VPN链接后禁用默认网关访问远程局域网的配置指南

一、技术背景与需求分析

在VPN连接场景中，默认网关设置是决定网络流量的关键参数。当启用”使用远程网关作为默认网关”选项时，所有网络流量（包括本地网络）将通过VPN隧道传输，这可能导致：

1. 本地网络访问速度下降（需绕行远程网络）
2. 本地网络服务不可用（如打印机、文件服务器）
3. 网络延迟增加影响工作效率

企业用户常面临此类需求：需安全访问远程资源，但需保持本地网络连接正常。典型场景包括：

• 开发人员需访问内网代码仓库，但需保持本地数据库连接
• 财务人员需访问总部ERP系统，但需使用本地打印机
• 运维人员需管理远程服务器，但需保持本地监控工具连接

二、核心原理与实现方案

1. 路由表分离机制

Windows/Linux系统通过路由表决定数据包走向。VPN连接默认会添加两条关键路由：

• 0.0.0.0/0 指向VPN网关（导致所有流量路由）
• 远程局域网段指向VPN隧道

禁用默认网关的核心是保留第二条路由，删除第一条路由。

2. Windows系统配置方案

方法一：使用VPN属性设置

1. 右键点击VPN连接 → 属性 → 网络 → IPv4 → 高级
2. 取消勾选”在远程网络上使用默认网关”
3. 手动添加静态路由（可选）：

   route add 192.168.10.0 mask 255.255.255.0 10.8.0.1

   （192.168.10.0为远程局域网段，10.8.0.1为VPN分配的网关）

方法二：使用PowerShell脚本

# 连接后执行
Remove-NetRoute -DestinationPrefix "0.0.0.0/0" -InterfaceAlias "VPN名称"
New-NetRoute -DestinationPrefix "192.168.10.0/24" -InterfaceAlias "VPN名称" -NextHop "10.8.0.1"

3. Linux系统配置方案

方法一：修改路由表

1. 连接VPN后查看路由：

   ip route show

2. 删除默认路由：

   sudo ip route del default via 10.8.0.1 dev tun0

3. 添加特定路由：

   sudo ip route add 192.168.10.0/24 via 10.8.0.1 dev tun0

方法二：使用OpenVPN配置文件

在.ovpn文件中添加：

route-nopull
route 192.168.10.0 255.255.255.0

4. 防火墙辅助配置

为确保配置生效，建议添加防火墙规则：

• Windows防火墙：

  New-NetFirewallRule -DisplayName "Block VPN Default Gateway" -Direction Outbound -RemoteAddress 0.0.0.0/0 -InterfaceAlias "VPN名称" -Action Block

• Linux iptables：

  sudo iptables -A OUTPUT -o tun0 -j DROP
  sudo iptables -A OUTPUT -o tun0 -d 192.168.10.0/24 -j ACCEPT

三、常见问题与解决方案

1. 配置后无法访问远程资源

原因：路由未正确添加或VPN客户端覆盖配置
解决方案：

• 检查路由表是否包含远程网段路由
• 使用tracert(Windows)/traceroute(Linux)验证路径
• 确保VPN客户端未强制启用默认网关

2. 本地网络间歇性中断

原因：DNS解析通过VPN隧道
解决方案：

• 修改DNS设置使用本地DNS服务器
• Windows：在VPN属性中取消勾选”使用远程网络上的默认网关”后，手动指定本地DNS
• Linux：在/etc/resolv.conf中保留本地DNS

3. 多网卡环境冲突

场景：同时存在有线、无线、VPN等多网卡
解决方案：

• 使用route print(Windows)/ip route(Linux)查看绑定关系
• 调整接口度量值：

  netsh interface ipv4 set interface "本地连接" metric=1
  netsh interface ipv4 set interface "VPN名称" metric=10

四、最佳实践建议

1. 配置备份：修改前备份网络配置

   • Windows：netsh -c interface dump > backup.txt
   • Linux：ip -s link show > backup.txt

2. 自动化脚本：创建连接/断开脚本

   #!/bin/bash
   case $1 in
     connect)
       openvpn --config client.ovpn
       sudo ip route add 192.168.10.0/24 via 10.8.0.1 dev tun0
       ;;
     disconnect)
       sudo ip route del 192.168.10.0/24 via 10.8.0.1 dev tun0
       sudo pkill openvpn
       ;;
   esac

3. 监控与告警：

   • 使用ping -t 192.168.10.1持续监测远程连接
   • 设置任务计划(Windows)/cron(Linux)定期检查路由表

4. 安全加固：

   • 限制VPN用户仅能访问特定IP段
   • 结合IPSec策略限制流量类型
   • 定期审计路由表变更

五、进阶配置技巧

1. 基于应用的路由控制

Windows可通过Set-NetConnectionProfile指定应用使用特定网络：

$appPath = "C:\Program Files\MyApp\app.exe"
$rule = New-NetFirewallRule -DisplayName "MyApp VPN" -Direction Outbound -Program $appPath -Action Allow -RemoteAddress 192.168.10.0/24

2. 多VPN环境管理

当需要同时连接多个VPN时：

1. 为每个VPN创建独立配置文件
2. 使用不同虚拟网卡（如OpenVPN的dev-node参数）
3. 通过路由优先级控制流量：

   route add 192.168.10.0 mask 255.255.255.0 10.8.0.1 metric 10
   route add 192.168.20.0 mask 255.255.255.0 10.9.0.1 metric 20

3. 动态路由集成

对于大型网络，可结合：

• Windows的RRAS服务
• Linux的Quagga/FRR路由套件
• 商业路由协议如OSPF/BGP

六、验证与测试方法

1. 基础验证：

   route print | findstr 192.168.10.0
   ping 192.168.10.1
   tracert 8.8.8.8  # 应显示不经过VPN

2. 流量分析：

   • 使用Wireshark抓包验证数据流向
   • 检查TCP连接建立过程（SYN包走向）

3. 性能基准测试：

   # 本地网络测试
   iperf3 -c 192.168.1.100
   # VPN网络测试
   iperf3 -c 192.168.10.100

通过以上配置，用户可在保持本地网络畅通的同时，安全高效地访问远程局域网资源。实际部署时建议先在测试环境验证，再逐步推广到生产环境。