访问内部资源故障排除

概述

确保无缝访问内部资源对于维护网络中的生产力和安全性至关重要。 然而，多个因素可能会中断访问，导致不良的用户体验和受阻的工作流程。 该手册旨在为Cato Cloud中的内部资源WAN访问问题提供综合故障排除指南。

症状

无法访问内部资源可以以多种方式表现出来。 管理员可能会注意到以下症状：

• 无法解析内部服务器域名
• 无法访问内部服务器
• WAN防火墙规则不匹配
• SDP客户端无法访问内部资源
• 远程端口转发(RPF)资源无法访问
• LAN监控主机无法访问

可能的原因

• 路由问题
• DNS转发配置错误
• WAN防火墙配置错误
• 与SDP客户端网络的重叠
• 安全性干预
• 目标主机连接问题

初始评估

通过在CMA中选择相应的预设，检查WAN防火墙、IPS和反恶意软件事件。 设置过滤器以缩小感兴趣的流量范围，并检查流量是否被WAN防火墙或IPS/AM引擎阻止。 规则字段将显示与流量匹配的相关规则。

请确保通过以下初始评估步骤查看相关的故障排除部分：

• 通过在命令行中运行nslookup或dig命令，检查服务器域名是否可解析。 如果未收到DNS响应，请转到服务器域名解析问题故障排除
• 检查是否可以通过运行ping命令访问服务器IP地址。 在执行此测试之前，请确保WAN防火墙规则允许ICMP。 如果未收到ping响应，请转到无法访问的内部服务器故障排除
• 如果IPS或反恶意软件事件显示这些引擎正在阻止对内部服务器的访问，请转到解决IPS/反恶意软件误报拦截
• 检查WAN防火墙事件中的匹配规则是否是预期的规则。 如果不是，请继续进行防火墙规则不匹配故障排除
• 如果只有SDP客户端受影响，站点后面的用户不受影响，请转到SDP客户端未能访问内部资源故障排除
• 如果受影响的内部资源通过远程端口转发访问，请转到RPF内部资源故障排除
• 如果受影响的服务器通过LAN监控进行监测，请检查无法访问的LAN监控主机故障排除

问题故障排除

下面列出了管理员可能遇到的问题症状的故障排除步骤。 这些步骤旨在确定所面临问题的可能原因。 解决步骤将在手册中稍后重点介绍。

检查审计追踪日志

检查审计追踪以查看任何已修改的日志，这些日志可能会影响对内部资源的访问。 这包括WAN防火墙规则、AM/IPS设置和TLS检查。

服务器域名解析问题故障排除

检查DNS解析

如果内部资源要通过其域名访问，则需通过命令行使用nslookup或dig命令确认是否可以解析内部服务器的域名。

在您的账户中，可能有两种内部DNS解析情况：

• 如果组织中使用了私有DNS服务器IP地址，请确认受影响的用户是否可以在内部访问DNS服务器。 如果不能，请对DNS服务器的连接性进行故障排除，类似于无法访问的内部服务器故障排除
• 如果账户中使用的是默认Cato DNS服务器(10.254.254.1)、账户定义的DNS服务器，或知名公共DNS(8.8.8.8, 1.1.1.1或9.9.9.9)，请在下一步中对DNS转发进行故障排除。

验证DNS转发

依赖于内部域名(例如pc1.domain.net)的流量必须在CMA中正确配置DNS 转发。 同样，Cato拦截DNS流量以正确解析域名也至关重要。

DNS转发仅在DNS查询被定向到特定DNS服务器时才可工作，如解析DNS转发问题所述。

无法访问的内部服务器故障排除

检查Cato路由表

路由表可以用于验证路由可用性、指标等：

• 在搜索字符串中搜索资源IP地址，并确认通过正确的站点存在匹配路线。
• 如果未找到任何路由，这意味着Cato尚未知道该路由，因此，无法路由至此目的地。 若要解决此问题，请参阅解决路由问题
• 如果有多条路径通向相同的目标，请验证BGP动态范围不要与其他静态路由重叠。 优先选择具有较低度量的路由。
  
• BGP也可以从不同站点宣告冗余路由。 具有较低指标的路由（包括权重、AS长度或MED）是首选。 请参见了解路由表字段。
• 要解决度量问题，请参见解决路由问题。

检查IPSec策略路由

如果通过IPSec可达内部资源，请确认已在站点的IPSec和网络部分中已定义正确的范围，如IPSEC故障排除手册中所述。

如果配置了策略路由，则所有流量选择器必须在Cato和IPSec防火墙/路由器上匹配，以确保连接到内部资源。

检查内部资源的活跃性

如果内部资源位于socket或vSocket后面，请从站点的已知主机页面检查最后主机活动值。 请参见显示站点的已知主机。

最近未被站点见到的主机可能已关闭或未连接到网络。

从WebUI运行封包捕获，识别局域网中的任何可能问题。

检查TLS流量

如果有趣的流量是TLS，并且您已确认前面步骤允许该流量。 检查流量流动是否正在由Cato进行TLS检查。 这可以在TLS 检查字段设置为1的FW规则中找到。

如果是这样，必须按照配置TLS检查策略中的说明，将Cato根证书安装到源设备上。 否则，绕过TLS检查以防止任何证书错误和资源的潜在访问问题。

故障排除WAN防火墙规则不匹配

在配置防火墙规则时，可能会出现流量根据错误规则进行评估的情况。 本节涵盖所有可能的不匹配场景以及如何解决此问题。

验证自定义应用程序

如果预期与自定义应用程序匹配的有趣流量而在FW事件中找到的应用程序字段不匹配，请确认自定义应用已经正确配置。 请记住，当存在重叠的自定义应用时，Cato仅识别流量为其中一个自定义应用。 

