URI GET /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/connections 表1 参数说明 名称 类型 是否必选 描述 project_id String 是 项目ID，可以通过获取项目ID获取项目ID p2c_vgw_id String 是 P2C VPN网关实例ID 表2 请求Query参数列表 名称 类型 是否必选 描述 limit Integer 否 分页查询时每页返回的记录数量 offset Integer 否 分页查询的偏移量

请求消息 请求参数 无。 请求样例 1.不分页查询连接列表。 GET https://{Endpoint}/v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/connections 2.分页查询连接列表。 GET https://{Endpoint}/v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/connections?limit=10&offset=0

响应消息 响应参数 返回状态码为 200: 查询成功。 表3 响应Body参数列表 名称 类型 描述 connections Array of Connection objects 连接信息 total_count Long 连接总数 request_id String 请求ID 表4 Connection 名称 类型 描述 connection_id String 功能说明：连接ID 格式：36位UUID client_virtual_ip String 客户端连接时分配的虚拟IP地址 client_ip String 客户端连接的公网IP地址 client_user_name String 客户端用户名称 inbound_packets Long 入网包数 outbound_packets Long 出网包数 inbound_bytes Long 入网字节数 outbound_bytes Long 出网字节数 connection_established_time String 功能说明：客户端连接的建立时间 UTC时间格式：yyyy-MM-ddTHH:mm:ssZ timestamp String 功能说明：连接流量信息统计的时间戳 UTC时间格式：yyyy-MM-ddTHH:mm:ssZ

VPN网关 权限 对应API接口 授权项（Action） 依赖的授权项 IAM 项目 (Project) 企业项目 (Enterprise Project) 订购包周期终端入云VPN网关 POST /v5/{project_id}/p2c-vpn-gateways/subscribe/{order_id} vpn:p2cVpnGateway:subscribe vpn:system:listAvailabilityZones vpc:vpcs:list vpc:subnets:get vpc:bandwidths:list vpc:publicIps:create vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:list √ × 变更包周期 VPN网关规格 PUT /v5/{project_id}/p2c-vpn-gateways/update-specification/{order_id} vpn:p2cVpnGateway:updateSpecification - √ × 更新终端入云VPN网关 PUT /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id} vpn:p2cVpnGateway:update vpc:publicIps:create vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list √ × 查询终端入云VPN网关详情 GET /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id} vpn:p2cVpnGateway:get vpc:publicIps:get √ × 查询终端入云VPN网关列表 GET /v5/{project_id}/p2c-vpn-gateways vpn:p2cVpnGateway:list vpc:publicIps:get √ × 查询终端入云VPN连接列表 GET /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/connections vpn:p2cVpnGateway:listConnections - √ × 断开P2C VPN网关连接 POST /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/connections/{connection_id}/disconnect vpn:p2cVpnGateway:disconnectConnection - √ × 父主题： 终端入云VPN授权项列表

