通过SSL-VPN实现客户端私网访问云电脑

SSL-VPN是一种基于OpenVPN架构的网络连接技术。部署完成后,您仅需要在客户端中加载证书并发起连接,便可通过SSL-VPN功能从客户端远程访问VPC中部署的应用和服务。本文介绍如何通过SSL-VPN将本地客户端接入到无影云电脑办公网络(原工作区)的VPC,实现客户端能够通过私网访问云电脑。

准备工作

开始操作前,您需要仔细阅读通过私网访问云电脑介绍,并完成以下准备工作。

  • 确认已有可用的云企业网实例,如果没有您需要创建云企业网。具体操作,请参见创建云企业网实例

  • 确认已有可用的专有网络,如果没有您需要创建专有网络,并将专有网络加入云企业网。具体操作,请参见创建专有网络和交换机管理网络实例

  • 确认已有可用的办公网络,如果没有您需要创建便捷办公网络或AD办公网络,并将办公网络的VPC加入云企业网。具体操作,请参见创建或删除便捷办公网络创建并配置AD办公网络

    重要
    • 避免新建的办公网络网段与云企业网已有网段或本地数据中心IDC网段存在冲突,创建办公网络前,您需要规划办公网络的IPv4网段。更多信息,请参见规划网段

    • 如果您之前已有便捷办公网络,需要将办公网络加入云企业网CEN。

    • 如果AD部署在云服务器ECS上,您需要将AD服务器所属VPC加入到云企业网CEN;如果AD部署在本地服务器上,需要先打通本地和云上网络,才能成功对接AD。您可以先创建一个AD办公网络,打通网络后再完成AD域的配置。

  • 确认已创建用户和云电脑并已为该用户分配云电脑。

    如果没有您需要根据办公网络类型,创建相应的用户并为用户创建和分配云电脑。

  • 准备安装OpenVPN和无影云电脑客户端的设备。您需要确保安装OpenVPN和无影云电脑客户端的设备是同一台设备。

    说明
    • SSL-VPN的方案仅适用于Windows客户端macOS客户端

    • 验证是否能够通过私网连接云电脑需要登录无影云电脑的客户端,您可以在本地通过Windows客户端macOS客户端iOS客户端Android客户端Web客户端卡片式云电脑终端ASC01盒式云电脑终端AS01无影23.8寸一体机US01登录无影云电脑的客户端,然后通过企业专网连接云电脑。

步骤一:配置SSL-VPN

配置SSL-VPN包括创建VPN网关、创建SSL服务端、发布客户端网段至CEN、创建并下载SSL客户端证书,下文为您介绍操作步骤。

  1. 购买VPN网关并开启SSL-VPN功能。具体操作,请参见创建VPN网关实例

    相关配置项的说明及示例如下表所示。

    配置项

    说明

    示例

    实例名称

    VPN网关实例的名称。

    test-vpn

    地域和可用区

    选择VPN网关实例的地域。

    需确保VPN网关实例的地域和待关联的VPC实例的地域相同。

    华东1(杭州)

    网关类型

    选择VPN网关实例的类型。

    • 普通型

    • 国密型

    说明

    使用国密型VPN网关时,国密型VPN网关需要关联SSL证书进行数据加密和身份认证。更多信息,请参见管理SSL证书

    普通型

    网络类型

    选择VPN网关实例的网络类型。

    • 公网:VPN网关通过公网建立VPN连接。

    • 私网:VPN网关通过私网建立VPN连接。

    公网

    VPC

    选择VPN网关实例关联的VPC实例。

    test-vpc

    指定交换机

    是否为VPN网关实例指定交换机。

    • :不为VPN网关实例指定交换机。创建VPN网关后,VPN网关自动关联至VPC内的任意一个交换机下。

    • :为VPN网关实例指定交换机。创建VPN网关后,VPN网关会被关联至指定的交换机下。

    带宽规格

    选择VPN网关实例的带宽规格。单位:Mbps。

    200 Mbps

    IPsec-VPN

    选择开启或关闭IPsec-VPN功能。默认值:开启

    IPsec-VPN可以在本地数据中心和VPC之间或在VPC和VPC之间建立安全连接。

    关闭

    SSL-VPN

    选择开启或关闭SSL-VPN功能。默认值:关闭

    SSL-VPN可以在点和站点之间建立安全连接,无需配置用户网关。例如,SSL-VPN可以在Linux客户端和VPC之间建立安全连接。

    开启

    SSL连接数

    选择需要同时连接的客户端的规格。

    说明

    开启SSL-VPN功能后才支持配置本参数。

    5

    计费周期

    选择购买时长。

    您可以选择是否自动续费:

    • 按月购买:自动续费周期为1个月。

    • 按年购买:自动续费周期为1年。

    1个月

    服务关联角色

    单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。

    VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn

    若本配置项显示为已创建,则表示您当前账号下已创建了该角色,无需重复创建。

    /

  2. 创建SSL服务端。具体操作,请参见创建SSL服务端

    相关配置项的说明及示例如下表所示。

    配置项

    说明

    示例

    名称

    SSL服务端的名称。

    名称在2~128个字符之间,以大小写字母或中文开始,可包含数字、短划线(-)和下划线(_)。

    test-ssl

    VPN网关

    选择要关联的VPN网关。

    确保该VPN网关已经开启了SSL-VPN功能。

    test-vpn

    本端网段

    本端网段是客户端通过SSL-VPN连接要访问的地址段。

    本端网段可以是专有网络VPC(Virtual Private Cloud)的网段、交换机的网段、通过物理专线和VPC互连的本地数据中心的网段、云服务(例如对象存储、云数据库)等的网段。

