基于主机名（不是IP范围）通过VPN路由连接

这让我很烦恼。

我需要通过VPN连接到客户端的网络。但我绝对不希望通过客户端的网络发送所有流量，所以这个选项是不可能的。我需要的是操作系统知道所有客户端的网络子域（* .example.com）都需要通过VPN连接。

我尝试了几个选项：

1. 更改服务顺序并将VPN设置在最顶层，但这与“通过VPN连接发送所有流量”相同。
2. 使用网络高级选项中的“VPN on Demand”选项，但这个功能说实话非常垃圾。似乎只能在Safari（？！）中工作并且它不会路由连接，但它基本上会触发操作系统连接到选定的VPN。

我需要它基于主机名而不是IP范围工作的原因很简单 - 我的客户端在他的网络中有很多服务器，我不可能记住所有的IP。它们都在一个范围内，但这并没有帮助我记住。

另一种选择是将VPN连接放在网络服务的底部并取消“发送所有流量......”，然后将所有已知的主机名放在hosts文件中，但考虑到可能有数百台服务器（因此也有主机名和ips）这是荒谬的工作。如果网络上出现新服务器，我需要再次编辑hosts文件。Sisyphean劳动力。

但是这非常简单适用于Windows。如果主机名不能通过默认网络接口使用，那么它似乎尝试VPN连接，这非常有效。

那么，我怎样才能在Mac上实现呢？

我知道客户端的内部DNS地址是否有任何帮助（比如通过不同的DNS引导某些域）？

PS。使用最新版本10.6.6。
PS2。我使用VPN访问内部网，版本控制服务器（svn：//），samba共享以及SSH访问服务器。

在VPN连接之前和之后执行netstat -r。请注意默认路由从默认网关到VPN链接的更改。删除VPN连接的IP地址的默认链接使用目标子网将客户端的子网和VPN子网添加到您的路由，以便客户端的流量通过VPN。您通过网关的原始默认路由应该完好无损，而您的常规流量应该通过您自己的网关。

执行此操作的标准方法是仅通过VPN路由客户端IP范围。在您的默认网络上路由其他流量。

出于安全原因，许多VPN连接将强制通过VPN的所有流量来控制信息泄漏。我会讨论与你的客户做其他事情。在做自己的工作时断开与VPN的连接。

如果您可以在VPN服务器（例如Windows Server 2008）上运行RIP或其他路由协议，您也可以在Mac上运行RIP，这将自动添加服务器通告的路由。这样，您只需要指定一次路由列表，并为VPN客户端自动配置它。

在实践中，您可能希望VPN服务器仅通告路由而不是监听任何客户端发生的任何广告，否则恶意或损坏的客户端可能会转移所有/某些流量。

您所建议的内容称为“分割隧道”，大多数情况下，网络管理员出于安全原因不允许这样做。根据您使用的VPN客户端，VPN客户端会创建虚拟网络适配器，并且流量的默认路由将成为隧道。除少数例外情况，VPN用户无法修改此行为。

所以不幸的是，您必须断开与VPN的连接才能引导隧道外的流量。