正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
创建成功后云为该IPsec VPN分配一个公网出口IP地址。该地址为VPN页面中,已创建的VPN的本端网关地址。在您自己数据中心配置对端隧道时,远端网关需要配置为该IP地址。 因为隧道的对称性,还需要在您自己数据中心的路由器或者防火墙上进行IPsec VPN隧道配置。 父主题: 经典版VPN购买流程
网关主EIP2所在的VPN连接。 ip address:AR路由器的Tunnel接口地址。 source:AR路由器的公网地址。 destination:VPN网关的主EIP、主EIP2。 配置NQA。 [AR651]nqa test-instance IPsec_nqa1 IPsec_nqa1
VPN连接参数说明配置的IPsec策略保持一致。 说明: NAT穿越功能必须配置为开启。 加密算法:AES-128 认证算法:SHA2-256 DH分组:Group 14 SA生存周期:3600 DPD:开启 NAT穿越:开启 认证算法 DH分组 SA生存周期 DPD NAT穿越 健康检查
功能说明:监控类型。 取值范围:gateway。 source_ip String VPN连接监控的源地址。 destination_ip String VPN连接监控的目的地址。 proto_type String 功能说明:nqa使用的协议类型。 取值范围:icmp。 响应样例
VPN网关IP是一组提前规划好的地址组,提前预置了VPN的相关配置。 在用户创建VPN网关时,系统会随机分配一个IP地址和VPC进行绑定,且这个IP地址也只能绑定1个VPC。 因为VPN的网关IP存在预置数据,在创建VPN网关时也不能指定IP地址。删除VPN网关时会释放IP地址与VPC的绑定关系
操作列的“配置服务端”,也可以单击目标VPN网关名称进入详情页配置服务端。 根据界面提示配置参数,单击“确定”。 服务端配置参数请参见表1。 表1 服务端参数说明 区域 参数 说明 取值样例 基本信息 本端网段 本端网段是客户端通过终端入云VPN网关访问的目标网络的地址段。本端网
ICMP响应请求。 VPN网关会自动对对端接口地址进行NQA探测,要求对端接口地址在对端网关上已配置。 勾选“使能NQA” 预共享密钥、确认密钥 和对端网关连接的预共享密钥需要保持一致。 请根据实际设置 策略配置 和防火墙的策略配置需要保持一致。 IKE策略 版本:v2 认证算法:SHA2-256
VPN建立后您的数据中心或局域网无法访问弹性云服务器? 我们提供的安全组默认不允许任何源访问,请确认您的安全组是否配置允许远端的子网地址访问。 父主题: 连接故障或无法PING通
Address 1.1.1.1 配置VPN连接。 本场景下,对端网关仅支持单IP地址方案,华为云VPN网关推荐使用双活模式,主EIP、主EIP2分别和该IP地址创建一条VPN连接。 选择“虚拟专用网络 > 企业版-VPN连接”,单击“创建VPN连接”。 根据界面提示配置参数。 VPN连接参数说明如表3所示。
VPN建立后您的数据中心或局域网无法访问弹性云服务器? 我们提供的安全组默认不允许任何源访问,请确认您的安全组是否配置允许远端的子网地址访问。 父主题: 连接故障或无法PING通
Address 1.1.1.1 配置VPN连接。 本场景下,对端网关仅支持单IP地址方案,华为云VPN网关推荐使用双活模式,主EIP、主EIP2分别和该IP地址创建一条VPN连接。 选择“虚拟专用网络 > 企业版-VPN连接”,单击“创建VPN连接”。 根据界面提示配置参数。 VPN连接参数说明如表
ec策略建议和第一条VPN连接配置保持一致。 5 步骤五:配置对端网关设备 对端网关配置的本端隧道接口地址/对端隧道接口地址需要和华为云VPN连接配置互为镜像配置。 对端网关配置的路由模式、预共享密钥、IKE/IPsec策略需要和华为云VPN连接配置保持一致。 6 步骤六:验证网络互通情况
支持“手动分配”和“自动分配”两种方式。 手动分配 本端隧道接口地址 配置在VPN网关上的tunnel接口地址。 说明: 对端网关需要对此处的本端隧道接口地址/对端隧道接口地址做镜像配置。 169.254.71.2/30 对端隧道接口地址 配置在用户侧设备上的tunnel接口地址。 169.254.71.1/30
功能开启前,请确认对端网关支持ICMP功能,且对端接口地址已在对端网关上正确配置,否则会导致VPN流量不通。 不支持 本端隧道接口地址 配置在VPN网关上的tunnel接口地址。 不支持 对端隧道接口地址 配置在对端网关上的tunnel接口地址,该接口地址需要和对端网关实际配置的tunnel接口地址保持一致。 不支持
改策略配置”,查看该VPN连接对应的IKE策略和IPsec策略详情。 检查云上VPN连接中的IKE策略和IPsec策略中的协商模式和加密算法是否与远端配置一致。 如果第一阶段IKE SA已经建立,第二阶段IPsec SA未建立,常见情况为IPsec策略与数据中心远端的配置不一致。
改策略配置”,查看该VPN连接对应的IKE策略和IPsec策略详情。 检查云上VPN连接中的IKE策略和IPsec策略中的协商模式和加密算法是否与远端配置一致。 如果第一阶段IKE SA已经建立,第二阶段IPsec SA未建立,常见情况为IPsec策略与数据中心远端的配置不一致。
功能说明:监控类型。 取值范围:gateway。 source_ip String VPN连接监控的源地址。 destination_ip String VPN连接监控的目的地址。 proto_type String 功能说明:nqa使用的协议类型。 取值范围:icmp。 响应样例
0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 配置完成后检查VPN是否连接,ping测试两端内网是否正常。
改策略配置”,查看该VPN连接对应的IKE策略和IPsec策略详情。 检查云上VPN连接中的IKE策略和IPsec策略中的协商模式和加密算法是否与远端配置一致。 如果第一阶段IKE SA已经建立,第二阶段IPsec SA未建立,常见情况为IPsec策略与数据中心远端的配置不一致。
0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 配置完成后检查VPN是否连接,ping测试两端内网是否正常。