Я использую клиент Juniper для OSX («Сетевое подключение») для доступа к клиентской VPN. Похоже, что клиент настроен не использовать раздельную маршрутизацию. Хост VPN клиента не желает включать разделенную маршрутизацию.
Есть ли у меня способ изменить эту конфигурацию или сделать что-нибудь на моей рабочей станции, чтобы неклиентский сетевой трафик обходил VPN? В этом нет ничего страшного, но ни одна из моих потоковых радиостанций (например, XM) не будет подключена к их VPN.
Приносим извинения за неточности в терминологии.
** редактировать **
Клиент Juniper изменяет файл resol.conf моей системы с:
nameserver 192.168.0.1
кому:
search XXX.com [redacted]
nameserver 10.30.16.140
nameserver 10.30.8.140
Я попытался восстановить предпочитаемую мной запись DNS в файл
$ sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf
но это приводит к следующей ошибке:
-bash: /etc/resolv.conf: Permission denied
Как учетная запись суперпользователя не имеет доступа к этому файлу? Есть ли способ запретить клиенту Juniper вносить изменения в этот файл?
О проблеме с разрешениями Маркус прав в своем ответе, но есть более простой способ добавить файлы к файлам, требующим привилегий суперпользователя:
$ echo "nameserver 192.168.0.1" | sudo tee -a /etc/resolv.conf
Команда tee разделит вывод (например, Т-образное соединение) как на файл, так и на стандартный вывод. -a обеспечит добавление к файлу вместо полной его перезаписи (что вам, скорее всего, не нужно при работе с системными файлами, такими как resolve.conf или hosts). sudo обеспечит запуск tee с правами суперпользователя, чтобы он мог изменить файл.
Как они уже объяснили, проблема в том, что политика применяется на стороне клиента, но настраивается на стороне сервера. Это функция безопасности, которая позволяет подключенной сети избегать «соединения» клиентами незащищенных и защищенных сетей.
Единственный способ - «взломать» клиента, чтобы он не подчинялся команде на стороне сервера.
В Интернете есть учебное пособие (http://www.digitalinternals.com/network/workaround-juniper-junos-pulse-split-tunneling-restriction/447/), который основан на Windows, но на самом деле требует таких инструментов, как IDA Pro и знание языка ассемблера для исправления двоичного файла Pulse. Это также может считаться незаконным в некоторых странах.
По сути, хотя взаимодействие с пользователем может ухудшиться из-за принуждения вашего клиента к полной маршрутизации через целевую сеть, это позволяет сетевым администраторам сохранять свою сеть в большей безопасности, и вам просто не следует этого делать.
Надеюсь это поможет.
Я думаю, проблема в том, что в этой строке выполняется как root:
sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf
От имени пользователя root запускается только команда "echo", а вывод записи в файл выполняется вашим обычным пользователем, который, вероятно, не имеет доступа к /etc/resolv.conf.
Попробуйте запустить его так:
sudo su
echo "nameserver 192.168.0.1" >> /etc/resolv.conf
exit
Единственный способ предотвратить это - не подключаться. Это функция безопасности, встроенная в серверное устройство Juniper. Запускаемый клиент juniper просто применяет политику, настроенную администраторами juniper / сети, которые работают для вашей компании-клиента. Настроить можжевельник для раздельного туннелирования очень просто. Если он не настроен, это либо надзор, либо выбор. Попросите их включить это. Если они не могут или не хотят, то это их политика безопасности. Справедливое предупреждение: взлом или использование способа обойти эту политику нарушает ваш кодекс поведения с вашим клиентом (при условии, что у него есть политики использования в Интернете) и во многих случаях может считаться преступным. Это также может разрушить любую безопасность, которую они пытались встроить в свою сеть от удаленных пользователей ... Вы стали для них вектором.
Я знаю, что такой способ просмотра очень медленный, потоковое видео - это особенно весело, не говоря уже о том, что каждый отдельный шаг регистрируется на устройстве Juniper! Это также серьезно сказывается на пропускной способности клиентов, так как он многократно потребляет ресурсы, просто перенаправляя вам трафик в свою сеть и из нее.
Я считаю, что политика отключена от сервера. Если вы каким-то образом не взломаете клиентское программное обеспечение juniper vpn, вам придется использовать продиктованную маршрутизацию.
Это часть набора функций программного обеспечения VPN, которая может обеспечивать соблюдение политик безопасности на клиентах.
Запустите vpn-клиент с виртуальной машины ... вуаля. Очевидно, вам нужно работать с виртуальной машины.
Надеюсь, я понял ваш вопрос, вы подключены к клиенту через VPN, но не можете получить доступ к XM или другим сайтам. Это может быть связано с веб-фильтром на их стороне. Я бы предложил, если есть возможность, включить доступ к локальной сети на вашем VPN-клиенте. Это может решить вашу проблему.
Я использую клиент Juniper NC на клиенте Fedora Linux, и я могу создавать статические маршруты к определенным службам или сегментам сети. Например, сеть, к которой я подключаюсь, не разрешает исходящий IMAP, поэтому я делаю статический маршрут к своей учетной записи электронной почты. Конечно, вам нужен root-доступ. Я также попытался удалить маршрут по умолчанию, который создает NC, но у него есть демон, который повторно добавляет его в течение нескольких секунд.