背景信息

前提條件

• 您已經(jīng)注冊了阿里云賬號。如未注冊，請先完成賬號注冊。

• 客戶端的私網(wǎng)網(wǎng)段和VPC的私網(wǎng)網(wǎng)段沒有重疊。

• 客戶端可以訪問互聯(lián)網(wǎng)。

• 您已經(jīng)了解VPC中的云服務(wù)器ECS（Elastic Compute Service）實例所應(yīng)用的安全組規(guī)則，并確保安全組規(guī)則允許客戶端訪問云上資源。具體操作，請參見查詢安全組規(guī)則和添加安全組規(guī)則。

配置流程

步驟一：創(chuàng)建VPN網(wǎng)關(guān)

1. 登錄VPN網(wǎng)關(guān)管理控制臺。

2. 在VPN網(wǎng)關(guān)頁面，單擊創(chuàng)建VPN網(wǎng)關(guān)。

3. 在VPN網(wǎng)關(guān)（包月）頁面，根據(jù)以下信息配置VPN網(wǎng)關(guān)，然后單擊立即購買并完成支付。

   名稱	說明
   實例名稱	輸入VPN網(wǎng)關(guān)的實例名稱。
   資源組	選擇VPN網(wǎng)關(guān)實例所屬的資源組。 如果不選擇，VPN網(wǎng)關(guān)實例創(chuàng)建完成后歸屬于默認(rèn)資源組。 您可以在資源管理控制臺管理資源組資源。更多信息，請參見什么是資源管理。
   地域和可用區(qū)	選擇VPN網(wǎng)關(guān)的地域。 說明 確保VPC的地域和VPN網(wǎng)關(guān)的地域相同。
   網(wǎng)關(guān)類型	選擇待創(chuàng)建的VPN網(wǎng)關(guān)類型。本文選擇普通型。
   網(wǎng)絡(luò)類型	選擇VPN網(wǎng)關(guān)實例的網(wǎng)絡(luò)類型。本文選擇公網(wǎng)。
   隧道	系統(tǒng)直接展示當(dāng)前地域支持的IPsec-VPN連接的隧道模式。
   VPC	選擇待連接的VPC。
   虛擬交換機(jī)	從VPC實例中選擇一個交換機(jī)實例。 IPsec-VPN連接的隧道模式為單隧道時，您僅需要指定一個交換機(jī)實例。 IPsec-VPN連接的隧道模式為雙隧道時，您需要指定兩個交換機(jī)實例。 IPsec-VPN功能開啟后，系統(tǒng)會在兩個交換機(jī)實例下各創(chuàng)建一個彈性網(wǎng)卡ENI（Elastic Network Interfaces），作為使用IPsec-VPN連接與VPC流量互通的接口。每個ENI會占用交換機(jī)下的一個IP地址。 說明 系統(tǒng)默認(rèn)幫您選擇第一個交換機(jī)實例，您可以手動修改或者直接使用默認(rèn)的交換機(jī)實例。 創(chuàng)建VPN網(wǎng)關(guān)實例后，不支持修改VPN網(wǎng)關(guān)實例關(guān)聯(lián)的交換機(jī)實例，您可以在VPN網(wǎng)關(guān)實例的詳情頁面查看VPN網(wǎng)關(guān)實例關(guān)聯(lián)的交換機(jī)、交換機(jī)所屬可用區(qū)以及交換機(jī)下ENI的信息。
   虛擬交換機(jī)2	從VPC實例中選擇第二個交換機(jī)實例。 IPsec-VPN連接的隧道模式為單隧道時，無需配置該項。
   帶寬規(guī)格	選擇VPN網(wǎng)關(guān)的帶寬規(guī)格，單位：Mbps。
   IPsec-VPN	是否開啟IPsec-VPN功能。本文選擇關(guān)閉。
   SSL-VPN	是否開啟SSL-VPN功能。本文選擇開啟。
   SSL連接數(shù)	選擇需要連接的客戶端的數(shù)量。 說明 開啟SSL-VPN功能后才可配置SSL連接數(shù)。
   計費周期	選擇購買時長。關(guān)于計費的更多信息， 請參見計費說明。
   服務(wù)關(guān)聯(lián)角色	單擊創(chuàng)建關(guān)聯(lián)角色，系統(tǒng)自動創(chuàng)建服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForVpn。 VPN網(wǎng)關(guān)使用此角色來訪問其他云產(chǎn)品中的資源，更多信息，請參見AliyunServiceRoleForVpn。 若本配置項顯示為已創(chuàng)建，則表示您的賬號下已創(chuàng)建了該角色，無需重復(fù)創(chuàng)建。

