本文以Windows客户端为例介绍如何通过SSL-VPN双因子认证后接入专有网络VPC。
前提条件
开始前,请确保满足以下条件:
- 您已经购买了应用身份服务(IDaaS)实例,并且已经在阿里云上维护了IDaaS的用户信息。详细信息,请参见组织机构和账户。
- 您已经创建了专有网络。详细信息,请参见创建专有网络。
背景信息
某公司在华东1(杭州)地域创建了专有网络VPC,网段为192.168.1.0/24。因业务发展,出差员工需要使用Windows客户端访问云上VPC资源。

如上图,您可以在云上创建VPN网关,配置SSL服务端并开启双因子认证。Windows客户端通过SSL-VPN接入云上VPC,不仅要完成证书认证,还需要完成双因子认证,认证通过后才可以访问云上资源,提高了VPN连接的安全性和可管理性。
配置步骤
步骤一:创建VPN网关
VPN网关是一款基于Internet的网络连接服务,通过加密通道的方式实现企业数据中心、企业办公网络或Internet终端与阿里云专有网络安全可靠的连接。
说明 请确保您的VPN网关是2020年3月5日00时00分之后创建的,否则不支持双因子认证功能。
- 登录专有网络管理控制台。
- 在左侧导航栏,单击。
- 在VPN网关页面,单击创建VPN网关。
- 在VPN网关的购买页面,根据以下信息配置VPN网关,然后单击立即购买完成支付。
- 实例名称:输入VPN网关的实例名称。
- 地域:选择VPN网关的地域。 本示例选择华东1(杭州)。
- VPC: 选择要连接的VPC。
- 带宽规格:选择VPN网关的带宽规格,带宽规格是VPN网关所具备的公网带宽。本示例选择5Mbps。
- IPsec-VPN: 选择开启或关闭IPsec-VPN功能,IPsec-VPN功能可以将本地数据中心与VPC或不同的VPC之间进行连接。本示例选择关闭。
- SSL-VPN: 选择开启或关闭SSL-VPN功能,SSL-VPN功能允许您从任何位置的单台计算机连接到VPC。本示例选择开启。
- SSL连接数: 选择您需要同时连接的客户端最大规格。 本示例选择5。
说明 本选项只有在选择开启了SSL-VPN功能后才可配置。
- 计费周期:选择购买时长。
步骤二:创建SSL服务端
SSL-VPN基于OpenVPN架构,您需要通过SSL-VPN服务端来指定要连接的IP地址段和客户端连接时使用的IP地址段,并开启双因子认证。
- 在左侧导航栏,单击。
- 在顶部状态栏处,选择SSL服务端的地域。
本示例选择华东1(杭州)。
- 在SSL服务端页面,单击创建SSL服务端。
- 在创建SSL服务端对话框,根据以下信息配置SSL服务端,然后单击确定。
- 名称:输入SSL服务端的名称。
- VPN网关:选择步骤一中创建的VPN网关。
- 本端网段:以CIDR地址块的形式输入客户端通过SSL-VPN连接要访问的网段。本示例输入192.168.1.0/24。
- 客户端网段:以CIDR地址块的形式输入客户端连接服务端时使用的网段。本示例输入10.10.10.0/24。
- 高级配置:打开高级配置,并完成以下配置。

(可选)步骤三:配置云产品AD认证
双因子认证默认支持使用IDaaS的用户名和密码进行认证,您可以选择配置AD认证。配置成功后,SSL-VPN具备AD认证能力。如果您仅需要使用IDaaS的用户名和密码进行认证,请忽略该步骤。
- 以IT管理员账号登录云盾IDaaS管理控制台。
- 在实例列表页面,找到目标IDaaS实例,单击操作列下的管理。
- 在左侧导航栏,单击,然后单击添加认证源。
- 在添加认证源页面,找到LDAP,单击其操作列下的添加认证源。
- 在添加认证源(LDAP)页面,创建LDAP认证源。
- 在认证源页面,找到目标认证源,单击其状态列下的
图标,然后在弹出的对话框中,单击确定。
- 在左侧导航栏,单击。
- 在安全设置页面,单击云产品AD认证页签。
- 选择创建的AD认证源,启用该功能并单击保存配置。
步骤四:创建并下载SSL客户端证书
根据SSL服务端配置,创建并下载SSL客户端证书。
- 在左侧导航栏,单击。
- 在顶部状态栏处,选择SSL客户端的地域。
本示例选择华东1(杭州)。
- 在SSL客户端页面,单击创建SSL客户端证书。
- 在创建SSL客户端证书对话框,根据以下信息配置SSL客户端证书,然后单击确定。
- 名称:输入SSL客户端证书的名称。
- SSL服务端:选择步骤二中创建的SSL服务端。
- 在SSL客户端页面,找到已创建的SSL客户端证书,然后单击操作列下的下载。
SSL客户端证书会下载到本地。
步骤五:配置客户端
完成以下操作,配置Windows客户端。
- 下载并安装OpenVPN客户端。
- 将步骤四中下载的证书解压拷贝到OpenVPN\config目录。
本示例将证书解压拷贝到
C:\Program Files\OpenVPN\config目录,请您根据安装路径将证书解压拷贝到实际的目录。

- 启动Openvpn客户端软件,并完成用户名和密码认证。
步骤六:测试连通性
完成以下操作,测试Windows客户端与云上VPC的连通性。
- 打开Windows客户端的cmd窗口。
- 通过
ping
命令ping
VPC下的ECS实例的IP地址,验证通信是否正常。
说明 请确保测试的ECS实例的安全组规则允许Windows客户端远程连接。详细信息,请参见
安全组应用案例。
经测试,Windows客户端可以正常访问ECS实例。

在文档使用中是否遇到以下问题
更多建议
匿名提交