SSL-VPN和客户端配置|学习笔记

开发者学堂课程【企业上云攻略-阿里云网络产品应用系列教程：SSL-VPN和客户端配置】学习笔记，与课程紧密联系，让用户快速学习知识。

课程地址：https://developer.aliyun.com/learning/course/573/detail/7900

SSL-VPN 和客户端配置

目录：

一、SSL-VPN 配置使用流程

二、SSL-VPN 配置步骤

三、Linux 客户端配置

四、Windows 客户端配置

本章节学习 SSL-VPN 的配置流程。在配置之前，先区别 SSL-VPN 使用场景和 IPsec-VPN 的不同。

IPsec-VPN 适合站点，是连接到阿里云的 VPC。

SSL-VPN 适合客户端，使用自己的电脑就可以连接。

一、SSL-VPN 配置使用流程

SSL-VPN 的配置流程分为下面几个步骤：

1.购买 VPN 网关  

2.创建 SSL 服务端  

3.配置客户端证书

4.客户端设备配置

购买云网关和 IPsec-VPN 步骤没区别。一定要先购买网关。

二、SSL-VPN 配置步骤

1、购买 VPN 网关

打开阿里云的控制台，在阿里云控制台中，选择购买的是 SSL-VPN，在网络中选择 VPN 网关。在 VPN 网关当中，直接选购买几个。在 VPN 网关中直接点击创建 VPN 网关的按钮。填写实例名称。VPC 选择对应的 VPC-VPN- 上海的规格，要注意 VPC 的选择要和地域对应上。宽带规格选择 5Mbps。IPsec-VPN 选择关闭，SSL-VPN 选择开启。这两个的开启和关闭看情况选择。也可以同时选择开启，但价钱要稍微贵一些。SSL 连接数，允许多少个人同时连接。SSL 不仅跟带宽有关，同时还跟用户的数量有关。如，有十个出差的用户，可以购买十个。那十个人可能不会同时连，可能最多五个人连，就选五个。但如果十个人要分享一个资料，需要同时在线，就必须购买十个，否则只能一个连接完后退出，另外一个再连接。确定后点击就购买。

图中，实操例子中，IPsec 和 SSL 是同时开启。五个并发连接数，不够的话可以升配。SSL-VPN 购买成功后,要注意SSL-VPN 必须选择开启。要是没开的话，后面点击开启按钮，也可以打开。

2、创建 SSL 服务端

网关设备购买成功后，需要创建 SSL 的服务端。看具体的配置：

在左边侧边栏里，找到 VPN，选择 SSL 服务端。前提先要创建专有网络、创建 VPN 网关，才能创建 SSL 服务端。然后选择创建 SSL 服务端。

在创建 SSL 服务端对话框里，填入服务端名称，Server-上海。VPN 网关选择 VPN-上海/vpn-uf6q4z5xg21oxk9nhhw50。本端网段，是线上的网段，这里面用172.16.1.0/24位的网段。这个 VPN 网关对应的 VPC 网段，如果还有其他的，可以继续进行添加。VPC 一般是一个网段，也可以有多个网段，如果添加第二个，要开启 V 2的版本。客户端网段是192.168的网段，这是给客户用的网段，不要和 VPC 中的冲突，也不要和客户现有的网段冲突。这里，客户现在网段用的是1.0，所以，这里的网段写为：192.168.10.0/24，不能和 VPV 内交换机网关冲突。高级配置里：协议选择 UDP ，端口是1194，加密算法默认为：AES-128-CBC。是否压缩选择否。点击 确定 按钮。创建完成。

看到图中，一共是五个连接数，0个人连接。

3、创建 SSL 客户端证书

为客户端创建证书。选一下 SL 客户端，在左侧边栏里选择 SSL 客户端，点击创建 SSL 客户端证书。在对话框里，填写名称：Client-上海。SSL 服务端选择：Server-上海/vss-uf6tuybb8pw70gwnqwv2i,

点击确定按钮，创建完成。这个客户端是给真正的客户端来用的。真正的客户端就是出差的那些人。

这里，需要提前把证书下载下来，下载完以后把这个证书放到他们的电脑中。打开这个证书所在目录，看到certs压缩包，解压到当前文件夹里，完成后，把这些文件上传到客户端当中。

三、Linux 客户端配置

Linux 客户端特别常用，它的配置有三步：安装 OpenVPN 的客户端、拷贝证书、启动客户端。

1、创建云服务器 ECS

打开控制台，在控制台中创建 云服务器 ECS，点开云服务器 ECS 界面界面后，在左侧边栏选择实例，在实例里面有目前正在使用的实例，

在操作演示里，看到提前创建好的三台 ECS 。IP为172.16.1.153是做测试用的，是放在 VPN 网关所连的 VPC 里面，所以用的是172.16的网段。另外两个，分别是 Linux 和 Windows 的客户端。注意，客户端一定要有公网 IP 。也可以把这个客户端放到阿里云上。可以放自己的电脑、笔记本上，出差也可以用。这台笔记本可以是 Linux 系统，也可以是 Windows 系统。

2、客户端使用演示

演示 Linux 客户端。直接连公网 IP 。也可以用控制台直接和管理员链接。复制公网 IP ：47.101.55.154。可以借助于PuTTY Configuration

软件。粘贴公网 IP ：47.101.55.154，点下方的 Open 。在弹出 PuTTY Seurity Alert 的对话框点击是（Y）,下载对方的密钥。在47.101.55.154-PuTTY 对话框里输入用户名和密码，就是在创建时所设置的用户名和密码。回车，连接成功。连接成功以后需要在这台 Linux 中做配置。