为防止此问题，请查看解决重叠自定义应用程序部分。

验证内置应用程序/服务

如果预期与内置应用程序或服务匹配的有趣流量，并且流量匹配错误的防火墙规则，请检查以下内容：

• 在错误匹配的防火墙规则中配置了哪些应用程序或服务。
• 这些应用程序/服务中的任何一个是否在FW事件的相关应用程序字段中列出。

应用程序/服务识别是一个多步骤过程，首先是识别协议，然后是包含在相关应用程序字段中的所有可能匹配的应用程序。 任何“相关应用程序”应用在流量中识别，无论最终应用程序（应用程序字段）决策如何，都会匹配防火墙规则。

在下面的示例中，SMB流量匹配规则1而不是规则2。 这是因为规则#1包含TCP服务（包括在相关应用程序中），即使最终的应用程序（应用程序字段）是SMB。

要解决这种预期行为，请参见防火墙规则排序。

验证已配置的域名

如果防火墙规则包含域或FQDN对象，请检查FW事件中的域名字段是什么。 防火墙规则中的域/FQDN对象必须与该字段相同。

请记住，FQDN是完全限定域的精确匹配。 例如，完全限定域名 (FQDN) example.com 只匹配 example.com.

另一方面，域名是一个顶级 (TLD) 或二级域名 (SLD)，它匹配所有子域。 例如，域example.com 匹配www.example.com和host.example.com。

可能存在Cato无法从HTTP、TLS或DNS流量中确定正确域名的情况。 要解决这些类型的问题，请参见解决域名不匹配问题。

故障排除SDP客户端无法到达内部资源

本节解决SDP客户端无法到达内部资源的专属问题。

检查用户家庭网网络子网重叠

如果SDP客户端无法连接到包括ping服务器在内的内部资源，请检查用户家庭网络与包含内部资源的站点之间是否存在IP地址重叠。 如果是这种情况，尝试连接到位于远程Cato站点后面的内部服务器时，客户端的路由表将指向本地NIC，导致连接失败。

IP范围为192.168.0.0/24、192.168.1.0/24或10.0.0.0/24的远程站点可能很容易与家庭无线路由器的IP范围重叠，这些路由器通常使用此IP范围作为默认DHCP设置。

要解决此问题，请按照SDP客户端无法连接到远程WAN资源中描述的步骤操作。

macOS和iOS用户未解析内部域

正如macOS Ventura和iOS用户无法通过Cato到达内部资源中所解释的那样，如果SDP客户端无法使用其域名连接到内部资源但能够使用其IP地址到达，则可能是由于终端使用了DoH（DNS over HTTPS）或DoT（DNS over TLS）导致DNS转发失败。 Cato当前不支持DoH/DoT。

要解决此问题，请参阅解决 DNS 转发问题。 或者，可以在 CMA 中将 Cato DNS 服务器 (10.254.254.1) 定义为终端的唯一 DNS 服务器。

Android用户无法解析内部域名

如在Android设备无法通过Cato访问内部资源中所述，如果SDP客户端无法使用其域名连接到内部资源，但可以通过IP地址访问，则可能由于设备使用自动私有DNS（默认行为）导致DNS转发失败，这强制使用DoH/DoT进行DNS解析。 这目前未被Cato支持。

要解决此问题，请参阅解决 DNS 转发问题。 或者，可以在设备上禁用私有DNS。

故障排除RPF内部资源

RPF事件分析

通过在CMA中选择RPF预设来查看RPF事件。 确认生成事件，以确认外部Cato IP可用。 请注意，目标IP地址是RPF规则中配置的外部公共IP。

地理位置封锁事件分析

查看任何目标为内部服务器内部IP地址的事件。 确认没有地理位置封锁限制阻止连接到内部服务器。 如果是这样，编辑入站方向的地理限制策略以允许源国家。

检查内部资源的活跃性

检查站点上的已知主机页面的最后已知活动值。 查看显示站点的已知主机

站点最近未看到的主机可能已关闭或未连接到网络。

从 WebUI 运行数据包捕获并识别局域网中的任何可能问题。

故障排除无法访问的局域网监控主机

连接性事件分析

通过在CMA中选择LAN主机无法访问预设来查看连接性事件。主机无法访问事件将在定义的LAN主机不再可访问时生成。

检查本地主机的可达性

确认可以从Socket WebUI对已定义的本地主机进行 ping 操作。 如果ping成功，请检查以下内容：

• LAN 监控探针是从 10.254.254.1 来源的 ICMP 数据包，因此重要的是确认被监控主机有返回到 Socket LAN 网关的路由以便能够响应。
• 如果设备运行本地防火墙，则必须允许从 10.254.254.1 IP 地址的 ICMP。

