В этой статье содержатся некоторые предложения по устранению распространенных проблем с Cato Client.
Примечание: Если Cato Client выдает ошибку при подключении к Cato Cloud, обратитесь к следующей статье: Ошибки входа в Cato Client
Конфликты Cato Client с VPN-клиентами сторонних производителей
Проблема
Если на том же компьютере, что и Cato Client, установлены VPN-клиенты сторонних производителей, их драйверы могут конфликтовать с Cato Client и изменять его настройки. Например, Cisco AnyConnect может изменить настройки DNS для Cato Client.
Решение
Cato Networks предоставляет рекомендации для Клиент Cato ОС, как указано ниже:
Windows: Пожалуйста, обратитесь к следующей статье Книги знаний: Работа с Сервисом ретрансляции DNS
macOS: Клиент Cato на macOS не может работать одновременно с другим подключенным Профиль VPN.
iOS: Пожалуйста, обратитесь к следующей статье Книги знаний Развертывание VPN на приложении с Intune для iOS (EA)
Android: Не поддерживается.
Linux: Пожалуйста, отключите Клиент Cato при выполнении VPN стороннего производителя.
Пожалуйста, обратите внимание: Выполнение Клиент Cato в режиме полного туннеля вместе с VPN стороннего производства не рекомендуется.
Проблема
Антивирусное ПО может определить трафик Cato VPN Client как вредоносный и по ошибке заблокировать его.
Решение
Если вы определили, что антивирусное ПО на ноутбуке или устройстве блокирует Cato Client, у вас есть следующие варианты для разрешения VPN-подключения:
- Настройте параметры антивируса и создайте исключение для Клиента Cato.
- Свяжитесь с поддержкой Cato Networks, чтобы договориться с производителем антивируса о внесении нашего клиента в белый список; это может занять время, поэтому, если возможно, рекомендуется сделать исключение.
Подсказка: Вы можете временно отключить антивирусное программное обеспечение, чтобы проверить, блокирует ли оно трафик клиента Cato.
Проблема
Возможно, что брандмауэр блокирует конкретный порт, который Client использует для подключения к Cato Cloud.
Решение
Несколько типов брандмауэров могут блокировать подключение Cato Client к Cato Cloud. В следующих разделах описаны решения для каждого типа брандмауэра; используйте решение, применимое к вашей сети.
Сетевой брандмауэр
Проверьте настройки сетевого брандмауэра и убедитесь, что он не блокирует UDP-трафик на портах 53 и 443. Если блокируется, добавьте правило, которое разрешает UDP-трафик на портах 53 и 443, а также URL-адреса и IP-адреса, описанные в Необходимые условия для установки Cato Client.
Брандмауэр конечной точки
Для конечных компьютеров вы должны убедиться, что агент брандмауэра конечной точки не блокирует соединение. Если у вас на компьютере установлен агент брандмауэра конечной точки, проверьте его настройки и убедитесь, что он не настроен на блокировку UDP-трафика на портах 53 или 443. Мы рекомендуем обратиться к поставщику агентства и попросить их включить в белый список Cato Client и URL-адреса и IP-адреса, указанные в Необходимые условия для установки Cato Client.
Для Windows OS проверьте настройки брандмауэра Windows и убедитесь, что они не настроены на блокировку UDP-трафика на портах 53 или 443. Вы также можете изменить стандартный порт Cato Client с 443 на 1337. Для получения дополнительной информации об изменении порта по умолчанию см. Настройка другого UDP порта для Клиент Cato.
Проблема
Cato Client не может пройти аутентификацию с Cato Cloud, если ПК пользователя не использует необходимые шифры DTLS во время обмена ключами DTLS.
Решение
Убедитесь, что шифры DTLS, описанные в Наборы шифров, используемые Cato Socket и SDP Client включены в конфигурацию криптографии ПК. Для устройств под управлением Windows это можно проверить по следующему ключу реестра:
- Наборы шифров: Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002
- Алгоритмы подписи: Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010003
Задача
Если ваша локальная сеть использует ту же подсеть, что и диапазон IP Cato VPN, пересекающиеся сети могут вызвать конфликты IP и проблемы с маршрутизацией. Например, Cato Клиенты не могут подключиться к Cato Облаку.
Решение
По умолчанию Cato Сети использует подсеть 10.41.0.0/16 в качестве диапазона VPN. Вы можете изменить диапазон IP локальной сети, чтобы избежать конфликта с диапазоном IP Cato VPN. Вы также можете изменить диапазон VPN по умолчанию в Cato Управление Приложением (Ресурсы > Диапазоны IP).
Следующий скриншот показывает пример пользовательского диапазона IP для подсети 10.43.0.0/16 для пользователей VPN:
Задача
Клиент Cato успешно подключается к Cato Облаку, но пользователи не могут получить доступ к ресурсам WAN или Интернета через VPN-соединение.
Решение
В этой ситуации у Cato Клиент есть подключение к Cato Облаку, но что-то другое блокирует доступ к WAN или Интернету. Вы можете проверить, что следующие настройки корректно сконфигурированы в Cato Управление Приложением:
Для получения дополнительной информации о устранении неполадок доступа к WAN и Интернету, см. Устранение неполадок доступности интернет-сервиса и Устранение неполадок доступа к внутренним ресурсам.
Брандмауэр WAN или Интернета Cato может блокировать доступ клиентов Cato к ресурсам WAN или Интернета. Проверьте основы правил брандмауэра в Cato Управление Приложением (Безопасность > WAN Брандмауэр или Интернет Брандмауэр) и убедитесь, что брандмауэр разрешает доступ к VPN. Например, есть ли у брандмауэра WAN правило, позволяющее пользователям VPN получить доступ к сайту?
Для получения дополнительной информации о Cato брандмауэре и лучших практиках, см. Политики брандмауэра Интернет и WAN – лучшие практики.
Когда настройки DNS сконфигурированы неверно, пользователи не могут подключиться к сетевым ресурсам. Cato Управление Приложениями позволяет вам настраивать параметры DNS для всей учетной записи в Сеть > Настройки DNS. Вы также можете настроить параметры DNS для каждого сайта, группы и пользователя SDP.
По умолчанию Cato Сети использует следующие DNS-серверы: основной DNS – 10.254.254.1 и вторичный DNS – 8.8.8.8.
Если вы хотите получить доступ к внутреннему ресурсу (WAN) с помощью локального DNS-сервера, убедитесь, что DNS вашей учетной записи настроен на использование локального DNS. Например, пользователи могут получить доступ к внутреннему домену images.mycompany.com только если ваша учетная запись настроена с вашим локальным DNS-сервером или с DNS-переадресацией. В противном случае DNS для этого адреса не будет разрешен.
Для подключения пользователей VPN к интернет-ресурсу, например, www.catonetworks.com, настройки DNS вашей учетной записи должны содержать хотя бы один общедоступный сервер DNS. Этот сервер позволяет разрешать DNS для публичного Интернета.
Для получения дополнительной информации о том, как настроить настройки DNS для вашей учетной записи, см. Конфигурация настроек DNS.
Некоторое интернет-содержимое ограничено на основе географического расположения Cato Клиента. Если вы физически находитесь в стране с ограниченным доступом к Интернету, то вы не сможете получить доступ к заблокированному содержимому из этой страны.
Для получения дополнительной информации см. Сайт недоступен из-за Cato IP в черном списке или геоблокировки.
Задача
В среде Windows пользователи могут столкнуться с медленной производительностью приложений, сбоями разрешения DNS или нестабильностью VPN-туннеля. Эти проблемы обычно связаны с функцией, называемой Smart Multi-Homed Name Resolution.
Эта функция отправляет запросы DNS параллельно по всем доступным сетевым интерфейсам (например, Ethernet, Wi-Fi, VPN). Используется первый ответ DNS, независимо от источника. Несмотря на ориентацию на скорость, это может вызвать:
Запросы DNS обходят VPN и разрешаются через публичный/локальный DNS
Сбой разрешения внутреннего домена на основе VPN
Неожиданные задержки или неправильно направленный трафик
Решение
Отключить Smart Multi-Homed Name Resolution для обеспечения разрешения DNS на основе интерфейса : Чтобы гарантировать, что запросы DNS маршрутизируются только через предусмотренный адаптер (обычно VPN-туннель), отключите эту функцию Windows. Это позволяет Windows использовать DNS-серверы на основе метрик интерфейсов и приоритета маршрутизации — поведение, которое является критичным для раздельного туннелирования и поиска приватных/внутренних доменов.
Отключить:
Группа администраторов: Конфигурация компьютера > Административные шаблоны > Сеть > DNS Клиент > Отключить smart multi-homed name resolution → Включено
Или через Реестр:[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DNSClient]"DisableSmartNameResolution"=dword:00000001
Задача
Ограничительная политика GPO может блокировать установку адаптера Cato во время процесса установки или обновления клиента Cato. Правила GPO, такие как "Ограниченная установка устройств, не описанных политикой", могут блокировать установку адаптера.
Решение
Разрешите политике GPO разрешить установку адаптера Cato.
0 комментариев
Войдите в службу, чтобы оставить комментарий.