 本記事は 夏休みクラウド自由研究2025 8/12付の記事です。 |
どうも、Catoクラウドを担当している佐々木です。
最近Catoクラウドを導入した複数の顧客で、導入時に同じトラブルが発生したので紹介します。
トラブル事例
Windows端末では問題なく接続できる一方、Appleデバイスのみ接続に失敗するケースです。
発生する現象
-
iPhone、macOS端末から社内サーバ(ファイルサーバ、AD、内部Webアプリ)へアクセスができない
-
Catoクラウドには正常に接続され、インターネットアクセスは可能
-
IPアドレスを直打ちするとアクセスできる
- 一方、Windows端末ではすべて問題なくアクセスできる
原因
macOS/iOSの仕様が原因です。
「macOS Ventura」、および「iOS 16」以降では、DNS over TLS(DoT)やDNS over HTTPS(DoH)に準拠したDNSサーバを検出すると、CatoのDNSサーバを含む他の DNSサーバを無視し、DoTおよびDoH対応のDNSサーバを利用します。
通常、社内リソースへのアクセスが必要な場合、Catoクラウド(CMA上)のDNS設定で社内リソース(ドメイン)宛のDNSフォワーディング設定を行いますが、Catoの場合、DoTやDoHでのDNSフォワーディングをサポートしていません。
結果、インターネット上にあるパブリックなドメインに対するアクセスは可能ですが、社内サーバなどプライベートなドメインに対する名前解決はできなくなり、この事象が発生します。
解決策
Catoクラウド(CMA)で行える解決策が、「2つ」あります。
どちらか1つを設定すれば改善できますが、2つ同時に設定しても問題ありません。
Internet FirewallルールでDoT / DoHをブロックする
DoTとDoHをInternet Firewallでブロックし、Cato経由でアクセスできないようにします。
Apple端末はDoT/DoHを利用できなくなり、代わりに UDPベースの通常DNS(CMAの設定値) を使うようになります。
結果、DNSフォワーディングが正しく動作し、内部リソースの名前解決が成功します。
▼設定例
Security > Internet Firewallから以下のように設定します。
DNSの固定
Catoクラウド(CMA)で、DNSサーバを明示的に設定します。
例:Cato DNS(10.254.254.1)をPrimaryDNSとして設定し、Secondaryには何も設定を入れない。
この設定により、8.8.8.8など外部のDNSがクライアントで自動的に設定されなくなり、DoT/DoHを利用できなくなります。
▼設定例
Access > DNS Settings Policyから以下のように設定します。
まとめ
今回は導入時のトラブル事例共有でした。
ポイントをまとめると以下になりますが、本件に限らず事前検証は念入りに実施することを(個人的には)推奨します。
・ただし、Catoの設定で回避可能
・事前にiPhoneやMacで接続テストを行って確認したほうがいいかもね!
上記以外の情報についても弊社の「Catoに関するFAQサイト」に多数情報ございますのでご参考にください。
最後に、SCSKではPoCから導入、運用まで幅広くCatoに関する支援を行っております。
本番構成への移行を見据えたPoC構成や、PoCでつまづきやすい点のサポートなど、豊富な導入実績を基にご支援いたします。
ぜひお声がけください!