开发者学堂课程【企业上云攻略-阿里云网络产品应用系列教程:SSL-VPN接入】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/573/detail/7931
SSL-VPN 接入
内容介绍
一、背景
二、步骤
一、背景
由于新开拓了一个海外市场,有大量的员工,没有具体的办事处、数据中心等,对美国市场这边,客户有一个 VPC 为美国市场提供访问,现在希望海外出差的员工可以接入到美国 VPC 中,由于这些员工出差,办公地点不固定,要求随时随地的一种接入方式访问进来。
二、步骤
1、首先打开阿里云控制台,点击产品与服务中 VPN 网关。地点选美国硅谷。
2、创建智能接入网关,注意地域选择美国硅谷,专有网络选择 VPC 美国,关闭 IPsec-VPN,必须开启 SSL-VPN,SSL 连接数看是几个人出差,这里选择5就可以,立即购买即可。
3、在实例 ID/ 名称位置把名字改成 VPN-硅谷。
4、SSL 服务端是指 VPC 内 SSL-VPN 服务器,负责所有客户端的对接认证和配置管理。客户端拨号连接后通过加密通道安全地访问 VPC ,实现无论何时何地,以何种终端,只要有 Internet ,即可安全接入 VPC 。创建完专有网络、VPN 网关、才可以创建 SSL 服务端。在 VPN 中点击 SSL 服务端,点击创建 SSL 服务端。名称可以填写 server-硅谷,VPN 网关选择 VPN-硅谷/vpn-rj9mux8zyi7dkmwqeeo7k,本端网段是线上的网段192.168.0.0/22,10.1.1.0/24,10.1.2.0/24,10.1.3.0/24,注意客户端网段不能和 VPC 内交换机网段冲突,10.1.4.0/24,选择高级配置,协议选择 UDP ,端口1194,加密算法选择AES-128-CBC,压缩选否,点击确定。
5、SL 客户端负责客户端证书管理,客户端需要通过证书认证连接到 SSL 服务器。支持一键创建或删除,多个终端可以共享一个 SSL 客户端证书, 也可以为不同的客户端创建不同的 SSL 客户端证书。创建完专有网络、VPN 网关、SSL 服务端,才可以创建 SSL 客户端证书。点击 SSL 客户端,创建 SSL 客户端证书。名称写 Client-硅谷,SSL 服务端选择Server-硅谷/vss-rj91lce8jv2ulr36pi8ah,点击确定。创建完成。
6、下载证书,点击路由表,选择VPC-美国,点击管理,这里面有一个没有发布的,自动被识别出来,点击发布,状态变成已发布即可。
7、点击云服务器,点击实例,复制公 IP,点击远程连接。
8、输入远程连接密码。
9、输入用户名,密码,就可以查看 IP。这是美国的客户端,可以上互联网,可以测试一下互联网的接入情况,必须保证跟互联网是畅通的。
CentOS Linux 7 (Core )
Kernel 3.10.0-957.5.1.el7.x86_ 64 on an x86_64
iZrj9dulopxwcshrig9r8bZ login: root
Password :
Last login: Mon Mar 11 10:27:45 on tty1
Welcome to Alibaba Cloud Elastic Compute Service !
