6 votes

Ben Sutton avatar

Le VPN de Juniper force mon trafic à passer par le proxy de l'entreprise - peut-on l'annuler ?

Demandé el 2 de Avril, 2013
Quand la question a-t-elle été
10242 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Lorsque je suis connecté au VPN de l'entreprise depuis mon domicile, tout le trafic est redirigé pour passer par le proxy de l'entreprise, ce qui a pour effet de bloquer les sites que je souhaite utiliser librement lorsque je suis chez moi et de ralentir l'accès aux sites externes. Comment puis-je remédier à cette situation ?

Je pose la même question qu'ici Éviter les URL bloquées par l'entreprise lorsque l'on utilise Cisco VPN Le système d'exploitation est le même, à l'exception du fait que mon client VPN est Juniper et que le système d'exploitation est Windows 7. Aucune des réponses proposées n'a fonctionné pour moi : - Le client Juniper n'a pas la configuration "Utiliser la passerelle par défaut sur le réseau distant". - Je n'ai pas été en mesure de trouver le paramètre sur le panneau de contrôle de Windows 7 (j'ai pu trouver la connexion, puis IpV4 => propriétés => avancé => Paramètres Ip, mais rien de semblable à "Utiliser la passerelle par défaut sur le réseau distant".

Il est intéressant de noter que le même client vpn ne force pas le trafic via le proxy de l'entreprise sur un autre de mes ordinateurs qui fonctionne sous WinXP.

Demandé el 2 de Avril, 2013 par Ben Sutton

Réponses

Trop de publicités?

8voto

Bobby avatar
Bobby Points 81

Absolument possible. J'ai écrit un script qui configure des routes statiques vers ma passerelle domestique pour toutes les plages IP dont je sais qu'elles n'ont pas besoin d'aller vers le réseau de ma société. Ensuite, il lance Network Connect, puis met à jour le Instantproxy.pac fichier. (note : le réseau de ma société est sur 136.x.x.x).

l'idée de base est ci-dessous - bonne chance :

%echo off
echo Set up Static routes to home network then launch VPN application

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::: Set interfaceID (found using ROUTE PRINT command) to be equal to the       :::
::: number of the interface of your regular network adapter.                   :::
::: Set homegw equal to the IP address of your home network g/w.               ::: 
:::                                                                            :::
:::    Issue the command as:     LaunchVPN Ethernet       or                   :::
:::                              LaunchVPN Wireless       or                   :::
:::                              LaunchVPN Gigabit                            :::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

set lookfor=%1
set  VPN_version=Network Connect 7.2.0

:: Look for the interface ID that corresponds with the argument passed. Most wireless
:: NIC cards are identified as "Wireless", Ethernet Cards either as "Ethernet" or "Gigabit"

@For /f "tokens=1" %%* in (
   'route.exe print ^|findstr /C:%lookfor%'
   ) Do @Set "interfaceID=%%*"

:: If we did not find any interface - it could be that we need to look for
:: a Gigabit adapter. (If this still fails - the argument passed will need to be
:: modified to match the specific string that identified your NIC. In a DOS
:: window issue the command "Route Print" to see how your NICs are shown.

if (%interfaceID%)==() (set lookfor=Gigabit)

@For /f "tokens=1 delims=." %%* in (
   'route.exe print ^|findstr /C:%lookfor%'
   ) Do @Set "interfaceID=%%*"

@For /f "tokens=1 delims=." %%* in (
   'route.exe print ^|findstr /C:Juniper'
   ) Do @Set "VPNinterfaceID=%%*"

echo Setting up static routes to %lookfor% interface %interfaceID% using %VPN_version%
echo If you should be using a different version than %VPN_version% then update the batch file.

:: Now we need to find the default home gateway. Often this is 192.168.2.1
:: But we'll also search to see if there is a better value to be used.
:: This is to be used as the first hop for non-VPN traffic

set homegw=192.168.2.1

@For /f "tokens=3" %%* in (
   'route.exe print ^|findstr "\<0.0.0.0\>"'
   ) Do @Set "homegw=%%*"

echo Home Gateway is at IP address %homegw%
echo wait .........
pause

:: The loops below may need to be updated to match your specific network needs.
:: A good way to find this is to launch your VPN the noraml way - and to see
:: which addresses need to go to your corporate net. Also, once the VPN is
:: launched, the instantproxy.pac file (that is created for you and stored in
:: "%USERPROFILE%\Application Data\Juniper Networks\Network Connect 7.0.0"
:: or equivalent location may hold some clues.
:: The objective is to make this loop issue the ROUTE command below only for
:: the range of IP address that do NOT need to go to your corp network.

