查看当前路由表

双网卡环境下搭建VPN实现外网连通的实践与优化策略

在现代企业网络架构中，双网卡（即主机配置两张物理网卡）常用于隔离内网与外网流量、提升安全性或实现多业务场景下的独立通信，当需要通过其中一张网卡连接到远程VPN服务（如OpenVPN、IPsec或WireGuard），同时保持另一张网卡访问本地局域网时，往往会遇到路由冲突、流量转发失败等问题，本文将深入探讨如何在双网卡环境中合理配置Linux系统，实现外网通过特定网卡连接到VPN,并确保本地网络不受影响。

明确双网卡的基本分工至关重要，假设我们有两张网卡：eth0（内网接口，IP为192.168.1.100/24）和eth1（外网接口，IP为203.0.113.50/24），我们的目标是让所有发往外网的数据包（例如访问公网服务器）通过eth1走VPN隧道，而内网流量仍由eth0直连,避免数据绕行造成延迟或安全风险。

第一步是安装并配置VPN客户端软件，以OpenVPN为例，使用openvpn命令加载配置文件（如client.ovpn），该配置通常包含服务器地址、证书路径和加密参数，启动后，OpenVPN会在系统中创建一个虚拟网卡（如tun0），并自动添加一条默认路由指向VPN服务器，此时问题出现：系统默认会将所有流量导向tun0，导致内网无法访问——这正是双网卡用户最容易踩坑的地方。

解决方案是静态路由控制，我们需要手动设置路由表，使特定网段（如外网目标）通过tun0，而其他流量（包括内网）保留原有路径,具体操作如下：

# 删除默认路由（原由OpenVPN添加）
ip route del default via <VPN_GATEWAY>
# 添加仅针对外网的路由（示例：访问Google DNS 8.8.8.8）
ip route add 8.8.8.8/32 via <VPN_GATEWAY> dev tun0
# 或者更灵活地，将所有非本地流量定向至tun0（需谨慎）
ip route add default via <VPN_GATEWAY> dev tun0 table 100

还需启用IP转发功能（若涉及NAT）并配置iptables规则,确保从内网发起的请求能正确通过tun0。

# 启用IP转发
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p
# 设置SNAT（源地址伪装）
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

测试验证环节不可忽视，使用ping、traceroute和curl分别测试内网和外网连通性。

• ping 192.168.1.1 应成功（内网可达）
• ping 8.8.8.8 应通过tun0（外网通过VPN）

值得注意的是，部分云服务商（如AWS、阿里云）的防火墙规则可能阻止UDP/TCP端口（如OpenVPN的1194），需提前放行，若应用依赖DNS解析，应配置resolv.conf优先使用VPN提供的DNS服务器,避免域名解析失败。

双网卡+VPN的组合虽复杂但实用，关键在于“分而治之”：通过路由表精确控制流量走向，结合iptables实现精细化管理，这种方案尤其适合开发测试环境、远程办公或混合云部署场景，既保障了外网访问能力，又维护了内网隔离的安全边界，掌握此技术,你就能在复杂网络中游刃有余。

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速