一、场景说明:使用原有域名轻松访问公司内部系统
很多人在家或外地办公时都会遇到这样的问题:想访问公司内部的 ERP 系统或内部网站,却发现输入熟悉的域名(如 erp.company.com)无法访问,因为这些域名通常只在公司内网可解析,外部网络无法识别。以前常见的解决方法包括 VPN 全局接入、公网映射/端口转发或手动修改 hosts 文件,但这些方式要么配置复杂、需要较多网络知识,要么存在安全隐患,维护成本高,不够轻量,也不利于企业统一管理。
相比之下,飞网的 DNS分离解析功能 提供了更简洁可靠的方案:它允许远程设备仅对特定内部域名指定专用DNS服务器解析(如 *.company.com指定用公司 DNS服务器解析 ),不影响其他网络访问。并且无需手动配置 hosts 文件,同时流量通过 Tailscale 网络端到端加密,保证安全。
更重要的是,它对个人用户几乎是免费的——注册并登录后系统会自动创建个人网络,一个账号最多支持 10 台设备,足够日常使用。如果设备不够还可以申请增加,只有在企业、团队需要多人协作时才需要升级为团队网络,并且企业可以通过集中管理、权限控制和审计日志兼顾安全与合规。
为了让你更加了解这个过程,我以在家使用公司的原有域名 erp.company.com 访问公司的ERP系统为例:
公司 :一台已经安装了飞网客户端程序的公司DNS服务器 DNS Server、一台安装了飞网客户端程序并设置成子网网关的电脑 Gateway PC 以及 公司的ERP系统。
家 :一台已经安装了飞网客户端程序的电脑 Home PC。
目标 :家用电脑 Home PC 通过 erp.company.com 访问 公司 ERP系统。
下面咱们详细聊聊飞网和它的DNS分离解析功能是怎么做到这一点的!这一功能允许你在不同网络环境中为特定域名指定专属DNS服务器,从而实现无缝访问。
二、飞网是什么
飞网是一款专注于网络安全,并且提供了远程组网功能的、强大的网络安全工具,能让不同网络里的设备像在同一个网络里一样互相访问。它本质上组建了一个“虚拟网络”,把不同位置的设备连起来,操作简单,速度快,还很安全。
飞网维护了很多个独立的“虚拟网络”(类似于多租户),不同的设备可以选择加入不同的“虚拟网络”。使用飞网需要安装飞网客户端程序,两个或多个安装了飞网客户端程序的设备之间,且在同一个"虚拟网络"内部时,可以根据访问控制策略的配置进行通信(默认可以互相访问)。
三、DNS分离解析是什么
DNS分离解析是飞网的一项功能,允许为特定域名指定专用DNS服务器。而其他域名由用户在飞网配置的全局DNS服务器(由用户自定义,你可以使用公共DNS服务器,也可以使用自己的DNS服务器)。
它的优点包括:
-
- 无缝用户体验
- 员工继续使用熟悉的内网域名,无需额外学习。
- 远程访问与办公室体验一致,切换无感知。
-
- 低维护成本
- 现有业务系统无需修改配置。
- DNS设置在飞网后台统一管理,配置简单。
-
- 智能网络访问
- 公司域名由公司DNS服务器解析,公网域名由全局DNS服务器解析。
- 公网访问不占用公司网络带宽,提升性能。
-
- 高安全性
- DNS查询通过加密隧道传输。
- 防止公网DNS请求被窃听,保护隐私。
四、配置步骤
以下以示例场景为基础,介绍具体的配置步骤。
4.1 配置前的准备
开始配置前,需要完成以下准备工作:
a. 安装飞网客户端
在家用电脑 Home PC 、公司DNS服务器 DNS Server以及公司设置成子网网关的电脑 Gateway PC 上下载飞网客户端程序,支持Windows、macOS、Linux 、Android等。
b. 注册或登录飞网账号
家用电脑 Home PC 、公司DNS服务器 DNS Server 以及 公司设置成子网网关的电脑 Gateway PC 都需要登录飞网。
注册并登录飞网时,系统会自动为你的账号创建一个个人网络。
如果你首次 使用飞网IAM或 Email登录,需要先注册账号,或者你可以选用微信、支付宝登录。
登录后,飞网会给每台设备分配一个特殊IP地址(比如100.A.B.C),通过这个IP地址,就可以互相通信了。
c. 加入到同一个飞网网络
登录成功后,你需要选择加入到个人网络或团队网络(团队网络需申请),但确保家用电脑 Home PC 、公司DNS服务器 DNS Server以及公司设置成子网网关的电脑 Gateway PC 加入到同一个飞网网络,这样它们才能互连。
