URI GET /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/connections 表1 参数说明 名称 类型 是否必选 描述 project_id String 是 项目ID，可以通过获取项目ID获取项目ID p2c_vgw_id String 是 P2C VPN网关实例ID 表2 请求Query参数列表 名称 类型 是否必选 描述 limit Integer 否 分页查询时每页返回的记录数量 offset Integer 否 分页查询的偏移量

响应消息 响应参数 返回状态码为 200: 查询成功。 表3 响应Body参数列表 名称 类型 描述 connections Array of Connection objects 连接信息 total_count Long 连接总数 request_id String 请求ID 表4 Connection 名称 类型 描述 connection_id String 功能说明：连接ID 格式：36位UUID client_virtual_ip String 客户端连接时分配的虚拟IP地址 client_ip String 客户端连接的公网IP地址 client_user_name String 客户端用户名称 inbound_packets Long 入网包数 outbound_packets Long 出网包数 inbound_bytes Long 入网字节数 outbound_bytes Long 出网字节数 connection_established_time String 功能说明：客户端连接的建立时间 UTC时间格式：yyyy-MM-ddTHH:mm:ssZ timestamp String 功能说明：连接流量信息统计的时间戳 UTC时间格式：yyyy-MM-ddTHH:mm:ssZ

请求消息 请求参数 无。 请求样例 1.不分页查询连接列表。 GET https://{Endpoint}/v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/connections 2.分页查询连接列表。 GET https://{Endpoint}/v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/connections?limit=10&offset=0

VPN网关 权限 对应API接口 授权项（Action） 依赖的授权项 IAM 项目 (Project) 企业项目 (Enterprise Project) 订购包周期终端入云VPN网关 POST /v5/{project_id}/p2c-vpn-gateways/subscribe/{order_id} vpn:p2cVpnGateway:subscribe vpn:system:listAvailabilityZones vpc:vpcs:list vpc:subnets:get vpc:bandwidths:list vpc:publicIps:create vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:list √ × 变更包周期 VPN网关规格 PUT /v5/{project_id}/p2c-vpn-gateways/update-specification/{order_id} vpn:p2cVpnGateway:updateSpecification - √ × 更新终端入云VPN网关 PUT /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id} vpn:p2cVpnGateway:update vpc:publicIps:create vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list √ × 查询终端入云VPN网关详情 GET /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id} vpn:p2cVpnGateway:get vpc:publicIps:get √ × 查询终端入云VPN网关列表 GET /v5/{project_id}/p2c-vpn-gateways vpn:p2cVpnGateway:list vpc:publicIps:get √ × 查询终端入云VPN连接列表 GET /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/connections vpn:p2cVpnGateway:listConnections - √ × 断开P2C VPN网关连接 POST /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/connections/{connection_id}/disconnect vpn:p2cVpnGateway:disconnectConnection - √ × 父主题： 终端入云VPN授权项列表

