You need to enable JavaScript to run this app.
导航
飞连
  • 文档首页
    • /飞连/管理员指南/零信任接入/接入网关/管理 VPN 网关/添加 VPN 网关节点
添加 VPN 网关节点
最近更新时间:2025.09.23 15:20:09首次发布时间:2022.11.29 10:24:02
复制全文
我的收藏
有用
有用
无用
无用

飞连虚拟专用网络(VPN)用于构建企业远程办公网络环境。您可以为一台本地服务器或虚拟机部署飞连 VPN 组件,将其接入飞连服务作为飞连的 VPN 节点。待 VPN 节点生效后,企业员工可通过客户端连接该节点,接入企业内网进行远程办公。本文介绍如何在飞连管理后台添加 VPN 节点。
在开始配置前,请务必理解下图所示的部署架构,并完成所有准备工作。
Image

前提条件

在登录管理后台进行任何操作之前,请先完成一系列的前置检查和基础设施准备。

部署前置检查

  1. 检查节点授权数量

您可添加的 VPN 节点数量与您购买飞连时所选择的 VPN 节点数直接相关。 例如,如果您在购买飞连时选配了 1 个 VPN 节点,那么您在管理后台也只能添加一个 VPN 节点。在规划部署多个节点前,请务必确认您的订阅包含了足够的节点授权。

  1. 选择专用服务器环境

请使用全新的服务器专门部署飞连 VPN 节点。避免与其他运行中的应用服务发生冲突,而引起预期之外的网络转发问题。

服务器资源准备

操作系统

最低配置

最大并发

建议使用 CentOS 7、Debian 9 及以上版本的操作系统。

4 核 CPU、4 G 内存

1000

说明

上表为单个 VPN 节点的参考配置。并发数指该节点能同时承载的在线用户数量。如果您预计的并发用户数超过 1000,则需要规划并部署多个 VPN 节点。

网络环境要求

  • IP 地址规划

    服务器

    IP 类型

    IP 地址示例

    数量

    用途

    VPN Server

    公网 IP(或公网映射)

    201.23.10.2

    N,以订单中节点数量为准。

    固定公网 IP 地址。

    内网 IP

    192.168.1.2

    N,以订单中节点数量为准。

    固定内网 IP 地址。

  • 网络端口开放要求

    方向

    目的 IP

    目的端口

    协议

    源 IP

    备注

    入站

    VPN 服务器的公网IP

    443(默认端口,可修改)

    TCP

    任意

    VPN 控制端口,外网开放。

    入站

    VPN 服务器的公网IP

    80(默认端口,可修改)

    TCP、UDP

    任意

    VPN 数据端口,外网开放。

    出站

    飞连租户域名

    443

    TCP

    VPN 服务器

    允许 VPN 节点主动连接飞连云端管理后台,以同步配置和状态。

添加并部署节点
  1. 登录管理后台。
  2. 在左侧导航栏,选择零信任接入 > 接入网关VPN 网关
  3. VPN 网关页面左下方,单击创建节点
    Image
  4. 配置 VPN 节点界面,完成以下配置。

    1. 配置基本信息,然后单击下一步

      说明

      涉及 IP 地址的配置项,您需要根据服务器实际环境与配置完成填写。

      配置项

      说明

      节点名称

      设置 VPN 节点的中文名称以及英文名称。

      标签

      您可以通过标签标识 VPN 节点的用途,用户在客户端选择节点时,可以通过展示的标签辅助选择 VPN 节点。

      • 在下拉列表中选择已创建的标签。
      • 若没有对应的标签,在文本框中输入标签,单击新增,即可创建标签。

      DNS 服务器(主用)

      通过 VPN 节点下发的 DNS 地址,一般输入为内网 DNS 地址。

      DNS 服务器(备用)

      备用节点的 DNS 服务器 IP 地址,不能配置与主用 DNS 服务器相同的 IP 地址。

      公网地址

      VPN 节点映射的公网 IP 地址,支持域名或者 IPv4 格式,不能同时输入域名和 IP 地址。
      如果您填写的是域名,则只可输入单个域名地址;
      如果您填写的是 IPv4 格式地址,若有多条外网线路,则可填写最多 4 个公网 IP 地址,并用逗号隔开。

      内网 IP

      VPN 节点的内网 IP 地址,支持 IPv4 格式。

      控制端口(TCP)

      客户端探活及配置下发的端口,建议填写为 443,支持修改为其他端口号。

      数据端口(TCP / UDP)

      VPN 数据传输的端口,建议填写为 80,支持修改为其他端口号。

      是否启用网络地址转换(NAT)

      • 启用(使用虚拟 IP 池):使用虚拟 IP 地址池,IP 地址池可以设置为内网未规划的网段。例如,内网的 IP 范围是 192.168.0.0/16,则 IP 地址池设置为 10.10.10.0/24。
      • 不启用(使用公司内网 IP 池):使用内网 IP 地址池,IP 地址池可以设置为内网已规划但未分配的网段。

      IP 池

      指定具体的 IP 池范围,填写 CIDR (例如,10.8.8.0/24)。不能和企业内网的现有地址段冲突。IP 池总量不能超过 1, 024,如需配置大于 1, 024 个 IP,则要添加多个 VPN 节点。

      说明

      如果您需要添加 IPv6 格式地址,您可以勾选 IPv6 并在 IP 池添加 IPv6 格式地址。

      传输协议

      飞连客户端封包类型,支持选择自动选择 TCP 与 UDP仅 TCP 或者仅 UDP。建议保持默认设置(即自动选择 TCP UDP),以防 UDP 包被丢弃。

      选路策略

      在 VPN 节点配置了多个公网 IP 地址的情况下,您可以根据业务需求选择以下两种选路策略:

      • 低延时优先:此策略是指当 VPN 客户端连接到该节点时,飞连将自动选择具有最小时延的 IP 地址进行连接。
      • 同运营商优先:此策略允许 VPN 客户端在连接节点时,优先选择与客户端相同运营商的 IP 地址。如果客户端与 VPN 节点没有相同运营商的 IP 地址,飞连将自动选择时延最小的 IP 进行VPN 连接。

        说明

        运营商判断目前仅支持中国移动、中国联通、中国电信三大运营商。

      客户端上行限速 KB/s

      限制单个用户最大上行速度,单位 KB/s。取值为0代表不限速。

      客户端下行限速 KB/s

      限制单个用户最大下行速度,单位 KB/s。取值为0代表不限速。

    2. 根据部署安装页面的提示信息,在指定服务器中部署安装 VPN 组件,然后单击下一步

    3. 进行连通性测试,确保 VPN 节点所在服务器可以正常通信后,单击完成
      配置完成后,您可以在 VPN 节点管理页面查看节点信息。您需要等待节点部署完成。

  5. 设置 VPN 使用权限。
    添加 VPN 节点后,如果您没有添加过 VPN 使用权限,则该节点默认状态下全员不可用。您需要手动为员工配置 VPN 使用权限,限制 VPN 节点的使用范围以及使用权限的生效时长。具体操作,请参见添加 VPN 使用权限

相关操作