操作步骤
前提条件
- 云侧
- 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网。
- 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见安全组规则。
- 数据中心侧
- 用户终端设备已经完成VPN客户端软件相关配置。相关操作步骤请参见管理员指南。
- 用户已配置身份提供商,当前仅支持基于SAML协议的虚拟用户SSO的身份提供商。如何配置虚拟用户SSO类型的身份提供商,请参见基于SAML协议的虚拟用户SSO。
身份提供商必须配置身份转换规则。在配置身份转换规则时,选择拥有“VPN SSOAccessPolicy”权限的用户组。如何创建用户组,具体操作请参见创建用户组并授权。
当用户通过编辑JSON文件来配置或修改身份转换规则时,用户名不能设置为全空格。
操作须知
更换客户端认证类型或身份提供商会导致已有VPN连接中断,请谨慎操作。
操作步骤
- 登录管理控制台。
- 在管理控制台左上角单击
图标,选择区域和项目。 - 在页面左上角单击
图标,选择。 - 在页面左上角单击
图标,选择。 - 创建用户组并授权。
- 创建用户组。
- 在左侧导航栏,单击“用户组”。
- 在“用户组”页签中,单击“创建用户组”。
- 根据界面提示,输入“用户组名称”。
- 单击“确定”,用户组创建完成。
在用户组列表中,可以查看新创建的用户组。
- 用户组授权。
- 选择目标用户组,单击操作列的“授权”。
- 在右上方搜索“VPN SSOAccessPolicy”,勾选该权限。
- 单击“下一步”,根据实际情况选择授权范围方案。
- 单击“确定”,用户组授权完成。
- 创建用户组。
- 在页面左上角单击图标,选择。
- 在左侧导航栏,选择。
- 单击“终端入云VPN网关”页签,进入终端入云VPN网关页面。
- 配置VPN网关。
- 在“终端入云VPN网关”页面,单击“创建终端入云VPN网关”。
- 根据界面提示配置参数,单击“立即购买”并完成支付。
VPN网关参数请参见表 VPN网关参数说明。
表1 VPN网关参数说明 参数
说明
取值样例
区域
选择靠近您所在地域的区域可以降低网络时延,从而提高访问速度。
不同区域的资源之间网络不互通。
请根据实际需要进行选择
名称
输入VPN网关的名称。
p2c-vpngw-001
虚拟私有云
选择虚拟私有云VPC信息。
vpc-001(192.168.0.0/16)
互联子网
用于VPN网关和VPC通信,请确保选择的互联子网存在3个及以上可分配的IP地址。
192.168.66.0/24
规格
支持专业型1和专业型2两种类型。
详细规格差异请参见规格介绍。
专业型1
可用区
可用区是指在同一地域内,电力和网络互相独立的物理区域。在同一VPC网络内可用区与可用区之间内网互通,可用区之间能做到物理隔离。
可用区1、可用区2
连接数
VPN网关最多支持10个免费的VPN连接,提供可选连接数规格,支持用户自定义。
10
EIP
用于VPN网关和客户端进行网络连接。
- 现在创建:购买新EIP,新购买EIP的计费模式为按需。
- 使用已有:使用已有EIP,仅支持使用独享带宽的EIP。
说明:
使用已有EIP时,已有EIP的计费模式可以为按需,也可以为包年/包月。
现在创建
弹性公网IP类型
仅“EIP”选择“现在创建”时需要配置。
全动态BGP:可以根据设定的寻路协议实时自动优化网络结构,以保持客户使用的网络持续稳定、高效。
弹性公网IP类型的详细介绍请参见什么是弹性公网IP。
全动态BGP
带宽大小
仅“EIP”选择“现在创建”时需要配置。
EIP对应带宽大小,单位:Mbit/s。
20 Mbit/s
带宽名称
仅“EIP”选择“现在创建”时需要配置。
EIP对应带宽对象的名称。
p2c-vpngw-bandwidth1
- 配置服务端。
- 在“终端入云VPN网关”页面,可以单击目标VPN网关操作列的“配置服务端”,也可以单击目标VPN网关名称进入详情页配置服务端。
- 根据界面提示配置参数,单击“确定”。
服务端配置参数请参见表 服务端参数说明。
表2 服务端参数说明 区域
参数
说明
取值样例
