搭建 SSL VPN 实现云上 VPC 与 SSL 客户端之间的网络互通

本文介绍使用 SSL VPN 实现云上 VPC 与 SSL 客户端的网络互通过程。

SSL VPN是区别于IPsec VPN的一种VPN连接类型，SSL VPN基于OpenVPN架构的网络连接技术，可实现云上VPC与SSL客户端之间的网络互通。使用SSL VPN操作方法简单，仅需要在SSL客户端中加载证书并发起连接，即可实现SSL客户端与云上VPC的互通。

• 预计实验时间：30分钟
• 级别：中级
• 相关产品：SSL VPN
• 受众： 通用

• 目前SSL VPN为邀测功能，暂未对全部用户开放，若通过SSL服务端控制台链接无法进入SSL服务端控制台，表明当前账号未开通SSL VPN功能，无权限查看相应控制台。如有需要您可提交工单或联系客户经理申请试用，申请成功后方可使用对应功能。

• 客户端可正常访问互联网。
• SSL服务端中配置的SSL客户端网段，不可与VPN网关路由冲突。
• SSL服务端中配置的SSL客户端网段，不可与待访问的SSL服务端网段冲突。
• SSL服务端中配置的SSL客户端网段，不可与VPN网关所属子网关联路由表中的路由条目冲突。
• SSL服务端中配置的SSL客户端网段，不可与100.64.0.0/10、169.254.0.0/16、127.0.0.0/8网段冲突。

第一步：创建VPN网关

此次示例配置中仅给出相关必填参数，更多参数及解释请参见创建VPN网关。

如果已经购买VPN网关，在VPN网关--修改配置，勾选开启：SSL连接

第二步：创建SSL服务端

此次示例配置中仅给出相关必填参数，更多参数及解释请参见创建SSL服务端。

第三步：创建SSL客户端证书并下载证书

注意：SSL客户端证书为SSL服务端的子资源。新创建SSL客户端证书与创建时选择的SSL服务端属于同一项目，仅可跟随SSL服务端进行项目的迁移，不可单独对SSL客户端证书进行项目迁移。
创建SSL客户端并下载证书。

下载证书并解压：

第四步：配置SSL 客户端

示例以MacOS为例，更多SSL VPN的常见客户端请参见配置客户端。

1. 上传在下载客户端证书时下载到本地的SSL客户端证书到Mac客户端中。
   
   您可参考本地数据上传概述中的方法进行数据上传。

2. 使用任意解压工具把客户端证书压缩包certs_vsc-2feuoxsyxxxxxybovbq.zip进行解压操作，并把解压后的文档放在指定位置，此处演示解压后的文件放在桌面。

3. 打开Mac客户端浏览器，在浏览器地址栏输入https://openvpn.net/client/前往OpenVPN官网，单击“Download OpenVPN Connect for Mac”按钮下载并安装OpenVPN Connect。
   

4. 完成OpenVPN Connect安装后，鼠标双击打开OpenVPN Connect，在左上角菜单中选择“Import Profile”，然后单击“FILE”页签；
   
   

5. SSL VPN连接成功
   

6. 测试连通性
   
   MacOS本地ip及前往火山云上路由