如何使用 VPN 客户端和共享 Internet 网关设置小型办公网络

我发现有两个问题你需要解决；不幸的是，它们都不是真正“容易”的，我建议从你所在地区的第三方小型企业顾问那里获得帮助，因为你在这里处理客户的信任，失去客户信任可能是一件非常糟糕的事情。

• 客户希望始终与您的办公室保持加密连接。 传统上，这个问题通过在两个防火墙之间建立站点到站点的 IPSec VPN 隧道来解决。通过设置路由（并确保 LAN 子网之间没有重叠），您可以确保往返于您的办公室和他们的办公室的流量始终是加密的，只要双方都通过他们的 LAN 子网访问彼此的资源即可。例如，如果您需要在他们的那边访问某个应用程序或 Web 服务（如 Intranet），您可以调出http://192.168.1.5其中 192.168.1.0/24 是他们的 LAN 子网，而 192.168.1.5 是运行 Intranet 的 Web 服务器。

• 您想访问整个办公室内仅限美国的网站。 我会考虑在微型 Amazon EC2 实例中设置代理，并使用身份验证和防火墙规则来仅允许访问您办公室的 WAN IP。 乌贼可以很容易地设置，甚至微型代理，因为启用缓存实际上不会给你带来任何好处。然后，你可以在 FireFox 中设置 FoxyProxy，将美国网站列入白名单，这样只有美国网站才能通过代理访问，或者你也可以对 LAN 上的另一个代理执行相同操作，该代理将根据请求的 URL（域）确定要使用哪个上游代理（如果有）。我还会在 Google 上搜索“Hulu 代理服务”或“Hulu VPN”，因为可能存在更固定的解决方案，可以省去很多猜测。

是的，您需要设置一个设备，作为所有通过 VPN 的连接的路由器。如果此设备也是您的默认网关，则客户端无需应用任何进一步的配置 - 它们将使用默认网关进行所有操作，并且需要告知网关哪些目的地通过 VPN 进行路由。否则，您可以告诉您的客户端计算机通过任何运行 VPN 的计算机路由 VPN 流量，但这对每个人来说都变得更加复杂。

我们最近更换了我们的思科 RV082VPN 路由器Netgate m1n1wallVPN 路由器。通过运行普富思，我们可以配置：

1. 两个站点之间的持久 IPsec VPN 隧道，每个站点包含一个Netgate m1n1wallVPN 路由器
2. 为我们的旅途勇士提供基于 IPsec 的 VPN 连接

您可以购买一个Netgate m1n1wall并将其配置为与您的 AWS EC2 VPS 创建持久的 OpenVPN 隧道，并且您可以为您的 iPad 和其他客户端系统配置 IPsec 移动连接。

Netgate m1n1wall 配置

• Netgate m1n1wall价格为 214 美元 + 运费，包含：
  • ALIX.2D13系统板配有 500 MHz AMD Geode LX800 CPU 和 3 个 10/100 Enet 端口
  • 预装 2GB Sandisk Ultra CF 卡普富思
  • 桌面机箱
  • 120 VAC/DC 15V 电源
  • 普富思— “一个免费的、开源的 FreeBSD 定制发行版，专门用于防火墙和路由器。”
• VPN1411加速卡72 美元 + 运费

这是我目前所做的事情，遵循了 gravyface 的回答（第 2 部分）中的想法。

在 NAS（Netgear NV+）上，我使用以下命令设置动态端口转发

ssh -f -N -D ip:port user@machine

和 tinyproxy。Tinyproxy 本身无法与 SOCKS 配合使用，但它可以与 tsocks 配合使用，tsocks 包装来自 tinyproxy 的连接并通过动态端口转发发送它们。

因此，tinyproxy 接收来自 LAN 上的机器的请求，并使用动态端口转发将这些请求传输到 Internet。

至于访问仅限美国的网站：

• 诸如“我的 IP 是什么”之类的服务检测到代理，但认为请求来自美国（检测到代理是因为 readyNAS 上可用的 tinyproxy 版本较旧，不允许抑制“via”标头）
• hulu.com 运行良好（使用 AWS 端点时除外）

但我不知道这种设置有多安全。

据我了解，从 LAN 到代理的流量未加密，但这并不重要，因为代理也在 LAN 上；代理和端点之间的流量是加密的。因此，如果我没有记错的话，窥探我们 LAN 的人可以读取我们的流量，但我们 LAN 之外的人（我们的 ISP）则不能（对于使用代理的机器而言）。