26
2024
02

如何用openvpn实现用总部线路访问甲方系统?

甲方有些业务系统出于安全需要,会绑定登录的IP地址只允许总公司的IP访问。这种情况下,分公司如果想要访问该业务系统,也必须走总公司的宽带才可以。在如何实现分公司访问指定地址的时候走总部流量一文中,我们介绍了通过PPTP来实现分公司走总公司线路的解决方案。本文中,我将介绍Openvpn的实现方案,openvpn不需要GRE协议,穿透性和安全性都比PPTP要强大。以下是具体的配置步骤:


1. 服务端的配置

在总部的WSG上面,需要开启OpenVPN服务端,选择用户名认证,推送路由里面既要推送总部的内网网段,也要推送甲方系统的IP地址。如下图:

202402261708932644133475.png

25
2022
07

旁路组网时如何配置静态路由规则?

笨驴SD-WAN盒子可以非常方便的实现多地组网,无需修改现有网络结构,无需替换现有的网络设备,只要在两地通过旁路方式分别接一台SDWAN盒子即可组建虚拟局域网。网络结构如下图:

Sdwanbox deployment2.png

25
2022
07

笨驴SD-WAN盒子的首次安装。

本文将介绍笨驴SD-WAN盒子的首次安装步骤。

1. 接线方式

如图所示,SD-WAN盒子这款硬件有如下配置:

  • 一个以太网网口,默认自动获取IP。

  • 自带wifi(SID: wfilter-sdwan,无线网段是192.168.120.0/24)

Sdwanbox hardware.png

25
2022
07

远程办公怎样连接公司网络?

随着疫情反反复复,主动或被动采取远程办公的公司越来越多。企业网络除了满足日常的局域网组网,还需要可以满足员工在外、在家时可以随时随地接入到企业内网。传统的做法一般需要企业申请带固定IP的企业专线,通过该固定IP提供远程拨入服务。而由于专线方案价格高,很多企业承受不了。在本文中,我将介绍没有公网IP时如何通过SD-WAN的方案来实现远程办公拨入。网络结构图如下:

08
2022
04

没有公网IP如何实现异地组网?企业组建虚拟局域网是否一定要公网IP?

传统的异地组网方式要求企业有带固定公网IP的专线才可以实现;由于IPv4资源的短缺,运营商专线价格高企,大部分企业无法承担高额的专线费用。为解决此问题,各大网络厂商各显神通,研发出了一系列的解决方案。本文中,我将介绍如何利用“SD-WAN技术”来实现没有公网IP时的异地组网互联。和传统的VPN相比,SD-WAN有如下优势:

  • 自动寻址,无需公网IP。

  • 点对点加密传输,无需通过服务器转发,传输安全性高。

  • 多平台支持。有windows,安卓客户端。

  • 既能实现多地组网,又可以实现远程办公拨入。

07
2022
04

没有公网IP时如何实现远程办公拨入?

随着互联网、数字化的迅速发展,远程办公、移动办公、居家办公已经是企业必备的网络服务。企业网络除了满足日常的局域网组网,还需要可以满足员工在外、在家时可以随时随地接入到企业内网。传统的做法,一般有如下两种:

1). 企业申请带固定IP的企业专线,通过该固定IP提供远程拨入服务。

2). 在路由器上绑定动态域名,通过动态域名来访问。

近年以来,由于IPv4资源的短缺,运营商改为只分配内网的IPv4地址,导致动态域名这个方案已经不可行了。而专线方案价格高企,很多企业承受不了。

18
2022
03

如何利用WebVPN访问网内的TCP服务?

如何利用Web VPN来保护内网信息安全一文中,我们介绍了如何用WebVPN来访问内网的Web服务器。WebVPN可以给内网服务器添加一层认证保护,只有认证过的用户才可以访问内网资源,从而有效的保护了内网数据的安全性。对于Web服务器来说,WebVPN是通过子域名的方式,每个web服务都需要对应一个不同的二级域名。在WFilter NGF的2.0版本中,我们给WebVPN添加了转发到“TCP服务器”的功能,使WebVPN用户可以在认证后访问到指定的TCP服务器。以下是Web方式和TCP方式的差别和优缺点分析:

Web方式

  1. 只能转发到指定的Web服务器。

  2. 每个Web服务器都必须对应一个二级子域名。

  3. 可以对Web站点的内容进行替换。

TCP方式

  1. 可以转发到任意的TCP服务。比如内网的ssh,rdp等,也包括web服务。

  2. 每个TCP服务必须对应一个本地端口。

  3. 外网用户必须经过认证才可以访问TCP端口。

  4. 不能对内容进行修改。

16
2022
02

如何用SD-WAN给客户提供远程网管服务?

网管在做远程技术支持的时候,需要连接到客户的内网或者路由器。对于有公网IP的网络,可以直接通过公网IP或者动态域名去访问。由于现在运营商很多都只给内网IP,使得远程技术支持必须要做内网穿透才可以。所以很多网管在做网络维护的时候,还需要给用户安装FRP或者NPS的内网穿透服务,增加了维护的成本和复杂性。

在本文中,我将介绍如何通过SD-WAN的方式来给客户提供远程网管服务。SD-WAN和其他方式相比,可以自动寻址穿透,无需公网IP,也无需云主机转发。具体步骤如下:

16
2022
02

如何合理规划SD-WAN网络?