操作步骤 根据Windows操作系统下载Easy-RSA安装包至“D:\”目录下。 Windows 32位操作系统，可以下载EasyRSA-3.1.7-win32.zip。 Windows 64位操作系统，可以下载EasyRSA-3.1.7-win64.zip。 此处以安装EasyRSA-3.1.7-win64为示例。 解压缩“EasyRSA-3.1.7-win64.zip”至指定目录，如“D:\EasyRSA-3.1.7”。 进入“D:\EasyRSA-3.1.7”目录。 在地址栏中输入cmd并按回车键，打开命令行窗口。 执行“.\EasyRSA-Start.bat”命令，运行Easy-RSA。 系统显示如下类似信息： Welcome to the EasyRSA 3 Shell for Windows.Easy-RSA 3 is available under a GNU GPLv2 license.Invoke './easyrsa' to call the program. Without commands, help is displayed.EasyRSA Shell# 执行“./easyrsa init-pki”命令，初始化PKI环境。 系统显示如下类似信息： Notice------'init-pki' complete; you may now create a CA or requests.Your newly created PKI dir is:* D:/EasyRSA-3.1.7/pkiUsing Easy-RSA configuration:* undefinedEasyRSA Shell# 执行命令后，在“D:\EasyRSA-3.1.7”的目录下自动生成了“pki”的文件夹。 配置变量参数。 将“D:\EasyRSA-3.1.7”目录下的“vars.example”文件复制到“D:\EasyRSA-3.1.7\pki”目录下。 将“D:\EasyRSA-3.1.7\pki”目录下的“vars.example”重命名为“vars”。 默认按“vars.example”中描述的参数值进行配置。如需自定义参数值，按需设置“vars”文件的参数值。 执行“ ./easyrsa build-ca nopass”命令，生成CA证书。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration:* D:/EasyRSA-3.1.7/pki/varsUsing SSL:* openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023).....+..+.............+......+........+...+...+....+++++++++++++++++++++++++++++++++++++++*.+.+.....+..........+............+...+++++++++++++++++++++++++++++++++++++++*............+.....+......+...+....+..+..........+.....+....+...............+..+.........+.............+......+..+...+....+..+.+.........+.....+.........+....+............+...+...+.....+........................+...+.+.....+....+...+.........+...+...+...+.....+......+........................++++++.+++++++++++++++++++++++++++++++++++++++*.........+..........+++++++++++++++++++++++++++++++++++++++*.+......++++++-----You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Common Name (eg: your user, host, or server name) [Easy-RSA CA]:p2cvpn.com //设置CA证书名称Notice------CA creation complete. Your new CA certificate is at:* D:/EasyRSA-3.1.7/pki/ca.crtEasyRSA Shell# 查看CA证书及其私钥。 生成的CA证书默认存放在“D:\EasyRSA-3.1.7\pki”目录下。 本示例中生成的证书为“ca.crt”。 生成的CA私钥默认存放在“D:\EasyRSA-3.1.7\pki\private”目录下。 本示例中生成的私钥为“ca.key”。 执行 “./easyrsa build-server-full p2cserver.com nopass”命令，生成服务端证书及其私钥。 此命令中，“p2cserver.com”为服务端证书的CN，必须是 域名 格式，如“p2c-server.com”。否则无法正常托管到 云证书管理服务 ,请根据实际填写。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration:* D:/EasyRSA-3.1.7/pki/varsUsing SSL:* openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023).+............+........+............+............+.+...............+.....+....+....................+............+.+..+......+............+....+.........+..+.........+.+.........+..............+.........+++++++++++++++++++++++++++++++++++++++*...+......+.....+......+...+++++++++++++++++++++++++++++++++++++++*..+...+..........+......+...........+....+......+.....+....+.....+....+........+...+.......+...+..+.......+..+......+.............+..+....+......+...+.....+................+......+..+.............+..+................+.....+......+....+...........+....+.....+.........+.+..+.............+...........+..........+......+........+............+...+....+..+......+......................+.....+......+.+...+..+...+.+......+........+...+....+.....+......+....+...+..+................+..+...+.......+..+......+..........+.........+...+..+.........+......+......++++++........+.+......+...+......+.....+...+.+.....+.+........+......+++++++++++++++++++++++++++++++++++++++*...+.....+...+.+.........+......+........+++++++++++++++++++++++++++++++++++++++*......+........+.+...+.....+.+..............+.+.....+.+...+...+.....+.......+.................+.+............+..+......+...+....+...+..+.+.....+.....................+.+..+.+...................................+....+........+.............+.....+....+.....+...+..........+........+.+.....+...+.............+........+....+......+.....+.......+..+............+.........+.+......+...+...............+......+...........+............+.......+...........+.......+...............+......+.................+...+.+...+..+...+.+..........................+.+.........+......+............+..+....+..+....+........+.......+........+...+...+.+...+...+..+...............+...+..........+..+.......+.........+.....+.........+................+......+...+......