可否让北大的Pulse Secure忽略某些网段 - 北京大学计算中心(PKU_CC)版 - 北大未名BBS
返回本版
1
2
下一页 >
/ 2
跳转

可否让北大的Pulse Secure忽略某些网段

[复制链接]
楼主

Kurapica [在线]

库卡

9.5开国大老

发帖数:5.9万 原创分:10
<ASCIIArt> 1楼

以我所知,通过Pulse Secure访问的网段是无法包括任何内网IP地址的。所以请问计算中心,Pulse服务器端有没有能力设定内网IP地址段走我本地的default gateway而不是VPN gateway?


例如,我本地IP是192.168.1.101,我本地gateway是192.168.1.1,我想访问我的一台内网服务器172.16.10.10,但是因为这台服务器和我本机并不在一个子网内,所以我的电脑默认就选择了222.29.26.66,也就是VPN,作为gateway。而实际上应该用物理网卡的gateway的。


我查了一下,本地客户端上没有设置的地方。如果每次打开Pulse连服务器前都要自己设置一下路由表也非常恶心。如果的确是没有从外面连VPN访问内网地址的需求,能否考虑在服务器端推送路由表的时侯(如果Pulse有这个功能,起码OpenVPN是有的)能够推送“忽略内网地址”的路由?


谢谢。


 最后修改于2020-05-31 17:54:30
  • 发表于2020-05-31 17:54:10
楼主

Kurapica [在线]

库卡

9.5开国大老

发帖数:5.9万 原创分:10
<ASCIIArt> 2楼

我试着手动添加路由,但无论是用-interface还是gateway都无法跳过tun,这破逼客户端是不是有点霸道?霸占我路由表是什么意思?


BTW:下面这个链接说了,Pulse Secure可以让一部分IP不通过VPN路由的


https://multipass.run/docs/troubleshooting-networking-on-macos


所以麻烦给开个后门,或者,放开远程桌面连接吧?


Kurapica (库卡) 在 ta 的帖子中提到:

以我所知,通过Pulse Secure访问的网段是无法包括任何内网IP地址的。所以请问计算中心,Pulse服务器端有没有能力设定内网IP地址段走我本地的default gateway而不是VPN gateway?

例如,我本地IP是192.168.1.101,我本地gateway是192.168.1.1,我想访问我的一台内网服务器172.16.10.10,但是因为这台服务器和我本机并不在一个子网内,所以我的电脑默认就选择了222.29.26.66,也就是VPN,作为gateway。而实际上应该用物理网卡的gateway的。

我查了一下,本地客户端上没有设置的地方。如果每次打开Pulse连服务器前都要自己设置一下路由表也非常恶心。如果的确是没有从外面连VPN访问内网地址的需求,能否考虑在服务器端推送路由表的时侯(如果Pulse有这个功能,起码OpenVPN是有的)能够推送“忽略内网地址”的路由?

……


发表于2020-05-31 18:23:26

PKUCC [在线]

北京大学计算中心

3.6树袋熊

发帖数:716 原创分:0
<ASCIIArt> 3楼

你好,如果在同一网段,是不走VPN网关的。若跨网段,无法区分哪些是属于您的内网。VPN是适用所有用户的一般使用需求,若有特殊需求,建议使用WPN,可以更灵活地定制。

Kurapica (库卡) 在 ta 的帖子中提到:

以我所知,通过Pulse Secure访问的网段是无法包括任何内网IP地址的。所以请问计算中心,Pulse服务器端有没有能力设定内网IP地址段走我本地的default gateway而不是VPN gateway?

例如,我本地IP是192.168.1.101,我本地gateway是192.168.1.1,我想访问我的一台内网服务器172.16.10.10,但是因为这台服务器和我本机并不在一个子网内,所以我的电脑默认就选择了222.29.26.66,也就是VPN,作为gateway。而实际上应该用物理网卡的gateway的。

我查了一下,本地客户端上没有设置的地方。如果每次打开Pulse连服务器前都要自己设置一下路由表也非常恶心。如果的确是没有从外面连VPN访问内网地址的需求,能否考虑在服务器端推送路由表的时侯(如果Pulse有这个功能,起码OpenVPN是有的)能够推送“忽略内网地址”的路由?

