V tomto režimu vzdálený uživatel přistupuje do interní sítě použitím internetového prohlížeče (FireFox, Chrome, Internet Explorer, Edge, Safari,…) na klientském počítači (viz obrázek níže). Vzdálený uživatel má dostupné aplikace:
Zásadní podmínkou je, že počítač vzdáleného uživatele musí tento způsob komunikace podporovat. Vzdálený uživatel si z portálové stránky stáhne Java applet. Tento applet funguje na klientovi jako TCP proxy server pro služby, které jsou nakonfigurovány na portálové stránce. Tento typ umožňuje vzdálený přístup jak ke standardním aplikacím založeným na TCP jako jsou POP3 (Post Office Protocol 3), SMTP (Simple Mail Transfer Protocol), IMAP (Internet Message Access Protocol) nebo Telnet, jakož i přístup k podnikovým informačním systémům typu SAP (System Application Products). Klientské aplikace musejí být nakonfigurovány tak, aby komunikovaly přes TCP spojení na známý server a port. Jako adresa serveru obvykle slouží loopback (127.0.0.1), kde je komunikace zachytávána TCP proxy serverem a dále směrována do SSL tunelu.
V tomto režimu má vzdálený uživatel největší možnosti. Uživatel si po přihlášení na VPN serveru stáhne (ručně nebo automaticky) plnohodnotného SSL VPN klienta. V případě technologie Cisco jde o „Cisco AnyConnect VPN klient“. Tento program vytvoří virtuální síťové rozhraní, které poskytuje přístup k síťové vrstvě různým aplikacím. Tento typ SSL VPN poskytuje možnosti srovatelné s VPN na technologii IPsec (v režimu vzdáleného přístupu - Remote Access). Po ukončení spojení se Cisco AnyConnect VPN klient odstraní z klientské stanice nebo může zůstat na stanici nainstalován.
Klasické SSL VPN nelze použít k vytváření Site-to-Site VPN, používají se většinou jako Remote-Access VPN. Výjimkou z tohoto pravidla je projekt OpenVPN, který umožňuje vytvářet Site-to-Site VPN zabezpečené pomocí SSL/TLS.