Para mais informações, consulte Gerenciamento Centralizado das Configurações de DNS do Usuário SDP
0 comentário
Por favor, entre para comentar.