在 root@iZuf6hf054ragphxsphou3Z!~里输入。

(1)第一步，需要先安装一个软件。

[root@iZuf6hf054ragphxsphou3Z ~]# yum instal1 -y openvpn

安装叫 openvpn 的设备。-y 表示不用询问，直接安装。Yum 命令是安装软件的命令，在 Linux 中是常用的。

回车，等待自动下载安装。

这里的 ECS 直接放在云端，已经配好 yum ，可以直接从互联网上下载软件进行安装和定期更新。

另外一种，如果 ECS 不是直接放在云端的，需要用到专用的 yum 更新源才能安装，否则安装可能会失败。

(2)第二步，上传文件。

上传文件可以借助 WinSCP 软件，这个软件和 Linux 之间通信用软件比较方便。在主机名里输入47.101.55.154公网IP。选择下边的登录按钮，在警告对话框点击是，在用户名- 47.101.55.154的对话框中输入用户名 root ，密码输入创建时的密码。连接成功以后，在左上角选择密钥所在的位置，选择对应的文件复制粘贴或者直接拖拽过来，默认放在root 目录。

其实放在 root 目录不对，在root@iZuf6hf054ragphxsphou3Z!~中编辑命令ls：

[root@iZuf6hf054ragphxsphou3Z ~]# ls

回车，看到这里面已经有这些文件了，它放的位置应该在 mkdir 目录下的 etc 文件中的 openvpn 文件目录里，在这里面创建名文 conf 的文件夹。建议把它放到这个文件夹下。不放也能用，但是建议把它放到这。然后 copy 所有文件到 conf 目录下。可以切换到 conf 目录下，可以看到这些文件了。

……

[root@iZuf6hf054ragphxsphou3Z ~]# mkdir/etc/openvpn/conf

[root@iZuf6hf054ragphxsphou3Z ~]# copy/etc/openvpn/conf

[root@iZuf6hf054ragphxsphou3Z ~]# cd /etc/openvpn/conf

[root@iZuf6hf054ragphxsphou3Z conf]# ls

……

然后，切换到密钥所在的目录，

[root@iZuf6hf054ragphxsphou3Z conf]# openvpn --cd /etc/openvpn/conf --config /etc/openvpn/conf/config.ovpn --daemon

回车。

--cd 是切换目录的意思。--config 配置文件是在 etc 目录下。--daemon 可以不加，是守护进程的意思。如果不加的话会把终端占用。但是会告知步骤到哪一步，有没有成功。如果加上--daemon，回车，看到可以接着编辑命令了。--daemon 就是把终端释放出来。

回到控制台打开 VPN 网关。在 VPN 网关的 SSL 服务端里，SSL 连接数之前是0-5，一共是五个连接有0个连接。刷新，看到 SSL 连接数变为1-5，表示已经连接一个，连接成功。

3、Linux 客户端连接测试

完成客户端的配置，在客户端 ping 已连接的 VPC 内的一台 ECS 实例，测试连通性。

连接成功后，可以 ping 连通性。

在控制台的侧边栏选择云服务器 ECS 。选择实例，在实例中，IP 为172.16.1.153就是私有客户端，测试连通性。

在 root@iZuf6hf054ragphxsphou3Z!~测试：

直接输入 ping 命令，加上私有 IP ，

[root@iZuf6hf054ragphxsphou3Z conf]# ping 172.16.1.153

回车。看到已经连接上去了。

Linux 客户端配置就完成。

四、Windows 客户端配置

Linux 客户端里是纯命令，没有图形化。可能操作起来不方便。很多人，尤其是普通员工，用电脑更愿意用 Windows 系统。

1、连接 Windows 客户端

打开云服务器 ECS ，选择打开实例，在实例列表选择 Windows 客户端的公有 IP 101.132.115.248 复制。同样，还是用公网来连接，建议用公网 IP 连接。打开远程桌面连接，粘贴公网 IP ，点击连接按钮。

在微软里，需要下载 OpenVPN 的客户端，它不具备默认，也没有 yum 命令可以安装，只能去网上下载。

在 Windows 安全中心对话框，输入凭据，先输入用户名和密码，点击确定。在警告对话框选择 是。

2、安装 OpenVPN

由于这个软件系统默认不提供，可以在网上搜这个软件，叫做 OpenVPN 的 poi 软件安装。鼠标双击下载好的软件安装包图标，然后，点击安装，按照提示点击下一步、同意、下一步、安装。这个软件是纯图形化的界面，比较简单。选择始终信任。然后点击安装。安装完成的提示界面，不想看 Show Resdme 就不勾选，点击完成。

这时，不着急打开 OpenVPN ，证书还没放进来。

在 OpenVPN 快捷方式上右击鼠标，选择属性，打开文件的位置，在它的上一级目录下有一个 config 的文件夹，把certs 压缩包里解压出来的四个密钥文件文件上传到 config 的文件夹。Windows 远程有个好处，可以支持直接的复制粘贴，把这些文件复制，然后，鼠标双击 OpenVPN 快捷方式，

看到 OpenVPN Connection (config) 对话框里已经开始连接了。图中，正在开始进行一些连接，同时，IP也获取到连接。

3、测试连接

连接成功后，进行验证。

打开 cmd.exe 对话框，ping 私有 IP,然后回车。

C:\Users\Administrator>ping 172.16.1.153

正在ping 172.16.1.153 具有32字节的数据:

来自172.16.1.153的回复：字节=32 时间=3ms TTL=63

来自172.16.1.153的回夏: 字节=32 时间=3ms TTL=63  

……

看到能够接通，微软这台 ECS 同样可以和云端之间实现互通。

4、Linux 客户端和 Windows 客户端配置区别

Linux 客户端连接时命令行比较多。Windows 客户端需要安装 OpenVPN 软件，安装完成后把密钥证书放到它的目录下，进行连接完后，也可以和云端的 ECS 能实现互通好。