Forçar o cliente da rede Juniper a usar o roteamento dividido

Estou usando o cliente Juniper para OSX ('Network Connect') para acessar a VPN de um cliente. Parece que o cliente está configurado para não usar o roteamento dividido. O host VPN do cliente não está disposto a ativar o roteamento dividido.

Existe uma maneira de eu ultrapassar essa configuração ou em algum momento da minha estação de trabalho para obter o tráfego de rede não cliente para contornar a VPN? Isso não seria grande coisa, mas nenhuma das minhas estações de rádio (por exemplo, XM) funcionará conectada à sua VPN.

Desculpas por quaisquer imprecisões na terminologia.

** editar **

O cliente Juniper altera o arquivo resolve.conf do meu sistema de:

nameserver 192.168.0.1

para:

search XXX.com [redacted]
nameserver 10.30.16.140
nameserver 10.30.8.140

Eu tentei restaurar minha entrada DNS preferida no arquivo

$ sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

mas isso resulta no seguinte erro:

-bash: /etc/resolv.conf: Permission denied

Como a conta de superusuário não tem acesso a esse arquivo? Existe uma maneira de impedir que o cliente Juniper faça alterações nesse arquivo?

Sobre o problema de permissão Marcus está correto em sua resposta, mas há uma maneira mais simples de anexar aos arquivos que exigem privilégios de superusuário:

$ echo "nameserver 192.168.0.1" | sudo tee -a /etc/resolv.conf

O comando tee dividirá a saída (como uma junção em T) em um arquivo e em stdout. -a garantirá que ele seja anexado ao arquivo em vez de sobrescrevê-lo completamente (o que você provavelmente não deseja ao manipular arquivos do sistema, como resolve.conf ou hosts). O sudo garantirá que o tee funcione com acesso de superusuário, para que ele possa alterar o arquivo.

Eu acho que o problema é o que é executado como root nesta linha:

sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

Somente o comando "echo" é executado como root e a saída da gravação do arquivo é feita com o usuário comum - o que provavelmente não tem acesso ao /etc/resolv.conf.

Tente executá-lo desta maneira:

sudo su
echo "nameserver 192.168.0.1" >> /etc/resolv.conf
exit

Como eles já explicaram, o problema é que a política é aplicada no lado do cliente, mas configurada no lado do servidor. Esse é um recurso de segurança, que permite à rede conectada evitar que os clientes conectem redes inseguras e seguras.

A única maneira é "hackear" o cliente para não obedecer ao comando do lado do servidor.

Há um tutorial que você pode encontrar na Web ( http://www.digitalinternals.com/network/workaround-juniper-junos-pulse-split-tunneling-restriction/447/ ), baseado no Windows, mas na verdade requer ferramentas como as habilidades do IDA Pro e da linguagem Assembly para corrigir o binário do Pulse. Isso também pode ser considerado ilegal em vários países.

Basicamente, embora a experiência do usuário possa ser prejudicada, forçando o cliente a rotear completamente pela rede de destino, isso permite que os administradores de rede mantenham sua rede mais segura, e você simplesmente não deve fazer isso.

Espero que isto ajude.

Eu acredito que a política é forçada a sair do servidor. A menos que você de alguma forma hackear o software cliente do juniper vpn, precisará usar o roteamento ditado.

Faz parte do conjunto de recursos do software VPN que pode impor políticas de segurança aos clientes.

A única maneira de evitar isso é não conectar. Esse é um recurso de segurança incorporado ao dispositivo zimbro de back-end. O cliente do zimbro iniciado apenas impõe a política configurada pelos administradores do zimbro / rede que funcionam para a empresa cliente. É muito fácil configurar o dispositivo juniper para permitir o tunelamento dividido. Se não estiver configurado, é uma supervisão ou uma escolha. Peça a eles para habilitá-lo. Se eles não podem ou não querem, então é a política de segurança deles. Aviso justo: invadir ou explorar uma maneira de burlar essa política que viola seu código de conduta com seu cliente (supondo que ele tenha políticas de uso on-line) e, em muitos casos, pode ser considerado criminoso. Ele também pode destruir qualquer segurança que eles tentem criar na rede a partir de usuários remotos ... Você se tornou um vetor para eles.

Sei que é muito lento navegar dessa maneira, o streaming de vídeo é particularmente divertido, sem mencionar que todas as etapas são registradas no dispositivo juniper! Isso também prejudica a largura de banda dos clientes, uma vez que consome um bocado de recursos várias vezes, apenas redirecionando o tráfego de entrada e saída da rede para você.

Inicie o cliente vpn a partir de uma máquina virtual ... pronto. Obviamente, você precisa trabalhar a partir da máquina virtual.

Espero entender sua pergunta, você é VPN em um cliente, mas não pode acessar seu XM ou outros sites. Isso pode ser devido a um filtro da Web no final. Eu sugeriria, se houver uma opção, habilitar o acesso LAN local no seu cliente VPN. Isso pode resolver seu problema.

Estou usando o cliente Juniper NC em um cliente Fedora Linux e sou capaz de criar rotas estáticas para serviços ou segmentos de rede específicos. Por exemplo, a rede à qual estou me conectando não permite IMAP de saída, portanto, faço uma rota estática para minha conta de email. Você precisa de acesso root, é claro. Eu também tentei excluir a rota padrão que o NC cria, mas ele tem um deamon que o adiciona novamente em segundos.