配置服务端
场景描述
服务端提供配置管理和连接认证,终端入云VPN网关创建完成后,需要对服务端进行相关配置。
前提条件
请确认服务端关联的VPN网关已创建成功。
约束与限制
- 只有VPN网关处于“正常”状态时,才能进行服务端配置操作。
- 一个VPN网关仅支持关联一个服务端。
操作步骤
- 登录管理控制台。
- 在管理控制台左上角单击图标,选择区域和项目。
- 在页面左上角单击图标,选择 。
- 在左侧导航栏,单击 。
- 单击右上角“终端入云VPN网关”进入“终端入云VPN网关”页面,单击目标VPN网关操作列的“配置服务端”。
- 根据界面提示配置参数,单击“确定”。
服务端配置参数请参见表1。
表1 服务端参数说明 区域
参数
说明
取值样例
基本信息
本端网段
本端网段是客户端通过终端入云VPN网关访问的目标网络的地址段。本端网段可以是华为云VPC的网段,或与华为云VPC互联网络的网段;最多可指定10个本端网段。
192.168.1.0/24,192.168.2.0/24
客户端网段
客户端网段是分配给客户端虚拟网卡地址的网段,不能与本端网段重叠。当客户端连接VPN网关时,会从中分配一个IP地址给客户端使用。
客户端网段需要满足点分十进制/掩码格式,掩码位数在16~26之间。系统在为每个客户端分配IP地址时,需要划分出一个子网掩码为30的子网段,用以保证网络通信正常。因此,请确保您指定的客户端网段所包含的IP地址个数是VPN网关连接数的4倍及以上。
不同VPN连接数建议的客户端网段请参见表2。
192.168.0.0/16
隧道类型
SSL协议是一种传输层安全协议,用于构建客户端和服务端之间的安全通道。
OpenVPN(SSL),不支持修改。
OpenVPN(SSL)
认证信息
服务端证书
服务端证书是服务端使用的SSL证书,客户端会基于此证书验证服务端的身份。
- 使用已上传证书:查看并选择已上传证书。
- 上传证书:单击下拉框最下方的“上传证书”,跳转至云证书管理服务。按照界面提示上传服务端证书,详细步骤请参见上传已有SSL证书。
请根据实际需要进行选择
客户端CA证书
服务端使用客户端CA证书验证客户端的身份。
单击“上传CA证书”,以文本格式打开CA证书PEM格式的文件(后缀名为“.pem”),将证书内容复制到“上传CA证书”的“内容”文本框内。最多支持添加10个客户端CA证书。
证书验证通过后,您可以在列表中查看CA证书基本信息,包含名称、序列号、签名算法、颁发者、使用者、过期时间。
说明:删除CA证书后,关联该CA证书的客户端需要和服务端重新建立连接。
请根据实际需要进行选择
高级配置
协议
终端入云VPN连接使用的协议。
- UDP(默认)
- TCP
UDP
端口
终端入云VPN连接使用的端口。
- 443(默认)
- 1194
443
加密算法
终端入云VPN连接使用的加密算法。
- AES-128-GCM(默认)
- AES-256-GCM
AES-128-GCM
认证算法
终端入云VPN连接使用的认证算法。
- 加密算法为AES-128-GCM时,对应认证算法为SHA256。
- 加密算法为AES-256-GCM时,对应认证算法为SHA384。
SHA256
是否压缩
是否对传输数据进行压缩处理。
默认不压缩,不支持修改。
否
表2 建议的客户端网段 VPN连接数
建议的客户端网段
10
子网掩码位数小于或等于26的网段。
例如:10.0.0.0/26、10.0.0.0/25。
20
子网掩码位数小于或等于25的网段。
例如:10.0.0.0/25、10.0.0.0/24。
50
子网掩码位数小于或等于24的网段。
例如:10.0.0.0/24、10.0.0.0/23。
100
子网掩码位数小于或等于23的网段。
例如:10.0.0.0/23、10.0.0.0/22。
200
子网掩码位数小于或等于22的网段。
例如:10.0.0.0/22、10.0.0.0/21。
500
子网掩码位数小于或等于21的网段。
例如:10.0.0.0/21、10.0.0.0/20。