具体安装、登录步骤参考: blog.csdn.net/2401_833905…
4.2 配置子网网关
子网网关是一台运行飞网客户端程序的设备(在本例中为公司内的 Gateway PC),通过配置,它可以将公司内网的某些地址(如 172.16.1.10/32)“暴露”给飞网网络中的其他设备。换句话说,子网网关充当了飞网网络与公司内网之间的“桥梁”,使飞网网络中的设备(如家用电脑 Home PC)可以通过飞网的加密隧道访问公司内网的ERP系统。
以 Windows 为例:按Win+R,输入cmd打开命令行。
需要在公司设置成子网网关的电脑 Gateway PC上执行以下命令:
gmzta set --subnetnode=172.16.1.10/32
注意:如果你加入的是团队网络,需要管理员登录飞网控制面板(nac.gmzta.com/) ,点击“设备清单” 或 “子网网关” 页面批准172.16.1.10/32。
具体步骤可参考:blog.csdn.net/2401_833905…
4.3 配置全局DNS服务器
全局 DNS 服务器用于处理不匹配 DNS分离解析规则的域名查询(如 baidu.com),确保员工家用电脑(Home PC)在访问公网域名时获得可靠的解析,同时通过飞网的加密隧道保护查询安全。 配置全局 DNS 服务器需配合覆盖本地 DNS解析功能,强制设备使用飞网的 DNS 配置(包括 公司DNS服务器 和全局 DNS 服务器),确保公司域名(如 erp.company.com)正确解析为内网地址(如 172.16.1.10),并避免本地 DNS 服务器的干扰或安全风险。
个人用户 或 团队网络的管理员 进入飞网的控制面板,点击"DNS设置",点击"添加"。
这里我添加的地址为8.8.8.8的全局DNS服务器( 你可以使用公共DNS服务器,也可以使用自己的DNS服务器),设置完成,点击"保存"即可。
打开"覆盖本地域名解析"按钮,会提示你修改成功。
4.4 配置DNS分离解析
个人用户 或 团队网络的管理员 进入飞网的控制面板,点击"DNS设置",点击"添加"。
输入公司DNS服务器 DNS Server的飞网IP:100.101.102.103 ,开启"DNS分离解析"按钮,输入公司域名后缀:company.com,点击保存即可。
如有多个域名后缀,可添加多条规则。
4.5 测试验证
在命令行输入 gmzta dns info 命令,可以看到你的DNS配置。
在家用电脑 Home PC 上:
命令行执行 nslookup erp.company.com ,Home PC 向 DNS 服务器发送查询,请求 erp.company.com 的 IP 地址,并显示查询结果。
命令行执行 nslookup www.baidu.com ,Home PC 向 DNS 服务器发送查询,请求 nslookup www.baidu.com 的 IP 地址,并显示查询结果。
Addresses: 220.181.111.1, 220.181.111.232 表示 www.baidu.com 通过全局 DNS 服务器( 8.8.8.8)解析为百度的公网 IP。
DNS分离解析前后访问效果对比:
| 访问目标 | 分离DNS前 | 分离DNS后 |
|---|---|---|
erp.company.com | ❌ 无法访问 | ✅ 正常访问(通过飞网隧道解析) |
www.baidu.com | ✅ 正常访问 | ✅ 正常访问(不匹配规则,使用全局DNS服务器) |
以下为配置DNS分离解析后访问 公司ERP系统 及 外部网站 的流程示意图:
五、注意事项
5.1 DNS服务器在线
确保公司内部DNS服务器可通过飞网 IP (100.101.102.103)正常访问。
5.2 开启 "使用飞网DNS配置"
确认系统托盘中飞网客户端程序的 “使用飞网DNS配置” 选项已开启(右键客户端图标,点击“功能选项”)。
通过此方案,企业可以利用现有设备和简单配置,将传统内网服务安全地暴露给远程用户。
如果你对飞网的其他功能或高级用法感兴趣,也可以查阅相关技术文档。欢迎在评论区分享你的使用体验或遇到的问题!
技术文章同步在公众号:网络安全创新研究院。