……

发表于2020-05-31 18:32:26
楼主

Kurapica [在线]

库卡

9.5开国大老

发帖数:5.9万 原创分:10
<ASCIIArt> 4楼

如果没错的话,应该是下面的几个选项?


https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB3054


拜托请尽快回复。这种入侵且绑架客户端路由表的行为无异于恶意软件,谢谢。


Kurapica (库卡) 在 ta 的帖子中提到:

我试着手动添加路由,但无论是用-interface还是gateway都无法跳过tun,这破逼客户端是不是有点霸道?霸占我路由表是什么意思?

BTW:下面这个链接说了,Pulse Secure可以让一部分IP不通过VPN路由的

https://multipass.run/docs/troubleshooting-networking-on-macos

……


发表于2020-05-31 18:33:12
楼主

Kurapica [在线]

库卡

9.5开国大老

发帖数:5.9万 原创分:10
<ASCIIArt> 5楼

对不起,请问172.16.*.*、192.168.*.*和10.*.*.*这几个网段,能够跨VPN访问么?有实际意义么?能够连到计算中心某些服务器上?反正我们日常的服务器应该是没有这些IP段的


PKUCC (北京大学计算中心) 在 ta 的帖子中提到:

你好,如果在同一网段,是不走VPN网关的。若跨网段,无法区分哪些是属于您的内网。VPN是适用所有用户的一般使用需求,若有特殊需求,建议使用WPN,可以更灵活地定制。


 最后修改于2020-05-31 18:34:40
  • 发表于2020-05-31 18:33:48

PKUCC [在线]

北京大学计算中心

3.6树袋熊

发帖数:716 原创分:0
<ASCIIArt> 6楼

这些路由需要下发到每个用户的路由表,对一般用户没有必要,若有特殊需求,建议使用WPN。

Kurapica (库卡) 在 ta 的帖子中提到:

对不起,请问172.16.*.*、192.168.*.*和10.*.*.*这几个网段,能够跨VPN访问么?有实际意义么?能够连到计算中心某些服务器上?反正我们日常的服务器应该是没有这些IP段的


发表于2020-05-31 18:39:38
楼主

Kurapica [在线]

库卡

9.5开国大老

发帖数:5.9万 原创分:10
<ASCIIArt> 7楼

对不起。我鉴定认为路由表是一个客户的私有财产,请勿劫持。


另外,明明有option可以做到减少劫持。如果贵单位不解释也不加以改进的话,我想我会就此继续发表意见。


PKUCC (北京大学计算中心) 在 ta 的帖子中提到:

这些路由需要下发到每个用户的路由表,对一般用户没有必要,若有特殊需求,建议使用WPN。


发表于2020-05-31 18:55:20

PKUCC [在线]

北京大学计算中心

3.6树袋熊

发帖数:716 原创分:0
<ASCIIArt> 8楼

你好,正如您首贴里提到的,可自己在本地手工设置,无需让VPN来下发,以免对一般用户造成影响。VPN只修改缺省的网关路由,对自己定义的路由不做动作。

Kurapica (库卡) 在 ta 的帖子中提到:

对不起。我鉴定认为路由表是一个客户的私有财产,请勿劫持。


另外,明明有option可以做到减少劫持。如果贵单位不解释也不加以改进的话,我想我会就此继续发表意见。


发表于2020-05-31 20:01:00
楼主

Kurapica [在线]

库卡

9.5开国大老

发帖数:5.9万 原创分:10
<ASCIIArt> 9楼

您好。我在首帖里提到的问题是:我无法手工修改路由。无论如何指定gw和inteface,都会自动变成tun2和北大VPN网关的IP。


我搜索了一下,发现Pulse Secure的确有禁止手工修改注册表的能力。也的确可以放开这个权限给用户。


如果您确认可以本地修改,我可以再试试,并让同学也测试一下,看看是不是我这边的问题


PKUCC (北京大学计算中心) 在 ta 的帖子中提到:

你好,正如您首贴里提到的,可自己在本地手工设置,无需让VPN来下发,以免对一般用户造成影响。VPN只修改缺省的网关路由,对自己定义的路由不做动作。


发表于2020-05-31 20:51:43
楼主

Kurapica [在线]

