使用手机(iOS系统)自带的VPN软件建立远程连接

本文介绍如何使用手机(iOS系统)自带的VPN软件建立与云上VPN网关的连接,实现手机远程访问云上资源。

前提条件

  • 您已经注册了阿里云账号。如未注册,请先完成账号注册

  • 您的手机端的系统为iOS。

  • 您已经在IPsec服务端支持的地域创建了专有网络。具体操作,请参见搭建IPv4专有网络

    说明
    • 目前,仅以下地域支持IPsec服务端功能:华东1(杭州)、华东2(上海)、华东5(南京-本地地域)、华东6(福州-本地地域)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、华中1(武汉-本地地域)、西南1(成都)、中国香港、日本(东京)、韩国(首尔)、新加坡、澳大利亚(悉尼)关停中、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、泰国(曼谷)、德国(法兰克福)、英国(伦敦)、美国(弗吉尼亚)、美国(硅谷)、阿联酋(迪拜)、华北2阿里政务云1

    • 当前仅支持iOS系统的手机使用自带的VPN软件建立与云上VPN网关的连接。

场景说明

配置场景

某公司在华北1(青岛)地域创建了ECS实例,并部署了企业应用。因公司业务发展,需要出差员工可以通过手机远程访问部署在云上的企业应用。

您可以创建VPN网关,并在VPN网关中创建IPsec服务端,然后通过手机自带的VPN软件与云上VPN网关建立连接。连接成功后,手机可以远程访问云上企业应用。

配置步骤

配置步骤

步骤一:创建VPN网关

  1. 登录VPN网关管理控制台

  2. 在顶部菜单栏,选择VPN网关要关联的VPC实例的地域。本示例选择华北1(青岛)

  3. VPN网关页面,单击创建VPN网关

  4. 在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。

    • 实例名称:输入VPN网关的实例名称。

    • 地域和可用区:选择VPN网关的地域。

      本示例选择华北1(青岛)

    • 网关类型:选择要创建的VPN网关类型。本示例选择普通型

    • 网络类型:选择VPN网关实例的网络类型。本示例选择公网

    • 隧道:系统直接展示当前地域IPsec-VPN连接支持的隧道模式。

    • VPC: 选择VPN网关要关联的VPC。

    • 虚拟交换机:从VPC实例中选择一个交换机实例。

      • IPsec-VPN连接的隧道模式为单隧道时,您仅需要指定一个交换机实例。

      • IPsec-VPN连接的隧道模式为双隧道时,您需要指定两个交换机实例。

        IPsec-VPN功能开启后,系统会在两个交换机实例下各创建一个弹性网卡ENI(Elastic Network Interfaces),作为使用IPsec-VPN连接与VPC流量互通的接口。每个ENI会占用交换机下的一个IP地址。

      说明
      • 系统默认帮您选择第一个交换机实例,您可以手动修改或者直接使用默认的交换机实例。

      • 创建VPN网关实例后,不支持修改VPN网关实例关联的交换机实例,您可以在VPN网关实例的详情页面查看VPN网关实例关联的交换机、交换机所属可用区以及交换机下ENI的信息。

    • 虚拟交换机2:从VPC实例中选择第二个交换机实例。

      IPsec-VPN连接的隧道模式为单隧道时,无需配置该项。

    • 带宽规格:选择VPN网关的带宽规格,带宽规格是VPN网关所具备的公网带宽。

      本示例选择5 Mbps

    • IPsec-VPN: 选择开启或关闭IPsec-VPN功能,IPsec-VPN功能可以实现本地数据中心与VPC之间的连接。

      本示例选择关闭

    • SSL-VPN: 选择开启或关闭SSL-VPN功能。SSL-VPN功能允许您从任何位置的单台计算机连接到VPC。

      使用手机自带的VPN软件建立与云上VPC的VPN连接需要开启SSL-VPN功能,本示例选择开启

    • SSL连接数: 选择支持同时连接的最大客户端数量。

      本示例选择5

      说明

      SSL-VPN与IPsec服务端共享SSL连接数。例如,SSL连接数为5,您已经有3个SSL客户端连接了SSL-VPN,则您还能使用2个手机客户端连接IPsec服务端。

