一个适用广泛的安全远程办公网络

   本文介绍如何构建一个适用内、外网络互联，适合路由器、PC 、笔记本电脑、手机等设备，能够进行高安全性网络通信，长期稳定而且建网费用比较低的远程办公网络。
   在《自建私有云，跨域加密通信实测》一文当中，有一些待改进的问题，比如CA 证书颁发机构是安装在云服务器上的，这样会有长期和稳定性的疑问，在分析抓取的数据包时发现SSL 加密的版本是TLS 1.0 ，需要进一步提高安全性，还有移动客户比如手机如何接入到网络中，在文中也没有介绍，在此，以一个计费系统为例，介绍如何构建一个更高安全性的网络方案，费用低廉，一次配置好以后，基本免维护。
   网络拓扑见图1 ，图中红色虚线是构建的一个虚拟私有网络，红颜色的IP 是内部网络地址，计算机连接到网络后可以相互通信，象在局域网当中传送文件，而且所有数据包都是加密传输的，网络中各个计算机的红色文字代表各自角色与任务。云服务器ECS 只承担VPN 服务的任务，负责内、外网的安全连接，在它上面安装一个抓包测试软件，用来监控网络数据，分析数据安全。目前ECS 服务器费用已经很低，按年付每月只有几十元，操作系统建议选Windows Server2012 R2 或2016 ，这样SSL 版本默认是TLS 1.2 ，要有公网IP ，ECS 服务器入方向端口除了443 等默认端口外，要添加TCP1723 和UDP1701 端口。证书颁发机构放在内网的计算机上，性能没有要求，Windows Server2008R2 就可以。计费系统网站放在内网是为了便于管理，安全性采用HTTPS 来保障通信安全，目前计费系统的远程应用有广泛需求，比如使用手机、笔记本电脑等移动设备与内网的收费系统连接，在收、付费时，即时记账，象学费、水费，甚至象室外游戏的计时收费都可以采用这套系统。下面介绍网络配置过程，其中关于手机如何远程接入网络有专文介绍，见《手机客户端安装CA 根证书，访问HTTPS 网站》一文。

1 、首先配置云服务器ECS ，windows server 2012 R2 数据中心版，计算机名VPN

ECS 服务器所在区域，成都市











2 、配置颁发证书的服务器，windows server2016 位置在内部局域网，通过宽带路由连接internet


地理位置北京市


安装证书颁发机构，步骤见《Server2016 配置HTTPS 详细步骤截图》有关证书安装部分不再赘述，安装好后要进行下面设置。














连接后的网络状态




与VPN 服务器私网IP10.10.5.1 连通测试


3 、回到VPN 申请服务器证书及配置SSL-VPN 服务


未完待续