我正在使用适用于 OSX 的 Juniper 客户端(“Network Connect”)访问客户端的 VPN。看来客户端配置为不使用分割路由。客户端的 VPN 主机不愿意启用分割路由。
有没有办法让我覆盖此配置或在我的工作站上做一些事情,让非客户端网络流量绕过 VPN?这不是什么大问题,但我的所有流媒体电台(例如 XM)都不会连接到他们的 VPN。
对于术语上的任何不准确之处,我们深表歉意。
** 编辑 **
Juniper 客户端将我的系统的 resolve.conf 文件从:
nameserver 192.168.0.1
到:
search XXX.com [redacted]
nameserver 10.30.16.140
nameserver 10.30.8.140
我尝试将我的首选 DNS 条目恢复到文件
$ sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf
但这会导致以下错误:
-bash: /etc/resolv.conf: Permission denied
超级用户帐户如何无权访问此文件? 有没有办法阻止 Juniper 客户端对此文件进行更改?
答案1
关于权限问题,Marcus 的回答是正确的,但有一种更简单的方法可以附加到需要超级用户权限的文件:
$ echo "nameserver 192.168.0.1" | sudo tee -a /etc/resolv.conf
tee 命令将把输出(像 T 型连接)拆分到文件和标准输出。-a 将确保它附加到文件而不是完全覆盖它(在操作系统文件(如 resolve.conf 或 hosts)时您很可能不希望出现这种情况)。sudo 将确保 tee 以超级用户权限运行,以便它可以更改文件。
答案2
我认为问题在于此行中以 root 身份执行的内容:
sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf
只有“echo”命令以 root 身份运行,并且文件写入输出由普通用户完成 - 普通用户可能无法访问 /etc/resolv.conf。
尝试按如下方式运行:
sudo su
echo "nameserver 192.168.0.1" >> /etc/resolv.conf
exit
答案3
正如他们已经向您解释的那样,问题在于该策略是在客户端强制执行的,但在服务器端设置。这是一项安全功能,允许连接网络避免客户端将不安全网络和安全网络“桥接”在一起。
唯一的办法就是“黑掉”客户端,让其不听从服务器端的命令。
您可以在网上找到一个教程(http://www.digitalinternals.com/network/workaround-juniper-junos-pulse-split-tunneling-restriction/447/) 是基于 Windows 的,但实际上需要 IDA Pro 等工具和汇编语言技能来修补 Pulse 二进制文件。这在一些国家也被视为非法。
基本上,虽然强制客户端完全通过目标网络路由可能会降低用户体验,但这可以让网络管理员保证网络更安全,所以您不应该这样做。
希望这可以帮助。
答案4
防止这种情况的唯一方法是不连接。这是后端 Juniper 设备内置的安全功能。启动的 Juniper 客户端仅强制执行为您客户公司工作的 Juniper/网络管理员配置的策略。配置 Juniper 设备以允许拆分隧道非常容易。如果未配置,则要么是疏忽,要么是选择。要求他们启用它。如果他们不能或不愿意,那么这是他们的安全策略。公平警告:黑客攻击或利用某种方式规避该政策违反了您与客户的行为准则(假设他们有在线使用政策),并且在许多情况下可被视为犯罪。它还会破坏他们试图在其网络中构建的任何针对远程用户的安全性……您已经成为他们的载体。
我知道这样浏览速度很慢,流媒体视频特别有趣,更不用说每个步骤都记录在 Juniper 设备上!它确实也会损害客户端带宽,因为它会多次占用资源,只是将进出其网络的流量重新路由到您。