L2TP/IPsec互联网接入问题

Question

当我试图连接到VPN (L2TP/IPsec)时，不要选中“只对其网络上的资源使用此连接”选项，我无法访问Internet，如果使用此选项，则无法访问远程资源

When i check "use this connection only for resources on its network"
route -n
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.31.1    0.0.0.0         UG    600    0        0 wlo1
10.227.89.1     0.0.0.0         255.255.255.255 UH    50     0        0 ppp0
138.000.000.00  192.168.31.1    255.255.255.255 UGH   600    0        0 wlo1
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 wlo1
192.168.31.0    0.0.0.0         255.255.255.0   U     600    0        0 wlo1
192.168.31.1    0.0.0.0         255.255.255.255 UH    600    0        0 wlo1

When i don't check "use this connection only for resources on its network"
route -n
0.0.0.0         0.0.0.0         0.0.0.0         U     50     0        0 ppp0
0.0.0.0         192.168.31.1    0.0.0.0         UG    600    0        0 wlo1
10.227.89.1     0.0.0.0         255.255.255.255 UH    50     0        0 ppp0
138.00.000.00   192.168.31.1    255.255.255.255 UGH   600    0        0 wlo1
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 wlo1
192.168.31.0    0.0.0.0         255.255.255.0   U     600    0        0 wlo1
192.168.31.1    0.0.0.0         255.255.255.255 UH    600    0        0 wlo1

When i don't use vpn 
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.31.1    0.0.0.0         UG    600    0        0 wlo1
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 wlo1
192.168.31.0    0.0.0.0         255.255.255.0   U     600    0        0 wlo1

我发现了类似的bug https://bugs.launchpad.net/ubuntu/+source/network-manager-openvpn/+bug/1598665，但我无法找到解决方案。谢谢你的帮助。

Answer 1

使用255.255.255.255的网络掩码，当像您正在尝试的那样执行拆分隧道VPN时，它目前只知道如何在远程网络上路由到单个主机138.##.###.##。要访问同一子网上的其他主机，网络掩码通常类似于255.255.255.0、255.255.0.0等。

我不知道远程网络拓扑结构，也不知道VPN服务器是如何为IPCP查询配置的，这会导致255.255.255.255的网络掩码，但在客户端，您可以手动将路由添加到您想要访问的远程子网，例如：

对于255.255.255.0的网络掩码：

sudo ip route add 138.##.###.0/24 dev ppp0

或者，如果您想要一个255.255.0.0的网络掩码：

sudo ip route add 138.##.0.0/16 dev ppp0

注:用实际IP地址八进制替换#s。

如果上面的子网示例是不正确的，添加路由到实际子网(S)您想要到达的远程网络。

如果拆分隧道VPN路由对Windows运行良好，则可能使用DHCP选项121或249。我不确定您使用的是哪个DHCP客户端，也不确定它是否支持121或249。