库卡

9.5开国大老

发帖数:5.9万 原创分:10
<ASCIIArt> 10楼

环境:2015 MBPr15", macOS Mojave 10.14.6


过程:


首先连接北大VPN


然后用一系列命令都无法正确添加路由项,例如:

sudo route add -net 172.16.0.0/16 192.168.1.1

用 netstat -nr 查看结果,发现新增了如下路由项:

172.16             222.29.16.146      UGSc            0        0   utun2

显然,无论是gw还是if都指向了VPN


然后我试图删除这个路由项,采用如下命令:

sudo route delete -net 172.16.0.0/16

用 netstat -r 查看结果,发现路由项无法被删除


在此情况下我断开北大VPN,发现这条路由还在,但是gw和if都变成了我的默认设备。这个时候就能删除了。


就此我推断,Pulse Secure劫持了我的路由表,禁止我本地修改。


Kurapica (库卡) 在 ta 的帖子中提到:

您好。我在首帖里提到的问题是:我无法手工修改路由。无论如何指定gw和inteface,都会自动变成tun2和北大VPN网关的IP。

我搜索了一下,发现Pulse Secure的确有禁止手工修改注册表的能力。也的确可以放开这个权限给用户。

如果您确认可以本地修改,我可以再试试,并让同学也测试一下,看看是不是我这边的问题


发表于2020-05-31 21:01:43

shiwenhao [离线]

白天想,夜里哭,做梦都想去首都

2.9蛋炒饭

发帖数:149 原创分:0
<ASCIIArt> 11楼

MacOS下面可以尝试用命令行版本的openconnect,我用的这个不会刷路由表。


连接的时候需要sudo

Kurapica (库卡) 在 ta 的帖子中提到:

以我所知,通过Pulse Secure访问的网段是无法包括任何内网IP地址的。所以请问计算中心,Pulse服务器端有没有能力设定内网IP地址段走我本地的default gateway而不是VPN gateway?

例如,我本地IP是192.168.1.101,我本地gateway是192.168.1.1,我想访问我的一台内网服务器172.16.10.10,但是因为这台服务器和我本机并不在一个子网内,所以我的电脑默认就选择了222.29.26.66,也就是VPN,作为gateway。而实际上应该用物理网卡的gateway的。

我查了一下,本地客户端上没有设置的地方。如果每次打开Pulse连服务器前都要自己设置一下路由表也非常恶心。如果的确是没有从外面连VPN访问内网地址的需求,能否考虑在服务器端推送路由表的时侯(如果Pulse有这个功能,起码OpenVPN是有的)能够推送“忽略内网地址”的路由?

……

发表于2020-05-31 22:16:45

PKUCC [在线]

北京大学计算中心

3.6树袋熊

发帖数:716 原创分:0
<ASCIIArt> 12楼

你好,在连接VPN之前,试着在本地加一条特定路由,然后再登VPN。登录VPN后是禁止修改路由表的,这涉及到安全问题,不开放给用户。校园网也在用私有地址,VPN下发路由的split方式会影响到普通用户的。

Kurapica (库卡) 在 ta 的帖子中提到:

您好。我在首帖里提到的问题是:我无法手工修改路由。无论如何指定gw和inteface,都会自动变成tun2和北大VPN网关的IP。


我搜索了一下,发现Pulse Secure的确有禁止手工修改注册表的能力。也的确可以放开这个权限给用户。


如果您确认可以本地修改,我可以再试试,并让同学也测试一下,看看是不是我这边的问题


发表于2020-05-31 23:36:56

zhangwenjie [离线]

豆沙馅的绿豆糕

2.7波斯猫

发帖数:89 原创分:0
<ASCIIArt> 13楼

所以为什么客户端修改路由表会有安全问题?客户端改了会怎么样呢?

PKUCC (北京大学计算中心) 在 ta 的帖子中提到:

你好,在连接VPN之前,试着在本地加一条特定路由,然后再登VPN。登录VPN后是禁止修改路由表的,这涉及到安全问题,不开放给用户。校园网也在用私有地址,VPN下发路由的split方式会影响到普通用户的。

发表于2020-06-01 14:34:19
楼主

Kurapica [在线]

库卡

9.5开国大老

发帖数:5.9万 原创分:10
<ASCIIArt> 14楼

应该是给企业控制各个员工的客户端不让外连用的。和北大的应用场景完全无关。


zhangwenjie (豆沙馅的绿豆糕) 在 ta 的帖子中提到:

所以为什么客户端修改路由表会有安全问题?客户端改了会怎么样呢?


