SSL服務端用于控制客戶端可以訪問哪些網絡和資源。使用SSL-VPN功能前,您必須先創建SSL服務端。
前提條件
您已經創建了VPN網關且VPN網關已開啟SSL-VPN功能。具體操作,請參見創建和管理VPN網關實例。
如果創建VPN網關時您并未開啟SSL-VPN功能,可在創建VPN網關后單獨開啟SSL-VPN功能。具體操作,請參見開啟SSL-VPN功能。
創建SSL服務端
登錄VPN網關管理控制臺。
在左側導航欄,選擇。
在頂部菜單欄,選擇SSL服務端的地域。
在SSL服務端頁面,單擊創建SSL服務端。
在創建SSL服務端面板,根據以下信息配置SSL服務端,然后單擊確定。
配置
說明
名稱
輸入SSL服務端的名稱。
資源組
選擇VPN網關所屬的資源組。
SSL服務端所屬的資源組與VPN網關所屬的資源組保持一致。
VPN網關
選擇要關聯的VPN網關。
確保該VPN網關已經開啟了SSL-VPN功能。
本端網段
本端網段是客戶端通過SSL-VPN連接要訪問的地址段。
本端網段可以是專有網絡VPC(Virtual Private Cloud)的網段、交換機的網段、通過物理專線和VPC互連的本地數據中心的網段、云服務(例如對象存儲、云數據庫)等的網段。
單擊+添加本端網段可添加多個本端網段,最多支持添加5個本端網段。 以下網段不支持指定為本端網段:
100.64.0.0~100.127.255.255
127.0.0.0~127.255.255.255
169.254.0.0~169.254.255.255
224.0.0.0~239.255.255.255
255.0.0.0~255.255.255.255
說明本端網段的子網掩碼位數在8至32位之間。
客戶端網段
客戶端網段是給客戶端虛擬網卡分配訪問地址的網段,不是指客戶端已有的內網網段。當客戶端通過SSL-VPN連接訪問本端時,VPN網關會從指定的客戶端網段中分配一個IP地址給客戶端使用,客戶端將使用分配的IP地址訪問云上資源。
在您指定客戶端網段時需保證客戶端網段所包含的IP地址個數是當前VPN網關SSL連接數的4倍及以上。
例如您指定的客戶端網段為192.168.0.0/24,系統在為客戶端分配IP地址時,會先從192.168.0.0/24網段中劃分出一個子網掩碼為30的子網段,例如192.168.0.4/30,然后從192.168.0.4/30中分配一個IP地址供客戶端使用,剩余三個IP地址會被系統占用以保證網絡通信,此時一個客戶端會耗費4個IP地址。因此,為保證您的客戶端均能分配到IP地址,請確保您指定的客戶端網段所包含的IP地址個數是VPN網關SSL連接數的4倍及以上。
若SSL連接數為5,則客戶端網段的子網掩碼位數建議小于或等于27。例如:10.0.0.0/27、10.0.0.0/26。
若SSL連接數為10,則客戶端網段的子網掩碼位數建議小于或等于26。例如:10.0.0.0/26、10.0.0.0/25。
若SSL連接數為20,則客戶端網段的子網掩碼位數建議小于或等于25。例如:10.0.0.0/25、10.0.0.0/24。
若SSL連接數為50,則客戶端網段的子網掩碼位數建議小于或等于24。例如:10.0.0.0/24、10.0.0.0/23。
若SSL連接數為100,則客戶端網段的子網掩碼位數建議小于或等于23。例如:10.0.0.0/23、10.0.0.0/22。
若SSL連接數為200,則客戶端網段的子網掩碼位數建議小于或等于22。例如:10.0.0.0/22、10.0.0.0/21。
若SSL連接數為500,則客戶端網段的子網掩碼位數建議小于或等于21。例如:10.0.0.0/21、10.0.0.0/20。
若SSL連接數為1000,則客戶端網段的子網掩碼位數建議小于或等于20。例如:10.0.0.0/20、10.0.0.0/19。
重要客戶端網段的子網掩碼位數在16至29位之間。
請確保客戶端網段與本端網段、VPC網段以及與客戶端終端關聯的任何路由網段均沒有重疊。
在指定客戶端網段時,建議您使用10.0.0.0/8、172.16.0.0/12和192.168.0.0/16網段及其子網網段。如果您的客戶端網段需要指定為公網網段,您需要將公網網段設置為VPC的用戶網段,以確保VPC可以訪問到該公網網段。關于用戶網段的更多信息,請參見什么是用戶網段?和如何配置用戶網段?。
創建SSL服務端后,系統后臺會自動將客戶端網段的路由添加在VPC實例的路由表中,請勿再手動將客戶端網段的路由添加到VPC實例的路由表,否則會導致SSL-VPN連接流量傳輸異常。
