我的公司有一个用户离开办公室,经常在家工作。 我需要为他设置一个VPN连接。 这是情况。
我们的networking设置如下:
一个。 互联网从电缆调制解调器进来,并具有已知的静态IP地址。
湾 调制解调器连接到Linksys / Cisco RVS4000 VPN防火墙/路由器。 该设备在我们的内部networking上有一个静态IP地址,不提供DHCP服务给networking。 其固件版本是1.3.2
C。 RVS4000然后连接到我们的内部networking。 内部networking上的所有内容都位于同一个子网中,并且其IP地址由Windows Server 2003域控制器分配。
用户需要首先能够访问networking资源。 理想情况下,他也应该能够通过域名进行身份validation,但这是次要的。 使用域进行身份validation将使访问Intranet变得更加容易。
我曾看过并尝试过:
Linksys /思科quickvpn客户端。 这个东西从来没有在所有的固件升级工作。 也许我做错了什么。 使用这个,我在RVS4000上设置了用户帐号,导出了一个证书并把它放到远程机器的quickvpn目录下。 当我尝试连接时,它不起作用。 它不会build立连接。
ShrewVPN客户端:我不完全确定如何configuration这个。
OpenVPN:由于linux-fu的限制,我还没有走得很远。
在这一点上,我准备好像一个白痴一样对待。 显然我错过了一些东西,不知道从哪里开始。
我们使用OpenVPN作为我们的“家庭”和“现场”工作人员。 有Windows,Linux和Mac OS X的客户端(称为tunnelblik)。 我们把我们的访问服务器从一个Fedora框中运行,但是根据openvpn 网站 ,也有作为虚拟设备或VHD的访问服务器。 但是,这将需要一台直接连接到Internet的服务器,或者一些端口从防火墙转发到访问服务器。 从上面的描述来看,这听起来像端口转发是你的方式。
我们使用这个自签名证书(即我们为每个用户创build的证书),它就像一个魅力。 我们的访问服务器configuration为在端口443上运行,这使得“现场”工作人员可以更容易地从旅馆(通常对哪些端口被允许有强烈的限制)进行连接。
使用Windows客户端,可以将OpenVPN客户端configuration为在Windowslogin提示符出现之前启动,这意味着在login时,您已经连接到您的LAN,并且对AD的身份validation很简单:用户获得select他要login的域(本地域或AD域)。 或者,如果客户端未configuration为自动启动,则用户仍可以使用他们的域凭据login(如果计算机已注册),因为Windows会将其凭据caching一段时间。 但是,如果在caching过期之前没有build立连接,家庭作业者可能会陷入困境,特别是如果他没有机器上任何本地帐户的凭证。