Buộc máy khách Juniper sử dụng định tuyến phân chia


8

Tôi đang sử dụng ứng dụng khách Juniper cho OSX ('Kết nối mạng') để truy cập VPN của khách hàng. Có vẻ như máy khách được cấu hình để không sử dụng định tuyến phân chia. Máy chủ VPN của máy khách không sẵn sàng kích hoạt định tuyến phân chia.

Có cách nào để tôi vượt quá cấu hình này hoặc đôi khi làm trên máy trạm của mình để có lưu lượng truy cập mạng không phải máy khách để vượt qua VPN không? Đây sẽ không phải là một vấn đề lớn, nhưng không có đài phát thanh trực tuyến nào của tôi (ví dụ XM) sẽ kết nối với VPN của họ.

Xin lỗi cho bất kỳ sự không chính xác trong thuật ngữ.

** biên tập **

Ứng dụng khách Juniper thay đổi tệp giải quyết của hệ thống của tôi từ:

nameserver 192.168.0.1

đến:

search XXX.com [redacted]
nameserver 10.30.16.140
nameserver 10.30.8.140

Tôi đã cố gắng khôi phục mục nhập DNS ưa thích của mình vào tệp

$ sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

nhưng điều này dẫn đến lỗi sau:

-bash: /etc/resolv.conf: Permission denied

Làm thế nào để tài khoản siêu người dùng không có quyền truy cập vào tệp này? Có cách nào để ngăn khách hàng Juniper thay đổi tập tin này không?

Câu trả lời:


3

Về vấn đề cấp phép, Marcus đã đúng trong câu trả lời của mình nhưng có một cách đơn giản hơn để chắp thêm vào các tệp yêu cầu đặc quyền siêu người dùng:

$ echo "nameserver 192.168.0.1" | sudo tee -a /etc/resolv.conf

Lệnh tee sẽ phân chia đầu ra (như một ngã ba) cho cả tệp và thiết bị xuất chuẩn. -a sẽ đảm bảo rằng nó gắn vào tệp thay vì ghi đè hoàn toàn vào tệp đó (điều mà bạn rất có thể không muốn khi thao tác với các tệp hệ thống như giải quyết.conf hoặc máy chủ lưu trữ). sudo sẽ đảm bảo tee chạy với quyền truy cập siêu người dùng để nó có thể thay đổi tệp.


++ cho sudo teecách tiếp cận, nhưng kỹ thuật này sẽ không ghi đè cài đặt trình phân giải DNS của máy khách VPN. /etc/resolve.confchứa cảnh báo sau trên OSX: # This file is not used by the host name and address resolution # or the DNS query routing mechanisms used by most processes on # this Mac OS X system.
mkuity

2

Tôi nghĩ vấn đề là những gì được thực thi như root trong dòng này:

sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

Chỉ lệnh "echo" được chạy dưới quyền root và đầu ra ghi tệp được thực hiện với người dùng thông thường của bạn - có thể không có quyền truy cập vào /etc/resolv.conf.

Hãy thử chạy nó theo cách này:

sudo su
echo "nameserver 192.168.0.1" >> /etc/resolv.conf
exit

2

Như họ đã giải thích cho bạn rồi, vấn đề là chính sách được thi hành phía máy khách nhưng thiết lập ở phía máy chủ. Đây là một tính năng bảo mật, cho phép mạng kết nối tránh các máy khách "bắc cầu" các mạng không an toàn và an toàn với nhau.

Cách duy nhất là "hack" máy khách không tuân theo lệnh phía máy chủ.

Có một hướng dẫn bạn có thể tìm thấy trên web ( http: //www.digitali INTERNals.com/network/workaround-juniper-junos-pulse-split-tunneling-restriction/447/ ) dựa trên Windows, nhưng thực sự cần có các công cụ chẳng hạn như IDA Pro và các kỹ năng ngôn ngữ hội để vá nhị phân Pulse. Điều này cũng có thể được coi là bất hợp pháp ở một số quốc gia.

