Принудительно использовать сетевой клиент Juniper для использования раздельной маршрутизации

Я использую клиент Juniper для OSX («Сетевое подключение») для доступа к VPN клиента. Похоже, что клиент настроен так, чтобы не использовать раздельную маршрутизацию. VPN-хост клиента не желает включать раздельную маршрутизацию.

Есть ли способ для меня переопределить эту конфигурацию или сделать что-нибудь на моей рабочей станции, чтобы заставить сетевой трафик не-клиента обходить VPN? Это не будет иметь большого значения, но ни одна из моих потоковых радиостанций (например, XM) не будет подключена к их VPN.

Извиняюсь за любые неточности в терминологии.

** редактировать **

Клиент Juniper меняет файл resol.conf моей системы с:

nameserver 192.168.0.1

чтобы:

search XXX.com [redacted]
nameserver 10.30.16.140
nameserver 10.30.8.140

Я попытался восстановить предпочитаемую запись DNS в файл

$ sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

но это приводит к следующей ошибке:

-bash: /etc/resolv.conf: Permission denied

Как учетная запись суперпользователя не имеет доступа к этому файлу? Есть ли способ предотвратить внесение изменений в этот файл клиентом Juniper?

Что касается проблемы с разрешениями, Маркус прав в своем ответе, но есть более простой способ добавить файлы, требующие привилегий суперпользователя:

$ echo "nameserver 192.168.0.1" | sudo tee -a /etc/resolv.conf

Команда tee разделит вывод (например, T-образный переход) на файл и стандартный вывод. -a убедится, что он добавляется в файл, а не полностью перезаписывает его (что, скорее всего, вам не нужно при работе с системными файлами, такими как resol.conf или hosts). sudo позаботится о том, чтобы он работал с правами суперпользователя, чтобы он мог изменить файл.

Я думаю, что проблема в том, что выполняется от имени root в этой строке:

sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

Только команда "echo" запускается от имени пользователя root, а вывод файла производится с вашим обычным пользователем, который, вероятно, не имеет доступа к /etc/resolv.conf.

Попробуйте запустить это так:

sudo su
echo "nameserver 192.168.0.1" >> /etc/resolv.conf
exit

Как они вам уже объяснили, проблема в том, что политика применяется на стороне клиента, но настраивается на стороне сервера. Это функция безопасности, которая позволяет соединяющейся сети избегать одновременного соединения клиентов небезопасными и безопасными сетями.

Единственный способ - «взломать» клиента, чтобы он не подчинялся серверной команде.

Существует учебник, который вы можете найти в Интернете ( http://www.digitalinternals.com/network/workaround-juniper-junos-pulse-split-tunneling-restriction/447/ ), основанный на Windows, но на самом деле требуются инструменты такие как IDA Pro и навыки ассемблера, чтобы исправлять бинарный файл Pulse. Это также может считаться незаконным в нескольких странах.

По сути, хотя пользовательский интерфейс может ухудшиться, если заставить клиента полностью маршрутизировать сеть назначения, это позволяет сетевым администраторам обеспечивать безопасность своей сети, и вам просто не следует этого делать.

Надеюсь это поможет.

Я считаю, что политика сбрасывается с сервера. Если вы каким-то образом не взломаете клиентское ПО juniper vpn, вам придется использовать продиктованную маршрутизацию.

Это часть набора функций программного обеспечения VPN, которая позволяет применять политики безопасности на клиентах.

Единственный способ предотвратить это - не подключаться. Это функция безопасности, встроенная в внутреннее устройство можжевельника. Клиент Juniper, который запускается, просто применяет политику, настроенную администраторами Juniper / Network, которые работают для вашей компании-клиента. Очень легко настроить устройство можжевельника, чтобы разрешить раздельное туннелирование. Если он не настроен, это либо оплошность, либо выбор. Попросите их включить. Если они не могут или не хотят, то это их политика безопасности. Справедливое предупреждение: взлом или использование способа обойти эту политику нарушает ваш кодекс поведения с вашим клиентом (при условии, что у них есть политика использования в Интернете) и во многих случаях может считаться преступным. Это также может разрушить любую безопасность, которую они пытались встроить в свою сеть от удаленных пользователей ... Вы стали для них вектором.

Я знаю, что это очень медленно, поэтому смотреть потоковое видео особенно весело, не говоря уже о том, что каждый шаг регистрируется на устройстве можжевельника! Это также сильно сказывается на пропускной способности клиентов, поскольку многократно отнимает ресурсы, просто перенаправляя вход и выход из их сети к вам.

Запустите клиент vpn с виртуальной машины ... вуаля. Очевидно, вам нужно работать с виртуальной машины.

Надеюсь, я понимаю ваш вопрос: вы являетесь VPN-клиентом, но не можете получить доступ к вашему XM или другим сайтам. Это может быть связано с веб-фильтром на их конце. Я бы посоветовал, если есть возможность, включить доступ к локальной сети на вашем VPN-клиенте. Это может решить вашу проблему.

Я использую клиент Juniper NC на клиенте Fedora Linux и могу создавать статические маршруты для определенных сервисов или сетевых сегментов. Например, сеть, к которой я подключаюсь, не разрешает исходящий IMAP, поэтому я создаю статический маршрут к моей почтовой учетной записи. Конечно, вам нужен root-доступ. Я также попытался удалить маршрут по умолчанию, который создает NC, но у него есть демон, который повторно добавляет его в течение нескольких секунд.