本文介绍如何使用手机(iOS系统)自带的VPN软件建立与云上VPN网关的连接,实现手机远程访问云上资源。
前提条件
您已经注册了阿里云账号。如未注册,请先完成账号注册。
您的手机端的系统为iOS。
您已经在IPsec服务端支持的地域创建了专有网络。具体操作,请参见搭建IPv4专有网络。
说明目前,仅以下地域支持IPsec服务端功能:华东1(杭州)、华东2(上海)、华东5(南京-本地地域)、华东6(福州-本地地域)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、华中1(武汉-本地地域)、西南1(成都)、中国香港、日本(东京)、韩国(首尔)、新加坡、澳大利亚(悉尼)关停中、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、泰国(曼谷)、德国(法兰克福)、英国(伦敦)、美国(弗吉尼亚)、美国(硅谷)、阿联酋(迪拜)、华北2阿里政务云1。
当前仅支持iOS系统的手机使用自带的VPN软件建立与云上VPN网关的连接。
场景说明
某公司在华北1(青岛)地域创建了ECS实例,并部署了企业应用。因公司业务发展,需要出差员工可以通过手机远程访问部署在云上的企业应用。
您可以创建VPN网关,并在VPN网关中创建IPsec服务端,然后通过手机自带的VPN软件与云上VPN网关建立连接。连接成功后,手机可以远程访问云上企业应用。
配置步骤
步骤一:创建VPN网关
登录VPN网关管理控制台。
在顶部菜单栏,选择VPN网关要关联的VPC实例的地域。本示例选择华北1(青岛)。
在VPN网关页面,单击创建VPN网关。
在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。
实例名称:输入VPN网关的实例名称。
地域和可用区:选择VPN网关的地域。
本示例选择华北1(青岛)。
网关类型:选择要创建的VPN网关类型。本示例选择普通型。
网络类型:选择VPN网关实例的网络类型。本示例选择公网。
隧道:系统直接展示当前地域IPsec-VPN连接支持的隧道模式。
VPC: 选择VPN网关要关联的VPC。
虚拟交换机:从VPC实例中选择一个交换机实例。
IPsec-VPN连接的隧道模式为单隧道时,您仅需要指定一个交换机实例。
IPsec-VPN连接的隧道模式为双隧道时,您需要指定两个交换机实例。
IPsec-VPN功能开启后,系统会在两个交换机实例下各创建一个弹性网卡ENI(Elastic Network Interfaces),作为使用IPsec-VPN连接与VPC流量互通的接口。每个ENI会占用交换机下的一个IP地址。
说明系统默认帮您选择第一个交换机实例,您可以手动修改或者直接使用默认的交换机实例。
创建VPN网关实例后,不支持修改VPN网关实例关联的交换机实例,您可以在VPN网关实例的详情页面查看VPN网关实例关联的交换机、交换机所属可用区以及交换机下ENI的信息。
虚拟交换机2:从VPC实例中选择第二个交换机实例。
IPsec-VPN连接的隧道模式为单隧道时,无需配置该项。
带宽规格:选择VPN网关的带宽规格,带宽规格是VPN网关所具备的公网带宽。
本示例选择5 Mbps。
IPsec-VPN: 选择开启或关闭IPsec-VPN功能,IPsec-VPN功能可以实现本地数据中心与VPC之间的连接。
本示例选择关闭。
SSL-VPN: 选择开启或关闭SSL-VPN功能。SSL-VPN功能允许您从任何位置的单台计算机连接到VPC。
使用手机自带的VPN软件建立与云上VPC的VPN连接需要开启SSL-VPN功能,本示例选择开启。
SSL连接数: 选择支持同时连接的最大客户端数量。
本示例选择5。
说明SSL-VPN与IPsec服务端共享SSL连接数。例如,SSL连接数为5,您已经有3个SSL客户端连接了SSL-VPN,则您还能使用2个手机客户端连接IPsec服务端。
计费周期:选择购买时长。关于计费的更多信息, 请参见计费说明。
服务关联角色:单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn。
若本配置项显示为已创建,则表示您的账号下已创建了该角色,无需重复创建。
返回VPN网关页面,查看创建的VPN网关。
刚创建好的VPN网关的状态是准备中,约两分钟左右会变成正常状态。正常状态表明VPN网关完成了初始化,可以正常使用。系统会为VPN网关分配一个公网IP,用于手机客户端与云上VPN网关建立连接。
说明如果您没有创建新的VPN网关,计划使用存量的VPN网关实现本文场景,请确保您存量的VPN网关已升级至最新版本。如果您存量VPN网关不是最新版本,默认您无法使用IPsec服务端。
您可以在升级按钮处查看VPN网关是否是最新版本,如果不是最新版本,您可以通过升级按钮进行升级。具体操作,请参见升级VPN网关。
步骤二:创建IPsec服务端
登录VPN网关管理控制台。
在左侧导航栏,选择 。
在顶部菜单栏,选择IPsec服务端的地域。
在IPsec服务端页面,单击创建IPsec服务端。
在创建IPsec服务端页面,根据以下信息配置IPsec服务端。
名称:输入IPsec服务端的名称。
VPN网关:选择手机自带的VPN软件要连接的VPN网关。
本示例选择步骤一中创建的VPN网关。
本端网段:输入手机要远程访问的VPC的网段。
本示例输入192.168.0.0/16。
客户端网段:输入IPsec隧道客户端的私网网段。
客户端网段是给手机客户端虚拟网卡分配的私网网段,不是指手机客户端的私网网段。当手机客户端通过VPN连接访问云上VPC时,VPN网关会从指定的客户端网段中分配一个IP地址给客户端使用。
说明客户端网段不能与VPC内交换机网段冲突。
本示例输入10.0.0.0/16。
预共享密钥:用于IPsec服务端与手机客户端之间的身份认证,建立IPsec要求两端密钥必须一致。默认情况下会随机生成,您也可以手动指定密钥。
本示例输入123456。
立即生效:选择是否立即生效。
是:配置完成后立即进行协商。
否:当有流量进入时进行协商。
本示例选择是。
高级配置:使用默认高级配置。
说明使用手机(iOS系统)自带的VPN软件建立与云上VPN网关的连接,IKE版本需选择为IKEv2。
单击确定。
IPsec服务端创建成功后,您可以在IPsec服务端页面查看创建的IPsec服务端。
步骤三:手机自带VPN软件连接VPN
以下内容以iOS 14系统为例,介绍如何使用手机自带的VPN软件与云上VPN网关建立连接。
打开手机的设置。
选择 。
在添加配置页面,根据以下信息配置VPN。
单击完成。
在VPN页面,选中目标VPN配置,打开状态开关。
待VPN状态显示已连接表示VPN连接成功。
步骤四:访问测试
完成以下操作,测试手机客户端与云上VPC资源的连通性。
测试前,请确保ECS实例的安全组规则允许手机客户端访问。具体操作,请参见查询安全组规则和添加安全组规则。
打开手机浏览器。
在地址栏输入ECS实例的私网IP地址。
本示例输入192.168.0.196。
经测试,手机客户端可以远程访问云上VPC资源。