本文为您介绍VPN网关的常见问题及解答。

什么是跨境连接和非跨境连接?

阿里云VPN网关在国家相关政策法规内提供服务,仅支持建立非跨境连接,不支持建立跨境连接。

跨境连接

  • 在您建立IPsec-VPN的过程中,如果本地数据中心和IPsec连接所属的地域符合以下任意一种情况即为跨境连接。
    • 本地数据中心位于中国境内(不包含中国香港),IPsec连接位于非中国内地的地域。
    • 本地数据中心位于中国香港或者非中国境内,IPsec连接位于中国内地的地域。
  • 在您建立SSL-VPN的过程中,如果客户端和SSL服务端所属的地域符合以下任意一种情况即为跨境连接。
    • 客户端位于中国境内(不包含中国香港),SSL服务端位于非中国内地的地域。
    • 客户端位于中国香港或者非中国境内,SSL服务端位于中国内地的地域。

如果您需要建立跨境连接,您可以使用云企业网产品。更多信息,请参见什么是云企业网

非跨境连接

  • 在您建立IPsec-VPN的过程中,如果本地数据中心和IPsec连接所属的地域符合以下任意一种情况即为非跨境连接。
    • 本地数据中心位于中国境内(不包含中国香港),IPsec连接位于中国内地的地域。
    • 本地数据中心位于中国香港或者非中国境内,IPsec连接位于非中国内地的地域。
  • 在您建立SSL-VPN的过程中,如果客户端和SSL服务端所属的地域符合以下任意一种情况即为非跨境连接。
    • 客户端位于中国境内(不包含中国香港),SSL服务端位于中国内地的地域。
    • 客户端位于中国香港或者非中国境内,SSL服务端位于非中国内地的地域。

如何选择IPsec连接和SSL服务端的地域?

  • 如果IPsec连接需要绑定VPN网关实例,则IPsec连接所属的地域需和VPN网关实例所属的地域一致。
  • 如果IPsec连接需要绑定转发路由器实例,则建议您依据就近原则,为IPsec连接选择离本地数据中心最近的地域。
  • SSL服务端所属的地域需和VPN网关实例所属的地域一致。

中国内地和非中国内地包含的地域都有哪些?

中国内地和非中国内地包含的地域详情如下表所示:

地域分类包含的地域
中国内地华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、华东1(杭州)、华东2(上海)、华东5(南京-本地地域)、华东6(福州-本地地域)、西南1(成都)
非中国内地中国香港、新加坡、马来西亚(吉隆坡)、日本(东京)、印度尼西亚(雅加达)、印度(孟买)、菲律宾(马尼拉)、韩国(首尔)、泰国(曼谷)、德国(法兰克福)、英国(伦敦)、澳大利亚(悉尼)、阿联酋(迪拜)、美国(硅谷)、美国(弗吉尼亚)

是否可以通过VPN网关访问互联网?

不可以。

VPN网关仅提供私网接入VPC的功能,不提供访问互联网的功能。

本地站点通过IPsec-VPN接入VPC的前提条件是什么?

  • 本地站点的网关设备必须支持IKEv1和IKEv2协议。

    IPsec-VPN支持IKEv1和IKEv2协议。支持这两种协议的设备均可以和阿里云VPN网关互连。

  • 本地站点的网关设备必须配置静态公网IP地址。
  • 本地站点和VPC之间需要互通的网段没有重叠。

关于本地站点如何通过IPsec-VPN连接至VPC,请参见建立VPC到本地数据中心的连接

哪些本地网关设备可以与阿里云VPN网关建立连接?

阿里云VPN网关支持标准的IKEv1和IKEv2协议。因此,只要支持这两种协议的设备都可以和阿里云VPN网关互连。例如华三、华为、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia等。具体操作,请参见本地网关配置

VPN网关是否支持经典网络?

不支持。

VPN网关仅支持专有网络VPC(Virtual Private Cloud),如果您想在经典网络中使用VPN网关,需要在VPC中开启ClassicLink功能。具体操作,请参见在经典网络中使用IPsec-VPN在经典网络中使用SSL-VPN

跨地域VPC是否可以通过VPN网关互通?

可以。

具体操作,请参见建立VPC到VPC的连接
说明 如果您在跨地域的VPC之间建立IPsec-VPN连接,IPsec-VPN连接的网络质量会受公网质量的影响,推荐您使用云企业网在跨地域VPC之间建立连接。具体操作,请参见使用云企业网实现跨地域跨账号VPC互通(企业版)

VPC之间的互通流量是否经过互联网?

在使用VPN网关实现VPC与VPC互通的场景下:
  • 如果两个VPC位于相同的地域,则流量仅经过阿里云网络,不会经过互联网。
  • 如果两个VPC位于不同的地域,则流量会经过互联网。

IPsec服务端和SSL服务端的区别是什么?

对比项IPsec服务端SSL服务端
使用场景提供端到站点的连接。提供端到站点的连接。
客户端模式仅支持iOS系统的手机端建立和阿里云的VPN连接。支持Android系统的手机、电脑等终端建立和阿里云的VPN连接。
客户端连接模式iOS系统的手机端通过自带的VPN应用和阿里云建立VPN连接。Android系统的手机、电脑等终端通过OpenVPN软件和阿里云建立VPN连接。
加密方式IPsec协议SSL证书

是否支持在一个IPsec连接中配置多个对端网段?

支持。

在为IPsec连接配置多个对端网段前,请先了解多网段配置建议。更多信息,请参见多网段场景配置建议

每个VPN网关可以建立多少个IPsec连接?

每个VPN网关默认支持创建10个IPsec连接,您可以在阿里云控制台自助调整使用限制。具体操作,请参见管理VPN网关配额

VPN网关中如何为网络ACL配置规则?

VPN网关类型配置规则
IPsec-VPN在网络ACL的出方向和入方向分别配置规则允许以下网段及IP地址通过,以便VPN网关可以正常建立IPsec-VPN连接:
  • 100.64.0.0/10
    说明 阿里云使用100.64.0.0/10网段对内提供服务,您需要允许此网段通过以便VPN网关可以正常运行。
  • 用户网关IP地址
  • VPN网关IP地址
SSL-VPN在网络ACL的出方向和入方向分别配置规则允许以下网段及IP地址通过并放开SSL-VPN的端口,以便VPN网关可以正常建立SSL-VPN连接:
  • 100.64.0.0/10
    说明 阿里云使用100.64.0.0/10网段对内提供服务,您需要允许此网段通过以便VPN网关可以正常运行。
  • 客户端公网IP地址
  • VPN网关IP地址
  • 放开SSL-VPN使用的端口

    例如,1194端口

VPN网关支持查看SSL-VPN连接下客户端的连接信息吗?

支持。

具体操作,请参见查看SSL客户端的连接信息
说明
  • 2022年12月10日之后创建的VPN网关实例默认支持查看SSL客户端的连接信息。

  • 如果SSL服务端关联的VPN网关实例是在2022年12月10日之前创建的,则您需要将VPN网关实例升级至最新版才能查看SSL客户端的连接信息。具体操作,请参见升级VPN网关

SSL-VPN发布前购买的VPN网关实例是否可以使用SSL-VPN功能?

不可以。

如需使用,请将VPN网关升级至最新版。具体操作,请参见升级VPN网关