+.....+.......+...+..............+.+.....+.+...+...........+.+...+...+...+............+..+.......+...........+.......+...+...+...........+.....................+...+....+...........+............+...+......+..........+........+.+.....+....+.....+.+..+..........+..............+...+......+.+...+...........+.+......+...++++++-----Notice------Private-Key and Public-Certificate-Request files created.Your files are:* req: D:/EasyRSA-3.1.7/pki/reqs/p2cserver.com.req* key: D:/EasyRSA-3.1.7/pki/private/p2cserver.com.keyYou are about to sign the following certificate:Request subject, to be signed as a server certificatefor '825' days:subject= commonName = p2cserver.comType the word 'yes' to continue, or any other input to abort. Confirm request details: yes //输入“yes”以继续Using configuration from D:/EasyRSA-3.1.7/pki/openssl-easyrsa.cnfCheck that the request matches the signatureSignature okThe Subject's Distinguished Name is as followscommonName :ASN.1 12:'p2cserver.com'Certificate is to be certified until Sep 22 09:56:54 2026 GMT (825 days)Write out database with 1 new entriesDatabase updatedNotice------Certificate created at:* D:/EasyRSA-3.1.7/pki/issued/p2cserver.com.crtNotice------Inline file created:* D:/EasyRSA-3.1.7/pki/inline/p2cserver.com.inlineEasyRSA Shell# 查看服务端证书及其私钥。 生成的服务端证书默认存放在“D:\EasyRSA-3.1.7\pki\issued”目录下。 本示例中生成的服务端证书为“p2cserver.com.crt”。 生成的服务端私钥默认存放在“D:\EasyRSA-3.1.7\pki\private”目录下。 本示例中生成的服务端私钥为“p2cserver.com.key”。 执行“ ./easyrsa build-client-full p2cclient.com nopass”命令，生成客户端证书及其私钥。 此命令中，客户端证书的命名（如“p2cclient.com”）应与服务端证书的命名（如“p2cserver.com”）不一致。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration:* D:/EasyRSA-3.1.7/pki/varsUsing SSL:* openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023).......+++++++++++++++++++++++++++++++++++++++*...+...+...+.....+...+....+......+......+........+.+.....+............+++++++++++++++++++++++++++++++++++++++*.+.....+.+.....+.........+.......+..+...+.......+...+..+......+.+......+........+....+...+...+..+.......+......+.....+..........+...........+....+......+.....+.........+......+.+..+...+..........+........+......+....+......+...........+.......+.....+.............+..+.+...........+..........+...+..+.........+......+.+........+.........+.+...............+..+..........+...+............+...+.....+.+...........+....+.....+.........+....+.......................+....+...+..+....+..+.......+...+............+.....+............+.+........+.......+.....+....+.........+..+............+..........+..+.............+...+...+..++++++..+.....+.......+.....+.........+....+++++++++++++++++++++++++++++++++++++++*.....+......+..+++++++++++++++++++++++++++++++++++++++*.......+.+.....+....+.........+...+.....+.........+...+...............+...+....+.....+.+...+......+......+...+.........+..+...+...+....+.........+..+...+...................+......+.....+.+...+...+.........+.....+..................+...+...+......+.+..+......+.+......+.....+...+..........+..+............+.......+.........+.....+......+.+..+............+................+..+...+....+......+.....+...+....+..+......+.........+.........++++++-----Notice------Private-Key and Public-Certificate-Request files created.Your files are:* req: D:/EasyRSA-3.1.7/pki/reqs/p2cclient.com.req* key: D:/EasyRSA-3.1.7/pki/private/p2cclient.com.keyYou are about to sign the following certificate:Request subject, to be signed as a client certificatefor '825' days:subject= commonName = p2cclient.comType the word 'yes' to continue, or any other input to abort. Confirm request details: yes //输入“yes”以继续Using configuration from D:/EasyRSA-3.1.7/pki/openssl-easyrsa.cnfCheck that the request matches the signatureSignature okThe Subject's Distinguished Name is as followscommonName :ASN.1 12:'p2cclient.com'Certificate is to be certified until Sep 22 09:58:26 2026 GMT (825 days)Write out database with 1 new entriesDatabase updatedNotice------Certificate created at:* D:/EasyRSA-3.1.7/pki/issued/p2cclient.com.crtNotice------Inline file created:* D:/EasyRSA-3.1.7/pki/inline/p2cclient.com.inlineEasyRSA Shell# 查看客户端证书及其私钥。 生成的客户端证书默认存放在“D:\EasyRSA-3.1.7\pki\issued”目录下。 本示例中生成的客户端证书为“p2cclient.com.crt”。 生成的客户端私钥默认存放在“D:\EasyRSA-3.1.7\pki\private”目录下。 本示例中生成的客户端私钥为“p2cclient.com.key”。

