本文为您介绍客户端如何通过SSL-VPN连接专有网络VPC(Virtual Private Cloud)。

前提条件

  • 您已经注册了阿里云账号。如未注册,请先完成账号注册
  • 客户端的私网网段和VPC的私网网段没有重叠,否则无法通信。
  • 您的客户端可以访问互联网。
  • 您已经了解VPC中的ECS实例所应用的安全组规则,并确保安全组规则允许本地数据中心的网关设备访问云上资源。具体操作,请参见查询安全组规则

背景信息

本文以下图场景为例,为您介绍Linux、Windows和Mac客户端如何通过SSL-VPN连接到VPC。客户端远程接入VPC

步骤一:创建VPN网关

  1. 登录VPN网关管理控制台
  2. VPN网关页面,单击创建VPN网关
  3. 在购买页面,根据以下信息配置VPN网关,然后单击立即购买完成支付。
    • 实例名称:输入VPN网关的实例名称。
    • 地域和可用区:选择VPN网关的地域。
      说明 确保VPC的地域和VPN网关的地域相同。
    • 网关类型:选择要创建的VPN网关类型。本示例选择普通型
    • VPC: 选择要连接的VPC。
    • 指定交换机:是否指定VPN网关创建在VPC中的某一个交换机下。本示例选择

      如果您选择了,您还需要指定具体的虚拟交换机

    • 带宽规格:选择一种带宽规格,单位:Mbps。带宽规格是VPN网关所具备的公网带宽峰值。
    • IPsec-VPN: 选择是否开启IPsec-VPN功能。本示例选择关闭
    • SSL-VPN: 选择是否开启SSL-VPN功能。本示例选择开启
    • SSL连接数: 选择您需要同时连接客户端的数量的最大规格。
      说明 开启SSL-VPN功能后才可配置SSL连接数。
    • 计费周期:选择购买时长。关于计费的更多信息, 请参见计费说明
  4. 返回VPN网关页面,查看创建的VPN网关。

    刚创建好的VPN网关的状态是准备中,约1~5分钟左右会变成正常状态。正常状态就表明VPN网关完成了初始化,可以正常使用了。

步骤二:创建SSL服务端

  1. 在左侧导航栏,选择网间互联 > VPN > SSL服务端
  2. 在顶部菜单栏,选择SSL服务端的地域。
    说明 请确保SSL服务端的地域和已创建的VPN网关的地域相同。
  3. SSL服务端页面,单击创建SSL服务端
  4. 创建SSL服务端面板,根据以下信息配置SSL服务端,然后单击确定
    • 名称:输入SSL服务端的名称。
    • VPN网关:选择已创建的VPN网关。
    • 本端网段:以CIDR地址块的形式输入要连接的网络。单击添加本端网段可添加多个本端网段,本端网段可以是任何VPC或交换机的网段,也可以是本地网络的网段。
    • 客户端网段:以CIDR地址块的形式输入客户端连接服务端时使用的网段。
      注意
      • 请确保客户端网段和本端网段不冲突。
      • 请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。

        例如:您指定的客户端网段为192.168.0.0/24,系统在为客户端分配IP地址时,会先从192.168.0.0/24网段中划分出一个子网掩码为30的子网段,例如192.168.0.4/30,然后从192.168.0.4/30中分配一个IP地址供客户端使用,剩余三个IP地址会被系统占用以保证网络通信,此时一个客户端会耗费4个IP地址。因此,为保证您的客户端均能分配到IP地址,请确保您指定的客户端网段所包含的IP地址个数是SSL-VPN连接数的4倍及以上。

    • 高级配置:使用默认高级配置。
    更多信息,请参见创建SSL服务端

步骤三:创建并下载SSL客户端证书

  1. 在左侧导航栏,选择网间互联 > VPN > SSL客户端
  2. SSL客户端页面,单击创建SSL客户端证书
  3. 创建客户端证书面板,输入客户端证书名称并选择对应的SSL服务端,然后单击确定
  4. SSL客户端页面,找到已创建的客户端证书,然后在操作列单击下载

    SSL客户端证书会下载到您本地。

步骤四:配置客户端

以下内容为您介绍如何配置Linux、Mac和Windows客户端。

  • Linux客户端
    1. 执行以下命令安装OpenVPN客户端。
      yum install -y openvpn
    2. 将已下载的证书解压拷贝到/etc/openvpn/conf/目录。
    3. 进入到/etc/openvpn/conf/目录下,执行以下命令启动OpenVPN客户端软件。
      openvpn --config /etc/openvpn/conf/config.ovpn --daemon
  • Windows客户端
    1. 下载并安装OpenVPN客户端。

      下载OpenVPN

    2. 将已经下载的SSL客户端证书解压拷贝到OpenVPN\config目录。
      本示例将证书解压拷贝到C:\Program Files\OpenVPN\config目录,请您根据安装路径将证书解压拷贝到实际的目录。拷贝证书
    3. 启动Openvpn客户端软件,单击Connect发起连接。
  • Mac客户端
    1. 执行以下命令安装OpenVPN客户端。
      brew install openvpn
      说明 如果尚未安装homebrew,先安装homebrew。
    2. 步骤三中下载的证书解压拷贝到配置目录并建立连接:
      1. 备份/usr/local/etc/openvpn文件夹下的所有配置文件。
      2. 执行以下命令删除OpenVPN的配置文件:
        rm /usr/local/etc/openvpn/*
      3. 执行以下命令将已经下载的SSL客户端证书拷贝到配置目录:
        cp cert_location /usr/local/etc/openvpn/

        cert_location步骤三中下载的SSL客户端证书的路径,例如:/Users/example/Downloads/certs6.zip

      4. 执行以下命令解压证书:
        cd  /usr/local/etc/openvpn/
        unzip /usr/local/etc/openvpn/certs6.zip
      5. 执行以下命令发起连接:
        sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn

步骤五:测试连通性

  1. 打开客户端命令行窗口。
  2. 执行ping命令,访问VPC内的任意一台ECS实例,测试网络连通性。