Ist es möglich, Zscaler auf einer virtuellen Maschine (z. B. Linux) zu installieren und diese Maschine für den Zugriff auf nur wenige Hostnamen zu verwenden? Ich würde andere Maschinen so einrichten, dass sie nur für diese wenigen Hostnamen über diese virtuelle Maschine laufen, und alles andere würde normal ablaufen (über mein lokales Gateway). Gibt es eine einfachere Möglichkeit, dies zu erreichen?
Grundsätzlich möchte ich verhindern, dass Zscaler den gesamten Datenverkehr auf meinem Computer untersucht.
AKTUALISIEREN
Also, ich habe es einigermaßen geschafft. Ich habe einfach Zscaler auf dem VMware Ubuntu-Server installiert und die iptables-Regel hinzugefügt:
sudo iptables -t nat -A POSTROUTING -o zcctun0 -j MASQUERADE
wo zcctun0ist die von zscaler hinzugefügte Schnittstelle
Ich habe außerdem in der Windows-Hosts-Datei Folgendes festgelegt:
55.22.22.22 some.server.com
Und ich habe eine statische Route in Windows hinzugefügt:
route add 55.22.0.0 mask 255.255.0.0 192.168.44.131 if 19
Wo if 19befindet sich die von der virtuellen Maschine verwendete VMware NAT-Netzwerkschnittstelle und wo 192.168.44.131befindet sich die IP-Adresse von Ubuntu auf ens33der Schnittstelle?
Das Problem, das ich jetzt habe: Ich muss some.server.comden VMware Ubuntu-Server zuerst manuell von Firefox aus aufrufen, sonst erhalte ich in Windows nur Verbindungstimeouts, wenn zum ersten Mal versucht wird, eine Verbindung herzustellen. Sobald ich some.server.comUbuntu öffne, kann ich auch von Windows aus auf alle Server zugreifen.
Irgendeine Idee?
AKTUALISIEREN
Scheint, als müsste ich die Seite gar nicht öffnen. Ich kann einfach
nslookup some.server.com
im Ubuntu-Server und dann funktioniert es auch unter Windows (aber nur für diesen Domänennamen).
Merkwürdig ist, dass dies als IP nslookupzurückgegeben wird 55.22.22.22(was meine Einstellung bereits in der Hosts-Datei ist). Außerdem scheint zscaler seinen eigenen DNS zu haben (127.0.0.53#53) – also muss es wohl daran liegen.
AKTUALISIEREN
Nach der Installation bind9und Weiterleitung auf 127.0.0.53 sowie nach dem Hinzufügen in der Windows Power Shell Add-DnsClientNrptRule -Namespace ".somedomain.com" -NameServers "192.168.44.131"funktioniert alles von Anfang an. Schön ...
Die einzige verbleibende Frage ist, wie man automatisch eine statische Route zu Windows hinzufügt, wenn die Antwort von 192.168.44.131 DNS zurückgegeben wird - also geht es über VMware VM
Antwort1
Unter Windows ist das meines Wissens nicht möglich. Vielleicht einen DNS-Proxy verwenden?
Antwort2
Die einzige verbleibende Frage ist, wie man automatisch eine statische Route zu Windows hinzufügt, wenn die Antwort von 192.168.44.131 DNS zurückgegeben wird - also geht es über VMware VM
Antwort3
Tja, Chef, es scheint, als wären Sie mit Ihrem Setup und so auf dem richtigen Weg, indem Sie bestimmten Datenverkehr über eine virtuelle Maschine mit Zscaler leiten und anderen Datenverkehr Ihr lokales Gateway verwenden lassen. Sie haben jedoch einige Probleme mit der DNS-Auflösung festgestellt und Fortschritte bei deren Lösung gemacht.
