问题[split-tunneling](server)

我正在尝试为 VPN 拆分隧道设置 Strongswan。

我想要的只是子网10.88.0.0/16，10.0.200.0/24可以通过 VPN 隧道访问。其他一切都default gateway通过网络处理。

所有客户端都分配了一个属于该10.0.201.0/24子网的 IP 地址。

在我的配置文件中，我有以下内容：

# Default login method
eap-defaults {
  remote {
   auth = eap-radius
   id = %any
   eap_id = %any
  }
}

connections
{
  conn-unix : conn-defaults, eap-defaults {
    children {
      net {
        local_ts = 10.0.200.0/24, 10.88.0.0/16
      }

      esp_proposals = aes128gcm128-x25519
    }

    pools = IkeVPN-ipv4
    proposals = aes128-sha256-x25519
  }

  conn-windows : conn-defaults, eap-defaults {
    children {
      net {
        local_ts = 10.0.200.0/24, 10.88.0.0/16
      }

      esp_proposals = aes256-sha256-prfsha256-modp1024
    }

    proposals = aes256-sha256-prfsha256-modp1024
    pools = IkeVPN-ipv4
  }
}

pools
{
  IkeVPN-ipv4 {
    addrs = 10.0.201.0/24
    dns = 10.0.88.2
  }
}

当我通过 VPN 登录时，可以 ping 属于10.88.0.0/16and的主机10.0.200.0/24，所以我知道我可以使用 VPN 隧道。

然而：

如果我在仍然连接到 VPN 的同时尝试访问 Internet 上的任何其他资源，那么我什至无法 ping 属于该资源的 IP 地址。

在我的 Windows 计算机上的路由表中，我可以找到以下条目：

我知道，当您有两条路由到给定子网（如0.0.0.0/0路由表中）时，任何具有最低度量的规则都会获胜，并使用该规则转发流量。

但是我不希望 VPN 服务器通过 VPN 安装默认路由，而只是告诉子网10.88.0.0/16并且10.0.200.0/24必须通过 VPN 路由。

我想要的是我看到一个更接近于此的路由表，而不必在每个 VPN 客户端上手动编辑路由表：

那么我该怎么做呢？

在我的工作中，我有很多不同的外部网络需要不时通过 VPN 访问。通常，我需要连接到其他人的托管网络才能访问他们的建筑管理系统 (BMS)，所以我任由他们设置网络访问权限 - 这通常涉及处理各种分配的登录名并不得不在任何地方重新输入凭据我去。更烦人的是，他们通常要求我登录他们的 VPN（通常是通过 GlobalProtect）。这些不是我的主要工作网络，因此限制各不相同，我必须登录 VPN，然后在完成后立即退出，这样我就不会通过 VPN 发送所有其余的流量。在其中一些情况下，我遇到了我无法解决的问题

是否有一种相对简单的方法来隔离单独的 Chrome 实例或 Windows 桌面，只有该流量会通过 VPN 路由？我认为也许拆分隧道可能是答案，但是当我尝试使用 NordVPN 时，这似乎错过了标记，因为它只会让我连接到他们的 VPN 服务器。