操作流程 通过VPN实现客户端远程接入VPC的操作流程如图 操作流程所示。 图1 操作流程 表2 操作流程说明 序号 步骤 说明 1 步骤一：创建VPN网关 VPN网关需要绑定EIP作为出口公网IP。 如果您已经购买EIP，则此处可以直接绑定使用。 2 步骤二：配置服务端 指定客户端需要访问的网段（本端网段）和客户端访问时使用的网段（客户端网段）。 选择服务端证书和客户端认证类型，用于建立VPN连接时的身份认证。 客户端认证类型支持“证书认证”和“口令认证（本地）”两种方式。 配置VPN连接的SSL参数（协议、端口、认证算法、加密算法等）。 3 步骤三：配置客户端 从管理控制台下载客户端配置，对配置文件进行修改后导入对应的VPN客户端软件。 4 步骤四：验证连通性 打开客户端设备的命令行窗口，执行ping命令，验证连通性。

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/16 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在3个及以上可分配的IP地址。 192.168.2.0/24 最大连接数 10 EIP地址 EIP地址在购买EIP时由系统自动生成。 本示例假设EIP地址生成如下：11.xx.xx.11 服务端 本端网段 192.168.1.0/24 服务端证书 cert-server（使用 云证书管理 服务托管的服务端证书名称） SSL参数 协议：TCP 端口：443 加密算法：AES-128-GCM 认证算法：SHA256 是否压缩：否 客户端 客户端网段 172.16.0.0/16 客户端认证类型 默认选择“口令认证（本地）”。 用户组 名称：Testgroup_01 用户 名称：Test_01 密码：请根据实际配置 所属用户组：Testgroup_01 访问策略 名称：Policy_01 目的网段：192.168.1.0/24 用户组：Testgroup_01

Windows客户端（OpenVPN Connect） 此处以安装OpenVPN Connect 3.5.0（3818）为例，不同软件版本的安装界面可能存在差异，请以实际为准。 Windows客户端OpenVPN Connect建议使用3.4.4版本以上。 在OpenVPN官方网站下载OpenVPN Connect，根据界面提示进行安装。 启动OpenVPN Connect客户端，支持以下两种方式添加配置信息，建立VPN连接。 方式1：使用配置文件（已添加客户端证书及私钥）建立VPN连接 打开OpenVPN客户端，导入已添加客户端证书及私钥的配置文件，建立VPN连接。 方式2：使用原始配置文件（未添加客户端证书及私钥）+USB-Key的组合，建立VPN连接 初始化USB-Key。 此处以使用龙脉mToken GM3000管理员工具（v2.2.19.619）制作USB-Key为例。USB-Key初始化成功后如下图所示，此时需要拔插一下USB设备。 将客户端证书导入USB-Key。 使用USB-Key建立VPN连接。 在OpenVPN Connect中导入USB-Key中未添加客户端CA证书及私钥的配置文件，单击“CONNECT”。 建连过程中，USB-Key需要保持插入状态。 建连成功后，拔出USB-Key，连接不会中断，需要手动断连；USB-Key拔出后，重新建连将失败。 出现类似下图所示界面，代表连接成功。 图1 连接成功