发表于2020-06-01 17:34:42
楼主

Kurapica [在线]

库卡

9.5开国大老

发帖数:5.9万 原创分:10
<ASCIIArt> 15楼

你这个连上之后还能改路由表么?


shiwenhao (白天想,夜里哭,做梦都想去首都) 在 ta 的帖子中提到:

MacOS下面可以尝试用命令行版本的openconnect,我用的这个不会刷路由表。

连接的时候需要sudo


发表于2020-06-01 17:35:07
楼主

Kurapica [在线]

库卡

9.5开国大老

发帖数:5.9万 原创分:10
<ASCIIArt> 16楼

??


虽然这个理由令人完全无法接受,但是居然真的是可以的??


不得不感谢您一下了。虽然浪费了我好几个小时,但最后还是有workaround


PKUCC (北京大学计算中心) 在 ta 的帖子中提到:

你好,在连接VPN之前,试着在本地加一条特定路由,然后再登VPN。登录VPN后是禁止修改路由表的,这涉及到安全问题,不开放给用户。校园网也在用私有地址,VPN下发路由的split方式会影响到普通用户的。


发表于2020-06-01 17:38:52

yzs [离线]

江户川闰土

2.8包子

发帖数:119 原创分:0
<ASCIIArt> 17楼

学校无线不就是10.0.0.0/8?

Kurapica (库卡) 在 ta 的帖子中提到:

对不起,请问172.16.*.*、192.168.*.*和10.*.*.*这几个网段,能够跨VPN访问么?有实际意义么?能够连到计算中心某些服务器上?反正我们日常的服务器应该是没有这些IP段的


发表于2020-06-01 20:11:59

yzs [离线]

江户川闰土

2.8包子

发帖数:119 原创分:0
<ASCIIArt> 18楼

为什么不用wpn呢

Kurapica (库卡) 在 ta 的帖子中提到:

以我所知,通过Pulse Secure访问的网段是无法包括任何内网IP地址的。所以请问计算中心,Pulse服务器端有没有能力设定内网IP地址段走我本地的default gateway而不是VPN gateway?

例如,我本地IP是192.168.1.101,我本地gateway是192.168.1.1,我想访问我的一台内网服务器172.16.10.10,但是因为这台服务器和我本机并不在一个子网内,所以我的电脑默认就选择了222.29.26.66,也就是VPN,作为gateway。而实际上应该用物理网卡的gateway的。

我查了一下,本地客户端上没有设置的地方。如果每次打开Pulse连服务器前都要自己设置一下路由表也非常恶心。如果的确是没有从外面连VPN访问内网地址的需求,能否考虑在服务器端推送路由表的时侯(如果Pulse有这个功能,起码OpenVPN是有的)能够推送“忽略内网地址”的路由?

……

发表于2020-06-01 20:12:49
楼主

Kurapica [在线]

库卡

9.5开国大老

发帖数:5.9万 原创分:10
<ASCIIArt> 19楼

so能从外面通过VPN连接连在北大无线网的设备么?我没试过,我不知道啊。


yzs (江户川闰土) 在 ta 的帖子中提到:

学校无线不就是10.0.0.0/8?


发表于2020-06-01 20:29:19
楼主

Kurapica [在线]

库卡

9.5开国大老

发帖数:5.9万 原创分:10
<ASCIIArt> 20楼

wpn的反应速度实在堪忧,而且我有很多绘制工作,wpn的分辨率和AA奇奇怪怪的,导至基本没法使用。


yzs (江户川闰土) 在 ta 的帖子中提到:

为什么不用wpn呢


发表于2020-06-01 20:30:11
返回本版
1
2
下一页 >
/ 2
跳转

请您先 登录 再进行发帖

快速回复楼主
标题
建议:≤ 24个字
签名档
发布(Ctrl+回车)

您输入的密码有误,请重新输入