4. 返回VPN網(wǎng)關(guān)頁面，查看創(chuàng)建的VPN網(wǎng)關(guān)。

   剛創(chuàng)建好的VPN網(wǎng)關(guān)的狀態(tài)是準(zhǔn)備中，約1~5分鐘會變成正常狀態(tài)。正常狀態(tài)就表明VPN網(wǎng)關(guān)已完成初始化，可以正常使用。

步驟二：創(chuàng)建SSL服務(wù)端

1. 在左側(cè)導(dǎo)航欄，選擇網(wǎng)間互聯(lián) > VPN > SSL服務(wù)端。

2. 在頂部菜單欄，選擇SSL服務(wù)端的地域。

   說明

   請確保SSL服務(wù)端的地域和已創(chuàng)建的VPN網(wǎng)關(guān)的地域相同。

3. 在SSL服務(wù)端頁面，單擊創(chuàng)建SSL服務(wù)端。

4. 在創(chuàng)建SSL服務(wù)端面板，根據(jù)以下信息配置SSL服務(wù)端，然后單擊確定。

   • 名稱：輸入SSL服務(wù)端的名稱。

   • 資源組：選擇VPN網(wǎng)關(guān)所屬的資源組。SSL服務(wù)端所屬的資源組與VPN網(wǎng)關(guān)所屬的資源組默認(rèn)保持一致。

   • VPN網(wǎng)關(guān)：選擇已創(chuàng)建的VPN網(wǎng)關(guān)。

   • 本端網(wǎng)段：以CIDR地址塊的形式輸入要連接的VPC網(wǎng)絡(luò)的網(wǎng)段。

     單擊添加本端網(wǎng)段可添加多個本端網(wǎng)段，本端網(wǎng)段可以是任何VPC或交換機(jī)的網(wǎng)段，也可以是本地網(wǎng)絡(luò)的網(wǎng)段。

   • 客戶端網(wǎng)段：以CIDR地址塊的形式輸入客戶端連接服務(wù)端時使用的網(wǎng)段。

     重要

     • 客戶端網(wǎng)段的子網(wǎng)掩碼位數(shù)在16至29位之間。

     • 請確保客戶端網(wǎng)段與本端網(wǎng)段、VPC網(wǎng)段以及與客戶端終端關(guān)聯(lián)的任何路由網(wǎng)段均沒有重疊。

     • 在指定客戶端網(wǎng)段時，建議您使用10.0.0.0/8、172.16.0.0/12和192.168.0.0/16網(wǎng)段及其子網(wǎng)網(wǎng)段。如果您的客戶端網(wǎng)段需要指定為公網(wǎng)網(wǎng)段，您需要將公網(wǎng)網(wǎng)段設(shè)置為VPC的用戶網(wǎng)段，以確保VPC可以訪問到該公網(wǎng)網(wǎng)段。關(guān)于用戶網(wǎng)段的更多信息，請參見什么是用戶網(wǎng)段？和如何配置用戶網(wǎng)段？。

     • 創(chuàng)建SSL服務(wù)端后，系統(tǒng)后臺會自動將客戶端網(wǎng)段的路由添加在VPC實例的路由表中，請勿再手動將客戶端網(wǎng)段的路由添加到VPC實例的路由表，否則會導(dǎo)致SSL-VPN連接流量傳輸異常。