Linux客户端 此处以在Ubuntu 22.04（jammy） openvpn_2.5.8-0ubuntu0.22.04.1_amd64操作系统上安装OpenVPN为例，不同Linux系统的安装命令可能存在差异，请以实际为准。Linux客户端OpenVPN建议使用2.5版本以上（2.5版本不支持dco，需要在配置文件中注释“disable-dco”）。 打开命令行窗口。 执行以下命令安装OpenVPN客户端。 yum install -y openvpn 将已添加客户端证书及私钥的客户端配置文件内容复制至/etc/openvpn/conf/目录。 进入/etc/openvpn/conf/目录，执行以下命令建立VPN连接。 openvpn --config /etc/openvpn/conf/config.ovpn --daemon 在Linux系统里，启动OPenVPN后，建议不要修改OS的DNS配置，如果修改了，在下次启动OpenVPN时，OS的DNS配置会被OpenVPN客户端里的DNS配置覆盖。

Android客户端 此处以安装OpenVPN（3.3.4）为例，不同软件版本的安装界面可能存在差异，请以实际为准。 Android客户端OpenVPN建议使用3.3.2以上版本。 下载OpenVPN客户端（Android版本）并安装。 打开OpenVPN客户端，导入已添加客户端证书及私钥的配置文件，建立VPN连接。 此时APP界面将弹出连接请求提示，请单击“确定”。 图9 连接请求 出现类似下图所示界面，代表连接成功。 图10 连接成功

iOS客户端 此处以安装OpenVPN Connect（3.4.0）为例，不同软件版本的安装界面可能存在差异，请以实际为准。 在App Store搜索“OpenVPN Connect”，下载并安装。 下载客户端配置，在“client_config.ovpn”文件中添加客户端证书及私钥，然后通过OpenVPN Connect打开，按照界面提示添加客户端配置。 图11 导入配置文件 出现类似下图所示界面，代表连接成功。 图12 连接成功

Mac客户端（OpenVPN Connect） 此处以安装OpenVPN Connect（3.4.4.4629）为例，不同软件版本的安装界面可能存在差异，请以实际为准。 在OpenVPN官方网站下载OpenVPN Connect，根据硬件规格选择对应安装程序。 图2 选择安装包 根据界面提示，完成软件安装。 图3 安装OpenVPN Connect 启动OpenVPN Connect客户端，导入已添加客户端证书及私钥的配置文件，填写配置信息后建立VPN连接。 图4 导入配置文件 出现类似下图所示界面，代表连接成功。 图5 连接成功

Mac客户端（Tunnelblick） 此处以安装Tunnelblick（3.8.8d）为例，不同软件版本的安装界面可能存在差异，请以实际为准。 前往官方网站下载Tunnelblick。 您可以根据实际需要下载适用的版本，推荐使用正式版本。下载软件时推荐下载DMG格式的软件。 根据界面提示，安装Tunnelblick。 图6 安装Tunelblick 启动Tunnelblick客户端，将已添加客户端证书及私钥的配置文件上传至Tunnelblick客户端，建立VPN连接。 需要在配置文件中注释“disable-dco”。 图7 上传客户端配置文件 出现类似下图所示界面，代表连接成功。 图8 连接成功

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/16 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在3个及以上可分配的IP地址。 192.168.2.0/24 已创建/剩余连接数 0/10 EIP地址 EIP地址在购买EIP时由系统自动生成。 本示例假设EIP地址生成如下：11.xx.xx.11 服务端 本端网段 192.168.0.0/24 服务端证书 cert-server（使用云证书管理服务托管的服务端证书名称） 客户端 SSL参数 协议：TCP 端口：443 加密算法：AES-128-GCM 认证算法：SHA256 是否压缩：否 客户端网段 172.16.0.0/16 客户端认证类型 选择“证书认证”，单击上传CA证书。 名称：ca-cert-client 内容： -----BEGIN CERTIFICATE----- od2VC7zXq7vmsVS5ZuyzeZA9CG+kzHsznZnmMjK+L9ddtRrLolRKIlE7VgWSVvn NCnGre6nQErWV688fsKJFIJ7xEBpt+S10zNuuk42OA36RsSauJWtLtebvhTav5df -----END CERTIFICATE-----