您在使用飞连零信任接入模块的过程中，遇到疑问时可参考以下常见问题及解决方案。

基础概念与功能咨询 #

飞连 VPN 的“全局模式”和“极速模式”有什么区别？ #

• 极速模式：当企业员工通过 VPN 连接企业内网后，仅指定网络资源的访问流量通过 VPN 隧道，其他访问流量使用本地网络进行访问。该模式下仅对指定网络资源做数据加密，但同时节省企业带宽，并减少 VPN 节点负载压力，提升了员工访问网络时的体验。
• 全局模式：当企业员工通过 VPN 连接企业内网后，终端上所有网络访问流量均通过 VPN 隧道。该模式下全量数据加密，可以保障员工的账号与数据安全，但会增加 VPN 节点的负载压力。

访问 VPN 资源时，DNS 解析是如何工作的？ #

飞连 VPN 的 DNS 解析机制因连接模式（全局模式 vs. 极速模式）而异，具体如下：

• 全局模式
  在此模式下，终端设备的所有 DNS 请求都会被强制通过 VPN 隧道，并由 VPN 节点上配置的 DNS 服务器进行解析。
• 极速模式
  在极速模式下，DNS 解析行为是根据域名是否在“极速模式域名列表”中来区分。
  • 若域名在列表中，当访问该域名时，飞连客户端会在本地启动一个 DNS 代理（监听 127.0.0.1）。该代理会拦截对此域名的 DNS 查询，并将其通过 VPN 隧道转发给 VPN 节点上配置的 DNS 服务器进行解析。

    注意

    仅将域名添加到此列表只解决了 DNS 解析问题。要使流量能被正确路由，还必须在“极速模式路由列表”中添加该域名解析后对应的 IP 地址或地址段。

  • 若域名不在列表中，当访问该域名时，DNS 查询将不会通过 VPN 隧道，解析请求将直接由终端设备当前操作系统中设置的 DNS 服务器进行处理。

客户端在访问 VPN 中配置的域名类型资源时，是使用 VPN 节点配置的 DNS 进行解析吗？ #

目前飞连分全局模式和极速模式两种情况：

• 全局模式：所有域名均由 VPN 节点上设置的DNS服务器做解析。
• 极速模式：
  • 域名在极速模式域名列表中：访问该域名时，飞连客户端会在终端内启动一个 DNS 127.0.0.1 代理，将 DNS 请求发送给 VPN 节点处理，由 VPN 节点上设置的 DNS 服务器做解析。
  • 域名不在极速模式域名列表中：由终端上设置的 DNS 解析。

飞连 VPN 的 UDP/TCP 协议自动切换逻辑是什么？ #

当节点配置开启双协议支持时：

1. 优先尝试建立 UDP 隧道（高性能）。
2. 若 UDP 握手超时或失败，自动降级尝试建立 TCP 隧道（高可用）。
3. 若 TCP 亦无法握手，则认定当前节点不可用，自动切换至列表中的下一个可用节点。

飞连 VPN 传输协议应该如何选择（TCP/UDP）？ #

建议选择自动选择（Auto）。

• UDP（默认）：​性能更优，延迟更低，适合大多数网络环境。
• TCP：​穿透性更好。部分公共 Wi-Fi 或企业内网可能会阻断 UDP 流量，此时自动切换至 TCP 协议可保障连接的可用性。

飞连移动端客户端中的实时网速图表是如何计算和显示的？ #

飞连移动端客户端的实时网速图表显示的是瞬时速度，而非累计流量。

飞连的 VPN 、登录账号使用的是什么加密算法？ #

• 飞连 VPN 使用的是 WireGuard 协议、ChaCha20Poly 加密算法。
• 用户登录账号使用的是 SHA256 加密。

VPN 访问策略的到期时间是如何计算的？ #

计算规则
飞连 VPN 访问策略的到期时间是基于策略创建或最后一次修改的精确时间，加上您所设定的有效期时长来计算的。
示例
假设您在 2025年5月10日 19:21:30 创建或编辑了一条 VPN 访问策略，并为该策略选择了 3天 的有效期，则该策略将会在 2025年5月13日 19:21:30 精确到期失效。

VPN 可以运行在 Docker 上吗？ #

VPN 暂时不支持运行在 Docker 上。

等保测评需要 VPN 商用密码产品认证证书，飞连能否提供？ #

无法提供。
商用密码产品认证证书（针对 VPN 类产品）通常要求基于国密 SSL VPN 或 IPSec VPN 标准。飞连底层采用的是 WireGuard 协议，属于新一代高性能 VPN 技术栈，目前尚未在该特定证书的认证目录范畴内。

客户端连接与登录故障 #

VPN 节点上线之后，连接 VPN 报错如何处理？ #

解决方案：

1. 请先检查客户端上显示的 VPN 节点状态是否正常。
2. 请检查从公网访问 VPN 节点对应的控制端口和数据端口是否正常。
3. 请检查安装 VPN 节点的虚拟机是否开启 firewalld 服务，如有请关闭，并且再次检查 iptables 规则。

证书无效 VPN 连接失败，请联系管理员更换证书 #

可能原因
出问题的时间节点可能替换过 Portal 域名证书，新证书未在 VPN 生效。
问题解决
登录到 VPN 服务器手动替换证书。

VPN 连接失败，提示超出设备数量上限 #

解决方案：

1. 查看同时在线账号数。
   在飞连管理后台的首页，在 VPN 每日并发峰值区域，查看指定时间段内指定 VPN 节点的每日并发峰值，包括并发在线设备数和并发在线人数。
   
