(思文力得原创文章,转发请提前告知)
随着企业的ERP、SAP、CRM等系统的大量应用,员工经常需要在公司外部以安全的方式访问企业的业务系统,利用windows自带的VPN客户端,能实现安全方便的拨入公司的防火墙。但是员工建立VPN连接后,所有的网络流量都通过VPN隧道转发至公司防火墙,当拨入的客户端很多时,严重的占用了公司的互联网出口资源,在外员工的网速也受到相应的影响。
以下方法将解决上述问题,实现自动分流,只有到公司内网的数据才转发至VPN隧道:
比如公司防火墙使用的内部IP为:192.168.10.0/24 (在外员工请避免本地网关使用相同IP地址,否则会导致配置无效)
进入windows10 控制面板-网络和共享中心-更改适配器设置 找到已经建立的VPN连接 按照下图操作 取消“在远程网络上使用默认网关”
这样操作后,所有的流量不会走VPN隧道,下面介绍建立静态路由的方法,将到公司192.168.10.0/24的流量转发至VPN隧道,实现自动分流
以管理员方式运行 Windows PowerShell 或 命令提示行 CMD
输入下面命令添加静态路由:
route add 192.168.10.0 mask 255.255.255.0 10.1.1.1
添加静态路由后,所有到192.168.10.0/24 的流量将被转发至VPN隧道。
注:10.1.1.1 为VPN隧道公司防火墙配置的网关地址,具体咨询公司网络管理员;
以上静态路由电脑重启后将失效,输入下面命令将永久保存(但需注意更换环境后与当地网络的IP冲突,及时更新和删除静态路由)
route -p add 192.168.10.0 mask 255.255.255.0 10.1.1.1
其他补充:
1、-p表示持久化处理,重启系统后路由仍有效
2、删除路由: route delete 192.168.10.0
3、显示路由表: route print
4、注意:对于双网卡的机器,路由的作用是打通双网卡之间的通道,不要随便删除路由。
5、当出现无法上网时,请将本地连接的IP地址、子网掩码、网关和DNS进行手动指定。
6、利用 www.ip138.com 等网站查看本地出口公网地址,可以验证以上配置的有效性。
7、利用tracert 可以检查数据包的出口。比如 tracert 192.168.10.1 可以看到出口的链路。
