特定のサブネットのみをStrongSwanVPNにルーティングし、Linuxのトラフィック全体をルーティングしないようにするにはどうすればよいですか？

strongSwanのNetworkManagerプラグインは現在、提案されたトラフィックセレクター（トンネリングされるトラフィックを決定する）の変更を許可していません。したがって、常にすべてをトンネリングすることを提案し、サーバーがトラフィックセレクター（以下を参照）を絞り込まない限り、それがネゴシエートされます。

これを回避するための可能な方法：

1. 可能であれば、サーバーの構成を変更して、独自の削減されたトラフィックセレクターのセットを介して、クライアントの提案を目的のサブネットに絞り込みます。一部のクライアントは多かれ少なかれこれを処理できます。strongSwanのNMプラグインは問題ないはずです（strongSwan wikiで見つけることができます 分割トンネリングの詳細 および潜在的な問題異なるクライアントと）。
2. VPNに接続しているときにローカルLANにアクセスすることだけに関心がある場合は、charon-nmに bypass-lanプラグイン をロードできます。デーモン（strongSwan NMプラグイン）のバックエンド）。ローカルに接続されているすべてのサブネットにバイパスIPsecポリシーを自動的にインストールします。
3. 前のオプションと同様に、通常のIKEデーモン（charonまたはcharon-systemd、swanctl.confまたはipsec.confを介して構成）を使用して、サブネットのバイパスIPsecポリシーをインストールします。 VPN経由でアクセスしたくない場合（これは、ローカルに接続されていない場合にも機能します）。

4. charon-nmデーモンがルーティングテーブル220に独自のルートをインストールしないようにする（strongswan.confのcharon-nm.install_routesオプションを使用）か、ルーティングテーブル220をクリアします。接続が確立されました。次に、手動またはNMスクリプト（/etc/NetworkManager/dispatcher.d内、 ここのドキュメント を参照）を介して、トンネリングするサブネットにのみ特定のルートをインストールします。例えば：

   ip route add 10.0.0.0/8 dev <outbound interface> src <virtual IP> table 220
   

   仮想IPアドレスをログまたはip addrを介して（またはスクリプト内で環境変数を介して）決定する必要がある場合。ルートの自動インストールを無効にしない場合は、既存のルートから仮想IPを取得して、後で削除することもできます。

5. または、NMプラグインの代わりに通常のIKEデーモンを使用します。特定のリモートトラフィックセレクターを設定するか、バイパスポリシーを使用して、必要なトラフィックのみをトンネリングするオプションがあります。ただし、VPN接続を構成/開始するためのGUIはありません（ただし、接続を自動的に開始することも、ターゲットサブネットのトラフィックが検出されたときに開始することもできます）。