操作步骤 根据Windows操作系统下载Easy-RSA安装包至“D:\”目录下。 Windows 32位操作系统，可以下载EasyRSA-3.1.7-win32.zip。 Windows 64位操作系统，可以下载EasyRSA-3.1.7-win64.zip。 此处以安装EasyRSA-3.1.7-win64为示例。 解压缩“EasyRSA-3.1.7-win64.zip”至指定目录，如“D:\EasyRSA-3.1.7”。 进入“D:\EasyRSA-3.1.7”目录。 在地址栏中输入cmd并按回车键，打开命令行窗口。 执行“.\EasyRSA-Start.bat”命令，运行Easy-RSA。 系统显示如下类似信息： Welcome to the EasyRSA 3 Shell for Windows.Easy-RSA 3 is available under a GNU GPLv2 license.Invoke './easyrsa' to call the program. Without commands, help is displayed.EasyRSA Shell# 执行“./easyrsa init-pki”命令，初始化PKI环境。 系统显示如下类似信息： Notice------'init-pki' complete; you may now create a CA or requests.Your newly created PKI dir is:* D:/EasyRSA-3.1.7/pkiUsing Easy-RSA configuration:* undefinedEasyRSA Shell# 执行命令后，在“D:\EasyRSA-3.1.7”的目录下自动生成了“pki”的文件夹。 配置变量参数。 将“D:\EasyRSA-3.1.7”目录下的“vars.example”文件复制到“D:\EasyRSA-3.1.7\pki”目录下。 将“D:\EasyRSA-3.1.7\pki”目录下的“vars.example”重命名为“vars”。 默认按“vars.example”中描述的参数值进行配置。如需自定义参数值，按需设置“vars”文件的参数值。 执行“ ./easyrsa build-ca nopass”命令，生成CA证书。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration:* D:/EasyRSA-3.1.7/pki/varsUsing SSL:* openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023).....+..+.............+......+........+...+...+....+++++++++++++++++++++++++++++++++++++++*.+.+.....+..........+............+...+++++++++++++++++++++++++++++++++++++++*............+.....+......+...+....+..+..........+.....+....+...............+..+.........+.............+......+..+...+....+..+.+.........+.....+.........+....+............+...+...+.....+........................+...+.+.....+....+...+.........+...+...+...+.....+......+........................++++++.+++++++++++++++++++++++++++++++++++++++*.........+..........+++++++++++++++++++++++++++++++++++++++*.+......++++++-----You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Common Name (eg: your user, host, or server name) [Easy-RSA CA]:p2cvpn.com //设置CA证书名称Notice------CA creation complete. Your new CA certificate is at:* D:/EasyRSA-3.1.7/pki/ca.crtEasyRSA Shell# 查看CA证书及其私钥。 生成的CA证书默认存放在“D:\EasyRSA-3.1.7\pki”目录下。 本示例中生成的证书为“ca.crt”。 生成的CA私钥默认存放在“D:\EasyRSA-3.1.7\pki\private”目录下。 本示例中生成的私钥为“ca.key”。 执行 “./easyrsa build-server-full p2cserver.com nopass”命令，生成服务端证书及其私钥。 此命令中，“p2cserver.com”为服务端证书的CN，必须是 域名 格式，如“p2c-server.com”。否则无法正常托管到 云证书管理服务 ,请根据实际填写。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration:* D:/EasyRSA-3.1.7/pki/varsUsing SSL:* openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023).+............+........+............+............+.+...............+.....+....+....................+............+.+..+......+............+....+.........+..+.........+.+.........+..............+.........+++++++++++++++++++++++++++++++++++++++*...+......+.....+......+...+++++++++++++++++++++++++++++++++++++++*..+...+..........+......+...........+....+......+.....+....+.....+....+........+...+.......+...+..+.......+..+......+.............+..+....+......+...+.....+................+......+..+.............+..+................+.....+......+....+...........+....+.....+.........+.+..+.............+...........+..........+......+........+............+...+....+..+......+......................+.....+......+.+...+..+...+.+......+........+...+....+.....+......+....+...+..+................+..+...+.......+..+......+..........+.........+...+..+.........+......+......++++++........+.+......+...+......+.....+...+.+.....+.+........+......+++++++++++++++++++++++++++++++++++++++*...+.....+...+.+.........+......+........+++++++++++++++++++++++++++++++++++++++*......+........+.+...+.....+.+..............+.+.....+.+...+...+.....+.......+.................+.+............+..+......+...+....+...+..+.+.....+.....................+.+..+.+...................................+....+........+.............+.....+....+.....+...+..........+........+.+.....+...+.............+........+....+......+.....+.......+..+............+.........+.+......+...+...............+......+...........+............+.......+...........+.......+...............+......+.................+...+.+...+..+...+.+..........................+.+.........+......+............+..+....+..+....+........+.......+........+...+...+.+...+...+..+...............+...+..........+..+.......+.........+.....+.........+................+......+...+......