本帖最后由 贺智文 于 2023-7-21 15:34 编辑
1、问题背景发布了域名资源接入零信任之后用域名访问不了
2、问题排查 ①查看内网域名解析开启了 ②资源诊断结果 ③代理网关上抓包看是通过114去解析了,代理网关配置的DNS是114 ④终端ping这个域名是正常解析成fakeIP了 ⑤终端抓包没有看到访问内网DNS
此时终端抓包看到数据进隧道后,跟fake ip 三次握手建立不起来,配置了强制下发DNS是不是应该跟直接虚拟IP访问内网DNS而不是用fakeDNS去解析呢?
来了解下PC端访问域名资源流程: >用户登录,拉起客户端,服务端下发资源、策略到客户端 >服务端下发临时fake-dns:198.18.0.1,用于拦截用户对域名 www.web.com的dns解析请求,并返回结果为198.18.x.x段(fake-ip段)的IP地址 >客户端下发临时路由,访问fake-ip段(198.18.0.0/16)的下一跳地址为atrust虚拟网卡的IP(注销后路由消失)
在aTrust未开启虚拟IP池的情况下,aTrust虚拟网卡将使用客户端内置的虚拟IP; aTrust内置的虚拟ip默认如下: 1、开启长隧道情况,aTrust下发的虚拟网卡地址是20.0.0.0/8网段; 2、不开启长隧道,aTrust下发的虚拟网卡地址是2.0.0.0/8网段
>客户端将数据重新封装,然后发送给代理网关 >代理网关上报控制中心查询该用户是否具备权限访问该资源 >控制中心回复有 >代理网关通过hosts/dns解析到真实web.com的IP;并代理用户访问资源后,返回数据到atrust客户端,客户端再返回数据给浏览器/操作系统内核。
了解了域名资源访问流程后,用户侧是通过发布域名资源,使用设备fakedns功能来解析,那么需要保证服务端可以正常解析到这个域名地址,可以通过在服务端配置HOSTS或者代理网关网卡配置内网DNS来实现。
此处强制下发DNS没有用的。代理网关上配置的114,所以解析不了,所以终端抓包看也证实了。
⑤那什么时候建议开启DNS强制下发呢
>如果发布的是IP资源,在内网又要通过域名去访问,此时可以开启内网DNS解析
atrust访问域名资源客户端的DNS解析顺序是:电脑Hosts>fakedns>强制下发DNS>网口DNS>PC本机配置的DNS服务器 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-7-24 14:00
多谢分享
技术研究员2级 