Пользователи macOS Ventura и iOS не могут получить доступ к внутренним ресурсам через Cato

Проблема

На устройствах macOS Ventura и iOS пользователи не могут достигать внутренних ресурсов при подключении к Cato

Среда

• macOS Ventura 13.0 или более поздняя версия
• iPhone iOS 16 или более поздняя версия
• Клиент SDP, независимо от версии
• Настроено перенаправление DNS для внутренних доменов

Причина

Если настройки DNS Cato, применяемые к пользователям SDP, имеют значения по умолчанию (пустые поля), Cato отправит клиенту следующую информацию о DNS:

• Основной DNS сервер 10.254.254.1
• Вторичный DNS сервер 8.8.8.8

На основе тестов Cato, когда учетная запись настроена, как указано выше, или с использованием известного публичного DNS-сервера (например, 8.8.8.8 или 1.1.1.1), macOS/iOS скорее всего предпочтут DoH (DNS поверх HTTPS) или DoT (DNS поверх TLS) для разрешения имен через настроенный публичный DNS-сервер. Cato в настоящее время не поддерживает DoH/DoT. 

Как только macOS/iOS обнаруживает DNS-сервер, совместимый с DoH/DoT, он игнорирует любой другой DNS-сервер, включая DNS сервер IP Cato. Дополнительную информацию можно найти в этом обсуждении Apple.

Поскольку PoPs Cato не поддерживают перенаправление DNS для пакетов DoH/DoT, перенаправление DNS не удается, пользователь не может получить доступ к внутренним ресурсам, или полученные результаты DNS не соответствуют ожиданиям.

Предпочтительные DNS-серверы на машине можно определить, запустив scutil --dns в терминале. Следующий вывод показывает, что macOS предпочитает 8.8.8.8 в качестве основного DNS сервера.

MacBook-Air-2:~ xx$ scutil --dns 
Конфигурация DNS

резольвер #1
nameserver[0] : 8.8.8.8
nameserver[1] : 10.254.254.1
if_index : 24 (utun8)
флаги : Флаги, запрос A записей
достигаемость : 0x00000003 (Достигаемый,Переходное соединение)
порядок : 101200

Имейте в виду, что при конфликте настроек DNS между сущностями приоритет имеет сущность, находящаяся ближе всего к хосту (от хоста > сайта > группы > аккаунта). Для получения дополнительной информации смотрите Настройки DNS

Решение

Это известная проблема, над которой Apple активно работает. В Cato можно внедрить следующие обходные решения:

1. Блокировать DoH (DNS поверх HTTPS) и DNS поверх TLS в правиле файервола, чтобы предотвратить доступность этих протоколов через Cato. Это заставит macOS/iOS переключиться на стандартный DNS сервер Cato, 10.254.254.1, по UDP-основанному DNS, что позволит перенаправить DNS.

2. Установить 10.254.254.1 как единственный DNS сервер ЯВНО в CMA. Это предотвратит установку 8.8.8.8 (или любого другого DNS-сервера, поддерживающего DoH/DoT) в качестве основного DNS машины и заставит ВСЕ DNS-запросы обрабатываться Cato.

DNS сервер может быть установлен глобально или по группам, предпочтительно в предварительно настроенной группе пользователей 'Все Пользователи SDP'. Для получения дополнительной информации смотрите Централизованное управление настройками DNS пользователей SDP