web-dev-qa-db-ja.com

ジュニパーネットワーククライアントにスプリットルーティングを使用させる

OSX用のJuniperクライアント(「ネットワーク接続」)を使用してクライアントのVPNにアクセスしています。クライアントは分割ルーティングを使用しないように構成されているようです。クライアントのVPNホストは分割ルーティングを有効にする用意がありません。

この構成を上書きしたり、ワークステーションでクライアント以外のネットワークトラフィックにVPNをバイパスさせたりする方法はありますか?これは大した問題ではありませんが、私のストリーミングラジオ局(XMなど)がVPNに接続することはありません。

用語の誤りについての謝罪。

**編集**

ジュニパークライアントは、システムのresolve.confファイルを次のように変更します。

nameserver 192.168.0.1

に:

search XXX.com [redacted]
nameserver 10.30.16.140
nameserver 10.30.8.140

優先DNSエントリをファイルに復元しようとしました

$ Sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

ただし、これにより次のエラーが発生します。

-bash: /etc/resolv.conf: Permission denied

スーパーユーザーアカウントがこのファイルにアクセスできないのはなぜですか? Juniperクライアントがこのファイルを変更できないようにする方法はありますか?

8
craibuc

許可の問題についてMarcusは彼の答えは正しいですが、スーパーユーザー権限を必要とするファイルに追加する簡単な方法があります。

$ echo "nameserver 192.168.0.1" | Sudo tee -a /etc/resolv.conf

Teeコマンドは、出力(Tジャンクションのような)をファイルとstdoutの両方に分割します。 -aは、ファイルを完全に上書きするのではなく、ファイルに追加することを確認します(resolve.confやホストなどのシステムファイルを操作するときには、ファイルを上書きしたくない場合がほとんどです)。 Sudoは、スーパーユーザーアクセスでTeeが実行されるようにし、ファイルを変更できるようにします。

3
gabrielf

問題は、この行でrootとして実行されるものだと思います:

Sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

「echo」コマンドのみがrootとして実行され、出力を書き込むファイルは通常のユーザーで実行されます-通常、/ etc/resolv.confへのアクセス権はありません。

このように実行してみてください:

Sudo su
echo "nameserver 192.168.0.1" >> /etc/resolv.conf
exit
2
Marcus

彼らがすでにあなたに説明したように、問題はポリシーがクライアント側で実施されるがサーバー側で設定されるということです。これはセキュリティ機能であり、これにより、接続しているネットワークが、セキュリティで保護されていないネットワークとセキュリティで保護されたネットワークを「ブリッジング」することを回避できます。

唯一の方法は、サーバー側のコマンドに従わないようにクライアントを「ハッキング」することです。

あなたがウェブで見つけることができるチュートリアルがあります( http://www.digitalinternals.com/network/workaround-juniper-junos-Pulse-split-tunneling-restriction/447/ )これはWindowsですベースですが、Pulseバイナリにパッチを適用するには、IDA Proやアセンブリ言語のスキルなどのツールが実際に必要です。これはまた、いくつかの国では違法と見なすことができます。

基本的に、クライアントに宛先ネットワークを完全にルーティングさせるとユーザーエクスペリエンスが低下する可能性がありますが、これによりネットワーク管理者はネットワークをより安全に保つことができるため、これを行わないでください。

お役に立てれば。

2
Marco Ermini

ポリシーはサーバーから強制的にダウンされていると思います。何らかの方法でジュニパーのVPNクライアントソフトウェアをハッキングしない限り、指示されたルーティングを使用する必要があります。

VPNソフトウェア機能セットの一部であり、クライアントにセキュリティポリシーを適用できます。

1
Coops

仮想マシンからvpnクライアントを起動します...voilà。もちろん、仮想マシンから作業する必要があります。

1
Luca

これを防ぐ唯一の方法は、接続しないことです。これは、バックエンドジュニパーアプライアンスに組み込まれているセキュリティ機能です。起動するジュニパークライアントは、クライアント会社で機能するジュニパー/ネットワーク管理者によって構成されたポリシーを適用するだけです。スプリットトンネリングを許可するようにジュニパーアプライアンスを構成するのは非常に簡単です。構成されていない場合、それは見落としまたは選択のいずれかです。有効にするように依頼します。できない、またはできない場合は、セキュリティポリシーです。公正な警告:ポリシーがクライアントとの行動規範に違反することを回避する方法をハッキングまたは悪用すると(クライアントがオンライン使用ポリシーを持っていると想定)、多くの場合犯罪者と見なされます。また、リモートユーザーからネットワークに組み込もうとしたセキュリティを破壊することもできます...あなたは彼らのベクターになりました。

この方法で閲覧するのは非常に遅いことを知っています。ストリーミングビデオは特に楽しいだけでなく、すべてのステップがジュニパーアプライアンスに記録されます。それはクライアントの帯域幅にも本当に害を及ぼします。なぜなら、ネットワークに出入りする人身売買を再ルーティングするだけでリソースから何度もバイトを奪うからです。

1
Ben Campbell

私はあなたの質問を理解したいと思います。あなたはクライアントへのVPNですが、XMや他のサイトにアクセスできません。これは、エンドのWebフィルターが原因である可能性があります。オプションがある場合は、VPNクライアントでローカルLANアクセスを有効にすることをお勧めします。これで問題が解決する場合があります。

0
Split71