2. 增加同时连接 VPN 设备数。
   在飞连管理后台左侧导航栏选择 VPN 管理 > 高级配置，修改设备会话数限制的数量。
   

VPN 服务启动失败 #

问题现象
VPN 服务启动失败。
可能原因

• 可能与其他 VPN 软件冲突导致连接失败。
• 电脑上有驱动保护程序，对飞连设置 DNS 的操作进行了拦截。

问题解决
卸载第三方 VPN 软件，关闭电脑上的杀毒软件后重试。

连接 VPN 后提示连接异常（code 500001）并自动断开，如何解决？ #

问题原因

1. IP 冲突：​多个用户被分配了相同的 VPN 虚拟 IP。
2. DID 冲突（常见）：​操作系统使用 Ghost 等方式克隆部署，导致多台终端的飞连设备指纹（DID）重复，系统判定为同一设备多处登录从而互踢。

解决方案

1. 初步排查
   尝试重新连接 VPN。若恢复正常则无需处理；若仍频发 500001 错误，请执行下一步。
2. 修复设备指纹 (DID) 冲突
   • 临时修复（终端侧）：​下载并以管理员权限运行 DID 重置工具，运行完成后需手动重新登录飞连客户端。
   • 永久修复（服务端/镜像）：​请联系技术支持排查解决。

员工回到工区后 Wi-Fi 未自动连接，需重新登录客户端才恢复，如何解决？ #

问题原因
上游数据源中存在重复邮箱账号冲突。当系统中同时存在该员工的“离职状态账号”和“在职状态账号”时，同步任务可能因处理顺序导致该员工的 Wi-Fi 账号反复经历“禁用（离职）- 重建（入职）”的过程。账号重建后，旧凭据失效，导致终端无法自动重连。
解决方案

• 临时恢复：​员工需在飞连客户端重新点击一键连接获取新凭据。
• 根治方案：​清理上游数据源，确保同一员工仅保留唯一的有效账号记录。

访客 Portal 提交账号密码后页面循环跳转（认证失败）且后台无日志，如何解决？ #

问题原因
RADIUS 协议报文在网络传输中被阻断。由于防火墙、安全组或 ACL 拦截了 RADIUS 端口，导致认证请求无法到达飞连服务端，因此后台无日志记录。
解决方案
排查网络设备到飞连服务器之间的通信策略，确保 RADIUS 认证及计费端口已在路径上双向放通。

为何某些用户有 VPN 权限，却无法连接到 VPN 节点？ #

原理分析
飞连 VPN 的连接过程主要分为两个阶段：

1. 认证与节点获取阶段：​客户端首先访问飞连门户（Portal），完成身份认证并获取可用的 VPN 节点列表。
2. 节点连接阶段：​客户端从获取到的列表中选择一个最优节点，并尝试与该节点的公网 IP 和控制端口建立通信隧道。

任何一个阶段的网络不通都会导致连接失败。
解决方案
请指导用户按以下步骤进行自助排查：

1. 验证门户访问
   在无法连接 VPN 的设备上，打开浏览器，直接访问公司的飞连门户 URL。
   • 如果能正常打开并看到登录页面，说明此阶段网络通畅。
   • 如果页面无法访问，说明用户的当前网络环境到飞连门户的网络不通，可能是 DNS 解析问题或网络防火墙限制。
2. 验证节点连通性
   如果门户访问正常，需进一步测试与 VPN 节点的网络连通性。

   1. 登录飞连管理后台，获取用户无法连接的 VPN 节点的公网 IP 和控制端口。

   2. 指导用户在终端上使用 telnet 或 nc (Netcat) 等工具进行端口连通性测试。

      # 将 <公网IP> 和 <控制端口> 替换为实际信息
      telnet <公网IP> <控制端口>
      

      • 如果命令提示连接成功，说明网络通路正常，问题可能出在客户端或服务端配置。
      • 如果命令提示超时或连接被拒绝，说明用户当前网络环境的防火墙或运营商限制了对该节点端口的访问。
3. 切换网络环境
   • 如果以上任一步骤失败，建议用户尝试切换网络环境，例如从公司 Wi-Fi 切换到手机热点，或从家庭宽带切换到其他网络，然后再次尝试连接。这有助于判断问题是否与特定的网络环境相关。

客户端选择 VPN 节点时，为何会自动全选所有节点？ #

问题原因
VPN 节点配置中存在名称重复的情况。Android 客户端底层逻辑依赖节点名称进行唯一性索引，若存在多个同名节点（无论中文名还是英文名），选择其中一个时会触发关联选中所有同名节点。
解决方案
请登录飞连管理后台，修改 VPN 节点配置，确保每一个节点的名称（含中/英文）在全局范围内唯一。

修改 VPN 的 IP 池后，概率出现客户端获取到原 IP 网段的 IP #

问题现象
在飞连管理后台把 VPN 节点的 IP 地址池从192.x 修改为 10.x，用户在连接该 VPN 节点时概率获取到原 IP网段的 IP（192.x）。
问题解决

1. 执行如下命令重启 feilian-vpn 服务，清理缓存。

   systemctl restart feilian-vpn
   

   说明

   重启 feilian-vpn 服务不影响已连接的用户。

2. 升级飞连至 3.0.6 及以上版本。

为什么 VPN 的“超时断开”功能，其实际断开时间比管理后台中设置的要长？ #

该行为符合产品设计预期，其核心原因是超时断开计时器在设备休眠期间会自动暂停。请区别以下两个概念：

1. 超时断开计时
   仅在设备处于唤醒状态、VPN 隧道实际活跃时进行计时。当设备进入休眠、睡眠或合上笔记本盖子时，该计时器会暂停。当设备唤醒后，计时器会从暂停处继续计时。
2. VPN 在线时长
   只记录了从“连接建立的时刻”到“连接断开的时刻”之间的总物理时间，不会因为设备休眠而暂停。

