Paksa klien jaringan Juniper untuk menggunakan routing split

8

Saya menggunakan klien Juniper untuk OSX ('Network Connect') untuk mengakses VPN klien. Tampaknya klien dikonfigurasikan untuk tidak menggunakan split-routing. Host VPN klien tidak mau mengaktifkan routing-split.

Apakah ada cara bagi saya untuk menaiki konfigurasi ini atau melakukan sesuatu di workstation saya untuk mendapatkan lalu lintas jaringan non-klien untuk memotong VPN? Ini bukan masalah besar, tetapi tidak ada stasiun radio streaming saya (mis. XM) yang terhubung ke VPN mereka.

Permintaan maaf untuk ketidakakuratan apa pun dalam terminologi.

** sunting **

Klien Juniper mengubah file resol.conf sistem saya dari:

nameserver 192.168.0.1

untuk:

search XXX.com [redacted]
nameserver 10.30.16.140
nameserver 10.30.8.140

Saya telah mencoba mengembalikan entri DNS pilihan saya ke file

$ sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

tetapi ini menghasilkan kesalahan berikut:

-bash: /etc/resolv.conf: Permission denied

Bagaimana akun super-pengguna tidak memiliki akses ke file ini? Apakah ada cara untuk mencegah klien Juniper dari membuat perubahan pada file ini?

craibuc
sumber

Jawaban:

3

Tentang masalah izin, Marcus benar dalam jawabannya, tetapi ada cara sederhana untuk menambahkan file yang membutuhkan hak pengguna super:

$ echo "nameserver 192.168.0.1" | sudo tee -a /etc/resolv.conf

Perintah tee akan membagi output (seperti pertigaan) ke file dan stdout. -a akan memastikan itu ditambahkan ke file alih-alih menimpa sepenuhnya (yang kemungkinan besar tidak Anda inginkan ketika memanipulasi file sistem seperti resol.conf atau host). sudo akan memastikan tee berjalan dengan akses pengguna super sehingga dapat mengubah file.

gabrielf
sumber
++ untuk sudo teependekatan, tetapi teknik ini tidak akan mengesampingkan pengaturan resolver DNS klien VPN. /etc/resolve.confberisi peringatan berikut di OSX: # This file is not used by the host name and address resolution # or the DNS query routing mechanisms used by most processes on # this Mac OS X system.
mklement
2

Saya pikir masalahnya adalah apa yang dieksekusi sebagai root di baris ini:

sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

Hanya perintah "echo" dijalankan sebagai root dan output penulisan file dilakukan dengan pengguna reguler Anda - yang mungkin tidak memiliki akses ke /etc/resolv.conf.

Coba jalankan dengan cara ini:

sudo su
echo "nameserver 192.168.0.1" >> /etc/resolv.conf
exit
Marcus
sumber
2

Seperti yang telah mereka jelaskan kepada Anda, masalahnya adalah bahwa kebijakan tersebut ditegakkan di sisi klien tetapi pengaturan di sisi server. Ini adalah fitur keamanan, yang memungkinkan jaringan penghubung untuk menghindari klien "menjembatani" jaringan yang tidak aman dan aman bersama.

Satu-satunya cara adalah "meretas" klien untuk tidak mematuhi perintah sisi server.

Ada tutorial yang dapat Anda temukan di web ( http://www.digitalinternals.com/network/workaround-juniper-junos-pulse-split-tunneling-restriction/447/ ) yang berbasis Windows, tetapi sebenarnya membutuhkan alat seperti IDA Pro dan keterampilan bahasa Assembly untuk menambal biner Pulse. Ini juga dapat dianggap ilegal di beberapa negara.

Pada dasarnya, meskipun pengalaman pengguna dapat menurun dengan memaksa klien Anda untuk merutekan sepenuhnya melalui jaringan tujuan, ini memungkinkan administrator jaringan untuk menjaga jaringan mereka lebih aman, dan Anda seharusnya tidak melakukannya.

Semoga ini membantu.

Marco Ermini
sumber
Ini juga berfungsi untuk Mac dan Linux.
Pepijn
1

Saya percaya kebijakan ini dipaksa turun dari server. Kecuali jika Anda meretas perangkat lunak klien juniper vpn, Anda harus menggunakan perutean yang ditentukan.

Ini bagian dari rangkaian fitur perangkat lunak VPN yang dapat memberlakukan kebijakan keamanan pada klien.

Koperasi
sumber
Saya menduga bahwa ini benar, tetapi saya berharap untuk naik-naik tingkat yang lebih rendah dari routing.
craibuc
Akankah membuat rute statis menyelesaikan masalah ini: Rute Statis Leopard ?
craibuc
Saya kira tidak.
Ben Campbell
1

Satu-satunya cara untuk mencegah hal ini adalah tidak terhubung. Ini adalah fitur keamanan yang dibangun di dalam alat juniper back-end. Klien juniper yang diluncurkan hanya memberlakukan kebijakan yang dikonfigurasi oleh juniper / admin jaringan yang berfungsi untuk perusahaan klien Anda. Sangat mudah untuk mengkonfigurasi alat juniper untuk memungkinkan tunneling terpisah. Jika tidak dikonfigurasi, itu merupakan pengawasan atau pilihan. Minta mereka untuk mengaktifkannya. Jika mereka tidak bisa atau tidak mau, maka itu adalah kebijakan keamanan mereka. Peringatan yang adil: Meretas atau mengeksploitasi cara untuk menghindari kebijakan yang melanggar kode etik Anda dengan klien Anda (dengan asumsi mereka memiliki kebijakan penggunaan online) dan dalam banyak kasus dapat dianggap kriminal. Itu juga dapat menghancurkan keamanan apa pun yang mereka coba bangun ke dalam jaringan mereka dari pengguna jarak jauh ... Anda telah menjadi vektor bagi mereka.

Saya tahu ini sangat lambat untuk menjelajah dengan cara ini, streaming video sangat menyenangkan, belum lagi setiap langkah dicatat pada alat juniper! Ini benar-benar menyakiti bandwidth klien juga karena membutuhkan sumber daya beberapa kali hanya mengubah rute lalu lintas masuk dan keluar dari jaringan mereka kepada Anda.

Ben Campbell
sumber
1

Luncurkan klien vpn dari mesin virtual ... voilà. Jelas Anda harus bekerja dari mesin virtual.

Luca
sumber
0

Saya harap saya mengerti pertanyaan Anda, Anda VPN ke klien tetapi tidak dapat mengakses XM Anda atau situs lain. Ini mungkin disebabkan oleh filter web pada akhirnya. Saya menyarankan, jika ada opsi untuk itu, untuk mengaktifkan akses LAN lokal pada klien VPN Anda. Ini dapat menyelesaikan masalah Anda.

Split71
sumber
Opsi jenis ini tidak ada.
craibuc
Ok, saya pikir Anda mungkin terpaksa menggunakan kebijakan apa pun yang didorong keluar. Terutama jika itu bukan jaringan Anda dan Anda tidak memiliki akses ke router / firewall.
Split71
-1

Saya menggunakan klien Juniper NC pada klien Fedora Linux dan saya dapat membuat rute statis ke layanan tertentu atau segmen bersih. Misalnya, jaringan tempat saya terhubung tidak mengizinkan IMAP keluar, jadi saya membuat rute statis ke akun email saya. Anda memerlukan akses root, tentu saja. Saya juga mencoba menghapus rute default yang dibuat NC tetapi memiliki deamon yang menambahkan kembali dalam hitungan detik.

pengguna161165
sumber