Веб-сайт недоступен из-за внесения Cato IP в черный список или геоблокировки

Проблема

При попытке зайти на определенный сайт через Cato Cloud, страница не загружается и в конечном итоге происходит тайм-аут. Однако, этот же сайт доступен при обходе Cato Cloud.

Эта проблема может возникнуть по двум основным причинам:

1. Cato IP внесен в черный список веб-сайта

Некоторые веб-сайты, такие как Hulu, ESPN или правительственные сайты, могут быть недоступны через Cato из-за внутренних ограничений или категорий, которые блокируют публичный IP-адрес Cato.

Хотя Cato не контролирует это поведение, есть несколько способов устранить и преодолеть эту проблему.

2. Геоблокированные веб-сайты

Некоторые правительства и другие организации могут разрешать доступ к их веб-сайтам только с IP-адресов, зарегистрированных в их стране или юрисдикции. Это называется геоблокировкой.

Cato Networks развернул PoP по всему миру, но PoP, с которым вы подключаетесь, необязательно будет в той же стране/штате, где вы живете. Если это так, то при посещении веб-сайта, размещенного в вашей стране/штате, сайт увидит подключение, идущее с IP-адреса, зарегистрированного вне вашей юрисдикции, то есть внешний IP-адрес PoP.

Если сайт использует геоблокировку для ограничения доступа только к IP-адресам внутри страны/штата, сайт не загрузится. В некоторых случаях вы можете увидеть страницу блокировки от веб-сервера, но чаще всего сайт просто выдаёт тайм-аут и отображает ошибку браузера, как ниже.

Chrome:

Firefox:

Edge:

Устранение неполадок

  • Запустите локальный захват пакетов на ПК или через сокет для подтверждения отсутствия ответов от сервера веб-сайта. Вы увидите только выходящие пакеты SYN или полное трёхстороннее рукопожатие без обмена на уровне приложений. Пакет RST также может поступить от сервера веб-сайта, что будет явным знаком, что Cato IP блокируется.
  • Возможно, некоторые части веб-сайта не загружаются полностью, что может указывать на перенаправление на другой сервер, который блокирует диапазоны Cato IP. Соберите файл HAR через инструмент разработчика браузера для дальнейшего анализа.

Решение

  • Свяжитесь с Администратором сайта и уточните причину, по которой диапазоны Cato IP блокируются. Попросите администратора включить в белый список глобальные IP-диапазоны, указанные в этом руководстве в соответствии с расположением PoP.
  • Если было определено, что пострадавшие пользователи из определенного расположения, примените базовое сетевое правило, выберите метод маршрутизации Route via, и выберите другое местоположение, которое получит доступ к сайту.

Если вышеупомянутое не решает проблему, продолжите с выполнением следующих шагов на основе местоположения пострадавшего пользователя:

Клиент SDP

  • Для занесенных в черный список Cato IP: вы можете включить обратную передачу через сокет в сетевом правиле и выбрать сайт, который имеет доступ к веб-сайту. PoP всё равно выполнит сканирование безопасности и затем направит трафик SDP на выбранный сайт, чтобы трафик ушел через WAN-порт сокета.
  • Для геоблокированных веб-сайтов: Вы сможете получить доступ к сайту в своей стране/штате, отключившись от VPN клиента. Это будет невозможно, если на клиенте применяется политика Всегда включено.
  • В качестве альтернативы, вы можете создать конфигурацию раздельного туннеля и исключить IP-адрес(а) веб-сайта. Любой трафик на исключенные IP-адреса не будет отправлен в Cato.

Сокет

  • Определите веб-сайт в сетевом правиле как объект Домен или Приложение и включите обратную передачу с замыканием. Это позволяет трафику, соответствующему сетевому правилу, попасть в PoP для безопасности сканирования. Затем трафик маршрутизируется обратно на определенный сайт, чтобы трафик выходил через порт WAN локального сокета. Обязательно следуйте рекомендациям FW и блокируйте протокол QUIC для точного определения Веб-сайта/Приложения.
  • В крайнем случае, можно выполнить локальный обход, чтобы трафик выходил прямо через порт WAN сокета на целевой веб-сайт.  Это не идеальное решение, так как оно обходит инфраструктуру Cato PoP и к этому трафику не применяется безопасность.  

IPSec Узел Подключен к Cato

  • Определите веб-сайт в сетевом правиле как объект Домен или Приложение и активируйте обратную передачу через IPsec. Это позволяет трафику, соответствующему сетевому правилу, попасть в PoP для безопасности сканирования. Затем трафик маршрутизируется обратно на узел IPSec, чтобы трафик выходил через порт WAN локального файервола. Настройка маршрутизации на файерволе необходима для работы этой опции. Обязательно следуйте рекомендациям FW и блокируйте протокол QUIC для точного определения Веб-сайта/Приложения.
  • В крайнем случае, можно изменить политику маршрутизации на локальном устройстве IPsec, чтобы трафик на IP-адрес(ы) веб-сайта не проходил через туннель Cato IPsec. Это не идеальное решение, так как оно обходит инфраструктуру Cato PoP и к этому трафику не применяется безопасность.  

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 2 из 2

0 комментариев