示例场景

• 您在后台设置的“超时断开”为 8 小时 (480 分钟)。
• 员工上午 9:00 连接 VPN 并开始工作。
• 中午 13:00，员工合上笔记本外出午餐，设备休眠 1 小时。此时，超时计时器记录了 4 小时。
• 下午 14:00，员工回到工位，打开笔记本，设备唤醒，计时器继续。
• 再过 4 小时，即下午 18:00，超时计时器累计达到 8 小时，策略被触发，VPN 自动断开。

结果分析：

• 后台日志中显示的“在线时长”：是从上午 9:00 到下午 18:00，总计 9 个小时。
• 实际触发断开的“活动时长”：是上午的 4 小时 + 下午的 4 小时，总计 8 个小时。

资源访问与网络连通性排查 #

配置了极速模式资源之后，为什么无法访问内网域名？ #

1. 请检查飞连客户端 VPN 连接是否在线。
2. 请检查所访问的域名或 IP，在极速资源内均有配置，配置方法请参见管理极速模式网络资源。如果是以域名形式访问的话，需要同时配置域名资源和 IP 资源。
3. 请检查是否是 VPN 访问策略拦截导致。

连接 VPN 后，为什么可以访问内网资源，但无法访问所有公网？ #

原因分析
终端设备上可能运行了其他代理软件，这类软件会劫持或修改系统的 DNS 解析或网络代理设置，与飞连 VPN 的流量转发机制产生冲突，导致公网流量被错误拦截。
解决方案

1. 检查并完全退出或卸载终端上所有第三方代理及网络加速软件。
2. 检查并还原操作系统默认的网络代理设置。
3. 重新连接飞连 VPN，测试公网访问是否恢复正常。

极速模式全局资源的路由未下发到客户端，导致极速模式无法访问到资源如何处理？ #

极速模式的资源分为全局资源与单节点资源。

• 全局资源是指您在飞连管理后台的 VPN 管理 ＞ 高级配置中添加的极速模式全局资源。
• 单节点资源是指您在飞连管理后台的 VPN 管理 ＞ 节点管理中，进入指定 VPN 节点，在节点内的网络模式页签添加的极速模式单节点资源。

如果您在以上两个功能项中均配置了极速模式的资源，则单节点资源优先生效，从而导致极速模式全局资源不生效。

VPN 极速模式下配置泛域名无法访问，如何解决？ #

问题原因
极速模式下的泛域名（如 *.example.com）流量默认经由 Proxy 代理转发，该代理机制目前仅支持标准 Web 端口（80/443）。
解决方案
若需访问非 80/443 端口的业务（如 8080 端口），请必须在资源列表中添加精确域名（如 api.example.com），精确域名将绕过代理限制直接路由。

Windows 连接 VPN 后，为何无法解析内网域名？ #

原因分析
此问题通常是由于 Windows 系统启用了 DoH (DNS over HTTPS) 功能所致。DoH 会将所有 DNS 查询请求加密并通过 HTTPS 发送至公共 DoH 服务器（如 Google, Cloudflare），从而绕过了飞连 VPN 下发的内网 DNS 服务器。这导致内网域名无法被正确解析。
解决方案
需要通过命令行在 Windows 系统中禁用 DoH 功能。

1. 检查 DoH 状态

   • 以管理员身份打开命令提示符 (CMD) 或 PowerShell。
   • 执行以下命令，查看当前的全局 DNS 设置。如果 Use Secure DNS (DoH) 或类似条目显示为 yes 或 enabled，则表示 DoH 已开启。

     netsh dns show global
     

2. 禁用 DoH

   • 在同一个管理员权限的命令行窗口中，执行以下命令以禁用 DoH。

     netsh dns set global doh=no
     

3. 验证

   • 断开并重新连接飞连 VPN。
   • 使用 nslookup 或 ping 命令测试内网域名，确认是否能成功解析到正确的内网 IP 地址。

     nslookup your-internal-domain.com
     

电脑本机网络正常，但飞连连接 VPN 失败提示“无网络”，如何解决？ #

问题现象
连接 VPN 报错无网络，ipconfig /all 无法显示 DNS 信息，且系统服务 Dnscache (DNS Client) 状态异常（无法启动或已被禁用）。
问题原因
Windows 系统的 DNS Client 服务异常，导致飞连无法调用系统 DNS 接口解析域名。
解决方案
根据服务异常类型选择修复方案：

1. 场景 A：Dnscache 服务被禁用且无法手动启动
   • 操作： 修改注册表。打开 regedit，定位至 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache，将 Start 键值修改为 2 (自动启动)，保存后重启电脑。
2. 场景 B：Dnscache 服务启动状态反复跳动
   • 操作： 通常涉及系统底层组件损坏，建议更新 Windows 系统补丁或修复安装系统。

Mac 客户端提示“检测到开启了个人网络代理，影响 VPN 使用”，如何解决？ #

问题原因
系统网络设置中开启了代理配置，会劫持或冲突 VPN 流量路由，导致飞连 VPN 不稳定。
解决方案
请关闭系统代理配置：

1. 打开系统设置 > 网络。
2. 选择当前使用的网络适配器（Wi-Fi 或 Ethernet），点击详细信息。
3. 进入代理标签页。
4. 取消勾选自动代理配置以及所有网页代理选项。
5. 点击好保存。

电脑休眠唤醒后，为何 VPN 流量不走隧道？ #

原因分析
此问题主要与飞连客户端的底层网络驱动模块 wintun 在 Windows 系统休眠/唤醒过程中的状态异常有关。当电脑从休眠中唤醒时，wintun 模块可能未能正确地重新初始化或恢复，导致其陷入卡死状态。这使得飞连客户端无法重建 VPN 隧道，尽管界面上可能显示已连接，但实际的网络流量并未通过加密隧道转发。
解决方案
建议按顺序尝试以下方案：

