You need to enable JavaScript to run this app.
导航
飞连
  • 文档首页
    • /飞连/常见问题与排障指南/零信任接入相关/零信任接入常见问题
零信任接入常见问题
最近更新时间:2025.11.14 16:29:28首次发布时间:2024.02.26 14:58:30
复制全文
我的收藏
有用
有用
无用
无用

您在使用飞连零信任接入模块的过程中,遇到疑问时可参考以下常见问题及解决方案。

VPN 管理

客户端在访问 VPN 中配置的域名类型资源时,是使用 VPN 节点配置的 DNS 进行解析吗?

目前飞连分全局模式和极速模式两种情况:

  • 全局模式:所有域名均由 VPN 节点上设置的DNS服务器做解析。
  • 极速模式:
    • 域名在极速模式域名列表中:访问该域名时,飞连客户端会在终端内启动一个 DNS 127.0.0.1 代理,将 DNS 请求发送给 VPN 节点处理,由 VPN 节点上设置的 DNS 服务器做解析。
    • 域名不在极速模式域名列表中:由终端上设置的 DNS 解析。

使用账号体系接入 VPN,当账号体系泄露,是否会有直接通过 VPN 接入办公网络的风险?

为防止此种风险发生,建议您在飞连管理后台的身份管理账号配置身份认证中开启二次认证功能。

飞连的极速模式和全局模式有什么区别?

飞连产品支持全局模式和极速模式两种 VPN 模式,区别如下:

  • 全局模式下,所有网络流量都会通过 VPN 加密隧道进行转发。
  • 极速模式下,只有在极速资源内配置的 IP 或者域名会通过 VPN 加密隧道进行转发。

配置了极速模式资源之后,为什么无法访问内网域名?

  1. 请检查飞连客户端 VPN 连接是否在线。
  2. 请检查所访问的域名或 IP,在极速资源内均有配置,配置方法请参见管理极速模式网络资源。如果是以域名形式访问的话,需要同时配置域名资源和 IP 资源。
  3. 请检查是否是 VPN 访问策略拦截导致。

VPN 资源配置中的域名列表,是否支持泛域名?

飞连支持泛域名,配置路径如下:

  1. 管理员登录飞连管理后台。
  2. 在左侧导航栏,选择 VPN 管理高级设置
  3. 极速资源标签,单击新增资源
  4. 配置泛域名资源,具体格式为example.com,同时需要配置对应的 IP 段。

可以限制特定人员看到特定 VPN 节点吗?

可以。在飞连管理后台的 VPN 管理节点管理中,设置 VPN 节点的可见对象。具体请参见配置 VPN 节点的可见对象

UDP 和 TCP 协议切换的逻辑是什么?

飞连管理后台如果开启了双协议的话,会优先尝试通过 UDP 协议连接,连接不通的话再尝试通过 TCP 协议连接。

虚拟机安装了 VPN 节点之后,如何卸载 VPN 节点?

解决方案:进入操作系统,执行以下命令。

sudo /opt/feilian/vpn/uninstall.sh

VPN 节点上线之后,连接 VPN 报错如何处理?

解决方案:

  1. 请先检查客户端上显示的 VPN 节点状态是否正常。
  2. 请检查从公网访问 VPN 节点对应的控制端口和数据端口是否正常。
  3. 请检查安装 VPN 节点的虚拟机是否开启 firewalld 服务,如有请关闭,并且再次检查 iptables 规则。

极速模式全局资源的路由未下发到客户端,导致极速模式无法访问到资源如何处理?

极速模式的资源分为全局资源与单节点资源。

  • 全局资源是指您在飞连管理后台的 VPN 管理高级配置中添加的极速模式全局资源。
  • 单节点资源是指您在飞连管理后台的 VPN 管理节点管理中,进入指定 VPN 节点,在节点内的网络模式页签添加的极速模式单节点资源。

如果您在以上两个功能项中均配置了极速模式的资源,则单节点资源优先生效,从而导致极速模式全局资源不生效。

在配置 VPN 访问资源时,如果只配置域名资源并选中 HTTP HTTPS,则会无法使用 ping、traceroute 等程序追踪路由吗?

因为 ping 等程序使用 ICMP 协议,所以无法使用。如果您需要使用,则需要为域名增加对应的 IP 资源,并增加 ICMP 协议。

飞连 VPN 配置中的传输协议该怎么选择?

传输协议指飞连客户端封包类型,建议选择自动选择 TCP 与 UDP,因为某些网络会丢弃 UDP 包。

VPN 的默认开放模式可以针对某个 VPN 节点进行配置吗?

默认开放模式是针对整个 VPN 功能模块的,无法针对某个节点进行配置。

检测到用户信息不存在或用户已离职,请联系管理员(10220004)

解决方案:

  1. 确认 VPN 的 License 未过期,且该员工有 VPN 使用权限。

    1. 在飞连管理后台左侧导航栏选择权益中心,在 VPN 管理卡片中查看服务期限。
    2. 在左侧导航栏选择 VPN 管理 > 使用权限, 在使用权限列表中,查看该员工所属的部门是否被授权了 VPN 使用权限(可见对象中是否包含),且授权状态为生效中
      Image

