本文介绍如何使用手机(iOS系统)自带的VPN软件建立与云上VPN网关的连接,实现手机远程访问云上资源。

前提条件

开始前,请确保满足以下条件:
  • 您已经注册了阿里云账号。如未注册,请先完成账号注册
  • 您已经申请了使用手机自带的VPN软件远程连接VPN的白名单。如需使用,请提交工单
  • 您已经创建了专有网络VPC和交换机。具体操作,请参见创建专有网络

配置场景

本文以下图场景为例。配置场景

某公司在华北1(青岛)地域创建了ECS实例,并部署了企业应用。因公司业务发展,需要出差员工可以通过手机远程访问部署在云上的企业应用。

您可以创建VPN网关,并在VPN网关中创建IPsec服务端,然后通过手机自带的VPN软件与云上VPN网关建立连接。连接成功后,手机可以远程访问云上企业应用。

配置步骤

配置步骤

步骤一:创建VPN网关

完成以下操作,创建VPN网关。

  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择VPN > VPN网关
  3. VPN网关页面,单击创建VPN网关
  4. 在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。
    • 实例名称:输入VPN网关的实例名称。

      名称长度为2~128个字符,以英文字母或中文开始,可包含数字、短划线(-)和下划线(_)。

    • 地域和可用区:选择VPN网关的地域。

      本示例选择华北1(青岛)

    • VPC: 选择VPN网关要关联的VPC。
    • 指定交换机:选择是否为VPN网关指定所属的交换机。
      • :不为VPN网关指定所属的交换机,系统会在指定VPC下的任意一个交换机内创建VPN网关。
      • :为VPN网关指定所属的交换机,系统会在指定的交换机下创建VPN网关。
    • 带宽规格:选择VPN网关的带宽规格,带宽规格是VPN网关所具备的公网带宽。

      本示例选择5 Mbps

    • IPsec-VPN: 选择开启或关闭IPsec-VPN功能,IPsec-VPN功能可以实现本地数据中心与VPC之间的连接。

      本示例选择关闭

    • SSL-VPN: 选择开启或关闭SSL-VPN功能。SSL-VPN功能允许您从任何位置的单台计算机连接到VPC。

      使用手机自带的VPN软件建立与云上VPC的VPN连接需要开启SSL-VPN功能,本示例选择开启

    • SSL连接数: 选择支持同时连接的最大客户端数量。
      本示例选择5
      说明 SSL-VPN与IPsec服务端共享SSL连接数。例如,SSL连接数为5,您已经有3个SSL客户端连接了SSL-VPN,则您还能使用2个手机客户端连接IPsec服务端。
    • 计费周期:选择VPN网关的购买时长。
  5. 返回VPN网关页面,查看创建的VPN网关。
    VPN网关创建成功后,系统会为VPN网关分配一个公网IP,用于手机客户端与云上VPN网关建立连接。
    说明 刚创建好的VPN网关的状态是准备中,约两分钟左右会变成正常状态。正常状态表明VPN网关完成了初始化,可以正常使用。
    创建VPN网关

步骤二:创建IPsec服务端

完成以下操作,创建IPsec服务端。

  1. 在左侧导航栏,选择VPN > IPsec服务端
  2. IPsec服务端页面,单击创建IPsec服务端
  3. 创建IPsec服务端页面,根据以下信息配置IPsec服务端。
    • 名称:输入IPsec服务端的名称。

      名称长度为2~128个字符之间,以英文字母或中文开始,可包含数字、短划线(-)和下划线(_)。

    • VPN网关:选择手机自带的VPN软件要连接的VPN网关。

      本示例选择步骤一中创建的VPN网关。更多信息,请参见步骤一:创建VPN网关

    • 本端网段:输入手机要远程访问的VPC的网段。

      本示例输入192.168.0.0/16

    • 客户端网段:输入IPsec隧道客户端的私网网段。
      客户端网段是给手机客户端虚拟网卡分配的私网网段,不是指手机客户端的私网网段。当手机客户端通过VPN连接访问云上VPC时,VPN网关会从指定的客户端网段中分配一个IP地址给客户端使用。
      说明 客户端网段不能与VPC内交换机网段冲突。

      本示例输入10.0.0.0/16

    • 预共享密钥:用于IPsec服务端与手机客户端之间的身份认证,建立IPsec要求两端密钥必须一致。默认情况下会随机生成,您也可以手动指定密钥。

      本示例输入123456

    • 立即生效:选择是否立即生效。
      • :配置完成后立即进行协商。
      • :当有流量进入时进行协商。

      本示例选择

    • 高级配置:使用默认高级配置。
    创建IPsec服务端
  4. 单击确定
IPsec服务端创建成功后,您可以在IPsec服务端页面查看创建的IPsec服务端。创建IPsec服务端

步骤三:手机自带VPN软件连接VPN

本操作以iOS 14系统为例,介绍如何使用手机自带的VPN软件与云上VPN网关建立连接。

  1. 打开手机的设置
  2. 选择通用 > VPN > 添加VPN配置
  3. 添加配置页面,根据以下信息配置VPN。
    • 类型:选择VPN的类型。

      本示例选择IKEv2

    • 描述:输入VPN的描述信息。
    • 服务器:输入手机客户端要连接的云上VPN网关的公网IP地址。

      本示例输入步骤一创建VPN网关后,系统为VPN网关分配的公网IP地址。更多信息,请参见步骤一:创建VPN网关

    • 远程ID:输入手机客户端要连接的云上VPN网关的公网IP地址。

      本示例输入步骤一创建VPN网关后,系统为VPN网关分配的公网IP地址。更多信息,请参见步骤一:创建VPN网关

    • 本地ID:本示例不填。
    • 用户鉴定:选择VPN网关用户鉴定类型。

      本示例选择

    • 使用证书:本示例关闭。
    • 密钥:用于IPsec服务端与手机客户端之间的身份认证,IPsec建立要求两端密钥必须一致。

      本示例输入123456

  4. 单击完成
  5. VPN页面,选中目标VPN配置,打开状态开关。
待VPN状态显示已连接表示VPN连接成功。VPN连接状态

步骤四:访问测试

完成以下操作,测试手机客户端远程访问云上VPC资源。

  1. 打开手机浏览器。
  2. 在地址栏输入ECS实例的私网IP地址。
    本示例输入192.168.0.196
    经测试,手机客户端可以远程访问云上VPC资源。访问测试