Устройства Android не могут получить доступ к внутренним ресурсам через Cato

Проблема

На устройствах Android пользователи не могут получить доступ к внутренним ресурсам при подключении к Cato

Среда

• Android v9 и выше
• Клиент Cato SDP независимо от версии
• Перенаправление DNS настроено для внутренних доменов

Проблема

Этот вопрос может быть связан с частным DNS Android. Функция включена по умолчанию в версии 9 и выше и использует защищенный канал для подключения к серверу DNS, если сервер поддерживает эту возможность.

По умолчанию, частный DNS установлен на "Автоматически", что означает использование сетевого (WiFi адаптер) DNS сервера, и он пытается установить соединение DoT (DNS через TLS) по порту 853 прежде, чем вернуться к основанному на UDP DNS на порту 53.

Cato не перехватывает запросы DoT, перенаправление DNS не удается, и пользователь не может получить доступ к внутренним ресурсам или полученные DNS результаты не соответствуют ожидаемым.

Решение

Могут быть реализованы следующие решения:

1. Блокировать DoH (DNS через HTTP) и DNS через TLS в правиле брандмауэра для предотвращения доступности этих протоколов через Cato. Это вынудит Android переключиться на основанный на UDP DNS, позволяя перенаправление DNS.

2. Устройство все еще может попытаться достичь сетевого DNS сервера через UDP/53, к которому Cato не применяет перенаправление DNS. Если это так, отключите Приватный DNS на устройстве. Перейдите в Настройки > Сеть и Интернет (или аналогичные) на вашем устройстве Android и отключите Приватный DNS.