使用手机（iOS系统）自带的VPN软件建立远程连接

前提条件

• 您已经注册了阿里云账号。如未注册，请先完成账号注册。

• 您的手机端的系统为iOS。

• 您已经在IPsec服务端支持的地域创建了专有网络。具体操作，请参见搭建IPv4专有网络。

  说明

  • 目前，仅以下地域支持IPsec服务端功能：华东1（杭州）、华东2（上海）、华东5（南京-本地地域）、华东6（福州-本地地域）、华北1（青岛）、华北2（北京）、华北3（张家口）、华北5（呼和浩特）、华北6（乌兰察布）、华南1（深圳）、华南2（河源）、华南3（广州）、华中1（武汉-本地地域）、西南1（成都）、中国香港、日本（东京）、韩国（首尔）、新加坡、马来西亚（吉隆坡）、印度尼西亚（雅加达）、菲律宾（马尼拉）、泰国（曼谷）、德国（法兰克福）、英国（伦敦）、美国（弗吉尼亚）、美国（硅谷）、阿联酋（迪拜）、墨西哥、华北2阿里政务云1。

  • 当前仅支持iOS系统的手机使用自带的VPN软件建立与云上VPN网关的连接。

场景说明

某公司在华北1（青岛）地域创建了ECS实例，并部署了企业应用。因公司业务发展，需要出差员工可以通过手机远程访问部署在云上的企业应用。

您可以创建VPN网关，并在VPN网关中创建IPsec服务端，然后通过手机自带的VPN软件与云上VPN网关建立连接。连接成功后，手机可以远程访问云上企业应用。

配置步骤

步骤一：创建VPN网关

1. 登录VPN网关管理控制台。

2. 在顶部菜单栏，选择VPN网关要关联的VPC实例的地域。本示例选择华北1（青岛）。

3. 在VPN网关页面，单击创建VPN网关。

4. 在购买页面，根据以下信息配置VPN网关，然后单击立即购买并完成支付。

   • 实例名称：输入VPN网关的实例名称。

   • 地域和可用区：选择VPN网关的地域。

     本示例选择华北1（青岛）。

   • 网关类型：选择要创建的VPN网关类型。本示例选择普通型。

   • 网络类型：选择VPN网关实例的网络类型。本示例选择公网。

   • 隧道：系统直接展示当前地域IPsec-VPN连接支持的隧道模式。

   • VPC： 选择VPN网关要关联的VPC。

   • 虚拟交换机1：从VPC实例中选择一个交换机实例。

     • IPsec-VPN连接的隧道模式为单隧道时，您仅需要指定一个交换机实例。

     • IPsec-VPN连接的隧道模式为双隧道时，您需要指定两个交换机实例。

       IPsec-VPN功能开启后，系统会在两个交换机实例下各创建一个弹性网卡ENI（Elastic Network Interfaces），作为使用IPsec-VPN连接与VPC流量互通的接口。每个ENI会占用交换机下的一个IP地址。

     说明

     • 系统默认帮您选择第一个交换机实例，您可以手动修改或者直接使用默认的交换机实例。

     • 创建VPN网关实例后，不支持修改VPN网关实例关联的交换机实例，您可以在VPN网关实例的详情页面查看VPN网关实例关联的交换机、交换机所属可用区以及交换机下ENI的信息。

   • 虚拟交换机2：从VPC实例中选择第二个交换机实例。

     IPsec-VPN连接的隧道模式为单隧道时，无需配置该项。

   • 带宽规格：选择VPN网关的带宽规格，带宽规格是VPN网关所具备的公网带宽。

     本示例选择5 Mbps。

   • IPsec-VPN： 选择开启或关闭IPsec-VPN功能，IPsec-VPN功能可以实现本地数据中心与VPC之间的连接。

     本示例选择关闭。

   • SSL-VPN： 选择开启或关闭SSL-VPN功能。SSL-VPN功能允许您从任何位置的单台计算机连接到VPC。

     使用手机自带的VPN软件建立与云上VPC的VPN连接需要开启SSL-VPN功能，本示例选择开启。

   • SSL连接数： 选择支持同时连接的最大客户端数量。

     本示例选择5。

     说明

     SSL-VPN与IPsec服务端共享SSL连接数。例如，SSL连接数为5，您已经有3个SSL客户端连接了SSL-VPN，则您还能使用2个手机客户端连接IPsec服务端。