set /a counter=0
:loop_one
set /a counter=%counter%+1
if %counter% ==127 (goto :done_one) 

route add %counter%.0.0.0 MASK 255.0.0.0 %homegw% METRIC 21 IF %interfaceID%

goto :loop_one
:done_one
set /a counter=127
:loop_two
set /a counter=%counter%+1
if %counter% ==136 (goto :done_two) 

route add %counter%.0.0.0 MASK 255.0.0.0 %homegw% METRIC 21 IF %interfaceID%

goto :loop_two
:done_two

set /a counter=136
:loop_three
set /a counter=%counter%+1
if %counter% ==198 (goto :loop_three)
if %counter% ==225 (goto :done_three) 

route add %counter%.0.0.0 MASK 255.0.0.0 %homegw% METRIC 21 IF %interfaceID%

goto :loop_three
:done_three

set /a counter=225
:loop_five
set /a counter=%counter%+1
if %counter% ==240 (goto :done_five) 

route add %counter%.0.0.0 MASK 255.0.0.0 %homegw% METRIC 22 IF %interfaceID%

goto :loop_five
:done_five

route add 192.168.2.0 MASK 255.255.255.0 %homegw% METRIC 15 IF %interfaceID%

Start "" "%PROGRAMFILES(x86)%\Juniper Networks\%VPN_version%\dsNetworkConnect.exe"
echo "wait until VPN client is fully launched and you have logged-in then hit any key.............."
pause

:: Once the client is launched, then kill the intantproxy.pac that is created each time
:: or overwrite it with your own version as needed.

copy /Y "%USERPROFILE%\Application Data\Juniper Networks\%VPN_version%\pacmanproxy.pac" "%USERPROFILE%\Application Data\Juniper Networks\%VPN_version%\instantproxy.pac"

@For /f "tokens=3" %%* in (
   'route.exe print ^|findstr "\< 1 \>"'
   ) Do @Set "VPNgw=%%*"

echo The VPN Gateway is at IP address %VPNgw%

:: route add 198.152.0.0 MASK 255.255.0.0 %VPNgw% METRIC 20 IF %VPNinterfaceID%
:: net use \\192.168.2.2 /USER:Bobby

% echo "Done - ready to use now"
pause
Répondu el 7 de Décembre, 2013 par Bobby (81 Points )

0voto

Robin Menetrey avatar
Robin Menetrey Points 21

Probablement. Pas assez d'informations pour donner une réponse spécifique complète.

Les routes sont ajoutées et supprimées au fur et à mesure que les interfaces (physiques ou logiques) sont activées et désactivées. L'action d'activation de l'interface ajoute des routes, et les routes ajoutées plus récemment sont (généralement) utilisées de préférence. Ce qui se passe probablement lorsque vous vous connectez au VPN, c'est qu'une nouvelle interface réseau logique est créée/activée, et la table de routage est mise à jour pour l'utiliser par défaut. En supposant que le client Juniper crée une interface tunnel et n'ajoute pas également un pare-feu hôte local (et que vous ne violez pas la politique de l'entreprise - il est possible que ce soit intentionnel), vous devriez être en mesure de

  • remplacer la route par défaut (en la ramenant à votre routeur domestique via l'interface ethernet/wifi),
  • ajouter des routes spécifiques au réseau de l'entreprise via l'interface du tunnel.

En MSKB 140859 dans la question dont vous donnez le lien fournit une grande partie de la théorie, mais pas tellement de la pratique.

Si vous comprenez la théorie, courir netsh interface show interface y route print avant et après la connexion devrait être utile.

Répondu el 2 de Avril, 2013 par Robin Menetrey (21 Points )

-1voto

Krish avatar
Krish Points 330

Probablement pas.

Si cela était possible, vous relieriez le réseau de l'entreprise à l'Internet public, ce que vos administrateurs essaieront d'éviter. En général, il est possible de configurer la solution VPN pour qu'elle fasse ce que vous voulez, mais ce n'est pas quelque chose que le client peut décider ; ce sont les administrateurs qui le font.

Répondu el 11 de Avril, 2013 par Krish (330 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X