高級配置
協議
SSL-VPN連接使用的協議。取值:
UDP
TCP(默認值)
端口
SSL服務端使用的端口。端口取值范圍:1~65535。默認端口:1194。
說明不支持使用以下端口:22、2222、22222、9000、9001、9002、7505、80、443、53、68、123、4510、4560、500、4500。
加密算法
SSL-VPN連接使用的加密算法。
如果客戶端使用Tunnelblick軟件或2.4.0及以上版本的OpenVPN軟件,則SSL服務端和客戶端之間動態協商加密算法,會優先使用雙方均支持的最高安全級別的加密算法。您為SSL服務端指定的加密算法不生效。
如果客戶端使用2.4.0之前版本的OpenVPN軟件,則SSL服務端和客戶端將使用您為SSL服務端指定的加密算法。SSL服務端支持指定以下加密算法:
AES-128-CBC(默認值)
AES-192-CBC
AES-256-CBC
none
本參數表示不使用加密算法。
是否壓縮
是否對傳輸數據進行壓縮處理。取值:
是
否(默認值)
雙因子認證
選擇是否開啟雙因子認證功能。系統默認關閉雙因子認證功能。
如果選擇開啟雙因子認證功能,您還需要選擇應用身份服務IDaaS(Identity as a Service)EIAM實例和IDaaS應用ID。開啟雙因子認證功能后,客戶端與VPN網關之間建立SSL-VPN連接時,系統將會對客戶端進行二次認證。第一次為默認的SSL客戶端證書的認證,客戶端通過SSL客戶端證書認證后,系統將使用IDaaS實例中的用戶名和密碼對客戶端進行第二次認證(不支持通過IDaaS短信認證功能對客戶端進行第二次認證),第二次認證通過后才會建立SSL-VPN連接,該功能有效提高了SSL-VPN連接的安全性。相關教程,請參見SSL-VPN雙因子認證。
如果您是首次使用雙因子認證功能,請先完成授權后再開啟雙因子認證功能。
在阿聯酋(迪拜)地域創建SSL服務端時,推薦您綁定新加坡地域的IDaaS EIAM 2.0實例,以減少跨地域時延。
IDaaS EIAM 1.0實例不再支持新購。如果您的阿里云賬號下存在IDaaS EIAM 1.0實例,開啟雙因子認證功能后,依舊支持綁定IDaaS EIAM 1.0實例。
如果您的阿里云賬號下不存在IDaaS EIAM 1.0實例,開啟雙因子認證功能后,僅支持綁定IDaaS EIAM 2.0實例。
在您綁定IDaaS EIAM 2.0實例時,可能需要對VPN網關實例進行升級。更多信息,請參見【變更公告】SSL-VPN雙因子認證支持IDaaS EIAM 2.0。
說明
后續步驟
SSL服務端創建完成后,您需要基于SSL服務端創建SSL客戶端證書并安裝在客戶端上,用于對客戶端進行身份驗證以及數據加密。具體操作,請參見創建和管理SSL客戶端證書。
修改SSL服務端
SSL服務端創建完成后支持修改配置,修改后客戶端可能需要重新下載安裝SSL客戶端證書或重新發起SSL-VPN連接。
如果您修改了SSL服務端高級配置中協議、是否壓縮或雙因子認證的配置會使SSL服務端關聯的SSL客戶端證書失效,您需要重新創建SSL客戶端證書,然后在客戶端中安裝新的證書并重新發起SSL-VPN連接。
如果您修改了SSL服務端的本端網段或客戶端網段,會導致SSL服務端下的所有SSL-VPN連接斷開,客戶端需重新發起SSL-VPN連接。
- 登錄VPN網關管理控制臺。
在左側導航欄,選擇。
- 在頂部狀態欄處,選擇SSL服務端的地域。
在SSL服務端頁面,找到目標SSL服務端,在操作列單擊編輯。
在編輯SSL服務端面板,修改SSL服務端的名稱、本端網段、客戶端網段或高級配置,然后單擊確定。
刪除SSL服務端
您可以刪除一個不需要的SSL服務端。刪除SSL服務端后系統會自動刪除SSL服務端關聯的所有SSL客戶端證書,安裝了這些SSL客戶端證書的客戶端將會自動斷開SSL-VPN連接。
登錄VPN網關管理控制臺。
在左側導航欄,選擇。
- 在頂部菜單欄,選擇SSL服務端的地域。
在SSL服務端頁面,找到目標SSL服務端,在操作列單擊刪除。
在彈出的對話框中,確認風險提示,然后單擊刪除。
通過調用API創建和管理SSL服務端
支持通過阿里云 SDK(推薦)、阿里云 CLI、Terraform、資源編排等工具調用API創建、查詢、修改、刪除SSL服務端。相關API說明,請參見: