我公司有一位用户即将离开办公室,经常在家办公。我需要为他设置 VPN 连接。情况如下。
- 用户将在远程位置工作。远程 IP 地址不是静态的。
我们的网络设置如下:
a. 互联网通过电缆调制解调器接入,具有已知的静态 IP 地址。
b. 调制解调器连接到 Linksys/Cisco RVS4000 VPN 防火墙/路由器。此设备在我们的内部网络上有一个静态 IP 地址,不向网络提供 DHCP 服务。其固件版本为 1.3.2
c. 然后,RVS4000 连接到我们的内部网络。内部网络上的所有内容都位于同一子网中,其 IP 地址由 Windows Server 2003 域控制器分配。
用户首先需要能够访问网络资源。理想情况下,他还应该能够通过域进行身份验证,但这是次要的。通过域进行身份验证将使访问内联网更加容易。
我所观察和尝试过的:
Linksys/Cisco quickvpn 客户端。这个东西在所有固件升级中都不起作用。也许我做错了什么。使用这个,我在 RVS4000 上设置了用户帐户,导出了证书并将其放在远程计算机上的 quickvpn 目录中。当我尝试连接时,它不起作用。它不会建立连接。
ShrewVPN 客户端:我不完全确定如何配置它。
OpenVPN:由于 Linux 功能有限,我还没有取得很大进展。
到了这一步,我已经准备好被当成傻子了。显然我错过了什么,不知道从哪里开始。
答案1
我们为“家庭”和“现场”工作人员使用 OpenVPN。有适用于 Windows、Linux 和 Mac OS X 的客户端(称为 tunnelblik)。我们在 Fedora 盒子上运行访问服务器,但根据 openvpn网站,也有可用作虚拟设备或 VHD 的访问服务器。但是,这需要直接连接到 Internet 的服务器,或者从防火墙到访问服务器的某些端口转发。从上面的描述来看,端口转发似乎是您的最佳选择。
我们将其与自签名证书(即我们为每个用户创建的证书)结合使用,效果非常好。我们的访问服务器配置为在端口 443 上运行,这使得“现场”工作人员可以更轻松地从酒店进行连接(酒店通常对允许哪些端口有严格的限制)。
使用 Windows 客户端时,可以将 OpenVPN 客户端配置为在 Windows 登录提示出现之前启动,这意味着在登录时,您已经连接到 LAN,并且针对 AD 的身份验证很简单:用户可以选择要登录哪个域(本地域或 AD 域)。或者,如果客户端未配置为自动启动,则用户仍可以使用其域凭据登录(如果计算机已注册),因为 Windows 会在一段时间内缓存他们的凭据。但是,如果在缓存过期之前没有建立连接,您的家庭作业者可能会有点卡住,特别是如果他没有计算机上任何本地帐户的凭据。