En este modo, el usuario remoto accede a la red interna utilizando un navegador web (FireFox, Chrome, Internet Explorer, Edge, Safari,...) en el ordenador cliente (véase la figura siguiente). Las siguientes aplicaciones están disponibles para el usuario remoto:
Una condición básica es que la computadora de un usuario remoto debe soportar esta forma de comunicación. El usuario remoto descarga el Java applet desde la página del portal. Este applet funciona en el cliente como un servidor proxy TCP para los servicios que se configuran en la página del portal. Este tipo permite el acceso remoto a aplicaciones estándar basadas en TCP como POP3 (Post Office Protocol 3), SMTP (Simple Mail Transfer Protocol), IMAP (Internet Message Access Protocol) o Telnet, así como el acceso a sistemas de información empresariales como SAP (System Application Products). Las aplicaciones del cliente deben estar configuradas para comunicarse a través de una conexión TCP con un servidor y puerto conocidos. La dirección del servidor es típicamente un loopback (127.0.0.0.1), donde la comunicación es capturada por el servidor proxy TCP y luego enrutada al túnel SSL.
Este modo muestra la lista más grande de opciones para usuarios remotos. El usuario descarga (manual o automáticamente) un cliente SSL VPN completo después de iniciar sesión en el servidor VPN. Para Cisco, se trata de "Cisco AnyConnect VPN Client". Este programa crea una interfaz de red virtual que proporciona acceso a la capa de red de varias aplicaciones. Este tipo de SSL VPN proporciona opciones comparables a IPsec VPN (Acceso Remoto). Al finalizar la conexión, el cliente Cisco AnyConnect VPN se eliminará de la estación cliente o podrá permanecer instalado en la estación.
Las SSL VPN convencionales no se pueden utilizar para crear VPNs de sitio a sitio, sino que se utilizan principalmente como VPNs de acceso remoto. Una excepción a esta regla es el proyecto OpenVPN que le permite crear VPNs seguras SSL/TLS de sitio a sitio.