[ root@ iZr j9du lopxucshr ig9r8bZ ]# ip addr show
1: lo: <LOOPBACK,UP LOWER_UP> mtu 65536 qdisc noqueue state UNKNOLN group default qlen 1000
1ink/loopback 00:00:00:00:00:00 brd 00 :00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_ lft forever preferred_ lft forever
2: eth0: <BROADCAST , MULTICAST,UP LOWER_ UP> mtu 1500 qdisc mq state UP group default qlen 1888
Link/ether 00:16:3e:00:83:b9 brd ff:ff:ff:ff:ff :ff
inet 10.1.14.113/24 brd 10.1.14.255 scope global dynamic eth0
valid_ lft 315351767sec preferred_ lft 315351767sec
[root@ iZr j9dulopxucshrig9r8bZ ~]# ping 8.8.8.8 -c 2
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data
64 bytes from 8.8.8.8: icmp_ seq=1 ttl=128 time=1.45 ms
64 bytes from 8.8.8.8: icmp_ seq=2 ttl=128 time=1.45 ms
---8.8.8.8 ping statistics ---
2 packets transmitted, 2 received, 0÷. packet loss, time 1001ms
rtt min/avg/max/mdev = 1.455/1.456/1.457/0.001 ms
[roote@ iZrj9du lopxucshr ig9r8bZ~ ]#
10、将下载的证书上传,可以借助 winSCP,输入复制的公 IP,输入用户名和密码,点击登录,找到之前下载证书的位置,需要解压到目录下,除了压缩包,其他都要上传到云端。
11、文件上传成功,创建一个软件包 yum install -y openvpn,因为在云端上面已经配置好 yum 更新源,所以直接yum一条命令就可以直接安装,如果没用云端的环境,就需要手动配置 yum 更新源再进行安装,建议把所有的放在创建的 conf 文件夹里面 #mkdir etc/openvpn/conf,cp 目录下所有的文件上传到这里 #cp*/etc/openvpn/conf/,上传成功后,利用 openvpn 命令切换到放置的目录下,否则会连接失败,配置在 etc 目录下 openvpn,conf 目录下conf ig. Ovpn,以守护进程的方式进行启动,不加 conf ig. Ovpn 也可以启动,如果加上 conf ig. Ovpn 还可以继续别的命令,否则终端会被消耗掉。
[root@iZrj9dulopxucshrig9r8bZ~]# openvpn--cd /etc/openvpn/conf --conf ig /etc/openvpn/conf/conf ig. ovpn - -daemon
12、点击 VPN 的 SSL 服务端可以看到 SSL 连接数多了一个连接,就证明连接成功,可以测试一下跟云端的连通性。
[root@iZrj9dulopxucshr ig9r8bZ~]# ping 192.168.1.73-c 2
PING 192168.1.73 (192.168.1.73) 56(84) bytes of data .
64 bytes from 192. 168.1.73:icmp_seq=1 ttl=63 time=171 ms
64 bytes from 192.168.1.73: icmp_seq-2 ttl=63 time=171 ms
---192.168.1.73 ping statistics---
2 packets transmitted, 2 received, 0÷packet loss, time 1001 ms
rtt min/avg/max/mdev = 171. 006/171. 014/171.023/0.413 ms
[root@iZrj9dulopxucshrig9r8b~]# ping 192.168.2.157-c 2
PING 192.168.2.157 (192. 168.2.157) 56(84) bytes of data .
64 bytes from 192. 168.2.157:icmp_ seq=1 ttl=63 time=148 ms
64 bytes from 192.168.2.157: icmp_seq=2 ttl=63 time=148 ms
---192 168.2.157 ping statistics---
2 packets transmitted, 2 received, 0÷. packet loss, time 1000ms
rtt min/avg/max/mdev = 148.691/148.713/148.736/0.386 ms
[root@ iZrj9dulopxucshrig9r8bZ~ ]# ping 192.168.3.62 -c 2
PING 192.168.3.62 (192.168.3.62) 56(84) bytes of data.
64 bytes from 192.168.3.62:icmp_seq=1 ttl=62 time=161 ms
64 bytes from 192. 168.3.62:icmp_seq-2 ttl=62 time=161 ms
---192.168.3.62 ping statistics---
2 packets transmitted, 2 received, 0÷. packet loss, time 1000ms
rtt min/avy/max/mdev = 161.887/161.813/161.819/0.006 ms
[root@iZrj9dulopxucshrig9r8bZ ]# ping_192.168.4.213 -c 2
PING 192.168.4.213 (192.168.4.213) 56(84) bytes of data.
由于没有购买跨境包所以连接不上。
