我们正在将数据中心托管的 Web 应用程序迁移到云提供商,并且我们需要在其中一台云服务器和我们的内部办公网络之间建立 VPN 隧道,以便我们可以从内部数据库服务器安全地移动/访问数据。
在我们当前的设置中,我们有一个硬件 VPN 隧道,它设置在两个不同网络(办公室和数据中心)的防火墙上。但是,如果我们设置到新的云托管提供商的硬件 VPN 隧道,我们将产生高额的月费,而我希望避免这种情况。
有没有办法在一个网络上运行 Windows Server 2008 R2 的一台服务器和另一个网络上的硬件防火墙之间建立软件 VPN 隧道?
答案1
我只想使用 Windows 内置的 Windows 路由和远程访问 VPN。您需要配置服务器(可能还需要设置一些证书),然后配置云服务器以按需拨号到您的网络或通过脚本在启动时启动 VPN 连接。配置 VPN 以在断开连接时自动重拨。
Winodws 7/2008r2支持四种类型的VPN:PPTP L2TP SSTP IKEv2
PPTP 不安全,所以不要使用它。
L2TP 需要由同一认证机构颁发的客户端和服务器证书(可以是 Windows 证书服务器,也可以是外部服务器(如 Digicert),甚至是您自己安装的 OpenSSL)。
对于进行 VPN 的远程用户,SSTP 和 IKEv2 只需要在服务器端(您的家庭办公室)具有受信任的证书,但由于您可能希望使用计算机证书身份验证“EAP-TLS”而不是用户名和密码,以便您的云服务器可以自动连接,因此您可能仍然需要客户端证书。
SSTP 基于 TCP,性能非常差(TCP-in-TCP 性能不佳),所以除非别无选择,否则不要使用它。
我建议使用带有 EAP-TLS 身份验证的 L2TP 或 IKEv2。在 Windows RRAS 中将其设置为持久请求拨号连接,这样只要有家庭连接,它就会自动连接。