Force Juniper-network client para usar o roteamento de divisão

Question

Force Juniper-network client para usar o roteamento de divisão

#1 resposta do (3 votos)
#2 resposta do (2 votos)
#3 resposta do (1 votos)
#4 resposta do (1 votos)
#5 resposta do (1 votos)
#6 resposta do (0 votos)
#7 resposta do (0 votos)
#8 resposta do (-1 votos)

7

Estou usando o cliente da Juniper para o OSX ('Network Connect') para acessar a VPN de um cliente. Parece que o cliente está configurado para não usar o roteamento dividido. O host VPN do cliente não está disposto a ativar o roteamento dividido.

Existe uma maneira de eu ultrapassar essa configuração ou fazer algum tempo na minha estação de trabalho para obter o tráfego de rede não-cliente para contornar a VPN? Isso não seria um grande problema, mas nenhuma das minhas estações de rádio streaming (por exemplo, XM) funcionará conectada à sua VPN.

Desculpas por quaisquer imprecisões na terminologia.

** editar **

O cliente Juniper altera o arquivo resolve.conf do meu sistema de:

nameserver 192.168.0.1

para:

search XXX.com [redacted]
nameserver 10.30.16.140
nameserver 10.30.8.140

Eu tentei restaurar minha entrada DNS preferida no arquivo

$ sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

mas isso resulta no seguinte erro:

-bash: /etc/resolv.conf: Permission denied

Como a conta de superusuário não tem acesso a esse arquivo? Existe uma maneira de impedir que o cliente do Juniper faça alterações neste arquivo?

vpn routing juniper osx-snow-leopard split-tunnel

por craibuc 14.03.2011 / 14:12

8 respostas

Tags vpn routing juniper osx-snow-leopard split-tunnel

Existe um Windows 2003 Server Service Pack 3? O Apache desinfla arquivos .xml.gz

score 3 · Answer 1

Sobre o problema de permissão Marcus está correto em sua resposta, mas há uma maneira mais simples de acrescentar arquivos que exigem privilégios de superusuário:

$ echo "nameserver 192.168.0.1" | sudo tee -a /etc/resolv.conf

O comando tee dividirá a saída (como um entroncamento) em um arquivo e stdout. -a irá garantir que ele seja anexado ao arquivo em vez de sobrescrevê-lo completamente (o que você provavelmente não deseja ao manipular arquivos do sistema, como resolve.conf ou hosts). O sudo fará com que o tee seja executado com acesso de super usuário para que ele possa alterar o arquivo.

score 2 · Answer 2

Como eles já explicaram, o problema é que a política é imposta pelo cliente, mas configurada no lado do servidor. Esse é um recurso de segurança que permite que a rede conectada evite que os clientes "conectem" redes inseguras e seguras juntas.

A única maneira é "hackear" o cliente para não obedecer ao comando do lado do servidor.

Há um tutorial que você pode encontrar na web (link ), que é baseado no Windows, mas na verdade requer ferramentas como o IDA Pro e as habilidades da linguagem Assembly para corrigir o binário do Pulse. Isso também pode ser considerado ilegal em vários países.

Basicamente, embora a experiência do usuário possa degradar-se ao forçar o cliente a rotear totalmente a rede de destino, isso permite que os administradores de rede mantenham sua rede mais segura, e você simplesmente não deve fazer isso.

Espero que isso ajude.

score 1 · Answer 3

Eu acredito que a política é forçada para baixo do servidor. A menos que você de alguma forma hackear o software cliente vpn do zimbro, você terá que usar o roteamento ditado.

Faz parte do conjunto de recursos do software VPN que ele pode impor políticas de segurança aos clientes.

score 1 · Answer 4

Inicie o cliente vpn a partir de uma máquina virtual ... voilà. Obviamente, você precisa trabalhar a partir da máquina virtual.

score 1 · Answer 5

Eu acho que o problema é o que é executado como root nesta linha:

sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

Apenas o comando "echo" é executado como root e a saída de gravação do arquivo é feita com o usuário regular - o que provavelmente não tem acesso ao /etc/resolv.conf.

Tente executar desta forma:

sudo su
echo "nameserver 192.168.0.1" >> /etc/resolv.conf
exit

score 0 · Answer 6

Espero que entenda sua pergunta, você é uma VPN em um cliente, mas não pode acessar seu XM ou outros sites. Isso pode ser devido a um filtro da Web no seu final. Eu sugiro, se houver uma opção para isso, ativar o acesso à LAN local em seu cliente VPN. Isso pode resolver seu problema.

score 0 · Answer 7

A única maneira de evitar isso é não se conectar. Este é um recurso de segurança incorporado ao dispositivo de zíper de back-end. O cliente de zimbro que é iniciado simplesmente aplica a política configurada pelos administradores do zimbro / rede que trabalham para sua empresa cliente. É muito fácil configurar o dispositivo de zimbro para permitir o tunelamento dividido. Se não estiver configurado, é um descuido ou uma escolha. Peça-lhes para ativá-lo. Se eles não podem ou não querem, então é sua política de segurança. Aviso justo: Hackear ou explorar uma maneira de contornar essa política viola seu código de conduta com seu cliente (supondo que ele tenha políticas de uso on-line) e, em muitos casos, pode ser considerado criminoso. Ele também pode destruir qualquer segurança que eles tentaram construir em sua rede de usuários remotos ... Você se tornou um vetor para eles.

Eu sei que é muito lento para navegar desta forma, streaming de vídeo é particularmente divertido, para não mencionar cada etapa é registrada no aparelho de zimbro! Isso também prejudica a largura de banda dos clientes, já que é preciso uma mordida nos recursos várias vezes apenas redirecionando o tráfego para dentro e fora de sua rede para você.

score -1 · Answer 8

Estou usando o cliente NC Juniper em um cliente Fedora Linux e consigo criar rotas estáticas para serviços ou segmentos de rede específicos. Por exemplo, a rede à qual estou me conectando não permite o IMAP de saída, portanto, faço uma rota estática para minha conta de e-mail. Você precisa de acesso root, é claro. Eu também tentei excluir a rota padrão que o NC cria, mas ele tem um deamon que o adiciona novamente em segundos.