Forcer le client Juniper-network à utiliser le routage fractionné


8

J'utilise le client Juniper pour OSX («Network Connect») pour accéder au VPN d'un client. Il semble que le client est configuré pour ne pas utiliser le routage fractionné. L'hôte VPN du client n'est pas disposé à activer le routage fractionné.

Existe-t-il un moyen pour moi de contourner cette configuration ou de faire quelque chose sur mon poste de travail pour que le trafic réseau non client contourne le VPN? Ce ne serait pas un gros problème, mais aucune de mes stations de radio en streaming (par exemple XM) ne sera connectée à leur VPN.

Toutes mes excuses pour toute inexactitude dans la terminologie.

** Éditer **

Le client Juniper modifie le fichier resol.conf de mon système à partir de:

nameserver 192.168.0.1

à:

search XXX.com [redacted]
nameserver 10.30.16.140
nameserver 10.30.8.140

J'ai tenté de restaurer mon entrée DNS préférée dans le fichier

$ sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

mais cela se traduit par l'erreur suivante:

-bash: /etc/resolv.conf: Permission denied

Comment le compte super-utilisateur n'a-t-il pas accès à ce fichier? Existe-t-il un moyen d'empêcher le client Juniper d'apporter des modifications à ce fichier?

Réponses:


3

À propos du problème d'autorisation Marcus a raison dans sa réponse, mais il existe un moyen plus simple de l'ajouter aux fichiers nécessitant des privilèges de super-utilisateur:

$ echo "nameserver 192.168.0.1" | sudo tee -a /etc/resolv.conf

La commande tee divisera la sortie (comme une jonction en T) à la fois en fichier et en sortie standard. -a s'assurera qu'il s'ajoute au fichier au lieu de le remplacer complètement (ce que vous ne voudrez probablement pas lors de la manipulation de fichiers système tels que resolver.conf ou hôtes). sudo s'assurera que le tee s'exécute avec un accès super utilisateur afin qu'il puisse changer le fichier.


++ pour l' sudo teeapproche, mais cette technique ne remplacera pas les paramètres du résolveur DNS du client VPN. /etc/resolve.confcontient l'avertissement suivant sur OSX: # This file is not used by the host name and address resolution # or the DNS query routing mechanisms used by most processes on # this Mac OS X system.
mklement

2

Je pense que le problème est ce qui est exécuté en tant que root dans cette ligne:

sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

Seule la commande "echo" est exécutée en tant que root et la sortie d'écriture de fichier est effectuée avec votre utilisateur normal - qui n'a probablement pas accès à /etc/resolv.conf.

Essayez de l'exécuter de cette façon:

sudo su
echo "nameserver 192.168.0.1" >> /etc/resolv.conf
exit

2

Comme ils vous l'ont déjà expliqué, le problème est que la stratégie est appliquée côté client mais configurée côté serveur. Il s'agit d'une fonction de sécurité qui permet au réseau qui se connecte d'éviter que les clients «relient» les réseaux non sécurisés et sécurisés ensemble.

La seule façon est de "pirater" le client pour ne pas obéir à la commande côté serveur.

Il existe un didacticiel que vous pouvez trouver sur le Web ( http://www.digitalinternals.com/network/workaround-juniper-junos-pulse-split-tunneling-restriction/447/ ) qui est basé sur Windows, mais nécessite en fait des outils tels que IDA Pro et les compétences en langage d'assemblage pour patcher le binaire Pulse. Cela peut également être considéré comme illégal dans plusieurs pays.

Fondamentalement, bien que l'expérience utilisateur puisse être dégradée en forçant votre client à passer entièrement par le réseau de destination, cela permet aux administrateurs réseau de garder leur réseau plus sûr, et vous ne devriez tout simplement pas le faire.

J'espère que cela t'aides.


Cela fonctionne également pour Mac et Linux.
Pepijn

1

Je crois que la politique est forcée vers le bas depuis le serveur. Sauf si vous piratez en quelque sorte le logiciel client juniper vpn, vous devrez utiliser le routage dicté.

Cela fait partie de l'ensemble de fonctionnalités du logiciel VPN qu'il peut appliquer des politiques de sécurité aux clients.


Je soupçonne que c'est vrai, mais j'espérais un dépassement de niveau inférieur du routage.
craibuc

La création d'une route statique résoudrait-elle ce problème: les routes statiques de Leopard ?
craibuc

Je ne pense pas.
Ben Campbell

1

La seule façon d'éviter cela est de ne pas se connecter. Il s'agit d'une fonction de sécurité intégrée à l'appliance de genévrier back-end. Le client juniper qui lance applique simplement la politique configurée par les administrateurs juniper / réseau qui travaillent pour votre entreprise cliente. Il est très facile de configurer l'appliance juniper pour autoriser le tunneling fractionné. S'il n'est pas configuré, c'est soit une erreur, soit un choix. Demandez-leur de l'activer. S'ils ne peuvent pas ou ne veulent pas, alors c'est leur politique de sécurité. Juste avertissement: pirater ou exploiter un moyen de contourner cette politique enfreint votre code de conduite avec votre client (en supposant qu'il a des politiques d'utilisation en ligne) et dans de nombreux cas, peut être considéré comme criminel. Il peut également détruire toute sécurité qu'ils ont tenté d'intégrer dans leur réseau à partir d'utilisateurs distants ... Vous êtes devenu un vecteur pour eux.

Je sais que c'est très lent de naviguer de cette façon, la vidéo en streaming est particulièrement amusante, sans oublier que chaque étape est enregistrée sur l'appliance juniper! Cela nuit également à la bande passante des clients, car cela prend plusieurs fois des ressources en redirigeant le trafic vers et depuis leur réseau vers vous.


1

Lancez le client vpn à partir d'une machine virtuelle ... voilà. De toute évidence, vous devez travailler à partir de la machine virtuelle.


0

J'espère que je comprends votre question, vous êtes VPN dans un client mais ne pouvez pas accéder à votre XM ou à d'autres sites. Cela peut être dû à un filtre Web de leur côté. Je suggère, s'il y a une option pour cela, d'activer l'accès LAN local sur votre client VPN. Cela peut résoudre votre problème.


Une option de ce type n'existe pas.
craibuc

D'accord, je pense que vous pourriez être obligé d'utiliser ce que la politique est en train de faire. Surtout si ce n'est pas votre réseau et que vous n'avez pas accès au routeur / pare-feu.
Split71

-1

J'utilise le client Juniper NC sur un client Fedora Linux et je suis capable de créer des routes statiques vers des services spécifiques ou des segments nets. Par exemple, le réseau auquel je me connecte n'autorise pas les IMAP sortants, je fais donc un itinéraire statique vers mon compte de messagerie. Vous avez besoin d'un accès root, bien sûr. J'ai également essayé de supprimer la route par défaut créée par NC, mais elle a un démon qui l'ajoute en quelques secondes.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.