上面的三段我只想说明一点：使用VPN连接，必须让通过VPN连接传输的数据包先到达VPN虚拟接口进行处理，如果绕过了VPN虚拟接口不处理的话，由于这个VPN连接的数据包没有经过加密措施就直接发送到了Internet上，那么你的VPN安全就根本没有保证。

　　现在我们来看一下，在VPN连接后此时VPN客户端的路由表。默认路由没有变，添加了一条VPN端口IP对应的分类网络路由条目：150.0.0.0 255.255.0.0 150.0.1.226 150.0.1.226 1，（见图2 Active Routes下第四行）。假设现在通过VPN连接访问远程公司内网的192.168.0.0/24子网，根据上面的路由表，匹配的路由只有第一条默认路由。默认路由是通过本地网卡到达网关后直接发送到192.168.0.0/24去的，因为Internet上的路由器不会转发到达私有网络的数据包，这样就可以达到外界不能访问公司内网、保证内网安全的目的。因此选中了“在远程网络上使用默认网关”选项，采用了默认路由，就不会出现前面所说的路由问题和安全问题。

　　而像很多用户取消“在远程网络上使用默认网关”选项，虽然远程子网能通过Internet到达，但由于绕过了VPN虚拟端口，数据是没有加密的，不能保证数据的安全性。这并不是真正的VPN，因此取消这个选项是不可取的。退一步来说，即使给VPN客户端分配192.168.0.0/24子网的IP，如果取消“在远程网络上使用默认网关”选项，也会出现路由问题，因为所有发送到本地子网的数据包将被路由到远程子网中。为了避免客户端的这种路由问题，我们为VPN客户端分配IP范围时不要与客户端所处的网络范围相同。

　　看了这么多，文章开头我说了如果取消了“在远程网络上使用默认网关”选项，就会带来新的路由问题甚至安全隐患。那么怎样来解决这个问题呢？不取消这个选项就不能同时访问内网和外网阿里云 vpn 无法连接不上。这确实是一个两难，针对这个问题没有一个统一的设置，不同的网络环境只能用不同的解决方法。目前来说，取消“在远程网络上使用默认网关”的选项肯定会导致安全问题。我们只能尽量不要取消它，对于那些既想通过VPN连接访问公司内网而且还需要访问外网的用户，我建议可以采用这样一种方法——配置它们使用代理访问Internet，比如设置它们使用HTTP代理，这个功能是大多数代理服务器都提供的。另外，如果 VPN客户端的IP与VPN服务器的网卡位于同一个逻辑子网，并且只访问这个逻辑子网，对于这种情况可以取消“在远程网络上使用默认网关”选项。

　　以上说了这么多，我都写累了，大家对其中的实现步骤肯定也会有些不是很清楚。这并没有关系，只要大概了解VPN数据包需要经过封装加密，才能进行传输并安全访问外网这些基本原理，我写这篇文章的目的就达到了。

　　综上所述，只有使用代理服务器、VPN客户端IP与VPN服务器网卡位于同一个逻辑子网这两种情况例外，可以取消“在远程网络上使用默认网关”的选项。至于一般情况，还是谨慎使用VPN为好，我想我们访问网络的目的都是一样的——保证公司网络的安全放在第一位。希望广大网友在使用VPN虚拟专用网的过程中一切顺利。