笨驴技术(IMFirewall)博客

笨驴SD-WAN盒子可以非常方便的实现多地组网，无需修改现有网络结构，无需替换现有的网络设备，只要在两地通过旁路方式分别接一台SDWAN盒子即可组建虚拟局域网。网络结构如下图：

本文将介绍笨驴SD-WAN盒子的首次安装步骤。

1. 接线方式

如图所示，SD-WAN盒子这款硬件有如下配置：

• 一个以太网网口，默认自动获取IP。

• 自带wifi（SID: wfilter-sdwan，无线网段是192.168.120.0/24）

随着疫情反反复复，主动或被动采取远程办公的公司越来越多。企业网络除了满足日常的局域网组网，还需要可以满足员工在外、在家时可以随时随地接入到企业内网。传统的做法一般需要企业申请带固定IP的企业专线，通过该固定IP提供远程拨入服务。而由于专线方案价格高，很多企业承受不了。在本文中，我将介绍没有公网IP时如何通过SD-WAN的方案来实现远程办公拨入。网络结构图如下：

传统的异地组网方式要求企业有带固定公网IP的专线才可以实现；由于IPv4资源的短缺，运营商专线价格高企，大部分企业无法承担高额的专线费用。为解决此问题，各大网络厂商各显神通，研发出了一系列的解决方案。本文中，我将介绍如何利用“SD-WAN技术”来实现没有公网IP时的异地组网互联。和传统的VPN相比，SD-WAN有如下优势：

• 自动寻址，无需公网IP。

• 点对点加密传输，无需通过服务器转发，传输安全性高。

• 多平台支持。有windows，安卓客户端。

• 既能实现多地组网，又可以实现远程办公拨入。

随着互联网、数字化的迅速发展，远程办公、移动办公、居家办公已经是企业必备的网络服务。企业网络除了满足日常的局域网组网，还需要可以满足员工在外、在家时可以随时随地接入到企业内网。传统的做法，一般有如下两种：

1). 企业申请带固定IP的企业专线，通过该固定IP提供远程拨入服务。

2). 在路由器上绑定动态域名，通过动态域名来访问。

近年以来，由于IPv4资源的短缺，运营商改为只分配内网的IPv4地址，导致动态域名这个方案已经不可行了。而专线方案价格高企，很多企业承受不了。

在如何利用Web VPN来保护内网信息安全一文中，我们介绍了如何用WebVPN来访问内网的Web服务器。WebVPN可以给内网服务器添加一层认证保护，只有认证过的用户才可以访问内网资源，从而有效的保护了内网数据的安全性。对于Web服务器来说，WebVPN是通过子域名的方式，每个web服务都需要对应一个不同的二级域名。在WFilter NGF的2.0版本中，我们给WebVPN添加了转发到“TCP服务器”的功能，使WebVPN用户可以在认证后访问到指定的TCP服务器。以下是Web方式和TCP方式的差别和优缺点分析：

Web方式

1. 只能转发到指定的Web服务器。

2. 每个Web服务器都必须对应一个二级子域名。

3. 可以对Web站点的内容进行替换。

TCP方式

1. 可以转发到任意的TCP服务。比如内网的ssh，rdp等，也包括web服务。

2. 每个TCP服务必须对应一个本地端口。

3. 外网用户必须经过认证才可以访问TCP端口。

4. 不能对内容进行修改。

网管在做远程技术支持的时候，需要连接到客户的内网或者路由器。对于有公网IP的网络，可以直接通过公网IP或者动态域名去访问。由于现在运营商很多都只给内网IP，使得远程技术支持必须要做内网穿透才可以。所以很多网管在做网络维护的时候，还需要给用户安装FRP或者NPS的内网穿透服务，增加了维护的成本和复杂性。

在本文中，我将介绍如何通过SD-WAN的方式来给客户提供远程网管服务。SD-WAN和其他方式相比，可以自动寻址穿透，无需公网IP，也无需云主机转发。具体步骤如下：

