GlobalProtect 视窗App无法解析本地网络的域名
9828
Created On 05/11/23 14:19 PM - Last Modified 05/17/23 05:27 AM
Symptom
- 当选项“解析所有 FQDN 使用DNS隧道分配的服务器(仅限 Windows)”设置为是(默认),GlobalProtect回复NXDOMAIN代码到每个DNS请求指向DNS未被推送的服务器GlobalProtect网关。
- “回复没有这样的名字= 1”和“ST ,READER , 返回拒绝DNS现在”日志中可以看到PanGPS 转储日志:
(P2808-T6804)Dump ( 91): 05/11/23 16:45:41:352 Received DNS request for home.local with type 1
(P2808-T6804)Dump ( 531): 05/11/23 16:45:41:352 EnforceSplitDns, ret1=-1, ret2=-1, type1=0, type2=0 (3/4-in/exclude), bReplyNoSuchName=1
(P2808-T6804)Dump ( 532): 05/11/23 16:45:41:352 EnforceSplitDns, qname=home.local, from tunnel=0, reply no such name = 1
(P2808-T6804)Dump ( 590): 05/11/23 16:45:41:352 EnforceSplitDns: Handle DNS request home.local to server 192.168.3.50
(P2808-T6804)Dump ( 937): 05/11/23 16:45:41:352 HandleDnsCallback result=split dns
(P2808-T6804)Dump ( 611): 05/11/23 16:45:41:352 ST,READER, return reject DNS now
Environment
- Windows 10 客户端
- GlobalProtect 5.2或更高
- 全部 PAN-OS
- DNS 拆分已禁用 > 拆分隧道选项设置为“仅限网络流量”(默认)
- 解析所有 FQDN 使用DNS隧道分配的服务器(仅限 Windows)设置为是(默认)
Cause
- 一切DNS针对的请求DNS分配给本地物理适配器的服务器将被拒绝GlobalProtect客户(与NXDOMAIN回复)。
- 启用此设置后,GlobalProtect将回复NXDOMAIN以防万一:
- 这DNS请求未转发给GP隧道接口
- 这DNS请求被转发到GP隧道接口到DNS服务器未被网关推送
- home.local 是客户端本地域,并且192.168.3.50 是DNS服务器分配给物理适配器。
- 界面标题为DNS查询是物理接口(从隧道=0 ) 所以GP回应NXDOMAIN(回复没有这样的名字 = 1 )
(P2808-T6804)Dump ( 532): 05/11/23 16:45:41:352 EnforceSplitDns, qname=home.local, from tunnel=0, reply no such name = 1Resolution
设置选项“解析所有 FQDN 使用DNS隧道分配的服务器(仅限 Windows)”到“否”。
GUI : 网络 >GlobalProtect > 门户网站 > <门户配置> >代理人> <代理配置> >App