Como forçar o roteamento do túnel dividido no Mac para uma VPN da Cisco

Question

Como forçar o roteamento do túnel dividido no Mac para uma VPN da Cisco

#1 resposta do (27 votos)
#2 resposta do (5 votos)
#3 resposta do (4 votos)
#4 resposta do (2 votos)
#5 resposta do (1 votos)
#6 resposta do (0 votos)
#7 resposta do (0 votos)

38

Alguém sabe como hackear a tabela de roteamento (em um mac) para derrotar o forçamento do roteamento VPN para cada coisa através de uma VPN cisco? O que eu quero fazer é ter apenas 10.121 * e 10.122 * endereços na VPN e tudo o mais diretamente na internet.

vpn routing macos cisco-vpn-client

por Sathya 04.01.2010 / 18:51

7 respostas

Tags vpn routing macos cisco-vpn-client

Atalho de teclado do Excel para copiar / preencher para todas as células com células adjacentes não em branco? Quais são as diferenças entre o OVF-Version 0.9, 1.0 e 2.0?

score 27 · Answer 1

O seguinte funciona para mim. Execute estes após a conexão ao Cisco VPN. (Estou usando o cliente Cisco interno do OS X, não o cliente da marca Cisco.)

sudo route -nv add -net 10 -interface utun0
sudo route change default 192.168.0.1

Substitua 10 no primeiro comando pela rede que está do outro lado do túnel.

Substitua 192.168.0.1 pelo gateway da sua rede local.

Eu coloquei em um script bash, assim:

$ cat vpn.sh 
#!/bin/bash

if [[ $EUID -ne 0 ]]; then
    echo "Run this as root"
    exit 1
fi

route -nv add -net 10 -interface utun0
route change default 192.168.0.1

Também encontrei uma explicação sobre como executar isso automaticamente ao conectar a VPN, mas é tarde na sexta-feira e eu não sinta vontade de experimentar:)

Editar:

Desde então, deixei o trabalho em que estava usando o Cisco VPN, portanto, isso é da memória.

O 10 no primeiro comando é a rede que você deseja rotear pela VPN. 10 é um ponteiro curto para 10.0.0.0/8 . Em Tuan Anh Tran's caso, parece que a rede é 192.168.5.0/24 .

Quanto a qual gateway especificar no segundo comando, ele deve ser o seu gateway local. Quando você faz logon em uma VPN que impede o tunelamento dividido, ela está impondo essa política alterando suas tabelas de roteamento para que todos os pacotes sejam roteados na interface virtual. Então você quer mudar sua rota padrão de volta para o que era antes de entrar na VPN .

A maneira mais fácil de descobrir o gateway é executar netstat -rn antes de efetuar login na VPN e examinar o endereço IP à direita do destino "padrão". Por exemplo, aqui está o que parece na minha caixa agora:

Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            10.0.1.1           UGSc           29        0     en1
10.0.1/24          link#5             UCS             3        0     en1
10.0.1.1           0:1e:52:xx:xx:xx   UHLWIi         55   520896     en1    481
10.0.1.51          7c:c5:37:xx:xx:xx  UHLWIi          0     1083     en1    350
10.0.1.52          127.0.0.1          UHS             0        0     lo0

Meu gateway é 10.0.1.1 - está à direita do destino "padrão".

score 5 · Answer 2

Usando as informações do mehaase, eu escrevi um script em Python que realmente simplifica esse processo no Mac. Quando você executá-lo, o script salvará suas informações de firewall, iniciará o cliente AnyConnect, aguardará o login e corrigirá as rotas e o firewall. Apenas execute o script no 'terminal'.

#!/usr/bin/python

# The Cisco AnyConnect VPN Client is often configured on the server to block
# all other Internet traffic. So you can be on the VPN <b>OR</b> you can have
# access to Google, etc.
#
# This script will fix that problem by repairing your routing table and
# firewall after you connect.
#
# The script does require admin (super user) access. If you are prompted for
# a password at the start of the script, just enter your normal Mac login
# password.
#
# The only thing you should need to configure is the vpn_ip_network.
# Mine is 10.x.x.x so I just specify '10' but you could be more specific
# and use something like '172.16'
vpn_ip_network = '10'

import sys
import subprocess


def output_of(cmd):
    lines = subprocess.Popen(cmd if isinstance(cmd, list) else cmd.split(' '), stdout=subprocess.PIPE, stderr=subprocess.STDOUT).communicate()[0]
    try:
        lines = lines.decode('utf-8')
    except Exception:
        pass
    return [line.strip() for line in lines.strip().split('\n')]

sys.stdout.write("Mac Account Login ")
good_firewall_ids = set([line.partition(' ')[0] for line in output_of('sudo ipfw -a list')])
sys.stdout.write('Firewall Saved.\n')

