AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页 VPN网关 SSL-VPN 快速入门 iPhone/iPad通过SSL-VPN连接VPC

iPhone/iPad通过SSL-VPN连接VPC

更新时间:
复制为 MD 格式
产品详情
我的收藏

可通过SSL-VPN打通iPhone/iPad与云上VPC内网,实现互联网环境下的安全访问。

其他类型的客户端,请查看客户端通过SSL-VPN远程加密访问VPC

场景示例

目标:创建SSL-VPN网关,使用iPhone/iPad自带的VPN应用,通过内网IP安全访问VPC内的ECS实例。

image

资源规划如下:

  • VPC

    • 名称:vpc-demo

    • 地域:华东1(杭州)

    • 网段:10.0.0.0/16

    • 交换机:创建2个,名称分别为vsw1vsw2

      • vsw1位于可用区J,网段:10.0.0.0/24

      • vsw2位于可用区K,网段:10.0.1.0/24

    • ECS:地址为10.0.0.1,操作系统为Alibaba Cloud Linux 3.2104 LTS 64

  • iPhone/iPad所在的本地网段:172.16.0.0/16

重要

  • 本场景需VPC所在地域支持IPsec服务端功能,当前仅这些地域支持:,华东1(杭州)、华东2(上海)、华东5(南京-本地地域)、华东6(福州-本地地域)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、华中1(武汉-本地地域)、西南1(成都)、中国香港、日本(东京)、韩国(首尔)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、泰国(曼谷)、德国(法兰克福)、英国(伦敦)、美国(弗吉尼亚)、美国(硅谷)、阿联酋(迪拜)、墨西哥、华北2阿里政务云1

  • 如果您的业务VPC所在的地域不支持IPsec服务端,您将无法使用本文描述的方法(基于iPhone/iPad自带VPN功能)进行连接,请考虑:

    • 方法一:先在支持的地域新建VPC并创建VPN网关,再将此VPC和业务VPC连通,具体步骤参考客户端访问跨VPC资源

    • 方法二:将业务迁移到支持地域的VPC。

步骤一:创建VPN网关

VPN 网关是 SSL-VPN 连接在云上的出入口。

  • 如果您计划使用存量的VPN网关实现本文场景,需确保VPN网关:

    1. 不能存在IPsec连接。如果您的存量VPN网关上已配置了IPsec连接,则需创建一台新的VPN网关。

    2. 开启SSL-VPN功能

    3. 升级至最新版本

  • 如果您未创建过VPN网关,下面是创建步骤:

    1. 前往控制台VPN网关页面,单击创建VPN网关

    2. VPN网关(包月)页面进行配置:

      配置项

      截图

      • 实例名称vpn-demo

      • 地域和可用区华东1(杭州)

      • 网关类型普通型

      • VPC:选择客户端要访问的VPC。

      • 虚拟交换机1/虚拟交换机2: 分别选择vsw1vsw2

        VPN网关底层采用双机热备架构,在VPC支持多个可用区的地域,为保障跨可用区高可用性,VPC需包含至少2个位于不同可用区的交换机。如果不满足条件,请先创建交换机

      • 带宽规格5Mbps

      • IPsec-VPN关闭(开启下方的SSL-VPN后才会有关闭选项)。

      • SSL-VPN开启

      • SSL连接数5

      • 计费周期:按需选择,最小为1个月

      • 服务关联角色:如果未创建,请单击创建服务关联角色

      关于创建VPN网关的详细参数描述,请参见创建和管理VPN网关实例

      image

    3. 购买支付完毕后,可在VPN网关页面看到已创建的VPN网关。

      刚创建的VPN网关状态为准备中,约1~5分钟状态会变为正常,此时即可开始使用。

      image

步骤二:创建IPsec服务端

IPsec服务端用于定义客户端的连接策略,包括认证方式、可访问的云上网络范围以及客户端地址池。

  1. 前往IPsec服务端页面,在顶部菜单栏切换至华东1(杭州)地域后,单击创建IPsec服务端

    image

  2. 创建IPsec服务端页面,进行配置:

    • 名称:输入server-demo

    • VPN网关:选择刚刚创建的VPN网关。

    • 本端网段:输入10.0.0.0/16

      此网段是您希望iPhone/iPad访问的云上网络范围,通常是您的VPC网段。

    • 客户端网段:指 VPN 网关用于向iPhone/iPad分配 IP 的地址池,不能与本端网段或客户端已经使用的网段(例如客户端所在的本地网段)重叠。建议使用不易冲突的 RFC 1918 私有网段(例如 10.222.222.0/24)。

    • 预共享密钥:用于IPsec服务端与手机客户端之间的身份认证,默认随机生成。您也可以手动指定密钥,但必须确保密码具有高强度,例如包含大小写字母、数字和特殊符号且长度至少为16位。严禁使用弱密钥。请妥善保管此密钥,并定期更换。

    • 立即生效:选择

      是:配置完成后立即进行协商。否:当有流量进入时进行协商。

    其他选项保持默认。关于这些选项的详细说明,请查看创建和管理IPsec服务端

    image

  3. 创建成功后,在IPsec服务端页面记下IP地址,以供后续在iPhone/iPad配置时使用。

    image

步骤三:配置iPhone/iPad

此步骤将在iPhone/iPad上添加一个IKEv2 VPN配置,以连接到已创建的IPsec服务端。

以下内容以iOS系统的iPhone为例:

  1. 进入设置 > 通用 > VPN与设备管理 > VPN,然后点击添加VPN配置

    • 类型:保持默认的IKEv2

    • 描述:输入demo

    • 服务器:输入在步骤二最后记下的IPsec服务端IP地址

    • 远程ID:同上,再次输入在步骤二最后记下的IPsec服务端IP地址

    • 本地ID:不填。

    • 用户鉴定:选择

    • 使用证书:关闭。

    • 密钥:输入在创建IPsec服务端时设置的预共享密钥,可在刚刚创建的IPsec服务端操作列单击编辑按钮获取。

    • 代理:关闭。

    配置完毕后,单击右上角的完成

  2. VPN页面,先选中目标VPN配置,再打开状态开关。VPN状态显示已连接表示VPN连接成功。

    image

步骤四:访问测试

  1. 登录ECS,安装Nginx服务:

    # 在ECS上执行(以Alibaba Cloud Linux 3 为例:)
yum install -y nginx
systemctl start nginx.service

  2. ECS实例关联的安全组中添加入方向规则,允许客户端网段10.222.222.0/24)访问ECSTCP/80端口的流量。

  3. iPhone/iPad上打开Safari浏览器,输入ECS实例的内网IP地址10.0.0.1。如果能看到 Nginx 欢迎页面,则证明已成功访问到ECS实例。

    image

上一篇:PC/Android通过SSL-VPN连接VPC下一篇:操作指南