WSG自帶的openvpn服務端集成了openvpn服務，可以讓外網終端撥入到公司內部局域網。WSG的openvpn服務端采用了ca證書和用戶名密碼認證雙重認證，安全性和穿透性都很高。下面是具體的步驟介紹：

1. 開啟openvpn服務

在“VPN-openvpn服務端”中開啟openvpn服務，選擇用戶名認證。推送路由里面配置的是允許外網訪問的本地局域網網段，如果允許外網終端通過公司線路訪問外網也可以在這里配置允許訪問的外網網段。

有時候不同運營商之間的GRE協議是不通的，會導致PPTP連接不上。而L2TP工作在UDP 1701端口，和PPTP相比穿透性更強，而PPTP需要開通TCP 1723和GRE協議才可以。

本例中，我將介紹WSG上網行為管理的L2TP的用法。如下圖：

1. 開啟PPTP/L2TP服務端

VPN類型選擇L2TP

甲方有些業務系統出于安全需要，會綁定登錄的IP地址只允許總公司的IP訪問。這種情況下，分公司如果想要訪問該業務系統，也必須走總公司的寬帶才可以。在如何實現分公司訪問指定地址的時候走總部流量一文中，我們介紹了通過PPTP來實現分公司走總公司線路的解決方案。本文中，我將介紹Openvpn的實現方案，openvpn不需要GRE協議，穿透性和安全性都比PPTP要強大。以下是具體的配置步驟：

1. 服務端的配置

在總部的WSG上面，需要開啟OpenVPN服務端，選擇用戶名認證，推送路由里面既要推送總部的內網網段，也要推送甲方系統的IP地址。如下圖：

笨驢SD-WAN盒子可以非常方便的實現多地組網，無需修改現有網絡結構，無需替換現有的網絡設備，只要在兩地通過旁路方式分別接一臺SDWAN盒子即可組建虛擬局域網。網絡結構如下圖：

本文將介紹笨驢SD-WAN盒子的首次安裝步驟。

1. 接線方式

如圖所示，SD-WAN盒子這款硬件有如下配置：

• 一個以太網網口，默認自動獲取IP。

• 自帶wifi（SID: wfilter-sdwan，無線網段是192.168.120.0/24）

隨著疫情反反復復，主動或被動采取遠程辦公的公司越來越多。企業網絡除了滿足日常的局域網組網，還需要可以滿足員工在外、在家時可以隨時隨地接入到企業內網。傳統的做法一般需要企業申請帶固定IP的企業專線，通過該固定IP提供遠程撥入服務。而由于專線方案價格高，很多企業承受不了。在本文中，我將介紹沒有公網IP時如何通過SD-WAN的方案來實現遠程辦公撥入。網絡結構圖如下：

傳統的異地組網方式要求企業有帶固定公網IP的專線才可以實現；由于IPv4資源的短缺，運營商專線價格高企，大部分企業無法承擔高額的專線費用。為解決此問題，各大網絡廠商各顯神通，研發出了一系列的解決方案。本文中，我將介紹如何利用“SD-WAN技術”來實現沒有公網IP時的異地組網互聯。和傳統的VPN相比，SD-WAN有如下優勢：

• 自動尋址，無需公網IP。

• 點對點加密傳輸，無需通過服務器轉發，傳輸安全性高。

• 多平臺支持。有windows，安卓客戶端。

• 既能實現多地組網，又可以實現遠程辦公撥入。

隨著互聯網、數字化的迅速發展，遠程辦公、移動辦公、居家辦公已經是企業必備的網絡服務。企業網絡除了滿足日常的局域網組網，還需要可以滿足員工在外、在家時可以隨時隨地接入到企業內網。傳統的做法，一般有如下兩種：

1). 企業申請帶固定IP的企業專線，通過該固定IP提供遠程撥入服務。

2). 在路由器上綁定動態域名，通過動態域名來訪問。

近年以來，由于IPv4資源的短缺，運營商改為只分配內網的IPv4地址，導致動態域名這個方案已經不可行了。而專線方案價格高企，很多企業承受不了。

在如何利用Web VPN來保護內網信息安全一文中，我們介紹了如何用WebVPN來訪問內網的Web服務器。WebVPN可以給內網服務器添加一層認證保護，只有認證過的用戶才可以訪問內網資源，從而有效的保護了內網數據的安全性。對于Web服務器來說，WebVPN是通過子域名的方式，每個web服務都需要對應一個不同的二級域名。在WFilter NGF的2.0版本中，我們給WebVPN添加了轉發到“TCP服務器”的功能，使WebVPN用戶可以在認證后訪問到指定的TCP服務器。以下是Web方式和TCP方式的差別和優缺點分析：