gateway = None
for line in output_of('route get default'):
    name, delim, value = line.partition(':')
    if name == 'gateway':
        gateway = value.strip()
        p = subprocess.Popen(['/Applications/Cisco/Cisco AnyConnect VPN Client.app/Contents/MacOS/Cisco AnyConnect VPN Client'], stdout=subprocess.PIPE, stderr=subprocess.STDOUT)
        was_disconnected = False
        while True:
            line = p.stdout.readline()
            if line == '' or p.poll():
                sys.stdout.write("Never connected!\n")
                break
            try:
                line = line.decode('utf-8')
            except Exception:
                pass
            if 'Disconnected' in line:
                sys.stdout.write('Waiting for you to enter your VPN password in the VPN client...\n')
                was_disconnected = True
            if 'Connected' in line:
                if was_disconnected:
                    subprocess.Popen(['sudo','route','-nv','add','-net',vpn_ip_network,'-interface','utun0'], stdout=subprocess.PIPE, stderr=subprocess.STDOUT).wait()
                    subprocess.Popen(['sudo','route','change','default',gateway], stdout=subprocess.PIPE, stderr=subprocess.STDOUT).wait()
                    unfriendly_firewall_ids = list(set([line.partition(' ')[0] for line in output_of('sudo ipfw -a list')])-good_firewall_ids)
                    extra = ''
                    if unfriendly_firewall_ids:
                        subprocess.Popen('sudo ipfw delete'.split(' ') + unfriendly_firewall_ids, stdout=subprocess.PIPE, stderr=subprocess.STDOUT).wait()
                        sys.stdout.write("VPN connection established, routing table repaired and %d unfriendly firewall rules removed!\n" % len(unfriendly_firewall_ids))
                    else:
                        sys.stdout.write("VPN connection established and routing table repaired!\n")
                else:
                    try:
                        subprocess.Popen.kill(p)
                        sys.stdout.write('VPN was already connected. Extra VPN client closed automatically.\n')
                    except Exception:
                        sys.stdout.write('VPN was already connected. Please close the extra VPN client.\n')
                break
        break
else:
    sys.stdout.write("Couldn't get gateway. :-(\n")

score 4 · Answer 3

O script Python em esta resposta anterior foi útil, no entanto, ele não cuidou das rotas que o AnyConnect usava para assumir outras interfaces no dispositivo (como interfaces VMware). Também não conseguiu lidar com várias redes VPN.

Aqui está o script que eu uso:

#!/bin/bash

HOME_NETWORK=192.168
HOME_GATEWAY=192.168.210.1
WORK_NETWORKS="X.X.X.X/12 10.0.0.0/8 X.X.X.X/16"

# What should the DNS servers be set to?
DNS_SERVERS="10.192.2.45 10.216.2.51 8.8.8.8"

##
## Do not edit below this line if you do not know what you are doing.
##
function valid_ip()
{
    local  ip=$1
    local  stat=1

    if [[ $ip =~ ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$ ]]; then
        OIFS=$IFS
        IFS='.'
        ip=($ip)
        IFS=$OIFS
        [[ ${ip[0]} -le 255 && ${ip[1]} -le 255 \
            && ${ip[2]} -le 255 && ${ip[3]} -le 255 ]]
        stat=$?
    fi
    return $stat
}

# Nuke any DENY firewall rules
for RULE in 'sudo ipfw list | grep deny | awk '{print $1}' | xargs'; do sudo ipfw delete $RULE; done

# Delete any routes for the home network that Anyconnect might have made
sudo route delete -net ${HOME_NETWORK}
sudo route add -net ${HOME_NETWORK} ${HOME_GATEWAY}

# Get the AnyConnect interface
ANYCONNECT_INTERFACE='route get 0.0.0.0 | grep interface | awk '{print $2}''

# Add the work routes
for NETWORK in ${WORK_NETWORKS}; do
    sudo route -nv add -net ${NETWORK} -interface ${ANYCONNECT_INTERFACE}
done

# Set the default gateway
sudo route change default ${HOME_GATEWAY}

# Mass route changes
for NET in 'netstat -nr | grep -e ^${HOME_NETWORK} | grep utun1 | awk '{print $1}' | xargs'; do 
    if valid_ip ${NET}; then
        echo "Changing route for network"
        sudo route change ${NET} ${HOME_GATEWAY}
    else
        echo "Changing route for host"
        sudo route change -net ${NET} ${HOME_GATEWAY}
    fi      
done

# Set the nameservers
sudo scutil << EOF
open
d.init
d.add ServerAddresses * ${DNS_SERVERS}
set State:/Network/Service/com.cisco.anyconnect/DNS
quit
EOF

score 2 · Answer 4

É mais do que provável que seu administrador deseje configurar conexões VPN para usar o roteamento local para as sub-redes 10.121. * e 10.122. * e permitir que o controle remoto (sua máquina doméstica) roteie todas as outras solicitações. (economiza largura de banda e responsabilidade)

Você está usando o "Cliente VPN" da Cisco? OS OS X?

