Estou usando o cliente Juniper para OSX ('Network Connect') para acessar a VPN de um cliente. Parece que o cliente está configurado para não usar o roteamento dividido. O host VPN do cliente não está disposto a ativar o roteamento dividido.
Existe uma maneira de eu ultrapassar essa configuração ou em algum momento da minha estação de trabalho para obter o tráfego de rede não cliente para contornar a VPN? Isso não seria grande coisa, mas nenhuma das minhas estações de rádio (por exemplo, XM) funcionará conectada à sua VPN.
Desculpas por quaisquer imprecisões na terminologia.
** editar **
O cliente Juniper altera o arquivo resolve.conf do meu sistema de:
nameserver 192.168.0.1
para:
search XXX.com [redacted]
nameserver 10.30.16.140
nameserver 10.30.8.140
Eu tentei restaurar minha entrada DNS preferida no arquivo
$ sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf
mas isso resulta no seguinte erro:
-bash: /etc/resolv.conf: Permission denied
Como a conta de superusuário não tem acesso a esse arquivo? Existe uma maneira de impedir que o cliente Juniper faça alterações nesse arquivo?
fonte
sudo tee
abordagem, mas essa técnica não substituirá as configurações do resolvedor DNS do cliente VPN./etc/resolve.conf
contém o seguinte aviso no OSX:# This file is not used by the host name and address resolution # or the DNS query routing mechanisms used by most processes on # this Mac OS X system.
Eu acho que o problema é o que é executado como root nesta linha:
Somente o comando "echo" é executado como root e a saída da gravação do arquivo é feita com o usuário comum - o que provavelmente não tem acesso ao /etc/resolv.conf.
Tente executá-lo desta maneira:
fonte
Como eles já explicaram, o problema é que a política é aplicada no lado do cliente, mas configurada no lado do servidor. Esse é um recurso de segurança, que permite à rede conectada evitar que os clientes conectem redes inseguras e seguras.
A única maneira é "hackear" o cliente para não obedecer ao comando do lado do servidor.
Há um tutorial que você pode encontrar na Web ( http://www.digitalinternals.com/network/workaround-juniper-junos-pulse-split-tunneling-restriction/447/ ), baseado no Windows, mas na verdade requer ferramentas como as habilidades do IDA Pro e da linguagem Assembly para corrigir o binário do Pulse. Isso também pode ser considerado ilegal em vários países.
Basicamente, embora a experiência do usuário possa ser prejudicada, forçando o cliente a rotear completamente pela rede de destino, isso permite que os administradores de rede mantenham sua rede mais segura, e você simplesmente não deve fazer isso.
Espero que isto ajude.
fonte
Eu acredito que a política é forçada a sair do servidor. A menos que você de alguma forma hackear o software cliente do juniper vpn, precisará usar o roteamento ditado.
Faz parte do conjunto de recursos do software VPN que pode impor políticas de segurança aos clientes.
fonte
A única maneira de evitar isso é não conectar. Esse é um recurso de segurança incorporado ao dispositivo zimbro de back-end. O cliente do zimbro iniciado apenas impõe a política configurada pelos administradores do zimbro / rede que funcionam para a empresa cliente. É muito fácil configurar o dispositivo juniper para permitir o tunelamento dividido. Se não estiver configurado, é uma supervisão ou uma escolha. Peça a eles para habilitá-lo. Se eles não podem ou não querem, então é a política de segurança deles. Aviso justo: invadir ou explorar uma maneira de burlar essa política que viola seu código de conduta com seu cliente (supondo que ele tenha políticas de uso on-line) e, em muitos casos, pode ser considerado criminoso. Ele também pode destruir qualquer segurança que eles tentem criar na rede a partir de usuários remotos ... Você se tornou um vetor para eles.
Sei que é muito lento navegar dessa maneira, o streaming de vídeo é particularmente divertido, sem mencionar que todas as etapas são registradas no dispositivo juniper! Isso também prejudica a largura de banda dos clientes, uma vez que consome um bocado de recursos várias vezes, apenas redirecionando o tráfego de entrada e saída da rede para você.
fonte
Inicie o cliente vpn a partir de uma máquina virtual ... pronto. Obviamente, você precisa trabalhar a partir da máquina virtual.
fonte
Espero entender sua pergunta, você é VPN em um cliente, mas não pode acessar seu XM ou outros sites. Isso pode ser devido a um filtro da Web no final. Eu sugeriria, se houver uma opção, habilitar o acesso LAN local no seu cliente VPN. Isso pode resolver seu problema.
fonte
Estou usando o cliente Juniper NC em um cliente Fedora Linux e sou capaz de criar rotas estáticas para serviços ou segmentos de rede específicos. Por exemplo, a rede à qual estou me conectando não permite IMAP de saída, portanto, faço uma rota estática para minha conta de email. Você precisa de acesso root, é claro. Eu também tentei excluir a rota padrão que o NC cria, mas ele tem um deamon que o adiciona novamente em segundos.
fonte