SSL服務端用於控制用戶端可以訪問哪些網路和資源。使用SSL-VPN功能前,您必須先建立SSL服務端。
前提條件
您已經建立了VPN網關且VPN網關已開啟SSL-VPN功能。具體操作,請參見建立和管理VPN網關執行個體。
如果建立VPN網關時您並未開啟SSL-VPN功能,可在建立VPN網關後單獨開啟SSL-VPN功能。具體操作,請參見開啟SSL-VPN功能。
建立SSL服務端
登入VPN網關管理主控台。
在左側導覽列,選擇 。
在頂部功能表列,選擇SSL服務端的地區。
在SSL服務端頁面,單擊建立SSL服務端。
在建立SSL服務端面板,根據以下資訊配置SSL服務端,然後單擊確定。
配置
說明
名稱
輸入SSL服務端的名稱。
資源群組
選擇VPN網關所屬的資源群組。
SSL服務端所屬的資源群組與VPN網關所屬的資源群組保持一致。
VPN網關
選擇要關聯的VPN網關。
確保該VPN網關已經開啟了SSL-VPN功能。
本端網段
本端網段是用戶端通過SSL-VPN串連要訪問的位址區段。
本端網段可以是Virtual Private Cloud(Virtual Private Cloud)的網段、交換器的網段、通過物理專線和VPC互連的本機資料中心的網段、雲端服務(例如Object Storage Service、雲資料庫)等的網段。
單擊+添加本端網段可添加多個本端網段,最多支援添加5個本端網段。 以下網段不支援指定為本端網段:
100.64.0.0~100.127.255.255
127.0.0.0~127.255.255.255
169.254.0.0~169.254.255.255
224.0.0.0~239.255.255.255
255.0.0.0~255.255.255.255
說明本端網段的子網路遮罩位元在8至32位之間。
客戶端網段
用戶端網段是給用戶端虛擬網卡分配訪問地址的網段,不是指用戶端已有的內網網段。當用戶端通過SSL-VPN串連訪問本端時,VPN網關會從指定的用戶端網段中分配一個IP地址給用戶端使用,用戶端將會使用分配的IP地址訪問雲上資源。
在您指定用戶端網段時需保證用戶端網段所包含的IP地址個數是當前VPN網關SSL串連數的4倍及以上。
重要用戶端網段的子網路遮罩位元在16至29位之間。
請確保用戶端網段和本端網段不衝突。
在指定用戶端網段時,建議您使用10.0.0.0/8、172.16.0.0/12和192.168.0.0/16網段及其子網網段。如果您的用戶端網段需要指定為公網網段,您需要將公網網段設定為VPC的使用者網段,以確保VPC可以訪問到該公網網段。關於使用者網段的更多資訊,請參見什麼是使用者網段?和如何配置使用者網段?。
建立SSL服務端後,系統後台會自動將用戶端網段的路由添加在VPC執行個體的路由表中,請勿再手動將用戶端網段的路由添加到VPC執行個體的路由表,否則會導致SSL-VPN串連流量傳輸異常。
高級配置
協議
SSL-VPN串連使用的協議。取值:
UDP
TCP(預設值)
連接埠
SSL服務端使用的連接埠。連接埠取值範圍:1~65535。預設連接埠:1194。
說明不支援使用以下連接埠:22、2222、22222、9000、9001、9002、7505、80、443、53、68、123、4510、4560、500、4500。
密碼編譯演算法
SSL-VPN串連使用的密碼編譯演算法。
如果用戶端使用Tunnelblick軟體或2.4.0及以上版本的OpenVPN軟體,則SSL服務端和用戶端之間動態協商密碼編譯演算法,會優先使用雙方均支援的最高安全層級的密碼編譯演算法。您為SSL服務端指定的密碼編譯演算法不生效。
