-
-
Notifications
You must be signed in to change notification settings - Fork 392
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
是否考虑增加无客户端模式 #149
Comments
无客户端模式,具体指什么模式 |
估计是说所谓的不需要安装客户端,用户直接浏览器登陆使用VPN?每次见到这种需求忍不住想骂人的冲动! |
具体原因是?无客户端模式现在主流系统上确实都在陆续提供啊? |
浏览器是个沙箱,浏览器里的网页和代码只能在浏览器运行,受到严格限制,跑不到浏览器外面去。最多能保存和读取电脑其它地方的文件,操作不了电脑上其它程序。 |
谢谢详细的解答。 我想我大概明白分歧在哪里了。 我假设的场景其实就是想要提供基于浏览器的入口,向用户提供访问内部系统应用,从而避免将业务直接暴露给公网。 只需要在B/S端能访问内网上架设的网站即可,并不需要将本地的软件也连到VPN上。 比如目前国内各大高校(几乎)都在使用的瑞智康诚和网瑞达,他们提供的这种服务(称之为WebVPN),主要解决的就是向用户提供访问内网资源的同时又不直接将相关系统暴露在公网。 同时应该还可以帮助企业用户在等保上规避一些合规风险。 |
重新思考了下,目前已有的用户分组功能和权限控制已经可以避免不想让某个组的用户访问的功能暴露给该组用户,只是需要管理员设置好,设置不好的话可能有些信息暴露风险。专业的后台权限配置,可能不如直接限制一些用户不能用客户端登陆,只能通过网页应用更易操作和傻瓜式。 |
@silenceroom 瑞智康诚和网瑞达的WebVPN,这种之前研究过,是基于浏览器的代理,有很多的硬编码,如果换个网站,可能就得重新编写一套规则,普适性不强。基于反向代理的零信任模式,还是可以的! |
反向代理难道不是传统的代理服务器?难道不需要用户侧自己修改浏览器或操作系统代理配置? |
一般使用泛域名的方式,需要改动,改动相对会少一些,实现起来比较简单,生态成熟。 |
浏览器使用反向代理服务需要用户配置,感觉还不如教育用户安装客户端软件,使用vpn简单粗暴!或者评价下 #157 思路 |
谢谢回复。是的,我也研究了下,据说是要根据实际要发布的应用来测试和编写规则。可能普适性不是太好。 另外看到Azure上有提供一种AAD Applicaiton Proxy的服务,方法是在本地建立connector,用户访问建立在azure上的入口后将流量转发到本地的connector后再转发给实际的应用来最终实现:
不过向bjdygc所说,这大概不是VPN的思路了? |
无客户端模式确实蛮好的,至少去网吧回内网,就可以不用使用TAP了,网吧的环境一旦启用TAP,顺网客户端会直接掉线黑掉,就很难受。不管是哪种VPN,只要有客户端的无一例外都会卡掉顺网客户端。 |
目前好像没有看到有开源的工具在这块发力,是否考虑支持呢?
The text was updated successfully, but these errors were encountered: