VPN Gateway：使用手機（iOS系統）內建的VPN軟體建立遠端連線

前提條件

• 您已經註冊了阿里雲帳號。如未註冊，請先完成帳號註冊。

• 您的手機端的系統為iOS。

• 您已經在IPsec服務端支援的地區建立了專用網路。具體操作，請參見搭建IPv4專用網路。

  說明

  • 目前，僅以下地區支援IPsec服務端功能：華東1（杭州）、華東2（上海）、華東5（南京-本地地區）、華北1（青島）、華北2（北京）、華北3（張家口）、華北5（呼和浩特）、華北6（烏蘭察布）、華南1（深圳）、華南2（河源）、華南3（廣州）、西南1（成都）、中國香港、日本（東京）、韓國（首爾）、新加坡、澳大利亞（雪梨）、馬來西亞（吉隆坡）、印尼（雅加達）、菲律賓（馬尼拉）、泰國（曼穀）、印度（孟買）關停中、德國（法蘭克福）、英國（倫敦）、美國（維吉尼亞）、美國（矽谷）、阿聯酋（杜拜）、沙特（利雅得）。

  • 當前僅支援iOS系統的手機使用內建的VPN軟體建立與雲上VPN網關的串連。

情境說明

某公司在華北1（青島）地區建立了ECS執行個體，並部署了公司專屬應用程式。因公司業務發展，需要出差員工可以通過手機遠端存取部署在雲上的公司專屬應用程式。

您可以建立VPN網關，並在VPN網關中建立IPsec服務端，然後通過手機內建的VPN軟體與雲上VPN網關建立串連。串連成功後，手機可以遠端存取雲上公司專屬應用程式。

配置步驟

步驟一：建立VPN網關

1. 登入VPN網關管理主控台。

2. 在頂部功能表列，選擇VPN網關要關聯的VPC執行個體的地區。本樣本選擇華北1（青島）。

3. 在VPN網關頁面，單擊建立VPN網關。

4. 在購買頁面，根據以下資訊配置VPN網關，然後單擊立即購買並完成支付。

   • 執行個體名稱：輸入VPN網關的執行個體名稱。

   • 地區：選擇VPN網關的地區。

     本樣本選擇華北1（青島）。

   • 網關類型：選擇要建立的VPN網關類型。本樣本選擇普通型。

   • 網路類型：選擇VPN網關執行個體的網路類型。本樣本選擇公網。

   • 隧道：系統直接展示當前地區IPsec-VPN串連支援的隧道模式。

   • 專用網路： 選擇VPN網關要關聯的VPC。

   • 虛擬交換器：從VPC執行個體中選擇一個交換器執行個體。

     • IPsec-VPN串連的隧道模式為單隧道時，您僅需要指定一個交換器執行個體。

     • IPsec-VPN串連的隧道模式為雙隧道時，您需要指定兩個交換器執行個體。

       IPsec-VPN功能開啟後，系統會在兩個交換器執行個體下各建立一個彈性網卡ENI（Elastic Network Interfaces），作為使用IPsec-VPN串連與VPC流量互連的介面。每個ENI會佔用交換器下的一個IP地址。

     說明

     • 系統預設幫您選擇第一個交換器執行個體，您可以手動修改或者直接使用預設的交換器執行個體。

     • 建立VPN網關執行個體後，不支援修改VPN網關執行個體關聯的交換器執行個體，您可以在VPN網關執行個體的詳情頁面查看VPN網關執行個體關聯的交換器、交換器所屬可用性區域以及交換器下ENI的資訊。

   • 虛擬交換器2：從VPC執行個體中選擇第二個交換器執行個體。

     IPsec-VPN串連的隧道模式為單隧道時，無需配置該項。

   • 頻寬峰值：選擇VPN網關的頻寬規格，頻寬規格是VPN網關所具備的公網頻寬。

     本樣本選擇10 M。

   • 流量：VPN網關預設按使用流量計費。更多資訊，請參見計費說明。

   • IPsec-VPN： 選擇開啟或關閉IPsec-VPN功能，IPsec-VPN功能可以實現本機資料中心與VPC之間的串連。

     本樣本選擇關閉。

   • SSL-VPN： 選擇開啟或關閉SSL-VPN功能。SSL-VPN功能允許您從任何位置的單台電腦串連到VPC。

     使用手機內建的VPN軟體建立與雲上VPC的VPN串連需要開啟SSL-VPN功能，本樣本選擇開啟。

   • SSL串連數： 選擇支援同時串連的最大用戶端數量。

     本樣本選擇5。

     說明

     SSL-VPN與IPsec服務端共用SSL串連數。例如，SSL串連數為5，您已經有3個SSL用戶端串連了SSL-VPN，則您還能使用2個手機用戶端串連IPsec服務端。