Web方式

1. 只能轉發到指定的Web服務器。

2. 每個Web服務器都必須對應一個二級子域名。

3. 可以對Web站點的內容進行替換。

TCP方式

1. 可以轉發到任意的TCP服務。比如內網的ssh，rdp等，也包括web服務。

2. 每個TCP服務必須對應一個本地端口。

3. 外網用戶必須經過認證才可以訪問TCP端口。

4. 不能對內容進行修改。

網管在做遠程技術支持的時候，需要連接到客戶的內網或者路由器。對于有公網IP的網絡，可以直接通過公網IP或者動態域名去訪問。由于現在運營商很多都只給內網IP，使得遠程技術支持必須要做內網穿透才可以。所以很多網管在做網絡維護的時候，還需要給用戶安裝FRP或者NPS的內網穿透服務，增加了維護的成本和復雜性。

在本文中，我將介紹如何通過SD-WAN的方式來給客戶提供遠程網管服務。SD-WAN和其他方式相比，可以自動尋址穿透，無需公網IP，也無需云主機轉發。具體步驟如下：

相對于傳統方案而言，SD-WAN有著無可比擬的優勢，很多局域網都采用了SD-WAN的智能組網和遠程辦公方案。SD-WAN的網絡規劃主要考慮如下三個方面：

• 多地虛擬組網

• 遠程辦公撥入

• 網管技術支持

所以，我們在配置SD-WAN網絡時候，主要考慮這三個需求就可以。

如圖：

在“如何用SD-WAN實現多地組網？”一文中，我們介紹了如何用SD-WAN來實現多地組網。實際上SD-WAN不僅可以用于多地組網，而且可以用于遠程辦公撥入。

和傳統的遠程辦公方案相比，SD-WAN有如下優勢：

• 自動尋址，無需公網IP。

• 點對點加密傳輸，無需通過服務器轉發，傳輸安全性高。

• 多平臺支持。有windows，安卓客戶端。

本文中，我將介紹如何用SD-WAN實現遠程辦公撥入。

1. 網絡拓撲圖

SD-WAN不需要固定公網IP也可以實現遠程辦公撥入。如下圖，該局域網通過一臺WSG網關連接外網，內網網段是192.168.10.0/24。

SD-WAN即軟件定義廣域網，可以實現異地智能組網，遠程辦公撥入。和傳統的VPN相比，SD-WAN有如下優勢：

• 自動尋址，無需公網IP。

• 點對點加密傳輸，無需通過服務器轉發，傳輸安全性高。

• 多平臺支持。有windows，安卓客戶端。

• 既能實現多地異地組網，又可以實現遠程辦公撥入。

本文中，我將介紹如何用WSG自帶的SD-WAN來實現多地異地虛擬組網。

有些業務系統出于安全需要，會限制登錄的IP地址，比如只允許總公司的IP訪問。這種情況下，分公司如果想要訪問該業務系統，也必須走總公司的寬帶才可以。要實現這個需求，一般有以下解決方案：

1). 方案一：分公司的電腦先撥入總公司的VPN，走總公司線路訪問外網。

2). 方案二：分公司和總公司之間組建site-to-site虛擬局域網，分公司電腦通過總部的代理服務器訪問業務系統。

3). 方案三：分公司和總公司之間組建site-to-site虛擬局域網，通過在分公司的網關上指定分流訪問。

方案一需要在每臺電腦上都撥入VPN，配置和維護都比較麻煩；方案二需要在總部搭建代理服務器；所以相對來說方案三最為方便快捷。本例中，我將結合WSG上網行為管理網關，介紹如何通過多線均衡和VPN客戶端來實現分公司走總部線路訪問業務系統（方案三）。

很多公司出于工作需要，都會提供遠程辦公撥入的VPN，供員工在外地可以連接到企業內網處理工作。但是這也帶來一些安全方面的隱患；所以很多情況下，我們需要對外網撥入后的訪問權限進行控制。

在本例中，我將結合WSG上網行為管理網關的openvpn來介紹如何限制外網撥入后的訪問權限。

在如何用OpenVPN實現遠程辦公？一文中，我們介紹了如何用openvpn 2.4.7版本撥入WSG。在本文中，我將介紹如何用openvpn connnect3.2.3來撥入WSG的openvpn。最新版本的openvpn connect更加好用，而且支持開機自動啟動。