Se você usar a VPN do OS X (configurada através do Painel de Preferências de rede), poderá clicar em "avançado" e selecionar a guia "VPN on Demand". em seguida, forneça as sub-redes necessárias para a VPN usar.

score 1 · Answer 5

Você deve ser capaz de perguntar ao administrador do roteador ao qual está se conectando para configurar um "grupo" separado que divide o encapsulamento e fornece um arquivo PCF que contém o nome do grupo e a senha do grupo para esse grupo.

score 0 · Answer 6

Eu tive o mesmo problema e comecei a trabalhar graças a @mehaase

Depois de criar o ~/vpn.sh como respondido por @mehaase, você pode colocar isso em um script de automação de aplicativo executável usando estas etapas:

Usando o Automator, crie um novo aplicativo
Adicione "Executar um AppleScript" em Biblioteca > Utilitários
Digite: do shell script "sudo ~/vpn.sh" with administrator privileges
Salvar

Você também pode precisar executar chmod 700 ~/vpn.sh do Terminal para dar privilégios de execução ao script.

Depois de conectar-se à VPN, você pode simplesmente executar este script de aplicativo. Digite sua senha de administrador e clique em OK - Concluído. :)

score 0 · Answer 7

Eu queria um 'aplicativo' nativo que eu pudesse executar no logon (e continuar rodando / oculto) para habilitar o roteamento do Split Tunnel, semelhante a uma função de Locamatic . Talvez eu vou garfo Locamatic em algum momento e brincar com ele. Eu também posso carregar este AppleScript para o Github. Eu não queria mexer com um daemon como esta resposta sugere.

Este script presume que a VPN tenha o nome VPN (Cisco IPSec) padrão e que a rota da VPN seja 10.10.10.1/22 > %código%. Estes terão de ser alterados / rotas adicionais adicionadas. Executar terminal > 10.10.20.10 quando a VPN está conectada (antes de ativar este script) para ver rotas adicionadas por VPN.

Este script também gera notificações no estilo do growl no Notification Center:)

Eutivealgunsproblemascom answer como meu Cisco VPN modifica o gateway existente de uma rota netstat -rn para uma rota UCSc (en0 específica da interface) e adiciona o gateway da VPN como um UGScI route, necessitando da exclusão de dois gateways padrão e adicionando de volta o gateway padrão UCS original

Ainda bem que para o StackExchange / google, este é o meu primeiro AppleScript e eu não teria sido capaz de juntar tudo sem algumas horas de googling.

Sugestões / correções / otimizações bem-vindas!

AppleScript ( GitHubGist ):

global done
set done to 0

on idle
    set status to do shell script "scutil --nc status "VPN (Cisco IPSec)" | sed -n 1p"
    # do shell script "scutil --nc start "VPN (Cisco IPSec)"
    if status is "Connected" then
        if done is not 1 then
            display notification "VPN Connected, splitting tunnel"
            set gateway to do shell script "( netstat -rn | awk '/default/ {if ( index($6, \"en\") > 0 ){print $2} }' ) # gets non-VPN default gateway"
            do shell script "sudo route delete default" # deletes VPN-assigned global (UCS) default gateway
            do shell script "sudo route delete default -ifscope en0" # deletes en0 interface-specific (UGScI) LOCAL non-vpn gateway that prevents it being re-added as global default gateway
            do shell script "sudo route add default " & gateway # re-adds LOCAL non-vpn gateway (from get command above) as global default gateway
            do shell script "sudo route add 10.10.10.1/22 10.10.20.10" # adds VPN route
            display notification "VPN tunnel has been split"
            set done to 1
        end if
    else
        if done is not 2 then
            display notification "VPN Disconnected"
            set done to 2

        end if
    end if
    return 5
end idle

salve como um aplicativo:

cliquecomobotãodireito>showconteúdodopacote,adicioneoseguinteaoinfo.plist(issoocultaoíconedoaplicativododock,exigindoousodoActivityMonitorouterminal>UGScparasairdoaplicativo,omitirsevocêQUERumdockícone:

<key>LSBackgroundOnly</key><string>1</string>

crieumnovoarquivopkill-f'SplitTunnel'deumalinha(semextensão)usandooseguintecódigoEXATAMENTE(issopodeimpediroacessosudosefeitoincorretamente,googlerouteNOPASSWDparamaisinformações-issopermitequeoscomandossudonoAppleScriptsejamexecutadosSEMumpromptdesenha,omitasevocêQUERumpromptdesenhaquandoatabeladeroteamentoprecisarseralterada):

%adminALL=(ALL)NOPASSWD:/sbin/route

copieestearquivoparavisudo

executeosseguintescomandosnoterminal(osegundocomandosolicitaráasenha-issopermitequeoscomandos/etc/sudoers.dnoAppleScriptsejamexecutadosSEMsolicitarasenha,omitirseumpromptdesenhafordesejadoquandooscriptestiveralterandoatabeladeroteamento)

chmod440/private/etc/sudoers.d/routeNOPASSWDsudochownroot/private/etc/sudoers.d/routeNOPASSWD

adicionefinalmenteaaplicaçãoaoSystemPrefs>Usuáriosegrupos>itensdelogin