Saya menggunakan klien Juniper untuk OSX ('Network Connect') untuk mengakses VPN klien. Tampaknya klien dikonfigurasikan untuk tidak menggunakan split-routing. Host VPN klien tidak mau mengaktifkan routing-split.
Apakah ada cara bagi saya untuk menaiki konfigurasi ini atau melakukan sesuatu di workstation saya untuk mendapatkan lalu lintas jaringan non-klien untuk memotong VPN? Ini bukan masalah besar, tetapi tidak ada stasiun radio streaming saya (mis. XM) yang terhubung ke VPN mereka.
Permintaan maaf untuk ketidakakuratan apa pun dalam terminologi.
** sunting **
Klien Juniper mengubah file resol.conf sistem saya dari:
nameserver 192.168.0.1
untuk:
search XXX.com [redacted]
nameserver 10.30.16.140
nameserver 10.30.8.140
Saya telah mencoba mengembalikan entri DNS pilihan saya ke file
$ sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf
tetapi ini menghasilkan kesalahan berikut:
-bash: /etc/resolv.conf: Permission denied
Bagaimana akun super-pengguna tidak memiliki akses ke file ini? Apakah ada cara untuk mencegah klien Juniper dari membuat perubahan pada file ini?
sumber
sudo tee
pendekatan, tetapi teknik ini tidak akan mengesampingkan pengaturan resolver DNS klien VPN./etc/resolve.conf
berisi peringatan berikut di OSX:# This file is not used by the host name and address resolution # or the DNS query routing mechanisms used by most processes on # this Mac OS X system.
Saya pikir masalahnya adalah apa yang dieksekusi sebagai root di baris ini:
Hanya perintah "echo" dijalankan sebagai root dan output penulisan file dilakukan dengan pengguna reguler Anda - yang mungkin tidak memiliki akses ke /etc/resolv.conf.
Coba jalankan dengan cara ini:
sumber
Seperti yang telah mereka jelaskan kepada Anda, masalahnya adalah bahwa kebijakan tersebut ditegakkan di sisi klien tetapi pengaturan di sisi server. Ini adalah fitur keamanan, yang memungkinkan jaringan penghubung untuk menghindari klien "menjembatani" jaringan yang tidak aman dan aman bersama.
Satu-satunya cara adalah "meretas" klien untuk tidak mematuhi perintah sisi server.
Ada tutorial yang dapat Anda temukan di web ( http://www.digitalinternals.com/network/workaround-juniper-junos-pulse-split-tunneling-restriction/447/ ) yang berbasis Windows, tetapi sebenarnya membutuhkan alat seperti IDA Pro dan keterampilan bahasa Assembly untuk menambal biner Pulse. Ini juga dapat dianggap ilegal di beberapa negara.
Pada dasarnya, meskipun pengalaman pengguna dapat menurun dengan memaksa klien Anda untuk merutekan sepenuhnya melalui jaringan tujuan, ini memungkinkan administrator jaringan untuk menjaga jaringan mereka lebih aman, dan Anda seharusnya tidak melakukannya.
Semoga ini membantu.
sumber
Saya percaya kebijakan ini dipaksa turun dari server. Kecuali jika Anda meretas perangkat lunak klien juniper vpn, Anda harus menggunakan perutean yang ditentukan.
Ini bagian dari rangkaian fitur perangkat lunak VPN yang dapat memberlakukan kebijakan keamanan pada klien.
sumber
Satu-satunya cara untuk mencegah hal ini adalah tidak terhubung. Ini adalah fitur keamanan yang dibangun di dalam alat juniper back-end. Klien juniper yang diluncurkan hanya memberlakukan kebijakan yang dikonfigurasi oleh juniper / admin jaringan yang berfungsi untuk perusahaan klien Anda. Sangat mudah untuk mengkonfigurasi alat juniper untuk memungkinkan tunneling terpisah. Jika tidak dikonfigurasi, itu merupakan pengawasan atau pilihan. Minta mereka untuk mengaktifkannya. Jika mereka tidak bisa atau tidak mau, maka itu adalah kebijakan keamanan mereka. Peringatan yang adil: Meretas atau mengeksploitasi cara untuk menghindari kebijakan yang melanggar kode etik Anda dengan klien Anda (dengan asumsi mereka memiliki kebijakan penggunaan online) dan dalam banyak kasus dapat dianggap kriminal. Itu juga dapat menghancurkan keamanan apa pun yang mereka coba bangun ke dalam jaringan mereka dari pengguna jarak jauh ... Anda telah menjadi vektor bagi mereka.
Saya tahu ini sangat lambat untuk menjelajah dengan cara ini, streaming video sangat menyenangkan, belum lagi setiap langkah dicatat pada alat juniper! Ini benar-benar menyakiti bandwidth klien juga karena membutuhkan sumber daya beberapa kali hanya mengubah rute lalu lintas masuk dan keluar dari jaringan mereka kepada Anda.
sumber
Luncurkan klien vpn dari mesin virtual ... voilà. Jelas Anda harus bekerja dari mesin virtual.
sumber
Saya harap saya mengerti pertanyaan Anda, Anda VPN ke klien tetapi tidak dapat mengakses XM Anda atau situs lain. Ini mungkin disebabkan oleh filter web pada akhirnya. Saya menyarankan, jika ada opsi untuk itu, untuk mengaktifkan akses LAN lokal pada klien VPN Anda. Ini dapat menyelesaikan masalah Anda.
sumber
Saya menggunakan klien Juniper NC pada klien Fedora Linux dan saya dapat membuat rute statis ke layanan tertentu atau segmen bersih. Misalnya, jaringan tempat saya terhubung tidak mengizinkan IMAP keluar, jadi saya membuat rute statis ke akun email saya. Anda memerlukan akses root, tentu saja. Saya juga mencoba menghapus rute default yang dibuat NC tetapi memiliki deamon yang menambahkan kembali dalam hitungan detik.
sumber