登录
  • 人们都希望被别人需要 却往往事与愿违
  • 法律本身并不能保证言论自由; 要做到这一点, 必须所有人都有包容精神。 @爱因斯坦

Cloudflare Zero Trust 添加私有解析DNS

Cloudflare Benny小土豆 9930次浏览 1179字 0个评论
文章目录[显示]

很多公司,尤其是跨国大公司,会要求员工连接VPN(或者到办公室)来进入到一个10段的大内网。在这个内网内方能访问各种公司内部的资源,比如GitLab、Confluence、Jira之类的。

这种情况下就是做了私有DNS解析,这个解析记录并不会发布到公网上,就像你家路由器对于主机名为home这台设备的解析一样,只有进入了你家的网络才有。

在使用Cloudflare Zero Trust的情况下,我们也可以做到私有DNS解析,并且完全免费!使用Cloudflare Zero Trust,零成本的创建你的工作网络环境,如此简单!

设置DNS服务器

既然要设置私有DNS解析,那么毫无疑问需要设置一个由我们掌控的DNS服务器。简单起见,这里我直接在路由器上设置解析。如果你使用的也是LEDE/OpenWRT,那么在 网络-DHCP/DNS,最下面 「自定义域名挟持」中填入你的域名和解析到的IP地址。当然这个IPv4地址也可以写到公网IP,只不过这样有些搞笑🥸

Cloudflare Zero Trust 添加私有解析DNS

添加保存之后,刷新一下本地的DNS缓存,就应该发现已经能ping通了

Cloudflare Zero Trust 添加私有解析DNS

注册WARP

具体可以参考这篇文章《使用Cloudflare Zero Trust创建大内网》,简单的说就是配置Cloudflared Tunnel、创建WARP设备注册权限、创建WARP Profile、选择Split Tunnel的模式,然后下载WARP认证连接。这里WARP就相当于公司给你安装的VPN了。

再提一下include和exclude这两种Split Tunnel的区别:

  • Include:类似于WireGuard的allowIP=192.168.7.0/24, 其他非指定网段的流量会直接从你的网络出去,不走Cloudflare,可以理解成非全局VPN。此时你需要去include的规则中添加你的 192.168.7.0/24
  • Exclude:所有流量都要走Cloudflare,类似全局VPN。此时你需要去exclude的规则中删除你的192.168.7.0/24

无论你是选择include还是exclude,确保连接WARP后,能够ping通内网的IP就可以进行下一步了。

配置DNS fallback

在Zero Trust网页上,进入到Profile配置页面,下拉能找到 Local Domain Fallback

Cloudflare Zero Trust 添加私有解析DNS

点击Manage,左侧添加域名、DNS服务器和备注。这个DNS服务器就是上面配置好的那个。

Cloudflare Zero Trust 添加私有解析DNS

测试

内网测试

我现在连到了家里的网络,因此肯定能解析 samba.dmesg.app 这个域名的,此处没有任何问题

外网测试

手机开个热点,电脑连接上

Cloudflare Zero Trust 添加私有解析DNS

连接WARP!

Cloudflare Zero Trust 添加私有解析DNS

私有解析完成!

总结

感谢Cloudflare为我们提供了这么好用的网络服务。小公司可以直接用Cloudflare Zero Trust 组建自己的内网了,然后用Firewall Policies进行适当的权限控制。


文章版权归原作者所有丨本站默认采用CC-BY-NC-SA 4.0协议进行授权|
转载必须包含本声明,并以超链接形式注明原作者和本文原始地址:
https://dmesg.app/zero-trust-private-dns.html
喜欢 (6)
分享:-)
关于作者:
If you have any further questions, feel free to contact me in English or Chinese.
发表我的评论
取消评论

                     

去你妹的实名制!

  • 昵称 (必填)
  • 邮箱 (必填,不要邮件提醒可以随便写)
  • 网址 (选填)