在现代远程办公和跨地域协作日益普遍的背景下，Mac 用户越来越多地依赖虚拟私人网络（VPN）来安全访问公司内网资源、绕过地理限制或增强隐私保护，单纯连接到一个 VPN 服务并不总是足够——如果不对路由表进行精细控制，可能会出现“全流量走 VPN”导致性能下降，或“部分流量未受保护”的安全隐患，本文将深入讲解如何在 macOS 系统中合理配置和管理基于路由的 VPN 连接，实现更高效、更安全的网络策略。

理解基础概念至关重要，默认情况下，当您使用 macOS 自带的“网络偏好设置”中的“VPN”选项添加一个连接时，系统通常会启用“路由所有流量通过该连接”（即全隧道模式），这虽然简单易用，但在某些场景下并不理想，如果您只想让特定 IP 段（如公司服务器地址）通过加密通道，而本地局域网（如打印机、NAS）保持直连,则需要手动修改路由表。

macOS 提供了强大的命令行工具 route 和 networksetup 来精细化控制路由行为，假设您的公司内网段是 192.168.100.0/24，而您的 Mac 默认网关是 192.168.1.1，第一步，在连接好 VPN 后,运行以下命令查看当前路由表：

netstat -rn

你会看到类似如下内容：

Destination        Gateway            Flags      Refs      Use   Netif Expire
default            192.168.1.1        UGScg        50       0     en0
192.168.100.0/24   10.8.0.1           UGSc         10       0     utun0

utun0 是 OpenVPN 或 WireGuard 创建的虚拟接口，如果你想让目标网段 192.168.100.0/24 仅通过该接口通信，但其他流量仍走本地网关,可以执行以下操作：

sudo route delete 192.168.100.0/24
sudo route add -net 192.168.100.0/24 -interface utun0

注意：这里的 -interface 参数非常关键，它告诉系统将特定子网的流量定向到指定的虚拟接口（即你的 VPN 接口）,而不是默认网关。

还可以结合 pf（Packet Filter）防火墙规则进一步强化策略，只允许特定端口通过隧道，或者阻止某些应用直接访问互联网，编辑 /etc/pf.conf 文件并添加规则后，重启 pf 服务即可生效。

对于高级用户，建议使用第三方工具如 Tunnelblick（OpenVPN GUI）或 ProtonVPN 的 macOS 客户端，它们提供了图形界面下的路由选项，支持“Split Tunneling”功能——即选择哪些应用或子网走 VPN，哪些直连，这对于企业 IT 管理员尤其重要，既能保障数据安全,又能避免不必要的带宽浪费。

最后提醒一点：每次重新连接或断开 VPN 时，路由可能被重置，建议编写脚本自动执行路由配置，并将其集成到开机启动项中（使用 launchd plist）,确保网络策略始终生效。

掌握 macOS 上的路由级 VPN 配置，不仅能提升网络效率，还能显著增强安全性与灵活性，无论你是远程工作者、开发者还是网络管理员,这项技能都值得深入学习和实践。