我正在运行 Windows 7 并使用 Cisco VPN 适配器连接到私有网络,在该网络我访问以 IP 地址 172 开头的资源。
我的问题是,当连接到 VPN 时,所有外部流量都会通过 VPN 路由。我想设置只有某些 IP 地址通过 VPN,其他所有 IP 地址都通过本地适配器正常出站并进入互联网。
如何?
答案1
在 Vista 中:
进入控制面板并单击“网络和共享中心”图标。
在结果屏幕的左侧面板上,您应该会看到一个链接“管理网络连接”。单击它。
下一个屏幕将显示所有连接的图标。您的 VPN 应该有一个图标。右键单击它并从菜单中选择“属性”。
在“属性”屏幕中,单击“网络”选项卡,然后选择“Internet 协议版本 4?”并单击“属性”按钮。
点击“高级”按钮。这将打开一个新窗口,您可以在其中取消选中“在远程网络上使用默认网关”。
确定,保存一切。
答案2
您正在寻找的术语称为“拆分隧道” - 该功能由 VPN 硬件本身配置和控制,而不是由 VPN 客户端软件配置和控制。
思科一个很好的例子有关如何配置拆分隧道的详细信息,请参见这里,但有关如何配置 PIX 或 ASA 的摘要:
access-list Split_Tunnel_List standard permit 10.0.1.0 255.255.255.0
group-policy hillvalleyvpn attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value Split_Tunnel_List
tunnel-group hillvalleyvpn general-attributes
default-group-policy hillvalleyvpn
答案3
这是推送到 Cisco VPN 客户端的 VPN 对等端的设置。
(非常)简短的答案是在 VPN 对等端上配置“拆分隧道”。
在 VPN3000 上,要么设置“隧道一切”和“允许列表中的网络绕过隧道”,然后添加诸如192.168.*等内容...(事实上,由于您想要访问所有互联网,因此您需要添加除 172 之外的任何内容。这可能是一场噩梦,但最好只允许访问本地资源)作为“拆分隧道网络列表”或(更简单)设置“仅列表中的隧道”,然后在网络列表中选择 IP 为 172.* 的网络。
在 ASA/PIX 上,它几乎相同,使用 ASDM 并设置“排除以下网络列表”,然后192.168.*在网络列表中添加诸如 等内容...或设置“隧道网络列表以下”,然后在网络列表中选择 IP 为 172.* 的网络。
思科网站上有一份很好的文档: