请问怎么才能安全的访问内网 OA

通过云上的服务器反向穿透过去，将 OA 登录页面暴露在公网，但是这种方式直接暴露 OA 页面担心被攻击不安全。
难道你就不能加一个简单的 HTTP 密码验证

cloudflare tunnel

研究 softether ，自带 ddns 。vpn 进内网安全无忧。可以安装在 Windows/openwrt/linux 。
支持二层桥 /三层路由 /acl 访问控制 /命令行变换端口 /虚拟 hub 条条大路通罗马，功能多得一踏糊涂，还有 gui 管理界面。
softether 最好的 vpn 。

你整方案是公司授意还是你私自的，私自的话无论多么合理安全，都不一定符合公司的内网安全规范。方案的话，简单搞可以用 frp 的 stcp 模式，这样端口是以加密的方式暴露在公网，需要部署 frp 客户端才能访问。

@louisxxx 密码验证还是有的，但是我对 OA 供应商防攻击没啥信心，而且是否 HTTP 暴露在公网是否还需要去做备案

@datocp 以前个人用过 softerther 做 VPN ，我去研究一下安全策略

@lovelylain 当然是公司方案，个人的话外网没有 OA 需求：）

搭个私人 zerotier ，授权访问，这样既不会暴露在内网，也能控制访问权限。缺点就是需要一台公网 IP 的服务器。

暴露公网要备案，不要和业务域名一样，不然会停止解析。。。。。真实案例，最好用 SSL VPN 访问内网

@kwkwkkk 感谢，防火墙内置 50 个 VPN ，看看能不能走 IPSec VPN

内网自己搭一个 VPN 服务器，防火墙端口映射一下就好了。我这边搭的 ocserv ，用 cisco anyconnect 连接，很稳。不过我们是有公网 IP ，用 ddns 绑定公网出口也一样的。

内网搭 openvpn 服务端，如果需要管理界面可以用 as 版，然后 frp/nps 等映射连接的 tcp/udp 端口到公网，客户端配置里的 ip 端口改成公网的即可。openvpn 可以设置互联网流量不走内网，并且可以设置可以访问内网哪些网段 /ip 。as 版可以设置单用户可以访问哪些 ip 。有一些 VPN 协议是需要走二层协议的，frp 内网映射到公网是三层协议，二层的报文是过不去的，没有公网的情况下建议先 pass 掉这些二层协议。

@gsls200808 好的，可以去尝试下

cloudflare tunnel 、V2ray 、zerotier

购买深信服的零信任，可解决以上问题，需要可联系我