   • 高級配置：使用默認(rèn)高級配置。

   更多信息，請參見創(chuàng)建和管理SSL服務(wù)端。

步驟三：創(chuàng)建并下載SSL客戶端證書

1. 在左側(cè)導(dǎo)航欄，選擇網(wǎng)間互聯(lián) > VPN > SSL客戶端。

2. 在SSL客戶端頁面，單擊創(chuàng)建SSL客戶端。

3. 在創(chuàng)建SSL客戶端證書面板，輸入客戶端證書名稱，然后選擇SSL服務(wù)端所屬的資源組并選擇對應(yīng)的SSL服務(wù)端，然后單擊確定。

4. 在SSL客戶端頁面，找到已創(chuàng)建的客戶端證書，然后在操作列單擊下載。

步驟四：配置客戶端

以下內(nèi)容為您介紹如何配置Linux、Windows、Mac和Android客戶端。

Linux客戶端

1. 打開命令行窗口。

2. 執(zhí)行以下命令安裝OpenVPN客戶端。

   #CentOS系統(tǒng)執(zhí)行以下命令
   yum install -y openvpn
   #執(zhí)行以下命令查看系統(tǒng)是否已創(chuàng)建/etc/openvpn/conf/目錄，如果系統(tǒng)未創(chuàng)建，需手動創(chuàng)建/etc/openvpn/conf/目錄。
   cd /etc/openvpn #進(jìn)入openvpn目錄下
   ls              #查看openvpn目錄下是否已創(chuàng)建conf目錄
   mkdir -p /etc/openvpn/conf #如果openvpn目錄下不存在conf目錄，手動創(chuàng)建conf目錄。
   
   #Ubuntu系統(tǒng)執(zhí)行以下命令
   apt-get update
   apt-get install -y openvpn
   #執(zhí)行以下命令查看系統(tǒng)是否已創(chuàng)建/etc/openvpn/conf/目錄，如果系統(tǒng)未創(chuàng)建，需手動創(chuàng)建/etc/openvpn/conf/目錄。
   cd /etc/openvpn #進(jìn)入openvpn目錄下
   ls              #查看openvpn目錄下是否已創(chuàng)建conf目錄
   mkdir -p /etc/openvpn/conf #如果openvpn目錄下不存在conf目錄，手動創(chuàng)建conf目錄。

3. 將已下載的SSL客戶端證書解壓拷貝至/etc/openvpn/conf/目錄。

4. 進(jìn)入/etc/openvpn/conf/目錄，執(zhí)行以下命令建立VPN連接。

   openvpn --config /etc/openvpn/conf/config.ovpn --daemon

Windows客戶端

1. 下載并安裝OpenVPN客戶端（Windows版本）。

2. 將已經(jīng)下載的SSL客戶端證書解壓拷貝至OpenVPN\config目錄。

   本文將證書解壓拷貝到C:\Program Files\OpenVPN\config目錄，請您根據(jù)安裝路徑將證書解壓拷貝至您真實的目錄。

3. 啟動OpenVPN客戶端，單擊Connect建立VPN連接。

   

Mac客戶端（Tunnelblick）

以下內(nèi)容為您介紹如何使用Tunnelblick軟件在Mac客戶端與VPN網(wǎng)關(guān)之間建立VPN連接。

1. 下載Tunnelblick軟件。

   本文使用4.0.1版本的Tunnelblick軟件作為示例，您可以根據(jù)實際需要下載適用的版本，推薦使用最新的正式版本。推薦下載dmg格式的文件，可以直接安裝使用。

2. 安裝Tunnelblick軟件。

   

   序號	說明
   ①	雙擊已下載的Tunnelblick軟件安裝包。
   ②	雙擊Tunnelblick圖標(biāo)。
   ③	選擇我有配置文件。
   ④	單擊確定。

3. 將在步驟三中下載的SSL客戶端證書解壓。

4. 將已解壓的config.ovpn文件上傳至Tunnelblick軟件，建立VPN連接。

   

   序號	說明
   ①	在啟動臺中單擊Tunnelblick圖標(biāo)，打開Tunnelblick軟件。
   ②	將已解壓的文件config.ovpn拖動至配置面板下。
   ③	選擇只是我。
   ④	單擊連接。