1. 升级客户端
   • 将飞连客户端升级到最新版本。新版本通常包含了对 wintun 模块及休眠唤醒机制的修复和优化，是解决此问题的最根本方法。
2. 重启飞连服务
   • 完全退出飞连客户端。
   • 打开 Windows 服务管理器 (services.msc)，找到与飞连相关的服务，右键点击并选择重启。
   • 重启服务后，再次打开飞连客户端并连接 VPN。
3. 重启电脑
   • 重启后，所有网络组件都会被重新加载，预期可以恢复正常。
4. 重置网络驱动
   此操作涉及修改系统文件，请谨慎操作。
   • 打开文件资源管理器，导航至飞连客户端的安装目录。
   • 找到 wintun.dll 文件。
   • 对该文件进行重命名，命名格式如下：a.dll或者a.dll.del。
   • 重启电脑。重启后，飞连客户端在启动时会尝试修复并重新生成该文件。

个别客户端连接 VPN 后无法访问内部 OA 系统，如何解决？ #

问题原因
本地 Hosts 劫持。客户端计算机的 Hosts 文件中存在针对 OA 域名的硬编码记录（指向了错误的 IP），由于 Hosts 解析优先级高于 DNS（包括 VPN 下发的内网 DNS），导致访问流量被导向错误地址。
解决方案
请检查并清理本地 Hosts 文件：

1. Windows：​打开 C:\Windows\System32\drivers\etc\hosts
2. macOS：​打开 /etc/hosts
3. 操作：​查找涉及 OA 域名的条目，将其删除或在行首添加 # 号注释。

员工通过飞连客户端连接 VPN 报错 “DNSProxy detect failed”，如何处理？ #

问题原因
员工的终端设备中病毒导致的报错。
解决方案
使用火绒专杀工具查杀病毒，详情参见火绒恶性木马专杀工具。

VPN 连接后某个网页无法访问（Ping/Telnet 正常），如何解决？ #

问题原因
MTU（最大传输单元）不匹配。
VPN 封装会增加报文头部开销。若 VPN 虚拟网卡的 MTU 设置过大，导致加密后的数据包超过了物理链路的 MTU 限制且路径上禁用了分片（DF 位），大数据包将被丢弃，表现为 TCP 握手成功（Telnet 通）但页面加载失败。
解决方案
请调低 VPN 网卡 MTU 值（建议尝试 1300 或 1200）：

• Windows

  netsh interface ipv4 set subinterface "Seal Adapter" mtu=1200 store=persistent
  

• macOS

  # 先查看虚拟网卡名称（通常为 utunX）
  ifconfig
  # 设置 MTU
  sudo ifconfig utunX mtu 1200
  

在配置 VPN 访问资源时，如果只配置域名资源并选中 HTTP HTTPS，则会无法使用 ping、traceroute 等程序追踪路由吗？ #

因为 ping 等程序使用 ICMP 协议，所以无法使用。如果您需要使用，则需要为域名增加对应的 IP 资源，并增加 ICMP 协议。

配置域名访问策略（仅勾选 HTTP/HTTPS）后，为何无法 Ping 通该域名？ #

问题原因
协议栈未放通。Ping 和 Traceroute 命令依赖 ICMP 协议，而 HTTP/HTTPS 策略仅针对 TCP 协议的特定端口（80/443）放行。
解决方案
在 VPN 访问策略中进行如下补充配置：

1. 添加 IP 资源：​域名无法直接承载 ICMP 策略，需添加解析后的目标 IP 地址（段）。
2. 放通协议：​在该策略的协议列表中勾选 ICMP 选项。

VPN 访问权限配置为“默认开放”，并限制了某资源，为何仍能 Telnet 通端口？ #

问题原因
域名探测机制放行 TCP 握手。当存在基于域名的访问控制规则时，飞连客户端需要通过建立 TCP 连接来嗅探应用层（如 HTTP/TLS 握手）中的域名信息。因此，TCP 三次握手流量会被默认放行。
现象解释

• Telnet 成功：​仅代表 TCP 连接建立成功（握手通过）。
• 访问拦截：​一旦连接建立后开始传输数据，客户端识别到目标流量不符合允许策略（或命中拒绝策略），会立即阻断后续数据包，导致实际业务（如网页加载）无法访问。

部署在深信服虚拟化平台上的 VPN 节点为何下载速度慢？ #

原因分析
该问题通常是由于在深信服 aVirt/HCI 虚拟化环境中运行的 VPN 节点虚拟机（VM）未安装或未正确运行深信服优化工具所致。此工具套件中包含了针对其虚拟化环境优化的半虚拟化（PV）网络驱动程序。如果缺失该驱动，虚拟机的网络将回退到模拟模式运行，导致网络 I/O 性能大幅下降，从而表现为下载速度缓慢。
解决方案
安装深信服优化工具。

为何通过飞连 VPN 无法访问 ChatGPT？ #

原因分析
ChatGPT 安全策略限制或封禁来自数据中心（IDC）类型的 IP 访问请求。若飞连 VPN 网关的出口 IP 属于此类网段，将会触发拦截。
解决方案

1. 尝试验证： 若页面弹出身份验证挑战（如 Cloudflare CAPTCHA），请尝试手动完成验证。
2. IP 被禁用： 若验证后仍无法访问或直接提示拒绝访问，说明当前 VPN 出口 IP 已被列入黑名单。建议断开 VPN 或配置分流策略，使用本地网络直接访问。

如何排查 VPN 隧道连接是否稳定？ #

适用系统
Windows / macOS / Linux
排查方法
查看 VPN 服务端或客户端日志，检索关键词 Handshake did not complete。
判定标准
若频繁出现 Handshake did not complete after 5 seconds, retrying (try 2) 日志，表明底层网络丢包严重或受阻。
解决方案

