GlobalProtect - Client-Auflösungen DNS können fehlschlagen, wenn DNS Split-Tunneling aktiviert ist

GlobalProtect - Client-Auflösungen DNS können fehlschlagen, wenn DNS Split-Tunneling aktiviert ist

17335
Created On 06/22/22 15:25 PM - Last Modified 03/24/23 07:30 AM


Symptom


  • GlobalProtect antwortet mit NXDOMAIN Code, wenn die Schnittstellenüberschrift der Anforderung nicht deckungsgleich mit der Übereinstimmung der DNS Split Tunnel Exclude/Include-Domäne ist.
  • Die Protokolle "reply no such name = 1" und "ST,,READER return reject DNS now" werden in PanGPS Dump-Protokollen angezeigt:
(P6160-T6308)Dump (  91): 06/11/22 15:27:24:908 Received DNS request for ctldl.windowsupdate.com with type 1
(P6160-T6308)Dump (1585): 06/11/22 15:27:24:908 Domain name ctldl.windowsupdate.com matches exclude wildcard domain
(P6160-T6308)Dump ( 531): 06/11/22 15:27:24:908 EnforceSplitDns, ret1=0, ret2=-1, type1=4, type2=0 (3/4-in/exclude), bReplyNoSuchName=1
(P6160-T6308)Dump ( 532): 06/11/22 15:27:24:908 EnforceSplitDns, qname=ctldl.windowsupdate.com, from tunnel=1, reply no such name = 1
(P6160-T6308)Dump ( 590): 06/11/22 15:27:24:908 EnforceSplitDns: Handle DNS request ctldl.windowsupdate.com to server 192.168.1.30
(P6160-T6308)Dump ( 942): 06/11/22 15:27:24:908 HandleDnsCallback result=split dns
(P6160-T6308)Dump ( 615): 06/11/22 15:27:24:908 ST,READER, return reject DNS now

Environment


  • Windows 10-Client
  • GlobalProtect 5.2 oder höher
  • GlobalProtect Portal und Gateway
  • All PAN-OS
  • Split-Tunnel-Option in der Konfiguration des Portalagenten auf "Sowohl Netzwerkverkehr als DNSauch " gesetzt
  • GP Lokale Tunnel- und Clientschnittstellen, die mit denselben DNS Servern konfiguriert sind
  • Split-Tunnel-Einschluss-/Ausschlussdomänenliste konfiguriert

Cause


  • Wenn der Client mit den gleichen DNS Servern für die und die lokale Schnittstelle konfiguriert ist, funktioniert die GP DNS Split-Tunnel-Funktion nicht ordnungsgemäß.
  • Dasselbe kann auch passieren, wenn in der Gateway-Agent-Konfiguration keine DNS Server definiert sind und GP App die Server verwendet werden, die DNS auf der lokalen Schnittstelle definiert sind.
  • Der Grund dafür ist, dass diese Funktion in GP entwickelt wurde, um den Zielserver DNS (VPN zugewiesen oder lokal) basierend auf der angeforderten Domäne zu unterscheiden.
  • Darüber hinaus hängt die Split-Funktion DNS in allen Fällen GP von den DNS Abfragen des Windows-Clients (Stub-Resolver DNS ) ab, und wenn derselbe DNS Server auf mehreren Schnittstellen konfiguriert ist, ist sein Verhalten nicht definiert.

In diesem Beispiel:
  • *.windowsupdate.com ist in der Liste "Split Tunnel Exclude Domain" konfiguriert.
  • Die Schnittstelle, die die DNS Abfrage anführt, ist stattdessen der Tunnel (tunnel=1), sodass sie nicht mit der GP ausgeschlossenen Regel übereinstimmt
  • GP antwortet mit NXDOMAIN (Antwort nein solcher Name = 1)
(P6160-T6308)Dump ( 532): 06/11/22 15:27:24:908 EnforceSplitDns, qname=ctldl.windowsupdate.com, from tunnel=1, reply no such name = 1
  • Der Windows-Client DNS sendet keine DNS Anforderung über den lokalen Adapter, sodass der Client die Auflösung für die angeforderte Domäne nicht auflösen kann.

Resolution


Der DNS Server muss auf dem Gateway konfiguriert sein und sich von den lokalen DNS Servern unterscheiden.

Netzwerk-> GlobalProtect >-Gateways > <gateway-config> > Agent- > Client-Einstellungen > <client-config> > Netzwerkdienste
Bild.png
    oder Network > > Gateways > <gateway-config> > Agent > GlobalProtect Network Services
    Bild.png
     

    Additional Information


    21. März 23 (Vijay) - Artikel mit Prathyusha aktualisiert und extern veröffentlicht.
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Cq90CAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language