Nur um sicherzugehen, dass wir uns hier einig sind: Sie möchten den Datenverkehr für bestimmte Hostnamen über die Zscaler-VM leiten und alles andere Ihr lokales Gateway verwenden lassen? Wenn das der Fall ist, finden Sie hier einige Vorschläge, um diesen DNS-Unsinn zu beheben!
1. DNS-Konfiguration auf Ubuntu-Server (Zscaler VM):
Stellen Sie sicher, dass Ihr Ubuntu-Server (Zscaler VM) so konfiguriert ist, dass er die entsprechenden DNS-Server verwendet. Wenn Zscaler über einen eigenen DNS-Resolver verfügt (wie Sie erwähnt haben, 127.0.0.53#53), ist es entscheidend, dass dieser die spezifischen Hostnamen korrekt auflöst. Möglicherweise müssen Sie die DNS-Einstellungen von Zscaler konfigurieren, um Ihre benutzerdefinierten Hostnamen-zu-IP-Zuordnungen zu verarbeiten.
2. DNS-Auflösung in Windows:
Wenn Windows versucht, auf die benutzerdefinierten Hostnamen zuzugreifen, kann es auf seinen eigenen DNS-Auflösungsprozess zurückgreifen. Stellen Sie sicher, dass Ihr Windows-Computer den Ubuntu-Server (Zscaler VM) als DNS-Server für die spezifischen Domänen verwendet, die Sie über Zscaler weiterleiten möchten. Sie haben erwähnt, dass Sie Add-DnsClientNrptRule verwenden, um dies einzurichten.
3. DNS-Caching unter Ubuntu:
In Ihrem Update haben Sie erwähnt, dass das Ausführen von nslookup some.server.com innerhalb des Ubuntu-Servers das Problem für Windows zu lösen scheint. Dies deutet darauf hin, dass der Ubuntu-Server möglicherweise DNS-Einträge zwischenspeichert. Stellen Sie sicher, dass alle DNS-Caching-Dienste auf dem Ubuntu-Server richtig konfiguriert sind, um DNS-Anfragen an den DNS-Resolver von Zscaler weiterzuleiten.
4. DNS-Weiterleitung mit bind9:
Sie haben erwähnt, dass Sie bind9 installieren und als Weiterleitung zu 127.0.0.53 (Zscalers DNS) konfigurieren. Stellen Sie sicher, dass bind9 DNS-Anfragen für die spezifischen Domänen, die Sie über Zscaler leiten möchten, korrekt weiterleitet. Überprüfen Sie, ob Ihre DNS-Konfiguration in bind9 die erforderlichen Weiterleitungszonen enthält.
5. Testen und Verifizieren:
Nachdem Sie die DNS-Einstellungen sowohl auf dem Ubuntu-Server als auch unter Windows konfiguriert haben, testen Sie die DNS-Auflösung für die benutzerdefinierten Hostnamen von Windows, um sicherzustellen, dass sie in die richtigen IP-Adressen aufgelöst werden. Sie können nslookup oder ping verwenden, um zu überprüfen, ob die DNS-Auflösung wie erwartet funktioniert.
6. DNS-Cache leeren:
Wenn Sie Änderungen an den DNS-Einstellungen auf dem Ubuntu-Server oder unter Windows vornehmen, empfiehlt es sich, den DNS-Cache auf beiden Systemen zu leeren, um sicherzustellen, dass die neuen Einstellungen sofort wirksam werden.
Also, indem Sie sicherstellen, dass sowohl Ihre Zscaler-VM als auch Ihr Windows-Rechner so konfiguriert sind, dass sie die richtigen DNS-Server und Weiterleitungsregeln verwenden, sollten Sie in der Lage sein, den Datenverkehr für bestimmte Hostnamen über die Zscaler-VM zu leiten, während Sie anderen Datenverkehr Ihr lokales Gateway verwenden lassen. Die DNS-Konfiguration spielt als HMFIC eine entscheidende Rolle, damit dieses Setup reibungslos funktioniert.
Hoffe das hilft!