华为云首页用户手册

虚拟专用网络 VPN-示例：使用TheGreenBow IPsec VPN Client配置云上云下互通:配置步骤

时间：2024-10-11 16:40:20

虚拟专用网络 VPN

配置步骤

场景一：桌面云+VPC场景的客户端配置

全局参数配置
 修改IKE和IPsec的默认生存时间（非关键配置步骤，选配），建议不勾选断线侦测。

图5 全局参数配置
IKE第一阶段配置
 右键单击“VPN配置”，选择“新建第一阶段”，本实例中使用客户端软件已有的第一阶段进行配置，配置信息请参见图6。

图6 IKE第一阶段配置
- 接口：选择本地用于VPN连接的网卡接口。
- 远端网关：VPC云端购买的VPN网关。
- 预共享密钥：与华为云端配置一致【huawei@123】。
- IKE：与华为云端一致。加密【AES128】、验证【SHA-1】、密钥组【DH5(1536)】。
- 第一阶段高级信息按缺省配置，证书无需配置。
- 若高级信息中配置本端和远端ID，推荐选择IP。
  - 可选配置【本端ID】：IP地址10.119.156.78 //选择本端建立VPN的连接地址
  - 可选配置【远端ID】：IP地址10.154.71.9 //选择远端建立VPN的网关IP
IKE阶段高级配置信息请参见图7。

图7 高级配置信息
IPsec第二阶段配置
右键单击“第一阶段”，选择“新建第二阶段”，本实例中使用客户端软件已有的第二阶段进行配置，配置信息请参见图8。
图8 IPsec第二阶段配置
- VPN客户端地址：10.119.156.78 //选择安装客户端桌面云的真实IP
- 地址类型：子网地址
- 远端LAN地址：192.168.11.0 //VPC侧的子网
- 子网掩码：255.255.255.0 //VPC侧的子网掩码
- ESP：与华为云端配置一致。加密【AES128】、验证【SHA-1】、模式【隧道】。
- PSF：与华为云端配置一致。勾选PFS、群组【DH5(1536)】。
- 高级和脚本保持默认配置即可。
- Remote Sharing配置需要将VPC云端的E CS 主机IP进行添加。
图9 Remote Sharing配置

所有配置完成后请单击“保存”，后续修改配置信息请先保存再发起连接，否则更改配置信息不生效，建立连接在第二阶段页签点击右键，选择“开启隧道”，在调试过程中若修改过配置参数，请在保存后选择“工具＞重置IKE”，待IKE重置后再重新开启隧道。

场景二：VPC+VPC场景的客户端配置

全局参数配置
 修改IKE和IPsec的默认生存时间（非关键配置步骤，选配），建议不勾选断线侦测。

图10 全局参数配置2
IKE第一阶段配置
 右键单击“VPN配置”，选择“新建第一阶段”，本实例中使用客户端软件已有的第一阶段进行配置，配置信息请参见图11。

图11 IKE第一阶段配置2
- 接口：选择本地用于VPN连接的网卡接口。
- 远端网关：VPC云端购买的VPN网关。
- 预共享密钥：与华为云端配置一致【huawei@123】。
- IKE：与华为云端一致。加密【AES128】、验证【SHA-1】、密钥组【DH5(1536)】。
- 第一阶段高级信息按缺省配置，证书无需配置。
- 在高级信息中配置本端和远端ID，推荐选择IP； //此配置区别于桌面云
  - 必选配置【本端ID】：IP地址122.112.215.214 //选择本端建立VPN连接EIP
  - 必选配置【远端ID】：IP地址117.78.30.55 //选择远端建立VPN的网关IP
IKE阶段高级配置信息请参见图12。

图12 IKE阶段高级配置信息2
IPsec第二阶段配置
 右键单击“第一阶段”，选择“新建第二阶段”，本实例中使用客户端软件已有的第二阶段进行配置，配置信息请参见图13。

图13 IPsec第二阶段配置
- VPN客户端地址：192.168.222.225 //选择安装客户端虚拟机的真实IP
- 地址类型：子网地址
- 远端LAN地址：192.168.111.0 //VPC侧的子网
- 子网掩码：255.255.255.0 //VPC侧的子网掩码
- ESP：与华为云端配置一致。加密【AES128】、验证【SHA-1】、模式【隧道】。
- PSF：与华为云端配置一致。勾选PFS、群组【DH5(1536)】。
- 高级和脚本保持默认配置即可。
- 远程分享配置需要将VPC云端的ECS主机IP进行添加。
图14 远程分享配置

所有配置完成后请单击“保存”，后续修改配置信息请先保存再发起连接，否则更改配置信息不生效，建立连接在第二阶段页签点击右键，选择“开启隧道”，在调试过程中若修改过配置参数，请在保存后选择“工具＞重置IKE”，IKE重置后再重新开启隧道。