1. 尝试切换网络环境（如使用手机热点）。
2. 切换 VPN 节点协议（如改用 TCP 模式）。

后台配置与策略管理 #

VPN 资源配置中的域名列表，是否支持泛域名？ #

飞连支持泛域名，配置路径如下：

1. 管理员登录飞连管理后台。
2. 在左侧导航栏，选择 VPN 管理 ＞ 高级设置。
3. 在极速资源标签，单击新增资源。
4. 配置泛域名资源，具体格式为example.com，同时需要配置对应的 IP 段。

“极速模式”下配置“全局资源”的作用是什么？ #

在“极速模式”下，配置“全局资源”是为了强制特定域名的流量也通过 VPN 隧道进行转发，即便这些域名在标准的“极速模式资源列表”中并未定义。这为实现更精细化的流量控制策略提供了灵活性。

“极速模式”下的资源配置是否支持泛域名？ #

支持。飞连 VPN 在配置“极速模式”或“全局资源”时，支持使用泛域名匹配一个主域名下的所有子域名，简化管理员的配置工作，提高策略的灵活性和覆盖范围。格式示例：*.example.com。

使用账号体系接入 VPN，当账号体系泄露，是否会有直接通过 VPN 接入办公网络的风险？ #

为防止此种风险发生，建议您在飞连管理后台的身份管理 ＞ 账号配置 ＞ 身份认证中开启二次认证功能。

可以限制特定人员看到特定 VPN 节点吗？ #

可以。在飞连管理后台的 VPN 管理 ＞ 节点管理中，设置 VPN 节点的可见对象。具体请参见配置 VPN 节点的可见对象。

VPN 节点配置是否支持设置多个 DNS？ #

VPN 节点配置支持设置主备 DNS 服务器。具体操作如下：

1. 登录飞连管理后台。
2. 导航至零信任接入 > 接入网关 > VPN 网关。
3. 点击目标节点，在其基本信息页面编辑主备 DNS 服务器。

配置多个 VPN 节点后，用户默认连接哪个节点？ #

飞连客户端在连接 VPN 时，会基于网络延迟自动选择最优节点。最优节点即客户端探测到的延迟最低、响应最快的节点。企业管理员可在飞连管理后台中添加动态控制规则组，基于员工 VPN 节点可见性调整模板，设置在不同条件下可见的不同 VPN 节点。详情参看配置控制策略规则组。

VPN 的默认开放模式可以针对某个 VPN 节点进行配置吗？ #

默认开放模式是针对整个 VPN 功能模块的，无法针对某个节点进行配置。

VPN 访问权限配置为“默认拒绝”，若仅放行 IP，能否通过对应域名访问？ #

可以。

• 放行 IP：​当策略放行目标 IP 时，无论是直接访问 IP，还是访问解析到该 IP 的域名，流量最终指向的目的地址均为该 IP，因此均可匹配策略放行（前提是目标业务服务器未做 Host 头校验）。
• 反之（仅放行域名）：​飞连仅拦截特定的域名嗅探流量。若直接访问 IP，流量无法匹配域名规则，将被默认策略拒绝。

配置 VPN 访问策略时，提示“域名输入不符合规则”，如何处理？ #

问题原因
飞连 VPN 域名策略仅支持纯域名格式，不支持携带协议前缀（Protocol）或路径后缀（Path）。
配置规范

• 错误示例：https://www.example.com (含协议)、www.example.com/index.html (含路径)
• 正确示例：www.example.com 或 *.example.com (通配符)

解决方案
请删除输入内容中的 http://, https:// 前缀以及 / 后的所有路径后缀，仅保留核心域名部分。

配置“内网断开”策略后，客户端为何没有自动断开？ #

原因分析
该功能通过从客户端向 VPN 节点的内网 IP 发送 ICMP 探测包来判断终端是否处于内网环境。如果客户端与 VPN 节点之间存在源地址转换（SNAT），探测包的源 IP 将被修改，导致 VPN 节点无法正确识别客户端的真实网络位置，从而使内网检测失效。
解决方案

1. 登录 VPN 节点服务器，使用 tcpdump 或 wireshark 等工具抓取 ICMP 协议的报文。

sudo tcpdump -i <interface> icmp

2. 在客户端执行 ping <VPN节点内网IP>，观察抓包结果中的源 IP 地址是否为客户端的真实 IP。如果不是，则说明网络中存在 SNAT。

添加应用授权后，飞连客户端首页和门户网站上为什么还没有展示应用？ #

如果管理员没有为该应用配置应用分组，那么即使用户被授权了该应用，在用户的飞连客户端首页和飞连门户网站上也不会展示对应的应用，用户需要通过搜索才能添加对应的应用。配置应用分组的操作请参见配置门户应用分类展示。

如何加白应用网关 URL #

如果系统中的应用需要被第三方调用，例如外部应用调用 OA 系统来获取相关数据等。此时您需要将特定接口进行加白，使用接口自有的认证逻辑进行验证。配置方法如下：

1. 修改/opt/feilian/agw/conf/whitelist.json配置文件，在 whitelist_urls 和 allow_ips 字段中配置白名单 URL 和白名单 IP。

   //生效逻辑为：访问同时满足白名单URL，白名单IP下生效。任一不满足即拒绝。
   //IP判断默认取访访问请求中IP五元组中的源IP字段
   {
           "代理应用地址":{
           "whitelist_urls":["白名单URl"]
           "allow_ips":["白名单IP"]
       }
   }
   
   示例：
   {
           "fs.abc.cn:443":{
           "whitelist_urls":["/app/*","/web/*"],
           "allow_ips":["127.0.0.1","192.168.1.0/24"]
           //访问https://fs.abc.cn:443/app/xxxx 接口是请求加白，不需要校验
       }
   }
   