Mac客戶端（OpenVPN）

以下內(nèi)容為您介紹如何使用OpenVPN軟件在Mac客戶端與VPN網(wǎng)關(guān)之間建立VPN連接。

1. 打開命令行窗口。

2. 如果您的客戶端尚未安裝homebrew，執(zhí)行以下命令安裝homebrew。

   /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

3. 執(zhí)行以下命令安裝OpenVPN客戶端。

   brew install openvpn

4. 將在步驟三中下載的SSL客戶端證書解壓拷貝至配置目錄。

   1. 備份/usr/local/etc/openvpn文件夾下的所有配置文件。

   2. 執(zhí)行以下命令刪除OpenVPN的配置文件。

      rm /usr/local/etc/openvpn/*

   3. 執(zhí)行以下命令將已經(jīng)下載的SSL客戶端證書拷貝到配置目錄。

      cp cert_location /usr/local/etc/openvpn/

      cert_location是步驟三中下載的SSL客戶端證書的路徑，例如：/Users/example/Downloads/certs6.zip。

5. 執(zhí)行以下命令解壓證書。

   cd  /usr/local/etc/openvpn/
   unzip /usr/local/etc/openvpn/certs6.zip

6. 執(zhí)行以下命令建立VPN連接。

   sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn

Android客戶端

1. 下載并安裝OpenVPN客戶端（Android版本）。

   本文使用Android 9.0版本的客戶端，并安裝了3.0.5版本的OpenVPN客戶端。

2. 將在步驟三中下載的SSL客戶端證書傳輸至Android客戶端，并解壓證書。

   說明

   • 如果您的Android客戶端無解壓軟件，您可以在電腦端解壓證書然后將解壓后的文件傳輸至Android客戶端。

   • 請確保解壓后的文件在同一個文件夾下，如下圖所示。

   

3. 打開OpenVPN客戶端，導(dǎo)入config.ovpn文件，添加VPN連接。

   

   序號	說明
   ①	選擇OVPN Profile連接方式。
   ②	在存儲目錄中找到config.ovpn文件。
   ③	單擊IMPORT，導(dǎo)入config.ovpn文件。
   ④	系統(tǒng)自動讀取config.ovpn文件中的信息，顯示待連接的VPN網(wǎng)關(guān)的公網(wǎng)IP地址。單擊ADD，添加VPN連接。

4. 單擊滑動按鈕，開啟VPN連接。

   

步驟五：測試連通性

在客戶端嘗試訪問VPC內(nèi)的ECS實例，測試網(wǎng)絡(luò)連通性。

常見問題

使用OpenVPN在Mac客戶端建立VPN連接后，如何斷開VPN連接？

1. 打開Mac客戶端的命令行窗口。

2. 執(zhí)行以下命令搜索OpenVPN進(jìn)程，并記錄進(jìn)程號。

   ps aux | grep openvpn

3. 執(zhí)行以下命令關(guān)閉OpenVPN進(jìn)程。

   kill -9 <進(jìn)程號>

M1版本的Mac客戶端如何使用OpenVPN建立VPN連接？

如果您使用的是M1版本的Mac客戶端，建議您使用Tunnelblick軟件建立VPN連接。具體操作，請參見Mac客戶端（Tunnelblick）。

使用Linux客戶端建立VPN連接后，如何使OpenVPN進(jìn)程開機(jī)自動啟動？

使用Linux客戶端建立VPN連接后，配置以下命令，OpenVPN進(jìn)程將在Linux客戶端開機(jī)后自動啟動。

1. 編輯/etc/rc.local文件，并在文件中添加命令。

   #以編輯模式打開/etc/rc.local文件
   vim /etc/rc.local 
   #按下i鍵，進(jìn)入文件編輯模式，然后在/etc/rc.local文件中補(bǔ)充以下命令
   cd /etc/openvpn/conf/
   openvpn --config /etc/openvpn/conf/config.ovpn --daemon
   #按下Esc鍵，退出文件編輯模式，然后輸入以下命令保存退出文件
   :wq

2. 為/etc/rc.local文件添加執(zhí)行權(quán)限。

   chmod +x /etc/rc.local