  2. 执行如下命令检查配置文件中的 VPN 节点配置是否正确。

    cat opt/feilian/vpn/conf/config.yaml

    url 中的地址为飞连门户域名或飞连内网服务端 IP,端口为 49900。
    Image

  3. 以 root 用户登录 VPN 节点服务器,通过 telnet 命令访问 config.yaml 文件中的 url,检查连接是否正常,如果提示Connected to……表示连接正常。

    telnet example.com 49900

    example.com 请替换为 config.yaml 文件中的 url 对应的域名或 IP。

  4. 如果配置错误,请修改 config.yaml 文件后,请在非业务时间执行如下命令重启飞连服务。

systemctl restart feilian-*
  1. 检查该账号是否属于三方认证源同步的账号,以及近期是否频繁调整账号状态,可能是账号同步到 VPN 节点状态没有更新。

网络请求超时,请尝试网络诊断或重新连

解决方案:

  1. 判断是否是公网质量的问题。

    1. 在飞连管理后台左侧导航栏选择 VPN 管理 > 节点管理, 单击对应 VPN 节点卡片,单击在线设备页签,如果列表中已经存在连接了,则说明为公网质量的问题。
    2. 在左侧导航栏选择 VPN 管理 > 高级配置,调大客户端超时时间,建议设置为 10s。

  2. 判断是否是VPN 服务部署的问题。

    1. 执行如下命令,若返回 pong,说明 VPN 服务成功启动。否则,请继续执行后续步骤。
    curl -k https://公网 IP:VPN节点控制端口/vpn/ping
    1. 通过 SSH 登录飞连的 pilot 账号,在 Tool 界面执行restart corplink-vpn命令,重启 VPN 服务。
    2. 若重启 VPN 服务后,仍提示报错,从浏览器拉取 VPN 日志,提交至飞连支持人员,进行问题排查。拉取日志的命令如下:
    https://{ip}:8443/api/monitor/log/download?type=vpn

请求服务器错误,请尝试重新连接

通过 SSH 登录飞连的 pilot 账号,在 Tool 界面执行restart corplink-vpn,重启 VPN 服务。

证书无效 VPN 连接失败,请联系管理员更换证书

可能原因
出问题的时间节点可能替换过 Portal 域名证书,新证书未在 VPN 生效。
问题解决
登录到 VPN 服务器手动替换证书。

VPN 连接失败,提示超出设备数量上限

解决方案:

  1. 查看同时在线账号数。
    在飞连管理后台的首页,在 VPN 每日并发峰值区域,查看指定时间段内指定 VPN 节点的每日并发峰值,包括并发在线设备数和并发在线人数。
    Image
  2. 增加同时连接 VPN 设备数。
    在飞连管理后台左侧导航栏选择 VPN 管理 > 高级配置,修改设备会话数限制的数量。
    Image

VPN 服务启动失败

问题现象
VPN 服务启动失败。
可能原因

  • 可能与其他 VPN 软件冲突导致连接失败。
  • 电脑上有驱动保护程序,对飞连设置 DNS 的操作进行了拦截。

问题解决
卸载第三方 VPN 软件,关闭电脑上的杀毒软件后重试。

VPN 可以运行在 Docker 上吗?

VPN 暂时不支持运行在 Docker 上。

为什么节点列表中没有云 VPN 节点?

若您的 VPN 节点列表中没有云 VPN 节点,请联系飞连服务提供商进行开通授权。

修改 VPN 的 IP 池后,概率出现客户端获取到原 IP 网段的 IP

问题现象
在飞连管理后台把 VPN 节点的 IP 地址池从192.x 修改为 10.x,用户在连接该 VPN 节点时概率获取到原 IP网段的 IP(192.x)。
问题解决

  1. 执行如下命令重启 feilian-vpn 服务,清理缓存。

    systemctl restart feilian-vpn

    说明

    重启 feilian-vpn 服务不影响已连接的用户。

  2. 升级飞连至 3.0.6 及以上版本。

应用管理

添加应用授权后,飞连客户端首页和门户网站上为什么还没有展示应用?

如果管理员没有为该应用配置应用分组,那么即使用户被授权了该应用,在用户的飞连客户端首页和飞连门户网站上也不会展示对应的应用,用户需要通过搜索才能添加对应的应用。配置应用分组的操作请参见配置应用分组

如何加白应用网关 URL

如果系统中的应用需要被第三方调用,例如外部应用调用 OA 系统来获取相关数据等。此时您需要将特定接口进行加白,使用接口自有的认证逻辑进行验证。配置方法如下:

  1. 修改/opt/feilian/agw/conf/whitelist.json配置文件,在 whitelist_urlsallow_ips 字段中配置白名单 URL 和白名单 IP。

    //生效逻辑为:访问同时满足白名单URL,白名单IP下生效。任一不满足即拒绝。
//IP判断默认取访访问请求中IP五元组中的源IP字段
{
        "代理应用地址":{
        "whitelist_urls":["白名单URl"]
        "allow_ips":["白名单IP"]
    }
}

示例:
{
        "fs.abc.cn:443":{
        "whitelist_urls":["/app/*","/web/*"],
        "allow_ips":["127.0.0.1","192.168.1.0/24"]
        //访问https://fs.abc.cn:443/app/xxxx 接口是请求加白,不需要校验
    }
}


//如果希望IP取负载中透传的xff字段,请按照以下方式配置
{
        "fs.abc.cn:443":{
        "sip_from":"xff",
        "whitelist_urls":["/app/*","/web/*"],
        "allow_ips":["127.0.0.1","192.168.1.0/24"]
        //访问https://fs.abc.cn:443/app/xxxx 接口是请求加白,不需要校验
    }
}

    说明

    修改配置文件后,建议通过第三方工具检验该配置文件中的 JSON 语法是否有错误。

  2. 重启网关使配置文件生效。

    sudo systemctl restart feilian-agw
sudo systemctl restart feilian-agw-ctrl