飞连
飞连
- 文档首页
飞连管理员指南零信任接入接入网关管理 VPN 网关添加 VPN 网关节点
文档反馈
问问助手飞连虚拟专用网络(VPN)用于构建企业远程办公网络环境。您可以为一台本地服务器或虚拟机部署飞连 VPN 组件,将其接入飞连服务作为飞连的 VPN 节点。待 VPN 节点生效后,企业员工可通过客户端连接该节点,接入企业内网进行远程办公。本文介绍如何在飞连管理后台添加 VPN 节点。
在开始配置前,请务必理解下图所示的部署架构,并完成所有准备工作。
在登录管理后台进行任何操作之前,请先完成一系列的前置检查和基础设施准备。
部署前置检查
- 检查节点授权数量
您可添加的 VPN 节点数量与您购买飞连时所选择的 VPN 节点数直接相关。 例如,如果您在购买飞连时选配了 1 个 VPN 节点,那么您在管理后台也只能添加一个 VPN 节点。在规划部署多个节点前,请务必确认您的订阅包含了足够的节点授权。
- 选择专用服务器环境
请使用全新的服务器专门部署飞连 VPN 节点。避免与其他运行中的应用服务发生冲突,而引起预期之外的网络转发问题。
服务器资源准备
操作系统 | 最低配置 | 最大并发 |
|---|---|---|
建议使用 CentOS 7、Debian 9 及以上版本的操作系统。 | 4 核 CPU、4 G 内存 | 1000 |
说明
上表为单个 VPN 节点的参考配置。并发数指该节点能同时承载的在线用户数量。如果您预计的并发用户数超过 1000,则需要规划并部署多个 VPN 节点。
网络环境要求
IP 地址规划
服务器
IP 类型
IP 地址示例
数量
用途
VPN Server
公网 IP(或公网映射)
201.23.10.2
N,以订单中节点数量为准。
固定公网 IP 地址。
内网 IP
192.168.1.2
N,以订单中节点数量为准。
固定内网 IP 地址。
网络端口开放要求
方向
目的 IP
目的端口
协议
源 IP
备注
入站
VPN 服务器的公网IP
443(默认端口,可修改)
TCP
任意
VPN 控制端口,外网开放。
入站
VPN 服务器的公网IP
80(默认端口,可修改)
TCP、UDP
任意
VPN 数据端口,外网开放。
出站
飞连租户域名
443
TCP
VPN 服务器
允许 VPN 节点主动连接飞连云端管理后台,以同步配置和状态。
- 登录管理后台。
- 在左侧导航栏,选择零信任接入 > 接入网关 > VPN 网关。
- 在 VPN 网关页面左下方,单击创建节点。
- 在配置 VPN 节点界面,完成以下配置。
配置基本信息,然后单击下一步。
说明
涉及 IP 地址的配置项,您需要根据服务器实际环境与配置完成填写。
配置项
说明
节点名称
设置 VPN 节点的中文名称以及英文名称。
标签
您可以通过标签标识 VPN 节点的用途,用户在客户端选择节点时,可以通过展示的标签辅助选择 VPN 节点。
- 在下拉列表中选择已创建的标签。
- 若没有对应的标签,在文本框中输入标签,单击新增,即可创建标签。
DNS 服务器(主用)
通过 VPN 节点下发的 DNS 地址,一般输入为内网 DNS 地址。
DNS 服务器(备用)
备用节点的 DNS 服务器 IP 地址,不能配置与主用 DNS 服务器相同的 IP 地址。
公网地址
VPN 节点映射的公网 IP 地址,支持域名或者 IPv4 格式,不能同时输入域名和 IP 地址。
如果您填写的是域名,则只可输入单个域名地址;
如果您填写的是 IPv4 格式地址,若有多条外网线路,则可填写最多 4 个公网 IP 地址,并用逗号隔开。内网 IP
VPN 节点的内网 IP 地址,支持 IPv4 格式。
控制端口(TCP)
客户端探活及配置下发的端口,建议填写为 443,支持修改为其他端口号。
数据端口(TCP / UDP)
VPN 数据传输的端口,建议填写为 80,支持修改为其他端口号。
是否启用网络地址转换(NAT)
- 启用(使用虚拟 IP 池):使用虚拟 IP 地址池,IP 地址池可以设置为内网未规划的网段。例如,内网的 IP 范围是 192.168.0.0/16,则 IP 地址池设置为 10.10.10.0/24。
- 不启用(使用公司内网 IP 池):使用内网 IP 地址池,IP 地址池可以设置为内网已规划但未分配的网段。
IP 池
指定具体的 IP 池范围,填写 CIDR (例如,10.8.8.0/24)。不能和企业内网的现有地址段冲突。IP 池总量不能超过 1, 024,如需配置大于 1, 024 个 IP,则要添加多个 VPN 节点。
说明
如果您需要添加 IPv6 格式地址,您可以勾选 IPv6 并在 IP 池添加 IPv6 格式地址。
传输协议
飞连客户端封包类型,支持选择自动选择 TCP 与 UDP、仅 TCP 或者仅 UDP。建议保持默认设置(即自动选择 TCP 与 UDP),以防 UDP 包被丢弃。
选路策略
在 VPN 节点配置了多个公网 IP 地址的情况下,您可以根据业务需求选择以下两种选路策略:
- 低延时优先:此策略是指当 VPN 客户端连接到该节点时,飞连将自动选择具有最小时延的 IP 地址进行连接。
- 同运营商优先:此策略允许 VPN 客户端在连接节点时,优先选择与客户端相同运营商的 IP 地址。如果客户端与 VPN 节点没有相同运营商的 IP 地址,飞连将自动选择时延最小的 IP 进行VPN 连接。
说明
运营商判断目前仅支持中国移动、中国联通、中国电信三大运营商。
客户端上行限速 KB/s
限制单个用户最大上行速度,单位 KB/s。取值为
0代表不限速。客户端下行限速 KB/s
限制单个用户最大下行速度,单位 KB/s。取值为
0代表不限速。根据部署安装页面的提示信息,在指定服务器中部署安装 VPN 组件,然后单击下一步。
进行连通性测试,确保 VPN 节点所在服务器可以正常通信后,单击完成。
配置完成后,您可以在 VPN 节点管理页面查看节点信息。您需要等待节点部署完成。
- 设置 VPN 使用权限。
添加 VPN 节点后,如果您没有添加过 VPN 使用权限,则该节点默认状态下全员不可用。您需要手动为员工配置 VPN 使用权限,限制 VPN 节点的使用范围以及使用权限的生效时长。具体操作,请参见添加 VPN 使用权限。
- VPN 节点的网络模式支持设置为全局模式和极速模式。关于网络模式的介绍和配置说明,请参见设置 VPN 节点的网络模式。
- 每个 VPN 节点内均可设置可见对象,仅在可见对象范围内的员工可以查看并使用相应的 VPN 节点。具体操作,请参见配置 VPN 节点的可见对象。
- 您可以为 VPN 节点设置访问权限,以限制员工连接 VPN 后允许访问的网络资源范围。具体操作,请参见管理 VPN 访问权限。
- 管理 VPN 节点的基本信息,请参见查看或编辑 VPN 网关节点基本信息。