+.....+.......+...+..............+.+.....+.+...+...........+.+...+...+...+............+..+.......+...........+.......+...+...+...........+.....................+...+....+...........+............+...+......+..........+........+.+.....+....+.....+.+..+..........+..............+...+......+.+...+...........+.+......+...++++++-----Notice------Private-Key and Public-Certificate-Request files created.Your files are:* req: D:/EasyRSA-3.1.7/pki/reqs/p2cserver.com.req* key: D:/EasyRSA-3.1.7/pki/private/p2cserver.com.keyYou are about to sign the following certificate:Request subject, to be signed as a server certificatefor '825' days:subject= commonName = p2cserver.comType the word 'yes' to continue, or any other input to abort. Confirm request details: yes //输入“yes”以继续Using configuration from D:/EasyRSA-3.1.7/pki/openssl-easyrsa.cnfCheck that the request matches the signatureSignature okThe Subject's Distinguished Name is as followscommonName :ASN.1 12:'p2cserver.com'Certificate is to be certified until Sep 22 09:56:54 2026 GMT (825 days)Write out database with 1 new entriesDatabase updatedNotice------Certificate created at:* D:/EasyRSA-3.1.7/pki/issued/p2cserver.com.crtNotice------Inline file created:* D:/EasyRSA-3.1.7/pki/inline/p2cserver.com.inlineEasyRSA Shell# 查看服务端证书及其私钥。 生成的服务端证书默认存放在“D:\EasyRSA-3.1.7\pki\issued”目录下。 本示例中生成的服务端证书为“p2cserver.com.crt”。 生成的服务端私钥默认存放在“D:\EasyRSA-3.1.7\pki\private”目录下。 本示例中生成的服务端私钥为“p2cserver.com.key”。 执行“ ./easyrsa build-client-full p2cclient.com nopass”命令，生成客户端证书及其私钥。 此命令中，客户端证书的命名（如“p2cclient.com”）应与服务端证书的命名（如“p2cserver.com”）不一致。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration:* D:/EasyRSA-3.1.7/pki/varsUsing SSL:* openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023).......+++++++++++++++++++++++++++++++++++++++*...+...+...+.....+...+....+......+......+........+.+.....+............+++++++++++++++++++++++++++++++++++++++*.+.....+.+.....+.........+.......+..+...+.......+...+..+......+.+......+........+....+...+...+..+.......+......+.....+..........+...........+....+......+.....+.........+......+.+..+...+..........+........+......+....+......+...........+.......+.....+.............+..+.+...........+..........+...+..+.........+......+.+........+.........+.+...............+..+..........+...+............+...+.....+.+...........+....+.....+.........+....+.......................+....+...+..+....+..+.......+...+............+.....+............+.+........+.......+.....+....+.........+..+............+..........+..+.............+...+...+..++++++..+.....+.......+.....+.........+....+++++++++++++++++++++++++++++++++++++++*.....+......+..+++++++++++++++++++++++++++++++++++++++*.......+.+.....+....+.........+...+.....+.........+...+...............+...+....+.....+.+...+......+......+...+.........+..+...+...+....+.........+..+...+...................+......+.....+.+...+...+.........+.....+..................+...+...+......+.+..+......+.+......+.....+...+..........+..+............+.......+.........+.....+......+.+..+............+................+..+...+....+......+.....+...+....+..+......+.........+.........++++++-----Notice------Private-Key and Public-Certificate-Request files created.Your files are:* req: D:/EasyRSA-3.1.7/pki/reqs/p2cclient.com.req* key: D:/EasyRSA-3.1.7/pki/private/p2cclient.com.keyYou are about to sign the following certificate:Request subject, to be signed as a client certificatefor '825' days:subject= commonName = p2cclient.comType the word 'yes' to continue, or any other input to abort. Confirm request details: yes //输入“yes”以继续Using configuration from D:/EasyRSA-3.1.7/pki/openssl-easyrsa.cnfCheck that the request matches the signatureSignature okThe Subject's Distinguished Name is as followscommonName :ASN.1 12:'p2cclient.com'Certificate is to be certified until Sep 22 09:58:26 2026 GMT (825 days)Write out database with 1 new entriesDatabase updatedNotice------Certificate created at:* D:/EasyRSA-3.1.7/pki/issued/p2cclient.com.crtNotice------Inline file created:* D:/EasyRSA-3.1.7/pki/inline/p2cclient.com.inlineEasyRSA Shell# 查看客户端证书及其私钥。 生成的客户端证书默认存放在“D:\EasyRSA-3.1.7\pki\issued”目录下。 本示例中生成的客户端证书为“p2cclient.com.crt”。 生成的客户端私钥默认存放在“D:\EasyRSA-3.1.7\pki\private”目录下。 本示例中生成的客户端私钥为“p2cclient.com.key”。