Openvpn服務端的配置過程不再贅述，請參考前文：如何用OpenVPN實現遠程辦公？下面只介紹openvpn connect的安裝部分：

1. 安裝openvpn connect

WSG的Openvpn服務端模塊，主要用于遠程辦公撥入和多地組網。Openvpn撥入后，在默認配置情況下，只有“推送路由”的訪問才會走vpn隧道。客戶端的外網數據仍然走的是自己的外網線路。在有些情況下，你可能需要讓openvpn客戶端的所有外網數據都經過vpn連接。要實現此功能，需要一系列的步驟，具體步驟如下：

WFilter NGF（WSG上網行為管理）的WebVPN功能，既可以支持用戶名密碼認證登錄，還可以支持釘釘掃碼和企業微信掃碼登錄。WebVPN的用戶驗證方式如下圖：

在本文中，我將介紹如何給WebVPN添加釘釘掃碼認證和企業微信掃碼認證功能。

ZeroTier可以在無公網IP的情況下提供便捷的虛擬局域網組網和內網穿透方案。簡單來說, ZeroTier就是一個VLAN組建工具，主要有如下的優勢和缺點：

• 配置非常簡單，只需要在官網創建Network。客戶端直接加入Network即可。

• 跨平臺: ZeroTier提供了windows, macOS, linux, Android, iOS...幾乎全平臺的客戶端, 你可以把任意平臺的設備接入VLAN。

• 免費可以支持100個設備組網。
  

• 缺點：官網只提供英文，沒有中文版。

本文中，我將結合WSG上網行為管理網關，介紹如何用ZeroTier來實現遠程辦公撥入和內網穿透。

為滿足出差在外人員和分支機構辦公的需要，企事業單位一般采用如下的兩種方式：

1. 端口映射，把對應的服務端口映射到公網，供終端訪問。
   

2. VPN。客戶端需要先撥入VPN，然后再訪問內網服務。

這兩個辦法各有優缺點：端口映射的方式，配置簡單但是不夠安全。內網的服務系統直接暴露在公網上，容易被攻擊導致嚴重的損失。VPN的方式，安全系數要高很多。但是VPN需要配置客戶機，配置和維護比較復雜。

在本文中，我將介紹WFilter NGF（WSG網關）中新加的一個功能：Web VPN。采用Web VPN可以帶來如下好處：

企業開展在家辦公，需要滿足員工從外網接入到企業內網的工作需要，那么在選擇網絡設備的時候，主要關注以下幾點：

1. 提供安全可靠的VPN遠程撥入服務

VPN的訪問安全不能只依賴用戶名和密碼，至少要可以提供雙重認證。比如SSL VPN的ca證書加用戶名密碼的方式。用戶既需要有正確的ca證書，還需要正確的用戶名密碼才可以接入。這是內網數據安全的第一道防線。

疫情期間，很多企事業單位都選擇在家辦公。員工在家通過虛擬局域網連接到企業內部的ERP、OA、財務等系統，既可以滿足疫情防控的需要，又不影響工作。那么企業要進行遠程辦公應該如何搭建網絡環境呢？本文中，我將結合WSG上網行為管理網關，來描述企業如何準備在家遠程辦公的網絡環境。

1. 先上網絡拓撲圖

PPTP雖然飽受安全性詬病，但是由于PPTP速度快、支持的系統多（windows、andriod默認都可以支持），仍然有很多人選擇PPTP作為遠程辦公的撥入協議。有一點我們要注意的是，PPTP的安全性依賴用戶名密碼，而且通訊加密強度不夠。如果對安全性要求高，建議采用SSL VPN（openvpn）等更安全的VPN通訊協議。

在本文中，我講介紹PPTP遠程辦公撥入的具體步驟。

1. 開啟PPTP服務端

首先要在遠程網絡上開啟PPTP服務，以WSG上網行為管理網關為例，具體配置如下圖：

WSG上網行為管理（WFilter NGF）既可以做網關部署，也可以做網橋部署。在網橋部署模式下，WSG的IPSec VPN和OpenVPN一樣是可用的，可以實現單臂模式的VPN組網。網絡結構如下圖：

本文將結合WSG介紹如何實現IPSec VPN的單臂部署。

現在大部分虛擬局域網的組建都通過IPSec的方式，其實用openvpn來組網也是很不錯的方案。跟IPSec相比，openvpn的功能更加強大和靈活：

1. 可以修改端口和通訊方式。
   

2. 可以實現用戶名認證和證書認證兩種認證方式。

3. 可以對客戶端分配IP，從而實現更加細致的防火墻權限控制。

本文將簡單介紹openvpn組網的一些簡單步驟，如果您要用openvpn實現遠程辦公撥入，請參考：如何用OpenVPN實現遠程辦公？