Soluzione proxy locale per aggirare la mia VPN


1

Lavoro in un ufficio remoto e per connetterci alle risorse aziendali, dobbiamo accedere a una VPN software. Una volta autenticata, questa VPN ottiene quindi un indirizzo IP e configura il suo gateway come gateway predefinito, instradando così tutto il traffico nella rete aziendale. Quindi, per poter accedere a qualsiasi risorsa aziendale (wiki, git, ecc.) Dobbiamo usare il server proxy aziendale. Il problema è che i filtri proxy sono significativi, bloccando l'accesso a molti siti di uso comune e il throughput varia da pessimo a terribile (il download di un'immagine da 600 MB da docker.io può richiedere> 20 minuti tramite VPN ma <1 minuto quando spento) la VPN).

Voglio essere in grado di bypassare la VPN (e in particolare il percorso predefinito nella VPN) ogni volta che voglio. Quello che (penso) voglio è un server proxy locale che instrada tutto il traffico sul gateway di rete locale, NON sul gateway VPN. In questo modo evito di gestire le configurazioni di by-pass di rete / dominio (cosa che ho già tentato di fare e ci sono almeno 200 reti / IP, quindi è troppo da gestire) e uso il proxy locale solo quando Sono connesso alla VPN e devo esplicitamente bypassarlo completamente. Come posso ottenere questo?


La "risposta giusta" è utilizzare una configurazione split tunnel sulla VPN in modo che identifichi solo il traffico verso endpoint protetti VPN per il tunneling. Ciò equivarrebbe a impostare il percorso predefinito come VPN per le reti private dell'azienda e lasciare il percorso ISP per tutti gli altri (leggi: locale e Internet). Questo dovrebbe essere impostato nel criterio VPN, quindi dovrebbe essere fatto dall'azienda. Potrebbero non farlo perché è difficile, o potrebbero voler monitorare tutto il traffico (i motivi di politica / conformità sono comuni per i tunnel non divisi).
Ruscal,

Se stai provando a configurare un proxy locale (e supponendo che questa non sia una violazione della politica, ma quella società ha qualche altro motivo [sconosciuto?] Per non configurare la politica VPN da dividere), dovrai elencare quali le politiche di routing attuali sono. Sospetterei che qualunque cosa tu debba enumerare tutte le reti VPN, dal momento che sembra che la politica aziendale sia 0.0.0.0/0 per fare tutto sommato. Alla fine, nessun proxy e solo scrivere buone rotte split-tunnel sarebbe più facile (e se sei fortunato puoi farti corporare per farlo, prova a discutere del consumo eccessivo di costosa connessione ISP presso il quartier generale)
Ruscal

1) Non succederà. La società forza deliberatamente tutto il traffico attraverso la VPN. Ecco perché sto ponendo la domanda. 2) Fondamentalmente, voglio instradare 10.0.0.0/8 attraverso il gateway VPN e tutto il resto del traffico attraverso il gateway WiFi (che sarà 10.1xx.xx / 20). Penso di chiedere consigli sugli strumenti che gestiranno quel routing a tunnel diviso.
DrStrangepork,

Solo quella rete per VPN? È abbastanza facile. Di quale sistema operativo stiamo parlando? Se ho un'immagine a portata di mano, eseguirò un rapido test di comando e lo lascerò come risposta. Ma fondamentalmente rimuoverai la route VPN predefinita e la sostituirai con una route split corretta. Crea uno script che esegui subito dopo la connessione VPN e Bob è tuo zio.
Ruscal,

MacOS 10.12.4. Cos'altro devi sapere?
DrStrangepork,

Risposte:


0

Dato quello che stai tentando di fare e il modo in cui suona come aziendale sta spingendo le loro politiche VPN, YMMV. (Inoltre, decidi se questa è una cattiva impostazione tecnologica che stai risolvendo rispetto a contrastare una vera politica aziendale. Una volta ti rende un tecnico che ha risolto qualcosa, l'altro ti rende un dipendente che infrange palesemente le regole. Ti darò come fare ma stai attento con la tua esecuzione di tali)

Dopo essermi connesso alla VPN lavorerò dalla shell dei comandi, quindi vai avanti e aprilo. Ho eseguito questa immagine come un account elevato, quindi tutti questi comandi "funzionano" per me. Potrebbe essere necessario anteporre il comando sudoall'inizio per elevare l'esecuzione del comando in base alla configurazione dell'account.

Innanzitutto, dobbiamo rimuovere il percorso predefinito impostato dalla VPN.

route delete default

Quindi vogliamo aggiungere il percorso per la VPN solo alle cose aziendali

route add 10.0.0.0/8 <IP of the VPN gateway>

Quindi restituiamo il normale valore predefinito che utilizza il router locale come gateway

route add default <IP of your local gateway>

Ciò consentirà al traffico predefinito di utilizzare l'hop successivo locale che dovrebbe passare alla connessione ISP locale per la connettività Internet. Ma qualsiasi traffico destinato al quartier generale aziendale andrà al gateway VPN.

Sembra che il tuo primo tentativo sia stato quello di inserire un percorso hop-hop locale per ogni posizione Internet a cui desideri accedere. Mentre ciò comporterebbe lo stesso risultato finale, è un sacco di lavoro da tenere al passo. Un buon design a tunnel diviso fa esattamente il contrario; specifica la rete limitata (VPN aziendale) che necessita del percorso speciale (tramite il gateway VPN) e tutto il resto dovrebbe usare "mezzi normali".

Oh, e se non hai già le informazioni, puoi ottenere le informazioni sul tuo percorso correndo

netstat -nr

Eseguilo su VPN per ottenere le informazioni sul gateway VPN e su VPN per ottenere le normali informazioni sul gateway.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.