强制Juniper网络客户端使用拆分路由

我正在使用OSX的瞻博网络客户端（“网络连接”）来访问客户端的VPN。客户端似乎配置为不使用拆分路由。客户端的VPN主机不愿意启用拆分路由。

有没有办法让我超越此配置，或者在我的工作站上做一些工作以使非客户端网络流量绕过VPN？没什么大不了的，但是我的所有流广播电台（例如XM）都不会连接到他们的VPN。

对于术语中的任何不正确之处，我们深表歉意。

**编辑**

Juniper客户端从以下位置更改系统的resolve.conf文件：

nameserver 192.168.0.1

至：

search XXX.com [redacted]
nameserver 10.30.16.140
nameserver 10.30.8.140

我尝试将首选的DNS条目还原到文件中

$ sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

但这会导致以下错误：

-bash: /etc/resolv.conf: Permission denied

超级用户帐户如何无法访问此文件？有没有办法防止Juniper客户端对此文件进行更改？

关于权限问题，Marcus的回答是正确的，但是有一种简单的方法可以附加到需要超级用户权限的文件中：

$ echo "nameserver 192.168.0.1" | sudo tee -a /etc/resolv.conf

tee命令会将输出（如T型连接）拆分为文件和stdout。-a将确保将其追加到文件中，而不是完全覆盖它（在处理诸如resolve.conf或hosts之类的系统文件时，您很可能不希望这样做）。sudo将确保tee在超级用户访问权限下运行，以便可以更改文件。

我认为问题是在此行中以root用户身份执行的操作：

sudo echo "nameserver 192.168.0.1" >> /etc/resolv.conf

只有“ echo”命令以root身份运行，并且文件写入输出是由常规用户完成的，该用户可能无权访问/etc/resolv.conf。

尝试以这种方式运行它：

sudo su
echo "nameserver 192.168.0.1" >> /etc/resolv.conf
exit

正如他们已经向您解释的那样，问题是该策略在客户端实施，但在服务器端设置。这是一项安全功能，它使连接网络可以避免客户端将不安全的网络和安全的网络“桥接”在一起。

唯一的方法是“破解”客户端，使其不服从服务器端命令。

您可以在网上找到一个教程（http://www.digitalinternals.com/network/workaround-juniper-junos-pulse-split-tunneling-restriction/447/），但它实际上是基于Windows的工具例如IDA Pro和汇编语言技能来修补Pulse二进制文件。在某些国家/地区也可以将其视为非法。

基本上，尽管强迫客户端完全路由通过目标网络可能会降低用户体验，但是这会使网络管理员保持网络安全，因此您不应该这样做。

希望这可以帮助。

我认为该策略已从服务器强制关闭。除非您以某种方式破解了杜松vpn客户端软件，否则您将不得不使用规定的路由。

它是VPN软件功能集的一部分，可以对客户端实施安全策略。

防止这种情况的唯一方法是不连接。这是后端杜松设备中内置的安全功能。启动的杜松客户端仅执行由为您的客户公司工作的杜松/网络管理员配置的策略。将瞻博网络设备配置为允许拆分隧道非常容易。如果未配置，则可能是疏忽或选择。要求他们启用它。如果他们做不到，那就是他们的安全政策。合理警告：黑客或利用某种方式规避该政策违反了您与客户的行为守则（假设他们拥有在线使用政策），在许多情况下可被视为犯罪。它还可能破坏他们试图从远程用户构建到其网络中的任何安全性……您已经成为他们的引导。

我知道以这种方式浏览非常慢，流式视频特别有趣，更不用说在杜松设备上记录的每一步了！这确实也损害了客户端的带宽，因为它多次占用资源，只是将网络的进出路由重新路由到您那里。

从虚拟机启动vpn客户端。显然，您需要在虚拟机上工作。

希望我能理解您的问题，您已将VPN接入客户端，但无法访问XM或其他站点。这可能是由于其末端的Web过滤器。我建议，如果有选项，请在您的VPN客户端上启用本地LAN访问。这样可以解决您的问题。

我在Fedora Linux客户端上使用Juniper NC客户端，并且能够创建到特定服务或网段的静态路由。例如，我连接的网络不允许传出IMAP，因此我建立了到邮件帐户的静态路由。当然，您需要root访问权限。我还尝试删除了NC创建的默认路由，但是它有一个守护进程，可以在几秒钟内重新添加它。