    • 计费周期:选择购买时长。关于计费的更多信息, 请参见计费说明

    • 服务关联角色:单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn

      若本配置项显示为已创建,则表示您的账号下已创建了该角色,无需重复创建。

  5. 返回VPN网关页面,查看创建的VPN网关。

    刚创建好的VPN网关的状态是准备中,约两分钟左右会变成正常状态。正常状态表明VPN网关完成了初始化,可以正常使用。系统会为VPN网关分配一个公网IP,用于手机客户端与云上VPN网关建立连接。创建VPN网关

    说明

    如果您没有创建新的VPN网关,计划使用存量的VPN网关实现本文场景,请确保您存量的VPN网关已升级至最新版本。如果您存量VPN网关不是最新版本,默认您无法使用IPsec服务端。

    您可以在升级按钮处查看VPN网关是否是最新版本,如果不是最新版本,您可以通过升级按钮进行升级。具体操作,请参见升级VPN网关

步骤二:创建IPsec服务端

  1. 登录VPN网关管理控制台

  2. 在左侧导航栏,选择网间互联 > VPN > IPsec服务端

  3. 在顶部菜单栏,选择IPsec服务端的地域。

  4. IPsec服务端页面,单击创建IPsec服务端

  5. 创建IPsec服务端页面,根据以下信息配置IPsec服务端。

    • 名称:输入IPsec服务端的名称。

    • VPN网关:选择手机自带的VPN软件要连接的VPN网关。

      本示例选择步骤一中创建的VPN网关。

    • 本端网段:输入手机要远程访问的VPC的网段。

      本示例输入192.168.0.0/16

    • 客户端网段:输入IPsec隧道客户端的私网网段。

      客户端网段是给手机客户端虚拟网卡分配的私网网段,不是指手机客户端的私网网段。当手机客户端通过VPN连接访问云上VPC时,VPN网关会从指定的客户端网段中分配一个IP地址给客户端使用。

      说明

      客户端网段不能与VPC内交换机网段冲突。

      本示例输入10.0.0.0/16

    • 预共享密钥:用于IPsec服务端与手机客户端之间的身份认证,建立IPsec要求两端密钥必须一致。默认情况下会随机生成,您也可以手动指定密钥。

      本示例输入123456

    • 立即生效:选择是否立即生效。

      • :配置完成后立即进行协商。

      • :当有流量进入时进行协商。

      本示例选择

    • 高级配置:使用默认高级配置。

      说明

      使用手机(iOS系统)自带的VPN软件建立与云上VPN网关的连接,IKE版本需选择为IKEv2。

    创建IPsec服务端

  6. 单击确定

IPsec服务端创建成功后,您可以在IPsec服务端页面查看创建的IPsec服务端。创建IPsec服务端

步骤三:手机自带VPN软件连接VPN

以下内容以iOS 14系统为例,介绍如何使用手机自带的VPN软件与云上VPN网关建立连接。

  1. 打开手机的设置

  2. 选择通用 > VPN > 添加VPN配置

  3. 添加配置页面,根据以下信息配置VPN。

    • 类型:选择VPN的类型。

      本示例选择IKEv2

    • 描述:输入VPN的描述信息。

    • 服务器:输入手机客户端要连接的云上VPN网关的公网IP地址。

      本示例输入步骤一中创建的VPN网关的公网IP地址。

    • 远程ID:输入手机客户端要连接的云上VPN网关的公网IP地址。

      本示例输入步骤一中创建的VPN网关的公网IP地址。

    • 本地ID:本示例不填。

    • 用户鉴定:选择VPN网关用户鉴定类型。

      本示例选择

    • 使用证书:本示例关闭。

    • 密钥:用于IPsec服务端与手机客户端之间的身份认证,IPsec建立要求两端密钥必须一致。

      本示例输入123456

  4. 单击完成

  5. VPN页面,选中目标VPN配置,打开状态开关。

待VPN状态显示已连接表示VPN连接成功。VPN连接状态

步骤四:访问测试

完成以下操作,测试手机客户端与云上VPC资源的连通性。

测试前,请确保ECS实例的安全组规则允许手机客户端访问。具体操作,请参见查询安全组规则添加安全组规则

  1. 打开手机浏览器。

  2. 在地址栏输入ECS实例的私网IP地址。

    本示例输入192.168.0.196

    经测试,手机客户端可以远程访问云上VPC资源。访问测试