目次
概要
Cato の導入後、社内に配置されているリソース(NASやADなどのサーバ、複合機など)に対して、正しくアクセスできません。
症例
- 拠点内の端末やリモートユーザが、内部リソースへアクセスできない
- IP アドレスを用いてもアクセスできない
- IP アドレスではアクセスできるが、ドメイン名を用いるとできない
チケットに記入すべき情報
- その通信に関する、可能な限り詳しい情報
- 送信元や宛先の IP アドレスやドメイン
- 接続を試したおよその日時
- 使用しているアプリケーションの名称
- アプリケーション側の、通信に関する制約など
- 対象の宛先へどの程度通信が通るか
- ping への応答
- tracert の結果
- ネットワーク構成図
- 簡素なものでも構わないので、以下の点が明確であることが望ましいです。
- 想定経路上や周辺にどういった機器があるか
- それらは、どのような IP アドレスを有しているか
- 特に、内部にVPN機器やルータ、閉域回線などが存在する場合は提示いただくことを推奨します。
- 簡素なものでも構わないので、以下の点が明確であることが望ましいです。
セルフチェック
よくある原因と、解決方法について確認することができます。
以下の点にご注意ください。
- 記載された症状と一致することは、それが原因であるということを必ずしも意味しません。
そのため、記載された対策により、事象が解決すると確約するものではありません。 - 記載された KB 記事の閲覧には、事前申請が必要な場合があります。
リソースは VPN 機器などの向こうにある
対象のリソースが、VPN 機器や L3 ルータなどの先にある場合、Cato の利用開始に伴って変化したクライアント端末や拠点の IP レンジに対するルーティングが十分ではないケースがあります。
このシチュエーションでは、端末から、経路の途中にある機器までは ping や tracert が通る場合があります。
<確認>
- 経路上において、どの機器までは到達可能で、どこから不可能であるか
- 機器によっては、設定等により初めから ping を返さないことがあるので注意
<対策>
ルーティングを止めている機器に、適切な設定を追加します。
特に、Cato クライアントはデフォルトで 10.41.0.0/16 というあまり一般的でないレンジを使用するため、設定もれにご注意ください。
Cato クライアントユーザが、自宅ネットワークからのみアクセスできない
同一のクライアントユーザが、別の無線ネットワークからはリソースにアクセスできるにもかかわらず、自宅ネットワークからはアクセスに失敗する場合、自宅のネットワークセグメントが、リソースのある拠点のものと重複しているケースがあります。
この場合、デフォルトの設定では、Cato クライアントは自宅ネットワーク側にルーティングを実施し、接続に失敗します。
<確認>
- 対象の宛先や、内部DNSサーバの IP アドレスが、ユーザの自宅ネットワークセグメントと一致していないか
- ipconfig などから確認
<対策>
いずれかのネットワークセグメントを変更するか、LAN アクセスをブロックするスプリットトンネルポリシーをユーザに適用します。
この時、各ユーザに最終的に適用されるポリシーは1つのみである点にご注意ください。
Cato クライアント端末のOSが、macOS, iOS, Android のいずれかである
これらの OS では、端末側で DNS に「DoH(DNS over HTTPS)」や「DoT(DNS over TLS)」を強制しているケースがあります。Catoでは、DoH や DoT の使用はサポートされておらず、これらを使用した場合、ドメイン名や IP アドレスを追跡できず、ルーティング等に失敗する可能性があります。
このシチュエーションでは、クライアントはリソースに IP アドレスではアクセスできるものの、ドメインを使用するとアクセスできません。
<確認>
- 端末側における、DNS へのオプションなどの設定状況
<対策>
端末側で、DoH や DoT を使用させている設定を停止するか、ファイアウォールでこれをブロックしてください。
設定の所在や停止方法は、機種等により異なるため、恐れ入りますが端末側でご確認ください。
この記事は役に立ちましたか?
それは素晴らしい!
フィードバックありがとうございます
お役に立てず申し訳ございません!
フィードバックありがとうございます
フィードバックを送信しました
記事の改善におけるご協力ありがとうございます。