   
   //如果希望IP取负载中透传的xff字段，请按照以下方式配置
   {
           "fs.abc.cn:443":{
           "sip_from":"xff",
           "whitelist_urls":["/app/*","/web/*"],
           "allow_ips":["127.0.0.1","192.168.1.0/24"]
           //访问https://fs.abc.cn:443/app/xxxx 接口是请求加白，不需要校验
       }
   }
   

   说明

   修改配置文件后，建议通过第三方工具检验该配置文件中的 JSON 语法是否有错误。

2. 重启网关使配置文件生效。

   sudo systemctl restart feilian-agw
   sudo systemctl restart feilian-agw-ctrl
   

服务运维与系统状态 #

为什么节点列表中没有云 VPN 节点？ #

若您的 VPN 节点列表中没有云 VPN 节点，请联系飞连服务提供商进行开通授权。

VPN 节点 IP 地址池的使用率限制逻辑是什么？/为什么使用率超过了阈值（如 80%），用户仍然能通过 Auto 模式连接上来？ #

这是预期的行为。IP 池使用率的统计数据并非实时，而是存在大约 30 分钟的更新周期。因此，系统在进行 Auto 选路决策时，依据的是上一个周期的旧数据。

飞连客户端卸载后，为什么通过 OpenAPI 仍然能查询到该设备的软件安装信息？ #

这是预期的行为。飞连的资产数据库与终端上的客户端是解耦的。卸载客户端只是切断了数据的更新来源，并不会自动删除服务器上已存在的历史记录。
如果您希望自动清理这些失效设备的数据，可以在飞连管理后台进行配置：

1. 导航至终端 > 终端资产。
2. 点击页面右上方失效设备清理，创建清理策略。
3. 系统会定期执行该策略，自动清理数据库中符合条件的陈旧数据。

为什么在 VPN 访问日志中，会看到大量状态为“识别中”的记录？ #

这是正常现象，它是飞连 ACL (访问控制列表) 在进行应用层协议识别时的中间过程记录。
原理说明
飞连 ACL 为了能识别出您要访问的具体域名或主机名并匹配策略，需要对网络流量进行深度包检测（DPI）。在此过程中，当一个新的 TCP 连接发起时，ACL 会先临时放行最初的几个数据包，以便捕获足够的信息来分析其应用层协议。在这个短暂的“分析”阶段，由于最终的目标域名尚未完全解析出来，ACL 策略匹配的结果会被临时记录为“识别中”（在旧版本中可能显示为 continue）。一旦 ACL 引擎成功识别出域名，会立即匹配您设定的正式策略（如允许或拒绝），并生成一条最终的访问日志。
因此，对于“识别中”日志，通常无需特别关注。请主要关注最终状态为“允许”或“拒绝”的日志记录。

RADIUS 日志过大时是否包含全量记录？支持按时间切割吗？ #

机制说明
RADIUS 服务默认开启了日志轮转机制。系统仅保留最近生成的若干个日志文件包，不会无限制存储全量历史日志，以避免磁盘耗尽。
获取方式
您可以通过调用以下 API 下载当前节点保留的所有日志包文件（需鉴权）：
https://{Server_IP}:8443/api/monitor/log/download?device_ip={Radius_Node_IP}&type=radius

VPN 访问权限策略生效缓慢，可能是什么原因？ #

原因分析
VPN 节点的硬件资源（如 CPU、内存、磁盘）负载过高或不足，可能导致策略下发与执行延迟。
解决方案

• 检查资源：​登录 VPN 节点服务器，使用 top、htop、df -h 等系统命令检查 CPU、内存及磁盘使用率。
• 扩容资源：​若发现资源使用率持续处于高位（例如，长期高于 85%），请及时对节点进行硬件扩容或优化资源分配。

配置 VPN 访问策略后，终端测试网络访问不稳定（策略偶发失效），如何解决？ #

问题原因
策略下发延迟。客户端同步并加载最新的 ACL 规则存在约 3 分钟的生效缓冲期。在此期间进行测试，客户端可能仍在使用旧策略或处于规则更替的中间状态。
解决方案
配置变更后，请等待约 3 分钟，待客户端完成策略同步后再进行网络连通性测试。

应用网关与 Web 应用 #

配置的应用在通过应用网关访问时，SSO 认证回调失败如何处理？ #

问题现象
通过飞连应用网关访问 Web 应用时，应用会自动跳转到企业自身的 SSO 认证页面。在 SSO 登录成功后，页面未能正确跳转回应用访问地址，而是跳转到了认证失败的接口地址或报错页面，导致无法正常访问应用。
问题原因
这通常是由于 SSO 流程中的回调地址校验机制导致的：

• 域名不一致：许多 SSO 服务（如 OIDC、SAML、CAS）会严格校验 redirect_uri。如果应用网关使用的访问域名与 SSO 侧注册的回调域名不一致，校验将失败。
• 适配建议：为了确保与现有 SSO 流程完美适配，建议在飞连应用网关配置中，尽量使用应用原本的域名作为访问地址，并确保该域名已正确解析至应用网关。

解决方案

1. 统一域名：检查并确保飞连管理后台配置的“应用访问地址”与业务系统 SSO 插件中注册的回调域名完全一致。
2. 更新 SSO 配置：如果必须使用新域名访问，请同步在三方 SSO 平台的管理后台中，将应用网关的新域名添加到“允许的回调地址（Redirect URL）”白名单中。

配置两个域名与端口完全相同的应用，为何其中一个无法访问？ #

问题现象
在飞连管理后台配置了两个应用，它们的“应用访问地址”（域名）和“端口”完全相同。结果发现其中一个应用访问正常，而另一个应用状态异常或无法连通。
问题原因
这是由于应用网关的路由配置冲突导致的：