   • 購買時間長度：VPN網關預設按小時計費。

   • 服務關聯角色：單擊建立關聯角色，系統自動建立服務關聯角色AliyunServiceRoleForVpn。VPN網關使用此角色來訪問其他雲產品中的資源，更多資訊，請參見AliyunServiceRoleForVpn。

     若本配置項顯示為已建立，則表示您的帳號下已建立了該角色，無需重複建立。

5. 返回VPN網關頁面，查看建立的VPN網關。

   剛建立好的VPN網關的狀態是準備中，約兩分鐘左右會變成正常狀態。正常狀態表明VPN網關完成了初始化，可以正常使用。系統會為VPN網關分配一個公網IP，用於手機用戶端與雲上VPN網關建立串連。

   說明

   如果您沒有建立新的VPN網關，計劃使用存量的VPN網關實現本文情境，請確保您存量的VPN網關已升級至最新版本。如果您存量VPN網關不是最新版本，預設您無法使用IPsec服務端。

   您可以在升級按鈕處查看VPN網關是否是最新版本，如果不是最新版本，您可以通過升級按鈕進行升級。具體操作，請參見升級VPN網關。

步驟二：建立IPsec服務端

1. 登入VPN網關管理主控台。

2. 在左側導覽列，選擇網間互聯 > VPN > IPsec服務端。

3. 在頂部功能表列，選擇IPsec服務端的地區。

4. 在IPsec服務端頁面，單擊建立IPsec服務端。

5. 在建立IPsec服務端頁面，根據以下資訊配置IPsec服務端。

   • 名稱：輸入IPsec服務端的名稱。

   • VPN網關：選擇手機內建的VPN軟體要串連的VPN網關。

     本樣本選擇步驟一中建立的VPN網關。

   • 本端網段：輸入手機要遠端存取的VPC的網段。

     本樣本輸入192.168.0.0/16。

   • 用戶端網段：輸入IPsec隧道用戶端的私網網段。

     用戶端網段是給手機用戶端虛擬網卡分配的私網網段，不是指手機用戶端的私網網段。當手機用戶端通過VPN串連訪問雲上VPC時，VPN網關會從指定的用戶端網段中分配一個IP地址給用戶端使用。

     說明

     用戶端網段不能與VPC內交換器網段衝突。

     本樣本輸入10.0.0.0/16。

   • 預先共用金鑰：用於IPsec服務端與手機用戶端之間的身份認證，建立IPsec要求兩端密鑰必須一致。預設情況下會隨機產生，您也可以手動指定密鑰。

     本樣本輸入123456。

   • 立即生效：選擇是否立即生效。

     • 是：配置完成後立即進行協商。

     • 否：當有流量進入時進行協商。

     本樣本選擇是。

   • 進階配置：使用預設進階配置。

     說明

     使用手機（iOS系統）內建的VPN軟體建立與雲上VPN網關的串連，IKE版本需選擇為IKEv2。

   

6. 單擊確定。

步驟三：手機內建VPN軟體串連VPN

以下內容以iOS 14系統為例，介紹如何使用手機內建的VPN軟體與雲上VPN網關建立串連。

1. 開啟手機的設定。

2. 選擇通用 > VPN > 添加VPN配置。

3. 在添加配置頁面，根據以下資訊配置VPN。

   • 類型：選擇VPN的類型。

     本樣本選擇IKEv2。

   • 描述：輸入VPN的描述資訊。

   • 伺服器：輸入手機用戶端要串連的雲上VPN網關的公網IP地址。

     本樣本輸入步驟一中建立的VPN網關的公網IP地址。

   • 遠程ID：輸入手機用戶端要串連的雲上VPN網關的公網IP地址。

     本樣本輸入步驟一中建立的VPN網關的公網IP地址。

   • 本地ID：本樣本不填。

   • 使用者評鑑：選擇VPN網關使用者評鑑類型。

     本樣本選擇無。

   • 使用認證：本樣本關閉。

   • 密鑰：用於IPsec服務端與手機用戶端之間的身份認證，IPsec建立要求兩端密鑰必須一致。

     本樣本輸入123456。

4. 單擊完成。

5. 在VPN頁面，選中目標VPN配置，開啟狀態開關。

步驟四：訪問測試

完成以下操作，測試手機用戶端與雲上VPC資源的連通性。

測試前，請確保ECS執行個體的安全性群組規則允許手機用戶端訪問。具體操作，請參見查詢安全性群組規則和添加安全性群組規則。

1. 開啟手機瀏覽器。

2. 在地址欄輸入ECS執行個體的私網IP地址。

   本樣本輸入192.168.0.196。

   經測試，手機用戶端可以遠端存取雲上VPC資源。