由于 Cato IP 黑名单或地理封锁导致网站无法访问

问题

尝试通过 Cato Cloud 访问特定网站时,页面无法加载并最终超时。 然而,绕过 Cato Cloud 后可访问相同的网站。

该问题可能由于两个主要原因:

1. 被网站列入黑名单的 Cato IP

某些网站,如 Hulu、ESPN 或政府网站,可能由于内部限制或分类阻止 Cato 公共 IP 地址,从而无法通过 Cato 访问。

虽然 Cato 无法控制此行为,但可以通过一些方法来解决和克服此问题。

2. 地理封锁网站

一些政府和其他组织可能只允许从其所在国家或司法辖区内注册的 IP 地址访问其网站。 这被称为地理封锁。

Cato Networks 在全球部署了 PoPs,但您连接的 PoP 不一定位于您居住的国家/州内。 如果是这种情况,当您访问托管在您的国家/州内的网站时,该网站会看到连接来自海外的外部 IP 地址,即 PoP 的外部IP地址。

如果网站使用地理封锁来限制仅访问本国/州内的 IP 地址,网站将无法加载。 在某些情况下,您可能会看到来自网站服务器的阻止页面,但大多数情况下,网站会简单超时,并显示如下所示的浏览器错误。

Chrome:

Firefox:

Edge:

故障排除

  • 在PC上或通过套接字运行本地数据包捕获,以确认网站服务器没有响应。 您将只会看到发出的SYN数据包,或完整的三向握手而无应用层交换。 网站服务器也可能发出 RST 数据包,这清楚地表明 Cato IP 被阻止。
  • 网站的某些部分可能无法完全加载,这可能表明被重定向到另一个阻止 Cato IP 范围的服务器。 通过浏览器的开发者工具收集HAR文件,以进行进一步分析。

解决方案

  • 联系网站管理员,询问 Cato IP 范围被阻止的原因。 根据PoP位置,请管理员将本指南中列出的IP范围列入白名单。
  • 如果确定受影响用户来自特定位置,应用基本网络规则,选择通过路由的方法,并选择一个能访问网站的其他位置。

如果上述方法不能解决问题,请根据受影响用户的位置继续执行以下步骤:

Cato SDP 客户端

  • 对于被列入黑名单的Cato IP:您可以在网络规则中启用通过套接字回程,并选择一个能访问网站的站点。 PoP 仍会进行安全扫描,然后将 SDP 流量路由到所选站点,以便流量通过套接字的 WAN 端口输出。
  • 对于地理封锁网站:您应该能够在本国/州内断开 VPN 客户端连接,访问该网站。 如果客户端上强制执行始终开启,这将无法实现。
  • 或者,您可以创建分流隧道配置,并豁免网站的IP地址。 任何到豁免 IP 地址的流量将不会发送到 Cato。

Socket

  • 在网络规则中将网站定义为域名对象或应用程序,并启用回程绕路。 这允许符合网络规则的流量进入 PoP 进行安全扫描。 然后流量被路由回定义的站点,以便通过本地套接字的 WAN 端口输出。 务必遵循FW最佳实践,并阻止QUIC协议以准确识别网站/应用程序。
  • 作为最后的手段,您可以执行本地绕过,以便流量直接通过套接字的WAN端口进入目标网站。  这不是理想的解决方案,因为它绕过了 Cato PoP 基础设施,对此流量没有应用安全措施。  

IPSec 站点已连接到 Cato

  • 在网络规则中将网站定义为域名对象或应用程序,并启用通过IPsec回程。 这允许符合网络规则的流量进入 PoP 进行安全扫描。 然后流量被路由回 IPsec 站点,以便通过本地防火墙的 WAN 端口输出。 此选项需要在防火墙上进行路由配置。 务必遵循FW最佳实践,并阻止QUIC协议以准确识别网站/应用程序。
  • 作为最后的手段,您可以更改本地IPsec设备上的路由策略,以便到网站IP地址的流量不经过Cato IPsec隧道。 这不是理想的解决方案,因为它绕过 Cato PoP 基础设施,对此流量没有应用安全措施。  

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论