GlobalProtect - DNS les résolutions client peuvent échouer lorsque DNS le Split Tunneling est activé

• GlobalProtect répondra avec NXDOMAIN du code si l’en-tête de l’interface de la demande n’est pas conforme à la DNS correspondance de domaine Split Tunnel Exclude/Include.
• Les journaux « reply no such name = 1 » et « ST,,READER return reject DNS now » sont visibles dans les journaux PanGPS Dump :

(P6160-T6308)Dump (  91): 06/11/22 15:27:24:908 Received DNS request for ctldl.windowsupdate.com with type 1
(P6160-T6308)Dump (1585): 06/11/22 15:27:24:908 Domain name ctldl.windowsupdate.com matches exclude wildcard domain
(P6160-T6308)Dump ( 531): 06/11/22 15:27:24:908 EnforceSplitDns, ret1=0, ret2=-1, type1=4, type2=0 (3/4-in/exclude), bReplyNoSuchName=1
(P6160-T6308)Dump ( 532): 06/11/22 15:27:24:908 EnforceSplitDns, qname=ctldl.windowsupdate.com, from tunnel=1, reply no such name = 1
(P6160-T6308)Dump ( 590): 06/11/22 15:27:24:908 EnforceSplitDns: Handle DNS request ctldl.windowsupdate.com to server 192.168.1.30
(P6160-T6308)Dump ( 942): 06/11/22 15:27:24:908 HandleDnsCallback result=split dns
(P6160-T6308)Dump ( 615): 06/11/22 15:27:24:908 ST,READER, return reject DNS now

• Client Windows 10
• GlobalProtect 5,2 ou plus
• GlobalProtect Portail et passerelle
• Tout PAN-OS
• Option Split-Tunnel définie sur « Trafic réseau et DNS" dans la configuration de l’agent de portail
• GP Interfaces locales tunnel et client configurées avec les mêmes DNS serveurs
• Split Tunnel Include/Exclude Domain list configuré

• Si le client est configuré avec les mêmes DNS serveurs pour les GP interfaces locales et locales, la DNS fonctionnalité Split Tunnel ne fonctionnera pas correctement.
• La même chose peut également se produire lorsqu’aucun serveur n’est DNS défini dans la configuration de l’Agent de passerelle et GP App utilise les DNS serveurs définis sur l’interface locale.
• La raison en est que cette fonctionnalité a GP été conçue pour différencier le serveur cible DNS (VPN assigné ou local) en fonction du domaine demandé.
• De plus, la fonction de fractionnement dépend GP DNS des requêtes du client Windows DNS (résolveur de DNS stub) et lorsque le même DNS serveur est configuré sur plusieurs interfaces, son comportement n’est pas défini.

• *.windowsupdate.com est configuré dans la liste Split Tunnel Exclude Domain
• L’en-tête de l’interface de la requête est le tunnel à la GP place (tunnel=1) donc il ne correspond pas à la DNS règle exclue
• GP répond par NXDOMAIN (répondre pas un tel nom = 1)

(P6160-T6308)Dump ( 532): 06/11/22 15:27:24:908 EnforceSplitDns, qname=ctldl.windowsupdate.com, from tunnel=1, reply no such name = 1

• Le client Windows DNS n’envoie aucune DNS demande via l’adaptateur local, de sorte que le client finira par échouer la résolution pour le domaine demandé.