检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
修改访问策略 场景描述 仅“客户端认证类型””选择“口令认证(本地)”,且已创建策略时可以配置。 操作须知 修改访问策略可能会导致网络中断,请谨慎操作。 操作步骤 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。 在页面左上角单击图标,选择“网络 > 虚拟专用网络VPN”。
DPD未得到对端响应而删除连接。 解决方法: 开启用户侧数据中心设备的DPD配置,测试两端的数据流均可触发连接建立; 在两端的主机中部署Ping shell脚本,也可在用户侧数据中心的子网的网关设备上配置保活数据,如NQA。 父主题: 连接故障或无法PING通
每服务端支持导入的客户端CA证书数量 10 不支持修改 每服务端支持添加的本端网段数量 20 修改协议、端口、认证算法、加密算法等,您需要重新下载客户端配置。 本端子网的全0配置,暂不开放支持。 本端网段的限制网段为0.0.0.0/8,224.0.0.0/4,240.0.0.0/4,127.0.0.0/8,不能与这些特殊网段重叠或冲突。
如果无法访问,请联系运营商排除网络问题。 登录华为云管理控制台。 找到对应的VPN网关,查看服务端的协议和端口与客户端配置文件中的信息是否一致。 如果不一致,请重新下载客户端配置文件或直接修改客户端配置文件中对应的信息,客户端使用新的配置重新接入。 父主题: 客户端连接失败
DPD未得到对端响应而删除连接。 解决方法: 开启用户侧数据中心设备的DPD配置,测试两端的数据流均可触发连接建立; 在两端的主机中部署Ping shell脚本,也可在用户侧数据中心的子网的网关设备上配置保活数据,如华为的NQA,或cisco的ip sla。 父主题: 连接故障或无法PING通
FullAccess(推荐使用) VPN服务的所有执行权限。 说明: 所有查询列表的action不支持企业项目授权,需要在IAM视图下单独配置。 全局服务的action和region级的action不能配置在同一策略,需要补充全局action: "tms:predefineTags:list" "scm:cert:list"
EIP能作为VPN的网关IP吗? 可以。 用户可以在创建VPN网关时绑定EIP作为网关IP。 父主题: 产品咨询
EIP能作为VPN的网关IP吗? 不可以。 VPN网关IP是在创建VPN网关时分配的,需要和系统内的相关配置信息结合使用,EIP不具备VPN对接服务的功能。 父主题: 产品咨询
创建VPN网关时IP是如何分配的? VPN网关IP是一组提前规划好的地址组,提前预置了VPN的相关配置。 在用户创建VPN网关时,系统会随机分配一个IP地址和VPC进行绑定,且这个IP地址也只能绑定1个VPC。 因为VPN的网关IP存在预置数据,所以VPN网关IP和EIP不能转换
访问VPC中部署的应用或服务,在使用终端入云VPN之前,需要创建VPN网关。 约束与限制 用户最多可创建50个VPN网关。 前提条件 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信
Windows:使用route print命令。 Linux:使用ip route show all命令。 在服务端配置的用户管理中,配置用户所属用户组,或者在用户组中配置对应访问策略。 查看服务端配置的本端网段和客户端地址池。 本端网段为192.168.1.XX。 客户端地址池为172.16.0.0。
创建VPN连接时如何关闭PFS? 云 请在VPN连接配置参数中,将IPsec策略中PFS的选项选择为Disable。云默认开启PFS。 用户数据中心对端网关 部分设备厂商默认关闭了PFS功能,请查询设备对应用户手册进行操作。 配置过程中,请确认云和对端网关侧PFS配置一致,否则会导致协商失败。 为了
请登录华为云管理控制台。 找到对应的VPN网关,查看网关的地址、服务端的端口和协议与客户端配置文件中的信息是否一致。 如果不一致,请重新下载客户端配置文件或直接修改客户端配置文件中对应的信息,客户端使用新的配置重新接入。 父主题: 客户端连接失败
”页签中导入正确的CA证书,并删除错误的CA证书,再使用客户端重新接入。 请检查配置文件中的证书和私钥是否正确。 如果配置文件中的证书和私钥不匹配,请重新复制客户端证书和私钥到客户端配置文件中,再使用客户端重新接入。 父主题: 客户端连接失败
EIP能作为VPN的网关IP吗? 不可以。 VPN网关IP是在创建VPN网关时分配的,需要和系统内的相关配置信息结合使用,EIP不具备VPN对接服务的功能。 父主题: 公网地址
虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网。 虚拟私有云VPC中ECS的安全组规则已经配置,并确保安全组规则允许数据中心的对端网关可以访问VPC资源。如何配置安全组规则,请参见安全组规则。 操作步骤 登录管理控制台。 在页面左上角单击图标,选择“网络 > 虚拟专用网络VPN”。
请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见安全组规则。 操作步骤 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。 在页面左上角单击图标,选择“网络
请检查导入的客户端CA证书是否正确。 如果配置文件中的证书和私钥与导入的客户端CA证书不匹配,请在VPN网关的服务端中导入正确的CA证书,并删除错误的CA证书,再使用客户端重新接入。 请检查配置文件中的证书和私钥是否正确。 如果配置文件中的证书和私钥不匹配,请重新复制客户端证书和私钥到客户端配置文件中,再使用客户端重新接入。
大多数的连接中断都是因为两端的配置信息错误造成的,或公网异常导致重协商失败造成的。 常见的连接中断原因有: 两端的ACL不匹配; SA生命周期不匹配; 用户侧数据中心未配置DPD; VPN使用过程中修改了配置信息; 运营商网络抖动。 因此请在配置VPN时确保操作和配置,以进行连接状态保活:
改策略配置”,查看该VPN连接对应的IKE策略和IPsec策略详情。 检查云上VPN连接中的IKE策略和IPsec策略中的协商模式和加密算法是否与远端配置一致。 如果第一阶段IKE SA已经建立,第二阶段IPsec SA未建立,常见情况为IPsec策略与数据中心远端的配置不一致。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
