在现代Linux桌面环境中,Ubuntu凭借其易用性、强大的社区支持和高度可定制性,成为许多开发者和高级用户的首选操作系统,当用户需要通过虚拟私人网络(VPN)访问特定资源(如公司内网、境外网站或教育资源)时,往往面临一个关键问题:如何让部分流量走VPN,而其他流量保持原生直连?这就是“VPN分流”(Split Tunneling)的核心目标——在保障安全的同时,避免不必要的带宽浪费和延迟。
本文将详细介绍如何在Ubuntu系统中配置基于路由表的VPN分流策略,适用于OpenVPN、WireGuard等主流协议,并结合iptables或nftables进行精细控制。
确保你已安装并正确配置好一个稳定的VPN服务,以OpenVPN为例,假设你已从服务商获取了.ovpn配置文件,并通过openvpn --config client.ovpn命令成功连接。
下一步是识别你的本地网络接口和远程网段,使用以下命令查看当前路由:
ip route show
你的默认路由会指向网关(如192.168.1.1),而VPN提供的远程网段(例如10.8.0.0/24)则会被自动添加到路由表中,此时所有流量都会被强制走VPN,这不是我们想要的结果。
要实现分流,我们需要手动修改路由规则,假设你想让访问 8.0.0/24 的流量走VPN,而其他所有流量(如访问Google、YouTube等)走本地ISP,你可以这样做:
-
创建自定义路由表(例如名为“vpn”):
sudo ip rule add from <your_local_ip> table vpn
-
向该表添加路由:
sudo ip route add default via <vpn_gateway_ip> dev tun0 table vpn
其中
tun0是OpenVPN创建的虚拟接口,<vpn_gateway_ip>通常是配置文件中的push "redirect-gateway def1"所指定的IP。 -
排除特定网段不走VPN(即允许直连):
sudo ip route add 192.168.1.0/24 dev eth0 table vpn
这样本地局域网流量仍走原接口。
为了进一步精细化控制,可以使用iptables(或推荐的nftables)对流量分类,仅允许某些域名(如*.google.com)走直连:
sudo iptables -t mangle -A OUTPUT -d 8.8.8.8 -j MARK --set-mark 1 sudo ip rule add fwmark 1 table main
需要注意的是,Ubuntu 20.04及以上版本默认使用systemd-networkd和netplan,因此建议在/etc/netplan/配置文件中加入静态路由规则,确保重启后依旧生效。
对于更复杂的场景(如企业级零信任架构),可考虑使用Tailscale、ProtonVPN等支持内置分流功能的服务,它们提供图形界面和自动化路由管理,极大简化操作。
Ubuntu下的VPN分流不仅提升了网络效率,还增强了隐私保护能力,通过合理配置路由表与防火墙规则,用户可以在不同应用之间灵活选择网络路径,真正实现“该走的走,不该走的不走”,这对于远程办公、跨境学习、游戏加速等场景尤为实用,掌握这项技能,是你迈向专业网络运维的第一步。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
