问题
尝试通过 Cato Cloud 访问特定网站时,页面无法加载并最终超时。 然而,绕过 Cato Cloud 后可访问相同的网站。
该问题可能由于两个主要原因:
1. 被网站列入黑名单的 Cato IP
某些网站,如 Hulu、ESPN 或政府网站,可能由于内部限制或分类阻止 Cato 公共 IP 地址,从而无法通过 Cato 访问。
虽然 Cato 无法控制此行为,但可以通过一些方法来解决和克服此问题。
2. 地理封锁网站
一些政府和其他组织可能只允许从其所在国家或司法辖区内注册的 IP 地址访问其网站。 这被称为地理封锁。
Cato Networks 在全球部署了 PoPs,但您连接的 PoP 不一定位于您居住的国家/州内。 如果是这种情况,当您访问托管在您的国家/州内的网站时,该网站会看到连接来自海外的外部 IP 地址,即 PoP 的外部IP地址。
如果网站使用地理封锁来限制仅访问本国/州内的 IP 地址,网站将无法加载。 在某些情况下,您可能会看到来自网站服务器的阻止页面,但大多数情况下,网站会简单超时,并显示如下所示的浏览器错误。
Chrome:
Firefox:
Edge:
故障排除
- 在PC上或通过套接字运行本地数据包捕获,以确认网站服务器没有响应。 您将只会看到发出的SYN数据包,或完整的三向握手而无应用层交换。 网站服务器也可能发出 RST 数据包,这清楚地表明 Cato IP 被阻止。
- 网站的某些部分可能无法完全加载,这可能表明被重定向到另一个阻止 Cato IP 范围的服务器。 通过浏览器的开发者工具收集HAR文件,以进行进一步分析。
解决方案
- 联系网站管理员,询问 Cato IP 范围被阻止的原因。 根据PoP位置,请管理员将本指南中列出的IP范围列入白名单。
- 如果确定受影响用户来自特定位置,应用基本网络规则,选择通过路由的方法,并选择一个能访问网站的其他位置。
如果上述方法不能解决问题,请根据受影响用户的位置继续执行以下步骤:
Cato SDP 客户端
- 对于被列入黑名单的Cato IP:您可以在网络规则中启用通过套接字回程,并选择一个能访问网站的站点。 PoP 仍会进行安全扫描,然后将 SDP 流量路由到所选站点,以便流量通过套接字的 WAN 端口输出。
- 对于地理封锁网站:您应该能够在本国/州内断开 VPN 客户端连接,访问该网站。 如果客户端上强制执行始终开启,这将无法实现。
- 或者,您可以创建分流隧道配置,并豁免网站的IP地址。 任何到豁免 IP 地址的流量将不会发送到 Cato。
Socket
- 在网络规则中将网站定义为域名对象或应用程序,并启用回程绕路。 这允许符合网络规则的流量进入 PoP 进行安全扫描。 然后流量被路由回定义的站点,以便通过本地套接字的 WAN 端口输出。 务必遵循FW最佳实践,并阻止QUIC协议以准确识别网站/应用程序。
- 作为最后的手段,您可以执行本地绕过,以便流量直接通过套接字的WAN端口进入目标网站。 这不是理想的解决方案,因为它绕过了 Cato PoP 基础设施,对此流量没有应用安全措施。
0 条评论
请登录写评论。