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/16 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在3个及以上可分配的IP地址。 192.168.2.0/24 最大连接数 10 EIP地址 EIP地址在购买EIP时由系统自动生成。 本示例假设EIP地址生成如下：11.xx.xx.11 服务端 本端网段 192.168.1.0/24 服务端证书 cert-server（使用 云证书管理 服务托管的服务端证书名称） SSL参数 协议：TCP 端口：443 加密算法：AES-128-GCM 认证算法：SHA256 是否压缩：否 客户端 客户端网段 172.16.0.0/16 客户端认证类型 默认选择“口令认证（本地）”。 用户组 名称：Testgroup_01 用户 名称：Test_01 密码：请根据实际配置 所属用户组：Testgroup_01 访问策略 名称：Policy_01 目的网段：192.168.1.0/24 用户组：Testgroup_01

操作流程 通过VPN实现客户端远程接入VPC的操作流程如图 操作流程所示。 图1 操作流程 表2 操作流程说明 序号 步骤 说明 1 步骤一：创建VPN网关 VPN网关需要绑定EIP作为出口公网IP。 如果您已经购买EIP，则此处可以直接绑定使用。 2 步骤二：配置服务端 指定客户端需要访问的网段（本端网段）和客户端访问时使用的网段（客户端网段）。 选择服务端证书和客户端认证类型，用于建立VPN连接时的身份认证。 客户端认证类型支持“证书认证”和“口令认证（本地）”两种方式。 配置VPN连接的SSL参数（协议、端口、认证算法、加密算法等）。 3 步骤三：配置客户端 从管理控制台下载客户端配置，对配置文件进行修改后导入对应的VPN客户端软件。 4 步骤四：验证连通性 打开客户端设备的命令行窗口，执行ping命令，验证连通性。

Windows客户端（OpenVPN Connect） 此处以安装OpenVPN Connect 3.5.0（3818）为例，不同软件版本的安装界面可能存在差异，请以实际为准。 Windows客户端OpenVPN Connect建议使用3.4.4版本以上。 在OpenVPN官方网站下载OpenVPN Connect，根据界面提示进行安装。 启动OpenVPN Connect客户端，支持以下两种方式添加配置信息，建立VPN连接。 方式1：使用配置文件（已添加客户端证书及私钥）建立VPN连接 打开OpenVPN客户端，导入已添加客户端证书及私钥的配置文件，建立VPN连接。 方式2：使用原始配置文件（未添加客户端证书及私钥）+USB-Key的组合，建立VPN连接 初始化USB-Key。 此处以使用龙脉mToken GM3000管理员工具（v2.2.19.619）制作USB-Key为例。USB-Key初始化成功后如下图所示，此时需要拔插一下USB设备。 将客户端证书导入USB-Key。 使用USB-Key建立VPN连接。 在OpenVPN Connect中导入USB-Key中未添加客户端CA证书及私钥的配置文件，单击“CONNECT”。 建连过程中，USB-Key需要保持插入状态。 建连成功后，拔出USB-Key，连接不会中断，需要手动断连；USB-Key拔出后，重新建连将失败。 出现类似下图所示界面，代表连接成功。 图1 连接成功

