Môi trường mạng riêng ảo truy cập từ xa cho phép các Client từ xa, như các Client hay người dùng di động có thể truy cập tới mạng Intranet của công ty một cách an toàn qua mạng Internet mà không phải dựa trên các kế nối quay số đầu cuối - đến - đầu cuối, như minh hoạ trong hình 5.6
Các vấn đề có thể nảy sinh với môi trường này như sau:
- Bảo mật: Tốt nhất là cài đặt bộ định tuyến “sau” Firewall và cấu hình các Router chuyển tất cả dữ liệu đường hầm tới Firewall
- Lược đồ đánh địa chỉ: ISP cấp phát động các địa chỉ IP tới các Client từ xa này vì chúng sử dụng một kết nối quay số tới POP của ISP(không phải đến Intranet). Kết quả là, máy chủ mạng riêng ảo đặt trong mạng Intranet phải hỗ trợ khả năng định danh các Client này. Hơn nữa việc thiết lập máy chủ DNS như đã thảo luận trong phần trước “Các xem xét liên quan đến DNS”, ta có thể giải quyết vấn đề này bằng các sử dụng IPSec. IKE, là một giao thức bến thứ ba được hỗ trợ bời IPSec, hỗ trợ khả năng định danh các Client từ xa qua các địa chỉ IP dưới dạng tên của chúng hơn là các địa chỉ IP dưới dạng số
- Phân phối khoá: Phân phối khoá không bao giờ nên xẩy ra ở dạng bản rõ. Một cơ chế phân phối khoá tự điều chỉnh, như IKE nên được sử dụng nếu số lượng Client từ xa lớn. Trong trường hợp số lượng Client từ xa giới hạn, quản lý khoá một cách thủ công cũng có thể thực hiện được. Tuy nhiên, thực tế việc
quản lý khoá một cách thủ công không được khuyến cáo vì xác suất xẩy ra việc mật khoá là khá cao.
- Mã hoá và xác thực dữ liệu: Đây là điều rất quan trọng, dữ liệu được trao đổi giữa Server và Client được mã hoã cũng như được xác thực. Thêm vào đó, ta nên thiết lập các bộ lọc gói và chính sách bảo mật nghiêm ngặt để đảm bảo rằng các thiết bị ngoại vi như Router, Gateway hoặc Firewall sẽ từ chối dữ liệu không được xác thực hoặc không được mã hoá. Thậm chí, thông tin định tuyến giữa các Router và Gatewal cũng nên được mã hoá và xác thực
- Đường hầm: Thiết lập trực tiếp các đường hầm giữa các Host từ xa và máy chủ mạng riêng ảo là thích hợp. Dù điều này làm tăng tính an toàn, đặc biệt nếu mức độ tin cậy trong mạng Intranet khong cao, nhưng nó thường phát sinh các Overhead lớn và tương đối khó quản lý. Ta sẽ phải phân tích mức độ trinh cậy trong môi trường Intranet và sau đớ quyết định giữa 2 tuỳ chọn(Các đường hầm giữa người dùng cuối với thiết bị ngoại vi, hoặc đường hầm giữa người dùng cuối với máy chủ mạng riêng ảo) để duy trì một mức an toàn cao
- Các giao thức đường hầm: Nếu các Client sử dụng các giao thức đường hầm không IP, các thiết bị mạng riêng ảo ngoại vi như Firewall và Router phải hỗ trợ các giao thức đường hầm thích hợp