Erzwingen Sie, dass der Juniper-Netzwerkclient Split-Routing verwendet

8

Ich verwende den Juniper-Client für OSX ('Network Connect'), um auf das VPN eines Clients zuzugreifen. Es scheint, dass der Client so konfiguriert ist, dass er kein Split-Routing verwendet. Der VPN-Host des Clients ist nicht bereit, Split-Routing zu aktivieren.

Gibt es eine Möglichkeit für mich, diese Konfiguration zu überschreiben oder irgendwann auf meiner Workstation zu tun, um den Nicht-Client-Netzwerkverkehr dazu zu bringen, das VPN zu umgehen? Dies wäre keine große Sache, aber keiner meiner Streaming-Radiosender (z. B. XM) wird mit seinem VPN verbunden.

Entschuldigung für etwaige Ungenauigkeiten in der Terminologie.

** bearbeiten **

Der Juniper-Client ändert die Datei resolve.conf meines Systems von:

nameserver 192.168.0.1

zu:

search XXX.com [redacted]
nameserver 10.30.16.140
nameserver 10.30.8.140

Ich habe versucht, meinen bevorzugten DNS-Eintrag in der Datei wiederherzustellen

$ sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

Dies führt jedoch zu folgendem Fehler:

-bash: /etc/resolv.conf: Permission denied

Wie hat das Superuser-Konto keinen Zugriff auf diese Datei? Gibt es eine Möglichkeit, den Juniper-Client daran zu hindern, Änderungen an dieser Datei vorzunehmen?

Craibuc
quelle

Antworten:

3

Über das Berechtigungsproblem Marcus antwortet korrekt, aber es gibt eine einfachere Möglichkeit, Dateien anzuhängen, für die Superuser-Berechtigungen erforderlich sind:

$ echo "nameserver 192.168.0.1" | sudo tee -a /etc/resolv.conf

Der Befehl tee teilt die Ausgabe (wie eine T-Verbindung) sowohl in eine Datei als auch in stdout auf. -a stellt sicher, dass es an die Datei angehängt wird, anstatt sie vollständig zu überschreiben (was Sie höchstwahrscheinlich nicht möchten, wenn Sie Systemdateien wie resolve.conf oder Hosts bearbeiten). sudo stellt sicher, dass tee mit Superuserzugriff ausgeführt wird, damit die Datei geändert werden kann.

gabrielf
quelle
++ für den sudo teeAnsatz, aber diese Technik überschreibt nicht die DNS-Resolver-Einstellungen des VPN-Clients. /etc/resolve.confenthält die folgende Warnung unter OSX: # This file is not used by the host name and address resolution # or the DNS query routing mechanisms used by most processes on # this Mac OS X system.
mklement
2

Ich denke, das Problem ist, was als root in dieser Zeile ausgeführt wird:

sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

Nur der Befehl "echo" wird als root ausgeführt und die Dateiausgabe erfolgt mit Ihrem regulären Benutzer - der wahrscheinlich keinen Zugriff auf /etc/resolv.conf hat.

Versuchen Sie es so:

sudo su
echo "nameserver 192.168.0.1" >> /etc/resolv.conf
exit
Marcus
quelle
2

Wie bereits erläutert, besteht das Problem darin, dass die Richtlinie clientseitig durchgesetzt, aber serverseitig eingerichtet wird. Dies ist eine Sicherheitsfunktion, mit der das Verbindungsnetzwerk vermeiden kann, dass Clients unsichere und sichere Netzwerke miteinander "verbinden".

Die einzige Möglichkeit besteht darin, den Client zu "hacken", um den serverseitigen Befehl nicht zu befolgen.

Es gibt ein Tutorial im Internet ( http://www.digitalinternals.com/network/workaround-juniper-junos-pulse-split-tunneling-restriction/447/ ), das Windows-basiert ist, aber tatsächlich Tools erfordert B. IDA Pro und Assembler-Kenntnisse zum Patchen der Pulse-Binärdatei. Dies kann auch in mehreren Ländern als illegal angesehen werden.

Obwohl die Benutzererfahrung möglicherweise dadurch beeinträchtigt wird, dass Ihr Client gezwungen wird, vollständig durch das Zielnetzwerk zu routen, können Netzwerkadministratoren ihr Netzwerk sicherer halten, und Sie sollten dies einfach nicht tun.

