本文包含有关Cato Client常见问题故障排除的一些建议。
注意: 如果Cato Client在连接到Cato Cloud时出现错误,请参阅以下文章: Cato Client登录错误
Cato Client与第三方VPN客户端的冲突
挑战
当Cato Client与第三方VPN客户端安装在同一台计算机上时,第三方驱动程序可能会与Cato Client发生冲突并覆盖设置。 例如,Cisco AnyConnect可能会覆盖Cato Client的DNS设置。
解决方案
Cato Networks 按照以下方式为 Cato 客户端操作系统提供建议:
Windows: 请参阅以下 KB 文章:使用 DNS 中继服务
macOS: macOS 上的 Cato 客户端无法与其他已连接的 VPN 配置文件同时运行。
iOS: 请参阅以下 KB 文章 使用 Intune 为 iOS 部署按应用程序 VPN (EA)
Android: 不支持。
Linux: 运行第三方 VPN 时,请断开 Cato 客户端。
请注意:在全隧道模式下运行 Cato 客户端并同时使用第三方 VPN 是不推荐的。
挑战
杀毒软件可能会将Cato VPN Client流量识别为恶意流量,并错误地阻止VPN流量。
解决方案
如果您确定笔记本或设备上的杀毒软件阻止了Cato Client,您可以采用以下选项允许VPN连接:
- 配置防病毒设置并为Cato客户端创建例外。
- 联系Cato Networks支持以协调杀毒软件供应商将我们的客户端列入白名单;这可能需要时间,因此如果可能的话,建议进行例外。
提示: 您可以暂时禁用杀毒软件以检查该软件是否阻止了Cato Client流量。
挑战
防火墙可能会阻止Client用于连接到Cato Cloud的特定端口。
解决方案
多种类型的防火墙可能会阻止Cato Client连接到Cato Cloud。 以下部分描述了每种防火墙类型的解决方案;请使用适用于您的网络的解决方案。
网络防火墙
检查网络防火墙设置,查看是否阻止了53和443端口的UDP流量。 如果有,请添加一条规则,允许53和443端口上的UDP流量,以及安装Cato Client的先决条件中描述的URL和IP地址。
终端防火墙
对于终端计算机,您必须确保终端防火墙代理未阻止连接。 如果您的计算机上安装了终端防火墙代理,请检查代理设置,查看其是否配置为阻止53或443端口的UDP流量。 我们建议您联系代理供应商,要求他们将Cato Client以及安装Cato Client的先决条件中描述的URL和IP地址列入白名单。
对于Windows操作系统,检查Windows防火墙设置,查看其是否配置为阻止53或443端口的UDP流量。 您还可以将Cato Client的默认端口从443更改为1337。 有关更改默认端口的更多信息,请参阅为Cato 客户端配置不同的UDP端口。
挑战
当用户的PC在DTLS握手过程中未使用所需的DTLS密码时,Cato Client无法与Cato Cloud进行身份验证。
解决方案
确认在PC的加密配置中包含了Cato Socket和SDP Client使用的密码套件中描述的DTLS密码。 对于 Windows 设备,可以在以下注册表项下检查:
- 密码套件:Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002
- 签名算法:Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010003
挑战
如果您的本地网络使用与 Cato VPN IP 范围相同的子网,则重叠的网络可能导致 IP 冲突和路由问题。 例如,Cato Clients 无法连接到 Cato Cloud。
解决方案
默认情况下,Cato Networks 使用 10.41.0.0/16 子网作为 VPN 范围。 您可以更改本地网络 IP 范围,以避免与 Cato VPN IP 范围冲突。 您也可以在 Cato Management Application (资源 > IP 范围) 中更改默认的 VPN 范围。
以下截图显示了 VPN 用户的 10.43.0.0/16 子网自定义 IP 范围的示例:
挑战
Cato Client 成功连接到 Cato Cloud,但用户无法通过 VPN 连接访问 WAN 或 Internet 资源。
解决方案
在这种情况下,Cato Client 已与 Cato Cloud 建立连接,但其他因素阻止了 WAN 或 Internet 的访问。 您可以检查以下设置在 Cato Management Application 中是否正确配置:
有关 WAN 和 Internet 访问故障排除的更多信息,请参见 Internet 服务可达性故障排除 和 访问内部资源故障排除。
Cato WAN 或 Internet 防火墙可能会阻止 Cato Clients 访问 WAN 或 Internet 资源。 请在 Cato Management Application (安全 > WAN 防火墙 或 Internet 防火墙) 中检查防火墙规则基础,并确保防火墙允许 VPN 访问。 例如,WAN 防火墙是否有允许 VPN 用户访问站点的规则?
有关 Cato 防火墙和最佳实践的更多信息,请参见Internet 和 WAN 防火墙策略 – 最佳实践。
当 DNS 设置配置错误时,用户无法连接到网络资源。 Cato Management Applications 允许您在 网络 > DNS 设置 中为整个帐户配置 DNS 设置。 您也可以为每个站点、组和 SDP 用户配置 DNS 设置。
默认情况下,Cato Networks 使用以下 DNS 服务器:主 DNS – 10.254.254.1 和次 DNS – 8.8.8.8。
如果您想要使用本地 DNS 服务器访问内部资源 (WAN),请确保您的账户的 DNS 配置为使用本地 DNS。 例如,如果您的账户配置了本地 DNS 服务器或 DNS 转发,用户只能访问内部域名images.mycompany.com。 否则,该地址的 DNS 将无法解析。
对于 VPN 用户要连接到互联网资源,例如 www.catonetworks.com,您的账户的 DNS 设置必须至少包含一个公共 DNS 服务器。 此服务器允许公共互联网的 DNS 解析。
有关如何为您的账户配置 DNS 设置的更多信息,请参见配置 DNS 设置。
一些互联网内容会根据 Cato Client 的地理位置进行限制。 如果您物理上位于一个互联网访问受限的国家/地区,则无法访问该国家/地区的被阻止内容。
有关更多信息,请参见由于 Cato IP 黑名单或地理封锁导致网站无法访问。
挑战
在Windows环境中,用户可能会体验到应用程序性能慢、DNS解析失败或VPN隧道不稳定。 这些问题通常可以追溯到一个名为智能多宿主名称解析的功能。
此功能通过所有可用的网络接口(例如,以太网、无线网络、VPN)并行发送DNS查询。 无论来源如何,使用第一个DNS响应。 虽然设计为加速,但这可能导致:
DNS查询绕过VPN,通过公共/本地DNS解析
基于VPN的内部域名解析失败
意外的延迟或错误路由的流量
解决方案
禁用智能多宿主名称解析以执行基于接口的DNS解析:为了确保DNS查询仅通过预期的适配器(通常是VPN隧道)路由,禁用此Windows功能。 这使得Windows能够根据接口指标和路由优先级使用DNS服务器,这对于分流隧道和私有/内部域名查找至关重要。
禁用方式:
组策略:计算机配置 > 管理模板 > 网络 > DNS客户端 > 关闭智能多宿主名称解析 → 已启用
或者通过注册表:[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DNSClient]"DisableSmartNameResolution"=dword:00000001
0 条评论
请登录写评论。