• 生效优先级：当多个应用使用相同的域名和端口组合时，飞连系统会优先启用最早配置的那条记录，并为其分配网关监听资源。
• 资源占用冲突：由于同一个网关节点上的特定域名和端口只能映射到一个后端服务，后配置的应用在尝试启用转发逻辑时会因资源冲突而无法开启。

解决方案

1. 清理冲突配置：检查并删除重复或不再需要的异常应用记录。
2. 区分访问地址：如果需要同时发布两个不同的业务系统，请通过以下方式区分：
   • 不同域名：使用不同的子域名（如 app1.abc.com 和 app2.abc.com）。
   • 不同端口：使用不同的访问端口（如 www.abc.com:8080 和 www.abc.com:8081）。

如何安全地卸载一个已安装的 VPN 节点？ #

您可以通过在 VPN 节点服务器上执行官方提供的卸载脚本来完成此操作。

重要提示： 卸载操作会彻底移除该 VPN 节点的所有服务和配置，并导致所有当前连接到此节点的用户立即掉线。此操作不可恢复，请在执行前确认影响范围，并建议在业务低峰期进行。

• 卸载步骤

  1. 登录服务器
     通过 SSH 客户端，使用具有 sudo 权限的账号登录到您要卸载的 VPN 节点服务器。

  2. 执行卸载脚本
     运行以下命令来启动卸载程序。系统会要求您输入当前用户的密码以获取 sudo 权限。

     sudo /opt/feilian/vpn/uninstall.sh
     

  3. 确认卸载
     卸载脚本通常会显示一条确认信息，请仔细阅读并按照提示（例如，输入 y 或 yes）来确认执行。

• 后续清理操作
  成功卸载 VPN 节点后，您还需要在飞连管理后台中移除该节点的记录，以保持配置的一致性。请导航至 VPN 节点管理页面，找到并删除对应的节点条目。

如何通过命令行查询 VPN 节点的版本信息？ #

您可以通过 SSH 登录到部署了 VPN 组件的 Linux 服务器，然后执行以下版本查询命令。

1. 执行以下命令。

   /opt/feilian/vpn/bin/feilian-vpn version
   

2. 查看输出结果。
   命令执行后，终端将返回该 VPN 节点的详细版本信息，包括版本号、Build 号、Git 修订版和构建时间等。输出示例：

   Name: FeiLian VPN Controller
   Version: 2.2.7
   BuildNumber: 1376
   GitRevision: f498a47
   BuiltAt: 2024-02-26 12:50:34
   

   其中，Version: 2.2.7 即为当前 VPN 节点的主版本号。

feilian-tun 服务的作用是什么？ #

feilian-tun@tun0.service 是飞连 VPN 节点的核心数据平面组件，其作用是建立和管理实际承载用户数据的 WireGuard 安全隧道。
您可以通过以下命令来检查 feilian-tun 服务的状态和配置。

1. 检查服务运行状态。
   此命令用于确认隧道服务是否已成功启动并正在运行。

   systemctl status feilian-tun@tun0.service
   

   预期结果：
   您应该在输出中看到 Active: active (running)，这表明隧道服务正常。

   ● feilian-tun@tun0.service - FeiLian VPN Tunnel (tun0)                                                                                                                                                            
      Loaded: loaded (/usr/lib/systemd/system/feilian-tun@.service; enabled; vendor preset: disabled)                                                                                                                
      Active: active (running) since Thu 2025-07-24 20:20:11 CST; 24h ago                                                                                                                                            
    Main PID: 1617 (feilian-tun)                                                                                                                                                                                     
      CGroup: /system.slice/system-feilian\x2dtun.slice/feilian-tun@tun0.service                                                                                                                                     
              └─1617 /opt/feilian/vpn/bin/feilian-tun tun0 -t 4 --disable-connected-udp
   

2. 查看隧道配置详情。
   此命令用于查看 tun0 接口的详细 WireGuard 配置，如公钥、监听端口等。

   feilian-tun-cli show
   

   预期结果：
   命令将返回当前隧道接口的配置信息，可用于排查网络连通性和密钥问题。

   interface: tun0                                                                                                                                                                                                   
     public key: UoFmgPpE6CK1PGuQcphB/sFVdnRqUT9lduMx0bCL3iY=                                                                                                                                                        
     private key: (hidden)                                                                                                                                                                                           
     listening port: 8002                                                                                                                                                                                            
     tcp listening port: 8002                                                                                                                                                                                        
     acl switch: on
   

配置了 ACL 拒绝策略后，为什么测试 SSH 连接时仍有部分回显？ #

这是预期的行为，表明 ACL 策略已成功生效。
为识别出您要访问的主机名并匹配策略，ACL 需要先放行最初的几个数据包（如 TCP 握手和协议协商）。在识别到目标并确认需要拦截后，ACL 才会阻断后续的所有实际业务数据。因此，您会看到服务器的初始响应（如版本信息），但无法完成登录或进行任何实际操作。连接最终会超时或中断，这证明阻断策略是有效的。

为什么 VPN 在极速模式下可访问内网，而全局模式下反而失败？ #

原因分析
此问题通常是由于 VPN 节点的防火墙（如 iptables）规则配置不当导致的。全局模式下，所有流量均需通过 VPN 节点转发，若节点的防火墙未放行 VPN 数据端口（包括 TCP 和 UDP），则会导致全局模式下的网络连接失败。
解决方案

1. 登录飞连管理后台，在零信任接入 > 接入网关 > VPN 网关，在指定节点的配置页面中，查找并记录当前 VPN 节点使用的数据端口号。

2. 通过 SSH 登录到该 VPN 节点服务器，执行以下命令，将 VPN 数据端口添加到 iptables 的 INPUT 链中，并保存配置。

   # 将 <数据端口号> 替换为实际端口
   sudo iptables -A INPUT -p udp --dport <数据端口号> -j ACCEPT
   sudo iptables -A INPUT -p tcp --dport <数据端口号> -j ACCEPT
   sudo iptables-save | sudo tee /etc/iptables.conf
   