如果用戶端使用2.4.0之前版本的OpenVPN軟體,則SSL服務端和用戶端將使用您為SSL服務端指定的密碼編譯演算法。SSL服務端支援指定以下密碼編譯演算法:
AES-128-CBC(預設值)
AES-192-CBC
AES-256-CBC
none
本參數表示不使用密碼編譯演算法。
是否壓縮
是否對傳輸資料進行壓縮處理。取值:
是
否(預設值)
雙因子認證
選擇是否開啟雙因子認證功能。系統預設關閉雙因子認證功能。
如果選擇開啟雙因子認證功能,您還需要選擇應用身份服務IDaaS(Identity as a Service)EIAM執行個體和IDaaS應用ID。開啟雙因子認證功能後,用戶端與VPN網關之間建立SSL-VPN串連時,系統將會對用戶端進行二次認證。第一次為預設的SSL用戶端認證的認證,用戶端通過SSL用戶端認證認證後,系統將使用IDaaS執行個體中的使用者名稱和密碼對用戶端進行第二次認證(不支援通過IDaaS簡訊認證功能對用戶端進行第二次認證),第二次認證通過後才會建立SSL-VPN串連,該功能有效提高了SSL-VPN串連的安全性。相關教程,請參見SSL-VPN雙因子認證。
如果您是首次使用雙因子認證功能,請先完成授權後再開啟雙因子認證功能。
IDaaS EIAM 1.0執行個體不再支援新購。如果您的阿里雲帳號下存在IDaaS EIAM 1.0執行個體,開啟雙因子認證功能後,依舊支援綁定IDaaS EIAM 1.0執行個體。
如果您的阿里雲帳號下不存在IDaaS EIAM 1.0執行個體,開啟雙因子認證功能後,僅支援綁定IDaaS EIAM 2.0執行個體。
在您綁定IDaaS EIAM 2.0執行個體時,可能需要對VPN網關執行個體進行升級。更多資訊,請參見【變更公告】SSL-VPN雙因子認證支援IDaaS EIAM 2.0。
說明
後續步驟
SSL服務端建立完成後,您需要基於SSL服務端建立SSL用戶端認證並安裝在用戶端上,用於對用戶端進行身分識別驗證以及資料加密。具體操作,請參見建立和管理SSL用戶端認證。
修改SSL服務端
SSL服務端建立完成後支援修改配置,修改後用戶端可能需要重新下載安裝SSL用戶端認證或重新發起SSL-VPN串連。
如果您修改了SSL服務端高級配置中協議、是否壓縮或雙因子認證的配置會使SSL服務端關聯的SSL用戶端認證失效,您需要重新建立SSL用戶端認證,然後在用戶端中安裝新的認證並重新發起SSL-VPN串連。
如果您修改了SSL服務端的本端網段或客戶端網段,會導致SSL服務端下的所有SSL-VPN串連斷開,用戶端需重新發起SSL-VPN串連。
- 登入VPN網關管理主控台。
在左側導覽列,選擇 。
- 在頂部狀態列處,選擇SSL服務端的地區。
在SSL服務端頁面,找到目標SSL服務端,在操作列單擊編輯。
在編輯SSL服務端面板,修改SSL服務端的名稱、本端網段、用戶端網段或進階配置,然後單擊確定。
刪除SSL服務端
您可以刪除一個不需要的SSL服務端。刪除SSL服務端後系統會自動刪除SSL服務端關聯的所有SSL用戶端認證,安裝了這些SSL用戶端認證的用戶端將會自動斷開SSL-VPN串連。
登入VPN網關管理主控台。
在左側導覽列,選擇 。
- 在頂部功能表列,選擇SSL服務端的地區。
在SSL服務端頁面,找到目標SSL服務端,在操作列單擊刪除。
在彈出的對話方塊中,確認風險提示,然後單擊刪除。
通過調用API建立和管理SSL服務端
支援通過阿里雲 SDK(推薦)、阿里雲 CLI、Terraform、Resource Orchestration Service等工具調用API建立、查詢、修改、刪除SSL服務端。相關API說明,請參見: