问
f1000-905-ai 设置自定义DNS记录指向内网用于vpn用户访问
2天前提问
- 0关注
- 0收藏,48浏览
以下为技术实现建议:
- 配置内网服务器的端口转发:
- 在内网服务器(192.168.1.10)上,确保目标服务(如HTTP 80/HTTPS 443或其他端口)已正常运行。
- 在路由器或防火墙中设置端口转发规则,将外网访问的特定端口(如8080)转发到内网服务器的对应端口(如80)。
- 配置VPN服务器的路由规则:
- 登录F1000-905-AI设备的管理界面,进入VPN服务器配置。
- 在“路由”或“NAT”设置中,添加一条静态路由规则,将访问
***.***的流量指向内网服务器的IP地址(192.168.1.10)。 - 确保VPN客户端的流量经过此路由规则处理。
- 域名解析配置:
- 如果
***.***是您自定义的域名,需在DNS服务器中配置A记录,将该域名解析为F1000-905-AI设备的公网IP地址。 - 如果使用内网DNS,确保客户端设备的DNS设置指向内网DNS服务器,并在内网DNS中配置
***.***解析为192.168.1.10。
- 如果
- 检查防火墙规则:
- 确保F1000-905-AI设备的防火墙允许来自VPN客户端的流量访问内网服务器的端口。
- 检查内网服务器的防火墙设置,允许来自192.168.1.0/24网段的流量。
- 测试连接:
- 使用VPN客户端连接到F1000-905-AI设备。
- 在客户端设备上尝试访问
***.***,确认是否能正常访问内网服务器。
暂无评论
要让 SSL VPN 用户访问内网私有域名(如
***.*** → 192.168.1.10),在 F1000-905-AI 上有三种最稳方案,优先级:方案 1(防火墙静态域名)> 方案 2(推送内网 DNS)> 方案 3(客户端 hosts)。下面给你完整可直接照做的配置(Web + 命令行)。方案 1:防火墙配置静态域名(全局生效,推荐)
防火墙本身做 “内网 DNS”,把
***.*** 静态绑定到 192.168.1.10,所有流量(含 SSL VPN)都优先解析这条。命令行(直接复制)
bash
运行
system-view
# 配置静态域名映射(核心)
dns host ***.*** 192.168.1.10
# 确保DNS功能开启
dns enable
save
Web 界面路径
网络 → DNS → 静态域名
- 主机名:
***.*** - IP 地址:
192.168.1.10 - 提交 → 保存配置。
效果
SSL VPN 用户访问
***.***,防火墙直接返回 192.168.1.10,不需要内网 DNS 服务器,最省事。方案 2:SSL VPN 推送内网 DNS(适合多内网域名)
如果内网有多个私有域名(不止一个),建议让 VPN 客户端使用内网 DNS(如
192.168.1.10 本身就是 DNS,或内网 DNS 服务器)。1. 内网 DNS 服务器配置
在你的内网 DNS(如 Windows DNS、Bind)添加:
- A 记录:
***.***→192.168.1.10
2. 防火墙 SSL VPN 推送 DNS
命令行
bash
运行
system-view
# 进入SSL VPN网关
ssl vpn gateway g1
# 推送内网DNS给VPN客户端
dns server 192.168.1.10
# (可选)推送域名后缀,自动补全
dns domain ***.***
save
Web 界面路径
VPN → SSL VPN → 网关配置 → 高级设置
- DNS 服务器:填写内网 DNS IP(
192.168.1.10) - 提交 → 保存。
效果
VPN 客户端连接后,自动把 DNS 设为内网 DNS,所有内网私有域名都能正常解析。
方案 3:客户端本地 hosts(临时测试)
少量用户、临时测试用,不推荐大规模使用。
在用户电脑
hosts 文件添加:plaintext
192.168.1.10 ***.***
- Windows:
C:\Windows\System32\drivers\etc\hosts - Mac/Linux:
/etc/hosts
关键:SSL VPN 路由放行
无论用哪种方案,必须放行 VPN 用户到内网的路由 / 策略,否则解析成功也访问不了:
- SSL VPN 地址池:分配内网网段(如
192.168.2.0/24) - 安全策略:允许
SSL VPN 区域 → 内网区域访问 - 路由:确保防火墙有到
192.168.1.0/24的路由
验证方法(用户侧)
VPN 连接后,在用户电脑执行:
bash
运行
nslookup ***.***
ping ***.***
- 正常返回
192.168.1.10→ 配置成功。
推荐选择
- 只有1 个内网域名:用方案 1(静态域名),最简单。
- 有多个内网域名:用方案 2(推送内网 DNS),易维护。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论