vpnc 对独立网段及独立主机的分割隧道(split tunne)建立

一般在使用vpnc时，默认情况，会修改路由表，将所有流量都路由到vpn，这对于翻墙这类的应用来说

没有任何问题，然而大多数情况下，我们希望只针对具体某个网段或者某个主机通过vpn连接，而其他连接

比如访问互联网，都仍然走本地连接。

       下面的材料参考英文网站 http://lists.unix-ag.uni-kl.de/pipermail/vpnc-devel/2009-February/002990.html

中关于vpnc split tunnel建立的方式做阐述。

        第一步：在/etc/vpnc 目录下穿件split.conf文件，内容如下

 

IPSecgateway vpn.xxxx.com

IPSecID groupidxxx

IPSecsecret grouppwd

Xauthusername username

Xauthpassword userpwd

Script/etc/vpnc/vpnc-script-split

       第二步：在/etc/vpnc 下创建vpnc-script-split 脚本文件，内容如下

#ddone IP to the list of split tunnel

add_ip()

{

        exportCISCO_SPLIT_INC_${CISCO_SPLIT_INC}_ADDR=$1

        exportCISCO_SPLIT_INC_${CISCO_SPLIT_INC}_MASK=255.255.255.0

        exportCISCO_SPLIT_INC_${CISCO_SPLIT_INC}_MASKLEN=24

        exportCISCO_SPLIT_INC=$(($CISCO_SPLIT_INC + 1))

}

 

#Initialize empty split tunnel list

exportCISCO_SPLIT_INC=0

 

#Delete DNS info provided by VPN server to use internet DNS

#Comment following line to use DNS beyond VPN tunnel

unsetINTERNAL_IP4_DNS

 

#List of IPs beyond VPN tunnel

add_ip10.200.9.0       # 

#Execute default script

./etc/vpnc/vpnc-script

 

# Endof script

保存后，赋予执行权限 

chmod 700 /etc/vpnc/vpnc-script-split

注意，如果是对特定主机    exportCISCO_SPLIT_INC_${CISCO_SPLIT_INC}_MASKLEN=32， 

exportCISCO_SPLIT_INC_${CISCO_SPLIT_INC}_MASK=255.255.255.255

可以针对自己要设置的网段，修改这里。 

执行vpnc split.conf

验证路由表 route -n

123.176.60.3    192.168.197.2   255.255.255.255 UGH   0     0        0 eth0

192.168.197.0   0.0.0.0         255.255.255.0   U    0      0        0 eth0

10.200.9.0      0.0.0.0         255.255.255.0   U    0      0        0 tun0

0.0.0.0         192.168.197.2   0.0.0.0         UG   0      0        0 eth0

此时互联网访问没有任何问题，只有10.200.9.x的流量从隧道到vpn的另一端