ISP 會提供你所需的 VPN 設備, 你只需要一個對外上網的防火牆, 通常企業級的防火牆裡面(Fortinet, Juniper, SonicWall, Watchguard, Cisco...), 都會內建靜態路由器, 足供 IP-VPN 使用.

之前有跟isp的vpn,因那個地點只有ip分享器,廠商是在每台pc上設定路由,這樣設定好嗎?還是需再買防火牆來設定路由,因覺得工廠那幾台pc上網也是從總公司這端出去,所以總公司防火牆應該能管理的到進出,若再買防火牆感覺只是單純做路由用,好像沒多大意義,不知道我這樣子想對不對?

那是因為您那台分享器沒有 Routing 功能, 才需要這樣做...
如果那個點一開始就是使用防火牆, 那就可以直接在防火牆上設定了....

yehjj提到：
hiLink。

費用很貴

設備建置及人力還有時效。

您說的是正確的, 但是我一開始並不想抬出 MPLS, 是考慮到樓主所能理解的知識, 如果堆砌太多樓主陌生的名詞, 怕只會帶來更多的困惑與恐懼. 因此只是簡單的以一個名詞, 來區分兩種技術的差別而已.

當然, 大家熱心提供各種見解, 也提升了網友們的相關知識, 各位的專業程度也是有目共睹的.

(不過, ottotaiwan 才第一次回答問題, 馬上就知道我的身分, 可見應該也是業界老手...)

johnson324提到：
建議遠端有自己的AD, 可用Linux的Samba模擬, AP再用VPN,或RDP進總部即可

這段不太懂意思,工廠建立新的ad,ap再用vpn或rdp連進總公司,那不就變成user在工廠有一組帳號,連進總公司又另一組帳號,有點麻煩,而且那裡又沒mis,這樣子我的工作量又會增加

工廠另建一個管理帳號的伺服器, 可以遠端設定, 二端帳號可以獨立, 也可以信任, 業可以讓samba server使用AD來認證, 看您的需要.

重點是 二端帳號認證各需一部主機, 這樣才能減少網路廣播, 儘可能不用用Lan Base的應用程式.

所謂Lan Base是指沒有Router的網路通訊協定, 如IPX/SPX, netbui, Apple Talk這種應用如網路芳鄰, 網路磁碟機 每次封包都必須傳給每個Client,很容易產生廣播風暴, 頻寬再多都不夠用, 所以不適用於遠端連線應用.

如果非如此不可, 就要在遠端另設 "代理" 服務器的概念, 使相關服務走TCP/IP, 點對點方式在主機間傳遞資料, 遠端使用者只與本地的主機連線.

遠端使用者不多的情況下, 使用VPN一般情況下是OK的, 軟體就可以, 但速度緩慢, 容易Timeout. 您自己斟酌.