CatoではDoH(DNS over HTTPS)やDoT(DNS over TLS)でのDNSフォワーディングをサポートしていません。

macOS Ventura、およびiPhone iOS 16以降では、
DNS通信にてDoH、DoTに準拠したDNSサーバを確認すると、
CatoのDNSサーバを含む他のDNSサーバを無視しDoTおよびDoH対応のDNSサーバを利用します。
本動作により名前解決ができずユーザが内部リソースにアクセスできない事象が発生します。

本動作についてはAppleにて取り組んでいる既知の問題となります。
Catoにおける回避策としては以下2点のいずれかとなります。

1. Internet FirewallにてDoH(DNS over HTTPS)、DoT(DNS over TLS)をブロックする
   下記のようにポリシーを追加することにより、Apple端末ではCatoのDNSサーバ(10.254.254.1)をUDPベースのDNSで使用するようになり、DNSフォワーディングが可能となります。
   
2. CatoのDNSサーバ(10.254.254..1)を唯一のDNSサーバとして明示的に設定する
   下記のようにポリシーを追加することにより、8.8.8.8(または任意のDoT、DoH対応のDNSサーバ)がPrimary DNSとして設定されるのを防ぎ、すべてのクエリをCatoが処理するように強制することが可能となります。
   

補足

本記事は以下のKBを参考に作成されています。
Best Practices for DNS and Your Cato Account
macOS Ventura and iOS Users Unable to Reach Internal Resources Via Cato