相对于传统方案而言，SD-WAN有着无可比拟的优势，很多局域网都采用了SD-WAN的智能组网和远程办公方案。SD-WAN的网络规划主要考虑如下三个方面：

• 多地虚拟组网

• 远程办公拨入

• 网管技术支持

所以，我们在配置SD-WAN网络时候，主要考虑这三个需求就可以。

如图：

在“如何用SD-WAN实现多地组网？”一文中，我们介绍了如何用SD-WAN来实现多地组网。实际上SD-WAN不仅可以用于多地组网，而且可以用于远程办公拨入。

和传统的远程办公方案相比，SD-WAN有如下优势：

• 自动寻址，无需公网IP。

• 点对点加密传输，无需通过服务器转发，传输安全性高。

• 多平台支持。有windows，安卓客户端。

本文中，我将介绍如何用SD-WAN实现远程办公拨入。

1. 网络拓扑图

SD-WAN不需要固定公网IP也可以实现远程办公拨入。如下图，该局域网通过一台WSG网关连接外网，内网网段是192.168.10.0/24。

SD-WAN即软件定义广域网，可以实现多地智能组网，远程办公拨入。和传统的VPN相比，SD-WAN有如下优势：

• 自动寻址，无需公网IP。

• 点对点加密传输，无需通过服务器转发，传输安全性高。

• 多平台支持。有windows，安卓客户端。

• 既能实现多地组网，又可以实现远程办公拨入。

本文中，我将介绍如何用WSG自带的SD-WAN来实现多地虚拟组网。

有些业务系统出于安全需要，会限制登录的IP地址，比如只允许总公司的IP访问。这种情况下，分公司如果想要访问该业务系统，也必须走总公司的宽带才可以。要实现这个需求，一般有以下解决方案：

1). 方案一：分公司的电脑先拨入总公司的VPN，走总公司线路访问外网。

2). 方案二：分公司和总公司之间组建site-to-site虚拟局域网，分公司电脑通过总部的代理服务器访问业务系统。

3). 方案三：分公司和总公司之间组建site-to-site虚拟局域网，通过在分公司的网关上指定分流访问。

方案一需要在每台电脑上都拨入VPN，配置和维护都比较麻烦；方案二需要在总部搭建代理服务器；所以相对来说方案三最为方便快捷。本例中，我将结合WSG上网行为管理网关，介绍如何通过多线均衡和VPN客户端来实现分公司走总部线路访问业务系统（方案三）。

很多公司出于工作需要，都会提供远程办公拨入的VPN，供员工在外地可以连接到企业内网处理工作。但是这也带来一些安全方面的隐患；所以很多情况下，我们需要对外网拨入后的访问权限进行控制。

在本例中，我将结合WSG上网行为管理网关的openvpn来介绍如何限制外网拨入后的访问权限。

在如何用OpenVPN实现远程办公？一文中，我们介绍了如何用openvpn 2.4.7版本拨入WSG。在本文中，我将介绍如何用openvpn connnect3.2.3来拨入WSG的openvpn。最新版本的openvpn connect更加好用，而且支持开机自动启动。

Openvpn服务端的配置过程不再赘述，请参考前文：如何用OpenVPN实现远程办公？下面只介绍openvpn connect的安装部分：

1. 安装openvpn connect

WSG的Openvpn服务端模块，主要用于远程办公拨入和多地组网。Openvpn拨入后，在默认配置情况下，只有“推送路由”的访问才会走vpn隧道。客户端的外网数据仍然走的是自己的外网线路。在有些情况下，你可能需要让openvpn客户端的所有外网数据都经过vpn连接。要实现此功能，需要一系列的步骤，具体步骤如下：

WFilter NGF（WSG上网行为管理）的WebVPN功能，既可以支持用户名密码认证登录，还可以支持钉钉扫码和企业微信扫码登录。WebVPN的用户验证方式如下图：

在本文中，我将介绍如何给WebVPN添加钉钉扫码认证和企业微信扫码认证功能。