从 WebUI 运行数据包捕获并识别局域网中的任何可能问题。

解决发现的问题

解决路由问题

如果路由表中未找到到内部资源的路由，请检查并解决以下内容：

• 如果BGP已为站点配置，请验证邻居是否发布了路由。 参见显示 BGP 状态。 重要的是要查看本地路由器发布的BGP前缀，并确认Cato正在接收它们。
• 如果BGP会话断开，请排除连接问题。 参见BGP 会话已断开
• 确保托管范围的站点可用。 参见故障排除站点连接性

如果路由表中看到的路由度量导致错误的路由决策，请检查并解决以下内容：

• 隧道度量值通常由Cato设置。 只要来源于同一类型的站点，例如IPSec或Socket站点，冗余路由应该具有相同的隧道度量。
• 权重值可以在CMA中配置，网络 > 站点 > 站点配置 > BGP。 此页面上配置的度量值将在路由表中显示为权重。 更改站点的度量将修复冗余路由的错误路由决策。
• AS长度和度量歧视值由外部路由器接收。 如果需要，必须在该设备上进行修改。

解决误报的IPS/反恶意软件阻塞

如果有趣的流量被IPS/AM阻止，您可以在IPS和反恶意软件设置中添加范围为WAN的允许列表。

解决重叠的自定义应用程序

确保自定义应用程序包含正确的IP地址、域、端口和协议。 没有逻辑可以识别选择哪个自定义应用程序，因此自定义应用程序必须唯一定义，以避免与另一个自定义应用程序重叠。 有关更多信息，请参阅处理自定义应用程序

防火墙规则排序

请记住，防火墙规则是根据其顺序进行评估的，因此重要的是在更通用的规则之上定义更具体的规则。 例如，定义自定义应用程序、内置应用程序、域、完全限定域名或自定义服务的防火墙规则应放在包含类别、自定义类别或服务的防火墙规则之上。

在下面的屏幕截图中，规则#1包含一个自定义服务，其中包括twitter.com的IP范围，并置于包含应用程序类别的规则#2之上。 规则 #1 比规则 #2 更具体，将更好地匹配目标为 twitter.com 的流量。这还将禁用 TCP 加速，并解决任何离线云或 Alt-WAN 路由问题，因为规则 #1 是一个简单规则。

解决域名不匹配问题

可以通过以下方式解决基于域名/FQDN的防火墙规则匹配问题：

• 对于超文本传输协议/S之类的协议，Cato可以使用以下来源来确定目的地域名：

  • 超文本传输协议主机名头（当TLS检查已启用时）

  • 在TLS握手期间的SNI字段

  • DNS解析，从DNS查询和响应中获悉域名

• 确保在防火墙规则中指定的域名在所有这些来源中是一致的，是非常重要的。 请注意，只有最佳匹配域名（从上到下评估）会在防火墙事件中显示为域名。 

• 对于其他协议，如安全外壳协议或SMB，不发送明文域名，Cato只依赖于DNS截获来将流量与域名或完全限定域名(FQDN)关联。 使用私有 DNS 时，这尤为重要，因为我们需要确保 DNS 查询/响应通过 Cato。 查看DNS和您的Cato账户的最佳实践
• 对于域名/应用程序匹配，超文本传输协议安全 (DoH) 和超文本传输协议安全 DNS 不受支持，因此，必须在防火墙规则中阻止，以强制将 DNS 查询移至 UDP/53。

解决 DNS 转发问题

仅当 DNS 查询朝向以下 DNS 服务器时，您才能使用 DNS 转发：

• Cato的默认DNS服务器10.254.254.1
• 在 网络 > DNS 设置 下配置的账户级 DNS 服务器
• 知名 DNS 服务器，例如 8.8.8.8、1.1.1.1 和 9.9.9.9。 知名 DNS 服务器列表可能会在不同的网络接入点之间有所不同。 例如，中国和悉尼。

对于 DNS 转发，超文本传输协议安全 (DoH) 和超文本传输协议安全 DNS 不受支持，因此，必须在防火墙规则中阻止，以强制将 DNS 查询移至 UDP/53。 此解决方案特别适用于 macOS、iOS 和 Android 的 SDP客户端。

向 Cato 支持引发案例

提交一个支持工单，并附上上述故障排除步骤的结果。 请在工单中包括以下信息：

• 所经历问题的详细信息和对用户的总体影响。
• 相关的防火墙事件和防火墙规则配置。
• 重现问题并运行支持自助服务。 包括由工具生成的工单号码。
• 如果受影响的用户使用SDP客户端连接到Cato，请使用SDP客户端记录问题