Forçar o cliente da rede Juniper a usar o roteamento dividido

8

Estou usando o cliente Juniper para OSX ('Network Connect') para acessar a VPN de um cliente. Parece que o cliente está configurado para não usar o roteamento dividido. O host VPN do cliente não está disposto a ativar o roteamento dividido.

Existe uma maneira de eu ultrapassar essa configuração ou em algum momento da minha estação de trabalho para obter o tráfego de rede não cliente para contornar a VPN? Isso não seria grande coisa, mas nenhuma das minhas estações de rádio (por exemplo, XM) funcionará conectada à sua VPN.

Desculpas por quaisquer imprecisões na terminologia.

** editar **

O cliente Juniper altera o arquivo resolve.conf do meu sistema de:

nameserver 192.168.0.1

para:

search XXX.com [redacted]
nameserver 10.30.16.140
nameserver 10.30.8.140

Eu tentei restaurar minha entrada DNS preferida no arquivo

$ sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

mas isso resulta no seguinte erro:

-bash: /etc/resolv.conf: Permission denied

Como a conta de superusuário não tem acesso a esse arquivo? Existe uma maneira de impedir que o cliente Juniper faça alterações nesse arquivo?

craibuc
fonte

Respostas:

3

Sobre o problema de permissão Marcus está correto em sua resposta, mas há uma maneira mais simples de anexar aos arquivos que exigem privilégios de superusuário:

$ echo "nameserver 192.168.0.1" | sudo tee -a /etc/resolv.conf

O comando tee dividirá a saída (como uma junção em T) em um arquivo e em stdout. -a garantirá que ele seja anexado ao arquivo em vez de sobrescrevê-lo completamente (o que você provavelmente não deseja ao manipular arquivos do sistema, como resolve.conf ou hosts). O sudo garantirá que o tee funcione com acesso de superusuário, para que ele possa alterar o arquivo.

gabrielf
fonte
++ para a sudo teeabordagem, mas essa técnica não substituirá as configurações do resolvedor DNS do cliente VPN. /etc/resolve.confcontém o seguinte aviso no OSX: # This file is not used by the host name and address resolution # or the DNS query routing mechanisms used by most processes on # this Mac OS X system.
mklement
2

Eu acho que o problema é o que é executado como root nesta linha:

sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

Somente o comando "echo" é executado como root e a saída da gravação do arquivo é feita com o usuário comum - o que provavelmente não tem acesso ao /etc/resolv.conf.

Tente executá-lo desta maneira:

sudo su
echo "nameserver 192.168.0.1" >> /etc/resolv.conf
exit
Marcus
fonte
2

Como eles já explicaram, o problema é que a política é aplicada no lado do cliente, mas configurada no lado do servidor. Esse é um recurso de segurança, que permite à rede conectada evitar que os clientes conectem redes inseguras e seguras.

A única maneira é "hackear" o cliente para não obedecer ao comando do lado do servidor.

Há um tutorial que você pode encontrar na Web ( http://www.digitalinternals.com/network/workaround-juniper-junos-pulse-split-tunneling-restriction/447/ ), baseado no Windows, mas na verdade requer ferramentas como as habilidades do IDA Pro e da linguagem Assembly para corrigir o binário do Pulse. Isso também pode ser considerado ilegal em vários países.

Basicamente, embora a experiência do usuário possa ser prejudicada, forçando o cliente a rotear completamente pela rede de destino, isso permite que os administradores de rede mantenham sua rede mais segura, e você simplesmente não deve fazer isso.

Espero que isto ajude.

Marco Ermini
fonte
Isso também funciona para Mac e Linux.
Pepijn
1

Eu acredito que a política é forçada a sair do servidor. A menos que você de alguma forma hackear o software cliente do juniper vpn, precisará usar o roteamento ditado.

Faz parte do conjunto de recursos do software VPN que pode impor políticas de segurança aos clientes.

Cooperativas
fonte
Eu suspeito que isso seja verdade, mas eu estava esperando por uma substituição de nível inferior do roteamento.
craibuc
Criar uma rota estática resolveria este problema: Rotas estáticas do Leopard ?
28911 craibuc
Acho que não.
Ben Campbell
1

A única maneira de evitar isso é não conectar. Esse é um recurso de segurança incorporado ao dispositivo zimbro de back-end. O cliente do zimbro iniciado apenas impõe a política configurada pelos administradores do zimbro / rede que funcionam para a empresa cliente. É muito fácil configurar o dispositivo juniper para permitir o tunelamento dividido. Se não estiver configurado, é uma supervisão ou uma escolha. Peça a eles para habilitá-lo. Se eles não podem ou não querem, então é a política de segurança deles. Aviso justo: invadir ou explorar uma maneira de burlar essa política que viola seu código de conduta com seu cliente (supondo que ele tenha políticas de uso on-line) e, em muitos casos, pode ser considerado criminoso. Ele também pode destruir qualquer segurança que eles tentem criar na rede a partir de usuários remotos ... Você se tornou um vetor para eles.

Sei que é muito lento navegar dessa maneira, o streaming de vídeo é particularmente divertido, sem mencionar que todas as etapas são registradas no dispositivo juniper! Isso também prejudica a largura de banda dos clientes, uma vez que consome um bocado de recursos várias vezes, apenas redirecionando o tráfego de entrada e saída da rede para você.

Ben Campbell
fonte
1

Inicie o cliente vpn a partir de uma máquina virtual ... pronto. Obviamente, você precisa trabalhar a partir da máquina virtual.

Luca
fonte
0

Espero entender sua pergunta, você é VPN em um cliente, mas não pode acessar seu XM ou outros sites. Isso pode ser devido a um filtro da Web no final. Eu sugeriria, se houver uma opção, habilitar o acesso LAN local no seu cliente VPN. Isso pode resolver seu problema.

Split71
fonte
Uma opção deste tipo não existe.
28911 craibuc
Ok, acho que você pode ser forçado a usar o que quer que seja a política que está sendo lançada. Especialmente se não for sua rede e você não tiver acesso ao roteador / firewall.
Split71
-1

Estou usando o cliente Juniper NC em um cliente Fedora Linux e sou capaz de criar rotas estáticas para serviços ou segmentos de rede específicos. Por exemplo, a rede à qual estou me conectando não permite IMAP de saída, portanto, faço uma rota estática para minha conta de email. Você precisa de acesso root, é claro. Eu também tentei excluir a rota padrão que o NC cria, mas ele tem um deamon que o adiciona novamente em segundos.

user161165
fonte