   • 计费周期：选择购买时长。关于计费的更多信息， 请参见计费说明。

   • 服务关联角色：单击创建关联角色，系统自动创建服务关联角色AliyunServiceRoleForVpn。VPN网关使用此角色来访问其他云产品中的资源，更多信息，请参见AliyunServiceRoleForVpn。

     若本配置项显示为已创建，则表示您的账号下已创建了该角色，无需重复创建。

5. 返回VPN网关页面，查看创建的VPN网关。

   刚创建好的VPN网关的状态是准备中，约两分钟左右会变成正常状态。正常状态表明VPN网关完成了初始化，可以正常使用。系统会为VPN网关分配一个公网IP，用于手机客户端与云上VPN网关建立连接。

   说明

   如果您没有创建新的VPN网关，计划使用存量的VPN网关实现本文场景，请确保您存量的VPN网关已升级至最新版本。如果您存量VPN网关不是最新版本，默认您无法使用IPsec服务端。

   您可以在升级按钮处查看VPN网关是否是最新版本，如果不是最新版本，您可以通过升级按钮进行升级。具体操作，请参见升级VPN网关。

步骤二：创建IPsec服务端

1. 登录VPN网关管理控制台。

2. 在左侧导航栏，选择网间互联 > VPN > IPsec服务端。

3. 在顶部菜单栏，选择IPsec服务端的地域。

4. 在IPsec服务端页面，单击创建IPsec服务端。

5. 在创建IPsec服务端页面，根据以下信息配置IPsec服务端。

   • 名称：输入IPsec服务端的名称。

   • VPN网关：选择手机自带的VPN软件要连接的VPN网关。

     本示例选择步骤一中创建的VPN网关。

   • 本端网段：输入手机要远程访问的VPC的网段。

     本示例输入192.168.0.0/16。

   • 客户端网段：输入IPsec隧道客户端的私网网段。

     客户端网段是给手机客户端虚拟网卡分配的私网网段，不是指手机客户端的私网网段。当手机客户端通过VPN连接访问云上VPC时，VPN网关会从指定的客户端网段中分配一个IP地址给客户端使用。

     说明

     客户端网段不能与VPC内交换机网段冲突。

     本示例输入10.0.0.0/16。

   • 预共享密钥：用于IPsec服务端与手机客户端之间的身份认证，建立IPsec要求两端密钥必须一致。默认情况下会随机生成，您也可以手动指定密钥。

     本示例输入123456。

   • 立即生效：选择是否立即生效。

     • 是：配置完成后立即进行协商。

     • 否：当有流量进入时进行协商。

     本示例选择是。

   • 高级配置：使用默认高级配置。

     说明

     使用手机（iOS系统）自带的VPN软件建立与云上VPN网关的连接，IKE版本需选择为IKEv2。

   

6. 单击确定。

步骤三：手机自带VPN软件连接VPN

以下内容以iOS 14系统为例，介绍如何使用手机自带的VPN软件与云上VPN网关建立连接。

1. 打开手机的设置。

2. 选择通用 > VPN > 添加VPN配置。

3. 在添加配置页面，根据以下信息配置VPN。

   • 类型：选择VPN的类型。

     本示例选择IKEv2。

   • 描述：输入VPN的描述信息。

   • 服务器：输入手机客户端要连接的云上VPN网关的公网IP地址。

     本示例输入步骤一中创建的VPN网关的公网IP地址。

   • 远程ID：输入手机客户端要连接的云上VPN网关的公网IP地址。

     本示例输入步骤一中创建的VPN网关的公网IP地址。

   • 本地ID：本示例不填。

   • 用户鉴定：选择VPN网关用户鉴定类型。

     本示例选择无。

   • 使用证书：本示例关闭。

   • 密钥：用于IPsec服务端与手机客户端之间的身份认证，IPsec建立要求两端密钥必须一致。

     本示例输入123456。

4. 单击完成。

5. 在VPN页面，选中目标VPN配置，打开状态开关。

步骤四：访问测试

完成以下操作，测试手机客户端与云上VPC资源的连通性。

测试前，请确保ECS实例的安全组规则允许手机客户端访问。具体操作，请参见查询安全组规则和添加安全组规则。

1. 打开手机浏览器。

2. 在地址栏输入ECS实例的私网IP地址。

   本示例输入192.168.0.196。

   经测试，手机客户端可以远程访问云上VPC资源。