相对于传统方案而言,SD-WAN有着无可比拟的优势,很多局域网都采用了SD-WAN的智能组网和远程办公方案。SD-WAN的网络规划主要考虑如下三个方面:

  • 多地虚拟组网

  • 远程办公拨入

  • 网管技术支持

所以,我们在配置SD-WAN网络时候,主要考虑这三个需求就可以。

如图:

202202161644998446670984.png

16
2022
02

如何用SD-WAN实现远程办公拨入?

在“如何用SD-WAN实现多地组网?”一文中,我们介绍了如何用SD-WAN来实现多地组网。实际上SD-WAN不仅可以用于多地组网,而且可以用于远程办公拨入。

和传统的远程办公方案相比,SD-WAN有如下优势:

  • 自动寻址,无需公网IP。

  • 点对点加密传输,无需通过服务器转发,传输安全性高。

  • 多平台支持。有windows,安卓客户端。

本文中,我将介绍如何用SD-WAN实现远程办公拨入。

1. 网络拓扑图

SD-WAN不需要固定公网IP也可以实现远程办公拨入。如下图,该局域网通过一台WSG网关连接外网,内网网段是192.168.10.0/24。

sdwan_topology3.png


16
2022
02

如何用SD-WAN实现异地组网?

SD-WAN即软件定义广域网,可以实现异地智能组网,远程办公拨入。和传统的VPN相比,SD-WAN有如下优势:

  • 自动寻址,无需公网IP。

  • 点对点加密传输,无需通过服务器转发,传输安全性高。

  • 多平台支持。有windows,安卓客户端。

  • 既能实现多地异地组网,又可以实现远程办公拨入。


本文中,我将介绍如何用WSG自带的SD-WAN来实现多地异地虚拟组网。

09
2021
11

如何实现分公司访问指定地址的时候走总部流量?

有些业务系统出于安全需要,会限制登录的IP地址,比如只允许总公司的IP访问。这种情况下,分公司如果想要访问该业务系统,也必须走总公司的宽带才可以。要实现这个需求,一般有以下解决方案:

1). 方案一:分公司的电脑先拨入总公司的VPN,走总公司线路访问外网。

2). 方案二:分公司和总公司之间组建site-to-site虚拟局域网,分公司电脑通过总部的代理服务器访问业务系统。

3). 方案三:分公司和总公司之间组建site-to-site虚拟局域网,通过在分公司的网关上指定分流访问。

方案一需要在每台电脑上都拨入VPN,配置和维护都比较麻烦;方案二需要在总部搭建代理服务器;所以相对来说方案三最为方便快捷。本例中,我将结合WSG上网行为管理网关,介绍如何通过多线均衡和VPN客户端来实现分公司走总部线路访问业务系统(方案三)。

01
2021
09

如何限制外网拨入VPN后的访问权限?

很多公司出于工作需要,都会提供远程办公拨入的VPN,供员工在外地可以连接到企业内网处理工作。但是这也带来一些安全方面的隐患;所以很多情况下,我们需要对外网拨入后的访问权限进行控制。

在本例中,我将结合WSG上网行为管理网关的openvpn来介绍如何限制外网拨入后的访问权限。

06
2021
03

如何用OpenVPN远程拨入公司局域网?

如何用OpenVPN实现远程办公?一文中,我们介绍了如何用openvpn 2.4.7版本拨入WSG。在本文中,我将介绍如何用openvpn connnect3.2.3来拨入WSG的openvpn。最新版本的openvpn connect更加好用,而且支持开机自动启动。

Openvpn服务端的配置过程不再赘述,请参考前文:如何用OpenVPN实现远程办公?下面只介绍openvpn connect的安装部分:

1. 安装openvpn connect

openvpn3_00.png

07
2020
12

如何把所有外网通讯都重定向到Openvpn?

WSG的Openvpn服务端模块,主要用于远程办公拨入和多地组网。Openvpn拨入后,在默认配置情况下,只有“推送路由”的访问才会走vpn隧道。客户端的外网数据仍然走的是自己的外网线路。在有些情况下,你可能需要让openvpn客户端的所有外网数据都经过vpn连接。要实现此功能,需要一系列的步骤,具体步骤如下:

25
2020
08

如何用钉钉扫码或者企业微信扫码登录WebVPN?

WFilter NGF(WSG上网行为管理)的WebVPN功能,既可以支持用户名密码认证登录,还可以支持钉钉扫码和企业微信扫码登录。WebVPN的用户验证方式如下图:

202008251598330912151513.png

在本文中,我将介绍如何给WebVPN添加钉钉扫码认证和企业微信扫码认证功能。

30
2020
07

如何用ZeroTier实现远程办公和内网穿透?

ZeroTier可以在无公网IP的情况下提供便捷的虚拟局域网组网和内网穿透方案。简单来说, ZeroTier就是一个VLAN组建工具,主要有如下的优势和缺点:

  • 配置非常简单,只需要在官网创建Network。客户端直接加入Network即可。

  • 跨平台: ZeroTier提供了windows, macOS, linux, Android, iOS...几乎全平台的客户端, 你可以把任意平台的设备接入VLAN。

  • 免费可以支持100个设备组网。

  • 缺点:官网只提供英文,没有中文版。

本文中,我将结合WSG上网行为管理网关,介绍如何用ZeroTier来实现远程办公拨入和内网穿透。

11
2020
03

Web VPN如何搭建?如何利用Web VPN来保护内网信息安全。

为满足出差在外人员和分支机构办公的需要,企事业单位一般采用如下的两种方式:

  1. 端口映射,把对应的服务端口映射到公网,供终端访问。

  2. VPN。客户端需要先拨入VPN,然后再访问内网服务。

这两个办法各有优缺点:端口映射的方式,配置简单但是不够安全。内网的服务系统直接暴露在公网上,容易被攻击导致严重的损失。VPN的方式,安全系数要高很多。但是VPN需要配置客户机,配置和维护比较复杂。

在本文中,我将介绍WFilter NGF(WSG网关)中新加的一个功能:Web VPN。采用Web VPN可以带来如下好处:

03
2020
03

企业开展在家办公应该如何选择网络设备?

企业开展在家办公,需要满足员工从外网接入到企业内网的工作需要,那么在选择网络设备的时候,主要关注以下几点:

1. 提供安全可靠的VPN远程拨入服务

VPN的访问安全不能只依赖用户名和密码,至少要可以提供双重认证。比如SSL VPN的ca证书加用户名密码的方式。用户既需要有正确的ca证书,还需要正确的用户名密码才可以接入。这是内网数据安全的第一道防线。

03
2020
03

如何快速搭建在家办公网络环境?远程办公拨入怎样实现?

疫情期间,很多企事业单位都选择在家办公。员工在家通过虚拟局域网连接到企业内部的ERP、OA、财务等系统,既可以满足疫情防控的需要,又不影响工作。那么企业要进行远程办公应该如何搭建网络环境呢?本文中,我将结合WSG上网行为管理网关,来描述企业如何准备在家远程办公的网络环境。

1. 先上网络拓扑图

201703311490939698116316.png

27
2019
12

如何用pptp实现远程办公?

PPTP虽然饱受安全性诟病,但是由于PPTP速度快、支持的系统多(windows、andriod默认都可以支持),仍然有很多人选择PPTP作为远程办公的拨入协议。有一点我们要注意的是,PPTP的安全性依赖用户名密码,而且通讯加密强度不够。如果对安全性要求高,建议采用SSL VPN(openvpn)等更安全的VPN通讯协议。

在本文中,我讲介绍PPTP远程办公拨入的具体步骤。

1. 开启PPTP服务端

首先要在远程网络上开启PPTP服务,以WSG上网行为管理网关为例,具体配置如下图:

201912271577428006193844.png

11
2019
07

如何用网桥模式实现IPSec单臂VPN?

WSG上网行为管理(WFilter NGF)既可以做网关部署,也可以做网桥部署。在网桥部署模式下,WSG的IPSec VPN和OpenVPN一样是可用的,可以实现单臂模式的VPN组网。网络结构如下图:

ipsec.png

本文将结合WSG介绍如何实现IPSec VPN的单臂部署。

11
2019
07

如何用openvpn组建两地虚拟局域网?

现在大部分虚拟局域网的组建都通过IPSec的方式,其实用openvpn来组网也是很不错的方案。跟IPSec相比,openvpn的功能更加强大和灵活:

  1. 可以修改端口和通讯方式。

  2. 可以实现用户名认证和证书认证两种认证方式。

  3. 可以对客户端分配IP,从而实现更加细致的防火墙权限控制。

本文将简单介绍openvpn组网的一些简单步骤,如果您要用openvpn实现远程办公拨入,请参考:如何用OpenVPN实现远程办公?

24
2019
05

如何控制IPSec VPN的对端访问权限?

IPSec VPN 技术在IP传输上通过加密隧道,在用公网传送内部专网的内容的同时,保证内部数据的安全性,从而实现企业总部与各分支机构组建虚拟局域网的需要。IPSec组网的具体步骤,请参考:一次典型的IPSec VPN组网方案。很多情况下,我们还需要控制对端的访问权限。在本文中,我将介绍WFilter NGF中的IPSec VPN访问权限。

1. 防火墙规则的选项

201905241558672610820472.png

IPSec隧道的配置中,”防火墙规则“有“自动”和“手动”两个选项:

10
2018
12

RouterOS和WSG上网行为管理网关如何使用Openvpn组网?

在本文中,我将介绍如何在RouterOS和WSG上网行为管理网关之间使用openvpn组建site-to-site VPN。网络拓扑图如下:

201812111544519141124537.png

本例中,我们把WSG作为openvpn的服务端,RouterOS作为openvpn的客户端。反过来的配置也基本类似。