基本信息
本端网段
本端网段是客户端通过终端入云VPN网关访问的目标网络的地址段。本端网段可以是华为云VPC的网段,或与华为云VPC互联网络的网段。
最多可指定20个本端网段。本端网段的全0配置,暂不开放支持。本端网段的限制网段为0.0.0.0/8,224.0.0.0/4,240.0.0.0/4,127.0.0.0/8,不能与这些特殊网段重叠或冲突。
说明:本端网段修改后,客户端需要重新连接。
192.168.0.0/24
客户端网段
客户端网段是分配给客户端虚拟网卡地址的网段,不能与本端网段重叠,不能与网关所在VPC的路由表内路由重叠。当客户端连接网关时,会从中分配一个IP地址给客户端使用。
客户端网段需要满足点分十进制/掩码格式,掩码位数在16~26之间。系统在为每个客户端分配IP地址时,需要划分出一个子网掩码为30的子网段,用以保证网络通信正常。因此,请确保您指定的客户端网段所包含的IP地址个数是VPN网关连接数的4倍及以上。
不同VPN连接数建议的客户端网段请参见表 建议的客户端网段。
说明:客户端网段修改后,客户端需要重新连接。
172.16.0.0/16
隧道类型
SSL协议是一种传输层安全协议,用于构建客户端和服务端之间的安全通道。
OpenVPN(SSL),不支持修改。
OpenVPN(SSL)
认证信息
服务端证书
选择“服务自签名证书”。
服务自签名证书
客户端认证类型
选择。
联邦认证
身份提供商
选择已创建的身份提供商。
如果没有创建身份提供商,可以在下拉框中单击“新建身份提供商”,跳转至统一身份认证服务。如何创建身份提供商,请参见创建身份提供商。
请根据实际需要进行选择
高级配置
协议
终端入云VPN连接使用的协议。
- TCP(默认)
TCP
端口
终端入云VPN连接使用的端口。
- 443(默认)
- 1194
443
加密算法
终端入云VPN连接使用的加密算法。
- AES-128-GCM(默认)
- AES-256-GCM
AES-128-GCM
认证算法
终端入云VPN连接使用的认证算法。
- 加密算法为AES-128-GCM时,对应认证算法为SHA256。
- 加密算法为AES-256-GCM时,对应认证算法为SHA384。
SHA256
是否压缩
是否对传输数据进行压缩处理。
默认不压缩,不支持修改。
否
表3 建议的客户端网段 VPN连接数
建议的客户端网段
10
子网掩码位数小于或等于26的网段。
例如:10.0.0.0/26、10.0.0.0/25。
20
子网掩码位数小于或等于25的网段。
例如:10.0.0.0/25、10.0.0.0/24。
50
子网掩码位数小于或等于24的网段。
例如:10.0.0.0/24、10.0.0.0/23。
100
子网掩码位数小于或等于23的网段。
例如:10.0.0.0/23、10.0.0.0/22。
200
子网掩码位数小于或等于22的网段。
例如:10.0.0.0/22、10.0.0.0/21。
500
子网掩码位数小于或等于21的网段。
例如:10.0.0.0/21、10.0.0.0/20。
- 单击“确定”。
- 下载客户端配置。
- 在“终端入云VPN网关”页面,单击目标VPN网关所在行操作列的“下载客户端配置”。
- 解压缩得到“client_config.conf”、“client_config.ovpn”、“README.md”三个文件。
- “client_config.conf”适用于Linux。
- “client_config.ovpn”适用于Windows、Mac或Android。
- 配置客户端。
- 在OpenVPN官方网站下载OpenVPN Connect,根据界面提示进行安装。
- 启动OpenVPN Connect客户端,在“FILE”页签下单击“BROWSE”,上传客户端配置文件。
图1 上传配置文件
- 单击“CONNECT”尝试建立VPN连接,若出现类似下图所示界面,代表连接成功。
图2 连接成功
- 登录web客户端,使用联邦用户名和密码登录。
- 当登录页面显示认证成功时,表示成功建立VPN连接。
- 当登录页面显示认证失败时,可以根据错误信息修改对应配置。具体错误信息请参考《故障排除》。