Về cơ bản, mặc dù trải nghiệm người dùng có thể bị suy giảm bằng cách buộc khách hàng của bạn định tuyến hoàn toàn qua mạng đích, điều này cho phép quản trị viên mạng giữ an toàn hơn cho mạng của họ và bạn không nên làm vậy.

Hi vọng điêu nay co ich.


Điều này cũng hoạt động cho Mac và Linux.
Pepijn

1

Tôi tin rằng chính sách bị buộc phải từ máy chủ. Trừ khi bạn bằng cách nào đó hack phần mềm máy khách Juniper vpn, bạn sẽ phải sử dụng định tuyến chính tả.

Đây là một phần của tính năng phần mềm VPN được thiết lập để nó có thể thực thi các chính sách bảo mật trên máy khách.


Tôi nghi ngờ rằng điều này là đúng, nhưng tôi đã hy vọng cho việc định tuyến quá mức.
craibuc

Việc tạo một tuyến tĩnh sẽ giải quyết vấn đề này: Leopard Tĩnh Routes ?
craibuc

Tôi không nghĩ vậy.
Ben Campbell

1

Cách duy nhất để ngăn chặn điều này là không kết nối. Đây là một tính năng bảo mật được tích hợp trong thiết bị bách xù back-end. Ứng dụng khách Juniper khởi chạy chỉ đơn thuần thực thi chính sách được cấu hình bởi quản trị viên Juniper / mạng hoạt động cho công ty khách hàng của bạn. Rất dễ dàng để định cấu hình thiết bị bách xù để cho phép chia đường hầm. Nếu nó không được cấu hình, đó là một sự giám sát hoặc một sự lựa chọn. Yêu cầu họ kích hoạt nó. Nếu họ không thể hoặc sẽ không, thì đó là chính sách bảo mật của họ. Cảnh báo công bằng: Hack hoặc khai thác một cách để phá vỡ chính sách đó vi phạm quy tắc ứng xử của bạn với khách hàng của bạn (giả sử rằng họ có chính sách sử dụng trực tuyến) và trong nhiều trường hợp có thể bị coi là tội phạm. Nó cũng có thể phá hủy mọi bảo mật mà họ đã cố gắng xây dựng vào mạng của họ từ những người dùng từ xa ... Bạn đã trở thành một véc tơ cho họ.

Tôi biết rằng rất chậm để duyệt theo cách này, phát trực tuyến video đặc biệt thú vị, chưa kể mỗi bước được ghi lại trên thiết bị cây bách xù! Điều đó thực sự gây tổn hại cho băng thông của khách hàng vì nó đã lấy đi nhiều tài nguyên nhiều lần chỉ khi định tuyến lại giao dịch trong và ngoài mạng của họ cho bạn.


1

Khởi chạy ứng dụng khách vpn từ một máy ảo ... voilà. Rõ ràng bạn cần phải làm việc từ máy ảo.


0

Tôi hy vọng tôi hiểu câu hỏi của bạn, bạn là VPN vào máy khách nhưng không thể truy cập XM hoặc các trang web khác. Điều này có thể là do một bộ lọc web ở cuối của họ. Tôi đề nghị, nếu có một tùy chọn cho nó, để cho phép truy cập mạng LAN cục bộ trên máy khách VPN của bạn. Điều này có thể giải quyết vấn đề của bạn.


Một tùy chọn loại này không tồn tại.
craibuc

Ok, tôi nghĩ rằng bạn có thể bị buộc phải sử dụng những gì chính sách đã bị đẩy ra. Đặc biệt nếu đó không phải là mạng của bạn và bạn không có quyền truy cập vào bộ định tuyến / tường lửa.
Split71

-1

Tôi đang sử dụng ứng dụng khách Juniper NC trên máy khách Fedora Linux và tôi có thể tạo các tuyến tĩnh đến các dịch vụ hoặc phân khúc mạng cụ thể. Ví dụ: mạng tôi đang kết nối không cho phép IMAP đi nên tôi tạo tuyến tĩnh đến tài khoản thư của mình. Bạn cần quyền truy cập root, tất nhiên. Tôi cũng đã cố gắng xóa tuyến đường mặc định mà NC tạo ra nhưng nó có một deamon thêm lại nó trong vòng vài giây.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.