如何使用SSL远程访问VPN连接两个站点？

Question

我的中心站点上有一个Fortigate 110 C。我也有一个偏远的工地办公室。远程站点的用户需要通过VPN访问中心站点。我能否在PC或远程站点上的任何设备上运行SSL客户端软件，并通过它重定向所有VPN通信量？

其目的是避免这两种情况：

1. 在远程站点上放置新的VPN集中器或防火墙
2. 我们不希望每个用户在远程办公室的PC上安装SSL客户端，并单独拨号。

Answer 1

理论上您可以这样做，但是您需要一个好的客户端机器才能做到这一点，我的意思是良好的Windows安装。

这是因为您想要使用SSL客户端的机器上的操作系统必须处理所有通信量，而该机器必须以某种方式证明路由器和防火墙的能力。

第一步:将机器(从远程办公室)连接到总部。您将收到来自SSL_VPN_pool的IP地址。

步骤2:您将在所有站点(来自远程办公室)上添加一个静态(持久路由)，对于总部目标来说，这将必须通过步骤1所连接的机器到达。

步骤3:您必须在使用SSL客户端的机器上启用路由和远程服务(我假设您将使用Windows，尽管Linux在这方面会更好地工作)，以便从该位置的流量将从lan接口路由到VPN_interface。这里有一个陷阱:您可以使用SSL_IP_pool的源访问此流量，也可以让它这样做。

步骤4:如果不使用NAT，则必须为远程办公网络添加Fortigate静态路由，并在ssl.root接口上添加防火墙规则-> to ->HQ_internal。

您可以这样做，但是您不想花费的extra_vpn_equipment_money将被NAT-编辑成一些workstation_configuration_sweat。

Answer 2

这是一个开箱即用的答案，但取决于您的无线供应商，其中几个提供了“远程AP”配置，允许AP在启动时创建一个VPN隧道给控制器。

然后，您的远程(和临时)用户将连接到AP并通过VPN返回到控制器。您必须想出其他解决方案，如打印(无线打印机？)，但这将是可能的，特别是在2个月的部署。

Answer 3

OpenVPN是一个SSL，您可以在商品硬件上部署它，它可以做基于SSL的站点到站点虚拟专用网，或者远程访问VPN。

与流行的观点相反，SSL可以做得和IPSEC一样好或更好。

我不知道是否允许具体的建议，但是。我建议购买一台旧的台式电脑，安装一个额外的NIC，并安装pfsense防火墙。它支持IPSEC以及OpenVPN (基于SSL/TLS)(它可以绕过第一和NAT问题)

此解决方案不需要花费任何费用，而且学习曲线非常小，如果您没有公共IP，它甚至可以处理动态DNS。