 本記事は TechHarmony Advent Calendar 12/15付の記事です。 |
Catoクラウドをご利用いただいてるお客様から、よくいただくご質問に「Catoクライアントが繋がらないです」といったお問い合わせを頂きます。
そんなときの対処法や問題の切り分け方を今回ご紹介いたします。
まず、Catoクライアントが繋がらない状況の際、以下のチェックリストを確認してみましょう。
□ Cato Clientのバージョンが古くないか
□ Catoのアカウントが無効になっていないか
□ サードパーティのVPNソフトが導入されていないか
□ 端末のネットワークアダプタが、最新バージョンになっているか
□ 端末で IP ルーティングが有効になっていないか
□ IPv6が無効化されているか
□ 接続環境でCatoクラウドへの通信が制御(制限)されていないか
□ ウィルス対策ソフト等でVPNを有効にしていないか
□ 不要な仮想アダプタが有効になっていないか
繋がらない状態ってどんな状況?
Catoクライアントが繋がらない状態に関しては大きく分けて、以下2パターンの状況が考えられます。
①Catoクラウド側の問題
Catoクラウドにて障害や不具合などが発生していて、接続できない状況になります。
以前発生した障害・不具合の例として、Catoクラウドへ接続する際、クライアント認証中の際に画面が真っ白くなるという問い合わせを複数のお客様から頂いた事例がありました。こちらの事象は、クライアントのバージョンを5.8以上へアップグレードすることで解消されました。
こういったCato側の問題で接続できない場合があります。Catoの障害情報やサービス稼働状況について確認したい際は、以下サイトにて確認が可能となります。
②Catoクラウド以外の問題
Catoクラウド以外ですと、以下の問題などが挙げられます。
・User Nameやパスワード入力ミスなどの基本的な部分の確認
・Catoクライアントを入れている端末、ネットワークなどお客様側の環境での問題
・Catoクラウドに入れている設定にてブロックされている
・その他
Catoクライアントが繋がらない状態については、大きく分けてこれらのことが考えれられます。
原因によって対処方法が異なってきますので、まずはどこが問題を引きを起こしているのか切り分け作業を行い、正しい対処に努められるようにしましょう。
Let’s トラブルシューティング!
Catoクラウド以外の問題にて、Catoクライアントを起動しても正常にCatoへ接続ができない場合は、まずは問題の特定ができるよう切り分けを実施しましょう。
Catoクライアントから接続できない場合、エラーメッセージが表示されます。まずは、メッセージ内容で問題箇所が判明するか確認しましょう。
実際にどのようなエラーメッセージが出るか、確認してみたいと思います。
基本的な確認
まず、Catoクライアントを開くとこのような画面が表示されます。
画面真ん中の起動ボタンを押すとログインIDとパスワードを入力する画面が出てきます。
User Nameとパスワードのミスがあると、以下のような「Login Error」のエラーメッセージが表示されます。
Catoクラウドはインターネットに接続していないと利用できないため、前提としてインターネットに接続しているかの確認も必要となります。
インターネットに繋がっていない状態で接続を試みた場合、以下のようなエラー画面が表示されます。
端末・NW設定などお客様環境の確認
インストールされている場合、起動ボタンを押した直後以下のようなエラー画面が表示され、ログイン情報の入力すらさせてくれません。。。
Catoクライアントが接続できないという問い合わせで、繋がらない原因が一番多いのがこちらになります。
●PCのネットワークアダプタの確認
ネットワークアダプタが、最新のバージョンであるかを確認しましょう。
最新ではない場合は最新のバージョンに更新ください。
ネットワークアダプタが最新バージョンであっても問題が改善されない場合は、PCのネットワークをリセット、ネットワークアダプタを再インストールし、PCの再起動をお試しください。
また過去に、仮想アダプタに原因があり、仮想アダプタを無効にして際Catoクライアントへの接続がうまくいった事例もありますので、こちらもご確認ください。
IP ルーティングが有効になっている場合は、Catoクライアントの認証は失敗します。
無効にした場合、クライアントが認証にCatoNetworksアダプタのIPアドレスを使用するため接続がいくようになります。
Catoクライアントをインストールするための前提条件として、Cato CloudはIPv4アドレスのみをサポートしています。
すべての物理アダプタで IPv6 が無効になっているか確認しましょう。
●お客様環境のポートにてCatoへの通信が制御されていないか
Catoクライアントが利用する通信ポートの53/udp、443/udp がお客様側の設定にて通信が許可されている必要があります。
なお、Socketにつきましては、53/udp、443/udp 、443/tcpが許可されている必要があります。
お客様側のNW設定のご確認をお願いいたします。
Catoクラウドの設定確認
アクセス制御などのCatoクラウド側で設定しているルールにてCatoクラウドへ接続できない場合などもございます。
例えば、Device Postureなどのクライアント接続のルールに該当し、Catoクライアントが接続できないといったこともあります。
上記画面は、Device Postureのルールに該当して接続不可の場合を例として表示します。
エラーメッセージにFail理由が記載されているので原因が判明しやすいですね。
端末や端末にインストールされているソフトのバージョンなどが、Catoクラウドに設定されているアクセスルールに引っ掛かり、接続できない事象などあります。その際は、設定の見直しやソフトのバージョンが設定したルールと問題ないか確認しましょう。
極まれに発生する事象として
極まれに発生する事象として、以下2点の確認もしてみましょう。
・ウィルス対策ソフト等でVPNを有効にしていないか
ウィルス対策ソフト等でVPNを有効しておりCatoクライアントを起動しても接続できず、エラーが表示されるといった事象もございました。そのため、ウィルス対策ソフト等でVPNが無効になっているか、確認しましょう。
・不要な仮想アダプタが有効になっていないか?
「cato networks vpn adapter is currently disabled 」というエラーが表示された際、アダプターに関する箇所が要因でCatoクラウドへ接続できない事象が発生しております。
その際に、不要な仮想アダプタを無効していただき接続可能かお試しください。
その他
Catoクライアントが接続できないという類似の問い合わせに、MacOS や ios端末などのデバイス証明書のインストール方法がわからない/上手くいかないというご連絡をいただきます。
MacOS/iOSデバイスにて証明書認証を行いたい場合、OSの仕様上、Apple ConfiguratorやMDMを使用して、デバイス証明書をVPNプロファイルに含めて端末に配布する必要があります。なお、手動でのデバイス証明書のインストールでは、認証を行うことができません。
デバイス証明書に関する質問が来た際、我々もよく確認するサイトを以下に記載いたしますので、デバイス証明書周りでお困りのお客様はご参照いただければ幸いです。
Distributing Certificates for Device Authentication and Device Checks
Device Authentication Troubleshooting
確認後の対応
上記トラブルシューティングを実施してみても改善が見込まれない場合は、Catoクライアントの再インストールを実施してみましょう。
ご利用のCato Clientのバージョンが古くないかを確認し、最新のバージョンを再インストールし、クライアントが接続できるかトライしましょう。
最新版はCatoクライアントダウンロードページからダウンロードが可能です。
Catoクライアントダウンロードページ:https://clientdownload.catonetworks.com/
上記、端末側の状態をチェックしてみても改善しない場合は、Cato側の障害などが疑われます。
対象のお問い合わせ窓口までご連絡ください。
最後に
Catoクライアントが繋がらないというお問い合わせは、Cato導入後皆さまから良くいただく質問です。
この記事を作成できたのも、これまで接続できないとお問い合わせ頂いたユーザー様の賜物になります。
Catoクラウドをお使いの皆様にこの記事をご覧いただき、問題解決の一役買えておれば幸いでございます。