理论上您可以做到这一点，但您需要一台好的客户端机器来做到这一点，好的，我的意思是安装好的 Windows。

这是因为您要使用 SSL VPN 客户端的机器上的操作系统必须处理所有流量，并且该机器必须以某种方式证明路由器和防火墙功能。

第 1 步：您将该机器（从远程办公室）连接到总部。您将从 SSL_VPN_pool 收到一个 IP 地址。

第 2 步：您将在所有站点（来自远程办公室）上添加静态（持久路由），对于总部目的地，必须通过在第 1 步中连接的机器到达。

第 3 步：您必须在使用 SSL VPN 客户端的机器上启用路由和远程服务（我假设您将使用 Windows 平台，尽管 Linux 对此会更好），以便来自该位置的流量将从 LAN 接口路由到VPN_接口。这里有一个问题：您要么使用 SSL_IP_pool 的来源对该流量进行 NAT，要么就让它这样。

第 4 步：如果您没有 NAT，则必须为远程办公室网络添加 Fortigate 静态路由，并在 ssl.root 接口-->to-->HQ_internal 上添加防火墙规则。

你可以这样做，但是你不想花的那个 extra_vpn_equipment_money 会被 NAT 转换成一些工作站配置_汗水。

这是一个开箱即用的答案，但取决于您的无线供应商，其中一些提供“远程 AP”配置，允许 AP 在启动时创建返回控制器的 VPN 隧道。

然后，您的远程（和临时）用户将连接到 AP 并通过 VPN 返回到控制器。您将不得不为诸如打印（无线打印机？）之类的事情提出其他解决方案，但特别是对于 2 个月的部署而言，这是可能的。

OpenVPN 是一个 SSL VPN，您可以部署在商品硬件上，它可以执行基于 SSL 的 Site-to-Site VPN，或远程访问 VPN。

与普遍的看法相反，SSL VPN 可以与 IPSEC 一样好或更好地执行 Site-to-Site VPN。

我不知道是否允许具体建议，但是。我建议购买一台旧台式机，安装 1 个额外的 NIC，并安装 pfsense 防火墙。它支持 IPSEC 以及 OpenVPN（基于 SSL/TLS）（绕过防火墙和 NAT 问题）

此解决方案无需任何费用，学习曲线也非常小，如果您没有公共 IP，它甚至可以处理动态 DNS

您可能可以在 ebay 上以不到 50 美元的价格购买二手 Fortigate-60 ......我刚刚在那里看到了一些。将其粘贴到远程办公室并创建一条返回中心办公室的 IPSEC 隧道。我就是做这个的。您不需要任何订阅。