Клиент SDP не может подключиться к удалённым ресурсам WAN

Проблема

Клиент SDP не может подключиться к удалённым ресурсам WAN через Cato, например, к сетевым дискам. Попытки соединения либо истекают по времени, либо не достигают пункта назначения (например, ping неудачен).

Коренная причина

Эта проблема обычно вызвана перекрывающимися подсетями между локальной сетью (домашней) клиента SDP и удалённой площадкой, на которой размещены ресурсы WAN. Большинство домашних маршрутизаторов используют диапазоны IP по умолчанию, такие как 192.168.0.0/24, 192.168.1.0/24 или 10.0.0.0/24. Если удалённая сеть настроена с тем же диапазоном, клиент может неправильно направлять трафик локально, а не через туннель Cato, что приводит к неудачным соединениям.

Устранение неполадок

1. Сравните локальную подсеть клиента с подсетью удалённых ресурсов. Если они перекрываются, проблема скорее всего связана с конфликтами маршрутизации.
2. Для клиентов Windows (v5.3 и выше) используйте функцию доступ к локальной сети для блокирования доступа к локальной ЛВС. Это принуждает весь трафик, включая маршрутизированный через ЛВС, проходить через защищённый туннель Cato, избегая конфликтов с локальными ресурсами.
3. Клиенты SDP в других ОС, таких как macOS и Linux, не поддерживают функцию блокировки доступа к ЛВС. Вместо этого настройте политику разделенного туннеля в CMA для явного направления трафика через туннель:
   • Определите необходимые удалённые подсети в виде диапазонов IP-адресов в CMA (например, назовите диапазон Home-LAN).
   • Добавьте второй диапазон IP-адресов как маршрут по умолчанию (0.0.0.0/0), чтобы весь трафик мог быть маршрутизирован через туннель.
   • Примените эти диапазоны IP-адресов в разделе "Исключения" политики разделенного туннеля, настройки которого направляют «весь трафик в обход туннеля». Укажите применимые платформы ОС в политике.
     
   • В некоторых случаях вам может понадобиться определить диапазоны IP /32 для отдельных удалённых хостов, если затронуты только конкретные системы.

Рекомендации по лучшим практикам

• По возможности настройте корпоративную или офисную сеть на использование менее распространённых диапазонов IP-адресов, минимизируя риск конфликтов с домашними ЛВС.
• Альтернативно, поручите пользователям изменить настройки DHCP своего домашнего маршрутизатора для выделения менее типичного диапазона IP-адресов.

Определение и устранение проблем перекрытия подсетей может значительно улучшить надёжность и согласованность доступа к удалённым ресурсам WAN через клиента SDP. Для дополнительной помощи по вопросам доступа к внутренним ресурсам, см.  Access to Internal Resources Troubleshooting.