3. 重新在全局模式下连接 VPN，确认问题是否解决。

VPN 连接失败并提示“请校准终端系统时间后重试”或“证书无效”，应如何解决？ #

原因分析
此类错误通常与时间同步问题或证书配置、版本兼容性有关。VPN 连接的认证过程依赖于精确的时间戳和有效的数字证书，任何环节的偏差都可能导致连接失败。
解决方案
请按照以下步骤进行系统排查：

1. 校准终端系统时间
   • 确保您的电脑或移动设备的系统时间与标准时间保持一致，精确到秒。
2. 检查门户域名证书
   • 在浏览器中访问您的飞连门户域名，检查 SSL/TLS 证书的有效期和颁发机构是否正确。
3. 检查飞连后端系统时间
   • 在 Tool 菜单下，分别对飞连 Server 和所有 VPN 节点 执行 date 命令，确保其系统时间与标准时间一致。
4. 检查并更新 VPN 组件
   • 登录飞连管理后台，检查 VPN 组件 是否有可用更新。如有，请按照提示进行升级，以确保客户端与服务端版本兼容。

连接 VPN 后，为何 SSH 会话在执行 cat 或 vim 命令时卡顿？ #

核心原因
该问题的典型原因是 MTU 不匹配。当 VPN 隧道的 MTU 值大于物理网络链路的 MTU 值时，大数据包在传输过程中需要被分片，而某些网络设备对分片处理不佳或配置错误，就会导致 SSH 这类交互式会话出现卡顿或假死现象。
解决方案
调低 VPN 客户端虚拟网卡的 MTU 值，确保封装后的数据包尺寸小于物理链路的 MTU，从而从根源上避免分片的产生。

• Windows
  使用管理员权限打开 PowerShell，执行以下命令：

  netsh interface ipv4 set subinterface "连接名" mtu=1350 store=persistent
  

• macOS
  在终端中执行以下命令：

  sudo ifconfig <网卡名称> mtu 1200
  

VPN 节点配置 IP 失败，提示 eth0 接口不存在，如何解决？ #

问题原因
底层网卡名称识别异常。常见于 KVM 虚拟化环境导入镜像后，系统内的逻辑网卡名称（如 ens33）与配置脚本预设的默认名称（eth0）不一致。
解决方案
请检查虚拟机的网卡配置文件，统一网卡命名规范。建议参考操作系统的网卡命名规则，将主网卡名称修改为 eth0 或更新 VPN 节点配置以适配实际网卡名称。

飞连 Server 自带 VPN 节点状态一直显示“部署中”，如何解决？ #

问题原因
节点 IP 配置识别错误。Server 自带节点（Local Node）应被识别为本地服务，若其内网 IP 被配置为公网 IP 或非本地环回地址（如非 127.0.0.1 且非标准私有网段），系统会误将其判定为独立部署的外挂节点，从而因无法连接远程管理通道而卡在部署状态。
解决方案
请编辑该节点配置，将内网 IP 修改为 127.0.0.1，确保系统正确识别其为本地内置节点。

飞连提示“请求服务器错误，请尝试重新连接”，如何解决？ #

解决方案
重启服务端 VPN 进程。

1. 使用 pilot 账号通过 SSH 登录飞连服务器。
2. 进入 Tool 工具界面。
3. 执行命令重启 VPN 服务：

   restart corplink-vpn
   

网络请求超时，请尝试网络诊断或重新连 #

解决方案：

1. 判断是否是公网质量的问题。

   1. 在飞连管理后台左侧导航栏选择 VPN 管理 > 节点管理， 单击对应 VPN 节点卡片，单击在线设备页签，如果列表中已经存在连接了，则说明为公网质量的问题。
   2. 在左侧导航栏选择 VPN 管理 > 高级配置，调大客户端超时时间，建议设置为 10s。

2. 判断是否是VPN 服务部署的问题。

   1. 执行如下命令，若返回 pong，说明 VPN 服务成功启动。否则，请继续执行后续步骤。

   curl -k https://公网 IP:VPN节点控制端口/vpn/ping
   

   2. 通过 SSH 登录飞连的 pilot 账号，在 Tool 界面执行restart corplink-vpn命令，重启 VPN 服务。
   3. 若重启 VPN 服务后，仍提示报错，从浏览器拉取 VPN 日志，提交至飞连支持人员，进行问题排查。拉取日志的命令如下：

   https://{ip}:8443/api/monitor/log/download?type=vpn
   

VPN 登录报错“用户信息不存在或已离职 (10220004)”，如何排查？ #

排查步骤

1. 检查 License 与权限
   • 登录飞连管理后台权益中心，确认 VPN License 未过期。
   • 进入零信任接入 > VPN 策略 > 使用权限，确认员工所属部门已在可见对象列表中，且策略状态为生效中。
2. 检查 VPN 节点配置 (config.yaml)
   • 登录 VPN 节点服务器，查看配置文件 cat /opt/feilian/vpn/conf/config.yaml。
   • 确认 url 字段配置正确，应指向飞连门户域名或 Server 内网 IP，且端口为 49900。
3. 测试网络连通性
   • 在 VPN 节点服务器上执行 Telnet 测试 telnet <Server_Address> 49900。
   • 若显示 Connected to... 则通信正常；否则需排查防火墙或网络路由。
4. 修正配置并重启
   • 若发现配置文件错误，修正后请在非业务时间执行重启命令 systemctl restart feilian-*。
5. 检查账号同步状态
   • 若账号源于第三方同步且近期有状态变动（如离职/复职），可能是数据同步延迟导致。请尝试手动触发同步或等待自动同步完成。