    单击+添加本端网段添加多个本端网段。

    说明

    本端网段的子网掩码位数在8至32位之间。

    包括以下三个网段:

    • 办公网络VPC网段:172.16.111.0/24

    • 用户VPC网段:192.168.0.0/16

    • VPC内DNS网段及阿里云私网OpenAPI节点所在网段,固定为100.64.0.0/10。

    客户端网段

    客户端网段是给客户端虚拟网卡分配访问地址的网段,不是指客户端已有的内网网段。当客户端通过SSL-VPN连接访问本端时,VPN网关会从指定的客户端网段中分配一个IP地址给客户端使用。

    在您指定客户端网段时需保证客户端网段所包含的IP地址个数是当前VPN网关SSL连接数的4倍及以上。

    重要
    • 客户端网段的子网掩码位数在16至29位之间。

    • 请确保客户端网段和本端网段不冲突。

    • 在指定客户端网段时,建议您使用10.0.0.0/8、172.16.0.0/12和192.168.0.0/16网段及其子网网段。如果您的客户端网段需要指定为公网网段,您需要将公网网段设置为VPC的用户网段,以确保VPC可以访问到该公网网段。关于用户网段的更多信息,请参见什么是用户网段?如何配置用户网段?

    10.10.111.0/24

    高级配置

    高级配置支持协议、加密算法等配置。本示例不配置。

    无需额外设置参数,采用默认即可。

  3. 将SSL-VPN服务端中设置的客户端网段发布到CEN中。

    1. 在左侧导航栏,单击路由表

    2. 路由表页面,找到目标打通网络的用户VPC,单击路由表实例ID。

    3. 路由条目列表页签下,单击自定义路由条目页签。

    4. 找到SSL-VPN服务端中设置的客户端网段,单击发布

      当客户网段CEN中状态列显示为已发布,则表示发布成功。

  4. 创建SSL客户端证书。具体操作,请参见创建SSL客户端证书

  5. SSL客户端页面,找到目标SSL客户端证书,在操作列单击下载

    SSL客户端证书下载到本地后请妥善保存,后续配置客户端时需要使用该证书。

步骤二:配置本地客户端连接私网

您需要在本地PC上安装并登录OpenVPN,在配置DNS后即可一键连接私网,下文为您介绍操作步骤。

  1. 在本地PC上安装OpenVPN。

    推荐您使用OpenVPN接入VPC,以下为您介绍在Windows操作系统或macOS上安装OpenVPN的具体步骤。

    • Windows操作系统

      1. 单击下载OpenVPN

      2. 安装OpenVPN。

      3. 将SSL客户端证书解压拷贝到OpenVPN\config目录。

        重要

        请根据OpenVPN实际安装路径将证书拷贝到对应目录。例如:OpenVPN安装在C:\Program Files\OpenVPN目录,则将证书解压拷贝到C:\Program Files\OpenVPN\config目录。

    • macOS

      1. 执行以下命令安装OpenVPN。

        brew install openvpn

        如果没有安装homebrew,请先安装homebrew。

      2. 将SSL客户端证书解压拷贝到配置目录。

  2. 在本地PC上启动OpenVPN,并发起连接。

    • Windows操作系统:打开OpenVPN,发起连接。

    • macOS:执行以下命令发起连接。

      sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn
  3. 在本地PC上配置DNS。

    配置DNS前,您可以执行以下命令,测试是否可以正常解析域名。

    nslookup ecd-vpc.cn-hangzhou.aliyuncs.com

    如果返回IP地址,则表示可正常解析域名,则可以跳过该步骤;如果无法返回IP地址,则需要按照以下步骤配置DNS。

    1. 将100.100.2.136或100.100.2.138加入到DNS列表中。

      以Win10为例,配置DNS的步骤如下:

      1. 在控制面板打开网络和共享中心。

      2. 在左侧导航栏单击更改适配器设置

      3. 右键单击OpenVPN对应的网络适配器,选择属性

      4. 在弹出的对话框的此连接使用下列项目区域,双击Internet协议版本(TCP/IPv4)

      5. 在弹出对话框中指定DNS服务器。

        您可以将首选DNS服务器配置为100.100.2.136,将备选DNS服务器配置为100.100.2.138。DNS

    2. 执行以下命令验证DNS是否正常工作。

      nslookup ecd-vpc.cn-hangzhou.aliyuncs.com

步骤三:验证是否能够通过私网连接云电脑

SSL-VPN的方案仅适用于Windows客户端macOS客户端

说明

下文以通过登录Windows客户端5.2.0版本连接云电脑为例,验证是否能够通过私网访问云电脑。业务中请根据实际情况选择合适的客户端登录并连接云电脑。

  1. 根据邮件或短信获取登录无影云电脑客户端所需的信息(例如:办公网络ID、账号和密码等)。

    1. 双击无影云电脑..png图标打开无影云电脑的客户端。

    2. 按照界面提示输入办公网络ID。

      重要

      仅通过办公网络ID登录客户端时支持选择企业专网

    3. 单击切换网络接入方式并选择企业专网,然后单击确定

      企业专网
    4. 单击下一步

    5. 按照界面提示,输入账号和密码,单击下一步

  2. 连接云电脑。

    成功登录无影云电脑的客户端后,云电脑将以卡片的形式展示。单击连接即可。云电脑连接成功后,您可以在新窗口中查看并使用云电脑。

    重要

    如果出现网络请求超时的相关报错,则说明网络不通,请检查配置是否正确,检查无误后请重新登录客户端,连接云电脑。