Hoffe das hilft.

Marco Ermini
quelle
Dies funktioniert auch für Mac und Linux.
Pepijn
1

Ich glaube, die Richtlinie wird vom Server heruntergedrückt. Sofern Sie die Wacholder-VPN-Client-Software nicht irgendwie hacken, müssen Sie das diktierte Routing verwenden.

Es ist Teil des Funktionsumfangs der VPN-Software, mit dem Sicherheitsrichtlinien für Clients durchgesetzt werden können.

Coops
quelle
Ich vermute, dass dies wahr ist, aber ich hatte auf eine niedrigere Übersteuerung des Routings gehofft.
Craibuc
Würde das Erstellen einer statischen Route dieses Problem lösen: Statische Leopardenrouten ?
Craibuc
Das glaube ich nicht.
Ben Campbell
1

Die einzige Möglichkeit, dies zu verhindern, besteht darin, keine Verbindung herzustellen. Dies ist eine Sicherheitsfunktion, die in die Back-End-Wacholder-Appliance integriert ist. Der Juniper-Client, der gestartet wird, erzwingt lediglich Richtlinien, die von den Juniper- / Netzwerkadministratoren konfiguriert wurden, die für Ihr Client-Unternehmen arbeiten. Es ist sehr einfach, die Wacholder-Appliance so zu konfigurieren, dass Split-Tunneling möglich ist. Wenn es nicht konfiguriert ist, ist es entweder ein Versehen oder eine Wahl. Bitten Sie sie, es zu aktivieren. Wenn sie nicht können oder nicht, dann ist es ihre Sicherheitsrichtlinie. Faire Warnung: Das Hacken oder Ausnutzen einer Möglichkeit, diese Richtlinie zu umgehen, verstößt gegen Ihren Verhaltenskodex gegenüber Ihrem Kunden (vorausgesetzt, er verfügt über Richtlinien zur Online-Nutzung) und kann in vielen Fällen als strafbar angesehen werden. Es kann auch jede Sicherheit zerstören, die sie versucht haben, von entfernten Benutzern in ihr Netzwerk einzubauen ... Sie sind zu einem Vektor für sie geworden.

Ich weiß, dass das Surfen auf diese Weise sehr langsam ist. Das Streamen von Videos macht besonders viel Spaß, ganz zu schweigen davon, dass jeder einzelne Schritt auf der Wacholder-Appliance protokolliert wird! Es schadet auch der Bandbreite der Clients, da die Ressourcen mehrmals beansprucht werden, indem nur der Datenverkehr in und aus ihrem Netzwerk an Sie umgeleitet wird.

Ben Campbell
quelle
1

Starten Sie den VPN-Client von einer virtuellen Maschine aus ... voilà. Natürlich müssen Sie von der virtuellen Maschine aus arbeiten.

Luca
quelle
0

Ich hoffe, ich verstehe Ihre Frage, Sie sind VPN in einem Client, können aber nicht auf Ihr XM oder andere Websites zugreifen. Dies kann an einem Webfilter am Ende liegen. Ich würde vorschlagen, wenn es eine Option dafür gibt, den lokalen LAN-Zugriff auf Ihrem VPN-Client zu aktivieren. Dies kann Ihr Problem lösen.

Split71
quelle
Eine Option dieses Typs gibt es nicht.
Craibuc
Ok, ich denke, Sie könnten gezwungen sein, die Richtlinien zu verwenden, die herausgeschoben werden. Insbesondere, wenn es nicht Ihr Netzwerk ist und Sie keinen Zugriff auf den Router / die Firewall haben.
Split71
-1

Ich verwende den Juniper NC-Client auf einem Fedora Linux-Client und kann statische Routen zu bestimmten Diensten oder Netzsegmenten erstellen. Das Netzwerk, zu dem ich eine Verbindung herstelle, lässt beispielsweise keinen ausgehenden IMAP zu, sodass ich eine statische Route zu meinem E-Mail-Konto herstelle. Sie benötigen natürlich Root-Zugriff. Ich habe auch versucht, die von NC erstellte Standardroute zu löschen, aber es gibt einen Deamon, der sie innerhalb von Sekunden erneut hinzufügt.

user161165
quelle