【SSLVPN】DNS分离策略配置案例

Fine发表于:2020年09月09日 16:44:56

适配版本


产品:SSL VPN

版本:支持DNS分离策略的版本

平台:MAC、IOS、Android

关键字

DNS分离策略

内容


DNS分离策略

功能背景:

macOS 、IOS、Android VPN客户端存在的域名使用相关问题,所有问题都不是必现,部分问题是特殊客户场景出现,部分问题是偶现,问题归纳如下:

1、隧道建立后内网域名不可用,需要延时1~9分钟左右才可用

2、部分内网域名偶尔不可用

3、客户环境的内网域名在内外网DNS都可解析,但是外网解析的IP不可用,

4、内网DNS应答中没有AA标记。(AA标记:标记该服务器是解析域名的权威解析服务器)

5、客户环境的内网DNS无法解析外网域名,导致进入内网DNS的外网域名不可用

DNS分离策略只针对:MAC、IOS、Android客户端生效,Windows客户端不受影响

未启用DNS分离策略,DNS相关配置

SSLVPN设备,默认下发DNS配置:SSLVPN--应用设置–NC设置,添加DNS服务器。

image2020-6-15_17-40-55.png?version=1&modificationDate=1592214055000&api=v2

终端在拨号以后解析内网域名:demo1.lingxinren.com,解析出来的地址未内网DNS记录的地址。

image2020-6-15_17-47-31.png?version=1&modificationDate=1592214452000&api=v2



启用DNS分离策略

DNS分离策略:SSLVPN--应用设置---NC设置—DNS分离策略 页面,点击启用,并配置首选公网DNS服务器、域名白名单、例外名单。

image2020-6-15_17-49-58.png?version=1&modificationDate=1592214598000&api=v2

查看解析效果:

image2020-6-15_17-51-24.png?version=1&modificationDate=1592214685000&api=v2

image2020-6-15_17-51-53.png?version=1&modificationDate=1592214714000&api=v2

image2020-6-15_17-52-21.png?version=1&modificationDate=1592214742000&api=v2


策略解析说明:

1、如果不开启DNS分离策略,解析依旧采用VPN默认的解析策略

2、【例外名单】中的域名解析,使用DNS分离页面配置的外网DNS解析,【例外白名单】中配置的域名是VPN设备解析,直接返回域名对应的IP地址。

3、DNS分离策略支持配置域名通配符:例如:*.lingxinren.com。【例外白名单】中通配符格式的域名,不支持配置IP地址,手工指定一个IP地址也不生效。直接走内网DNS解析。

4、分离策略中,如果白名单中与例外有同域名或包含的,例外优先