Linux客户端 此处以在Ubuntu 22.04（jammy） openvpn_2.5.8-0ubuntu0.22.04.1_amd64操作系统上安装OpenVPN为例，不同Linux系统的安装命令可能存在差异，请以实际为准。Linux客户端OpenVPN建议使用2.5版本以上（2.5版本不支持dco，需要在配置文件中注释“disable-dco”）。 打开命令行窗口。 执行以下命令安装OpenVPN客户端。 yum install -y openvpn 将已添加客户端证书及私钥的客户端配置文件内容复制至/etc/openvpn/conf/目录。 进入/etc/openvpn/conf/目录，执行以下命令建立VPN连接。 openvpn --config /etc/openvpn/conf/config.ovpn --daemon 在Linux系统里，启动OPenVPN后，建议不要修改OS的DNS配置，如果修改了，在下次启动OpenVPN时，OS的DNS配置会被OpenVPN客户端里的DNS配置覆盖。

Mac客户端（Tunnelblick） 此处以安装Tunnelblick（3.8.8d）为例，不同软件版本的安装界面可能存在差异，请以实际为准。 前往官方网站下载Tunnelblick。 您可以根据实际需要下载适用的版本，推荐使用正式版本。下载软件时推荐下载DMG格式的软件。 根据界面提示，安装Tunnelblick。 图6 安装Tunelblick 启动Tunnelblick客户端，将已添加客户端证书及私钥的配置文件上传至Tunnelblick客户端，建立VPN连接。 需要在配置文件中注释“disable-dco”。 图7 上传客户端配置文件 出现类似下图所示界面，代表连接成功。 图8 连接成功

Android客户端 此处以安装OpenVPN（3.3.4）为例，不同软件版本的安装界面可能存在差异，请以实际为准。 Android客户端OpenVPN建议使用3.3.2以上版本。 下载OpenVPN客户端（Android版本）并安装。 打开OpenVPN客户端，导入已添加客户端证书及私钥的配置文件，建立VPN连接。 此时APP界面将弹出连接请求提示，请单击“确定”。 图9 连接请求 出现类似下图所示界面，代表连接成功。 图10 连接成功

iOS客户端 此处以安装OpenVPN Connect（3.4.0）为例，不同软件版本的安装界面可能存在差异，请以实际为准。 在App Store搜索“OpenVPN Connect”，下载并安装。 下载客户端配置，在“client_config.ovpn”文件中添加客户端证书及私钥，然后通过OpenVPN Connect打开，按照界面提示添加客户端配置。 图11 导入配置文件 出现类似下图所示界面，代表连接成功。 图12 连接成功

Mac客户端（OpenVPN Connect） 此处以安装OpenVPN Connect（3.4.4.4629）为例，不同软件版本的安装界面可能存在差异，请以实际为准。 在OpenVPN官方网站下载OpenVPN Connect，根据硬件规格选择对应安装程序。 图2 选择安装包 根据界面提示，完成软件安装。 图3 安装OpenVPN Connect 启动OpenVPN Connect客户端，导入已添加客户端证书及私钥的配置文件，填写配置信息后建立VPN连接。 图4 导入配置文件 出现类似下图所示界面，代表连接成功。 图5 连接成功

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/16 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在3个及以上可分配的IP地址。 192.168.2.0/24 已创建/剩余连接数 0/10 EIP地址 EIP地址在购买EIP时由系统自动生成。 本示例假设EIP地址生成如下：11.xx.xx.11 服务端 本端网段 192.168.0.0/24 服务端证书 cert-server（使用云证书管理服务托管的服务端证书名称） 客户端 SSL参数 协议：TCP 端口：443 加密算法：AES-128-GCM 认证算法：SHA256 是否压缩：否 客户端网段 172.16.0.0/16 客户端认证类型 选择“证书认证”，单击上传CA证书。 名称：ca-cert-client 内容： -----BEGIN CERTIFICATE----- od2VC7zXq7vmsVS5ZuyzeZA9CG+kzHsznZnmMjK+L9ddtRrLolRKIlE7VgWSVvn NCnGre6nQErWV688fsKJFIJ7xEBpt+S10zNuuk42OA36RsSauJWtLtebvhTav5df -----END CERTIFICATE-----