GlobalProtect - DNS las resoluciones de cliente pueden fallar cuando DNS el túnel dividido está habilitado

• GlobalProtect responderá con código si el encabezado de la interfaz de la solicitud no es congruente con NXDOMAIN la coincidencia de DNS dominio Excluir/Incluir túnel dividido.
• Los registros "reply no such name = 1" y "ST,,READER return reject DNS now" se ven en los registros de volcado de PanGPS:

(P6160-T6308)Dump (  91): 06/11/22 15:27:24:908 Received DNS request for ctldl.windowsupdate.com with type 1
(P6160-T6308)Dump (1585): 06/11/22 15:27:24:908 Domain name ctldl.windowsupdate.com matches exclude wildcard domain
(P6160-T6308)Dump ( 531): 06/11/22 15:27:24:908 EnforceSplitDns, ret1=0, ret2=-1, type1=4, type2=0 (3/4-in/exclude), bReplyNoSuchName=1
(P6160-T6308)Dump ( 532): 06/11/22 15:27:24:908 EnforceSplitDns, qname=ctldl.windowsupdate.com, from tunnel=1, reply no such name = 1
(P6160-T6308)Dump ( 590): 06/11/22 15:27:24:908 EnforceSplitDns: Handle DNS request ctldl.windowsupdate.com to server 192.168.1.30
(P6160-T6308)Dump ( 942): 06/11/22 15:27:24:908 HandleDnsCallback result=split dns
(P6160-T6308)Dump ( 615): 06/11/22 15:27:24:908 ST,READER, return reject DNS now

• Cliente de Windows 10
• GlobalProtect 5.2 o superior
• GlobalProtect Portal y puerta de enlace
• All PAN-OS
• Opción de túnel dividido establecida en "Tráfico de red y DNS" en la configuración del agente de portal
• GP Interfaces locales de túnel y cliente configuradas con los mismos DNS servidores
• Lista de dominio de inclusión / exclusión de túnel dividido configurada

• Si el cliente está configurado con los mismos DNS servidores para las GP interfaces y locales, la DNS característica Túnel dividido no funcionará correctamente.
• Lo mismo puede ocurrir cuando no hay servidores DNS definidos en la configuración del agente de puerta de enlace y GP App utilizará los DNS servidores definidos en la interfaz local.
• La razón es que esta característica ha GP sido diseñada para diferenciar el servidor de destino DNS (VPN asignado o local) en función del dominio solicitado.
• Además, la función Split DNS en todo depende de las DNS consultas del cliente de Windows DNS (stub resolver) y cuando el mismo DNS servidor está configurado en GP múltiples interfaces su comportamiento no está definido.

• *.windowsupdate.com está configurado en la lista de dominios excluidos de túnel dividido
• La interfaz que encabeza la consulta es el GP túnel en su lugar (tunnel=1), por lo que no coincide con la DNS regla excluida
• GP responde con NXDOMAIN (reply no such name = 1)

(P6160-T6308)Dump ( 532): 06/11/22 15:27:24:908 EnforceSplitDns, qname=ctldl.windowsupdate.com, from tunnel=1, reply no such name = 1

• El cliente de Windows DNS no envía ninguna DNS solicitud a través del adaptador local, por lo que el cliente terminará fallando en la resolución del dominio solicitado.