我们在家乡工作，我正在考虑在不牺牲安全性的情况下优化 VPN。我们没有使用拆分隧道。

我们在大多数客户端上都有直接访问 - 它很慢，并且已经将一些转移到 AnyConnect，我们在公司网络上使用代理服务器和 TMG 防火墙客户端（默认路由只会丢弃 Internet 绑定流量，很少有白名单例外）

我们已经阻止了 YouTube、Netflix 和其他带宽占用者。

我们有什么办法可以： 1. 直接向 Symantec WSS 发送流量（无隧道） - 说 8 个子网以获得数据中心的良好覆盖 2. 通过 DA / AnyConenct 发送 10.0.0.0/8 3. Blackhole（首选）或路由通过 VPN 隧道剩余流量。

因此，基本上，将路由推出，确定它们是本地的还是隧道的。

现在使用 AnyConnect，我有以下路由：因此，在 VPN 上运行的默认路由具有低度量，另一个具有高度量使用本地突破。所以添加本地路由会有很大帮助，然后我们可以过滤公司网络上的默认路由。似乎大多数拆分隧道只允许您指定隧道路由，而不是本地路由。

Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.172     35
          0.0.0.0          0.0.0.0       10.1.200.1      10.1.200.46      2
       10.1.200.0    255.255.252.0         On-link       10.1.200.46    257
...

直接访问不同，它保留我的 IP4 网关，作为唯一的默认 IPv4 网关。所以我可以访问本地的所有内容（192.168.1.0/24）。因此必须通过 IP6 隧道（通过 IPv4）路由其余部分。