更新时间:2024-11-29 GMT+08:00

配置服务端

场景描述

服务端提供配置管理和连接认证,终端入云VPN网关创建完成后,需要对服务端进行相关配置。

前提条件

请确认服务端关联的VPN网关已创建成功。

约束与限制

  • 只有VPN网关处于“正常”状态时,才能进行服务端配置操作。
  • 一个VPN网关仅支持关联一个服务端。

操作步骤

  1. 登录管理控制台。
  2. 在管理控制台左上角单击图标,选择区域和项目。
  3. 在页面左上角单击图标,选择网络 > 虚拟专用网络VPN
  4. 在左侧导航栏,选择虚拟专用网络 > 企业版-VPN网关
  5. 单击“终端入云VPN网关”进入“终端入云VPN网关”页面,可以单击目标VPN网关操作列的“配置服务端”,也可以单击目标VPN网关名称进入详情页配置服务端。
  6. 根据界面提示配置参数,单击“确定”

    服务端配置参数请参见表1

    表1 服务端参数说明

    区域

    参数

    说明

    取值样例

    基本信息

    本端网段

    本端网段是客户端通过终端入云VPN网关访问的目标网络的地址段。本端网段可以是华为云VPC的网段,或与华为云VPC互联网络的网段。

    最多可指定20个本端网段。本端网段的全0配置,暂不开放支持。本端网段的限制网段为0.0.0.0/8,224.0.0.0/4,240.0.0.0/4,127.0.0.0/8,不能与这些特殊网段重叠或冲突。

    • 选择子网:

      选择本VPC子网信息。

    • 输入网段:

      可以输入本VPC下的子网信息;也可以输入与本VPC建立了对等网络的VPC子网信息。

    说明:

    本端网段修改后,客户端需要重新连接。

    192.168.0.0/24

    客户端网段

    客户端网段是分配给客户端虚拟网卡地址的网段,不能与本端网段重叠,不能与网关所在VPC的路由表内路由重叠。当客户端连接网关时,会从中分配一个IP地址给客户端使用。

    客户端网段需要满足点分十进制/掩码格式,掩码位数在16~26之间。系统在为每个客户端分配IP地址时,需要划分出一个子网掩码为30的子网段,用以保证网络通信正常。因此,请确保您指定的客户端网段所包含的IP地址个数是VPN网关连接数的4倍及以上。

    不同VPN连接数建议的客户端网段请参见表2

    说明:

    客户端网段修改后,客户端需要重新连接。

    172.16.0.0/16

    隧道类型

    SSL协议是一种传输层安全协议,用于构建客户端和服务端之间的安全通道。

    OpenVPN(SSL),不支持修改。

    OpenVPN(SSL)

    认证信息

    服务端证书

    服务端证书是服务端使用的SSL证书,客户端会基于此证书验证服务端的身份。

    • 使用已上传证书:查看并选择已上传证书。
    • 上传证书:单击下拉框最下方的“上传证书”,跳转至云证书管理服务。按照界面提示上传服务端证书,详细步骤请参见上传已有SSL证书
    • 推荐使用强密码算法的证书,如RSA3072/4096。
    说明:

    用户在完成服务端配置后,在云证书管理服务中删除了引用的服务端证书,并不影响服务端证书的可用性。

    请根据实际需要进行选择

    客户端认证类型

    客户端认证类型是服务端验证客户端身份的方式。支持“证书认证”和“口令认证(本地)”两种方式。

    • 选择“客户端认证类型 > 证书认证”
      • 单击“上传CA证书”,以文本格式打开CA证书PEM格式的文件,将证书内容复制到“上传CA证书”“内容”文本框内。最多支持添加10个客户端CA证书。

        推荐使用强密码算法的证书,如RSA3072/4096。RSA2048加密算法的证书存在风险,请慎用。

      • 证书验证通过后,您可以在列表中查看CA证书基本信息,包含名称、序列号、签名算法、颁发者、使用者、过期时间。
    • 选择“客户端认证类型 > 口令认证(本地)”
      • “用户管理 ”的页签中,选择“用户组”,单击“创建用户组”
      • “用户管理 ”的页签中,选择“用户”,单击“创建用户”
      • “访问策略 ”页签中,单击“创建策略”。

    请根据实际需要进行选择

    高级配置

    协议

    终端入云VPN连接使用的协议。

    • TCP(默认)

    TCP

    端口

    终端入云VPN连接使用的端口。

    • 443(默认)
    • 1194

    443

    加密算法

    终端入云VPN连接使用的加密算法。

    • AES-128-GCM(默认)
    • AES-256-GCM

    AES-128-GCM

    认证算法

    终端入云VPN连接使用的认证算法。

    • 加密算法为AES-128-GCM时,对应认证算法为SHA256。
    • 加密算法为AES-256-GCM时,对应认证算法为SHA384。

    SHA256

    是否压缩

    是否对传输数据进行压缩处理。

    默认不压缩,不支持修改。

    域名访问

    支持开启和关闭域名访问。
    • 合法DNS地址:
      • 非0.0.0.0。
      • 非loopback地址,loopback地址的范围是127.0.0.0 ~ 127.255.255.255。
      • 非多播地址,广播地址的范围是224.0.0.0 ~ 239.255.255.255。
      • 非0开头与0结尾。
      • 输入的DNS地址重复检查。

    开启

    表2 建议的客户端网段

    VPN连接数

    建议的客户端网段

    10

    子网掩码位数小于或等于26的网段。

    例如:10.0.0.0/26、10.0.0.0/25。

    20

    子网掩码位数小于或等于25的网段。

    例如:10.0.0.0/25、10.0.0.0/24。

    50

    子网掩码位数小于或等于24的网段。

    例如:10.0.0.0/24、10.0.0.0/23。

    100

    子网掩码位数小于或等于23的网段。

    例如:10.0.0.0/23、10.0.0.0/22。

    200

    子网掩码位数小于或等于22的网段。

    例如:10.0.0.0/22、10.0.0.0/21。

    500

    子网掩码位数小于或等于21的网段。

    例如:10.0.0.0/21、10.0.0.0/20。