SSL VPN网关(Secure Session Layer安全会话层）是一种安全加密的网络连接产品，方便用户通过客户端加载证书的方式访问部署在百度智能云VPC中的应用及服务。

对比IPsec VPN配置相对简单及适用场景更多，如多个用户终端对云上的一个SSL VPN服务端进行访问，适用于出差、移动办公等场景下多人访问部署在百度智能云的ERP、OA、CRM等公司内部系统及云上应用服务。

说明：

• 百度智能云SSL VPN网关仅提供访问VPC中部署的应用及服务，不提供访问互联网的功能。
• SSL VPN网关分普通型和增强型，两款均支持SSL 连接数范围为5-1000。 推荐：SSL连接数200以上，建议使用SSL VPN网关增强型。
• UDP端口1194不允许限制。
• SSL VPN网关不支持NAT，请用户合理规划网段，避免IP地址冲突。
• SSL VPN服务端的客户端网络不支持网段新增，建议：VPN客户端网段配置IP个数至少是SSL连接数的4倍。

配额：

• 1个SSL VPN网关只能创建1个SSL VPN服务端
• 1个SSL VPN服务端用户最大可创建50个用户，如果您需要创建更多用户，可以提交工单申请。

基本概念

操作流程

SSL VPN网关 实例可以在控制台实现全自助配置，您需要完成以下几步才能实现使 VPN 连接生效：

创建SSL VPN网关

在私有网络VPC控制台左侧导航栏选择VPN网关，选择SSL VPN网关页，点击“+创建SSL VPN网关”

创建SSL VPN服务端

点击SSL VPN网关实例ID前面的折叠按钮，进入“+创建SSL VPN服务端”。

用户管理配置

点击SSL VPN服务端--操作--“用户管理”，跳转到SSL VPN服务端的“用户管理”配置界面，用户管理员可在此界面创建、修改、删除SSL VPN客户端的用户名、密码等信息。

证书管理及证书制作

1、用户点击SSL VPN服务端列表页，此时出现“证书管理”，用户点击证书管理，并复制保存到本地，文件为xxx.ovpn.

2、修改xxx.ovpn内的 remote IP,为用户购买百度智能云的EIP，并添加以下信息到xxx.ovpn中。以Windows PC端为例：

client
dev tun
proto udp
remote xxx.xxx.xxx.xxx 1194 # xxx.xxx.xxx.xxx 为用户绑定SSL VPN服务端的公网IP。

cipher AES-256-CBC
auth SHA512
auth-nocache
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256

resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
verb 3
auth-user-pass
comp-lzo

# 分割线中内容待用户从百度智能云控制台复制 
<ca> 
-----BEGIN CERTIFICATE-----    
-----END CERTIFICATE-----
</ca>   

3、ovpn的文件导入到用户客户端的配置文件，然后输入服务端分配的用户名及密码，进行连接。

配置云端路由表

1. 导航栏选择“路由表”，在路由表列表中，点击“添加路由”。

2. 输入与访问用户侧网络所关联的路由表。

   • 源网段
   • 输入目标网段
   • 路由类型，选择“VPN网关”
   • 下一跳实例，选择已创建并可用的 VPN 网关
3. 点击“确定”，完成路由表配置。

测试可用性

以Windows系统电脑为客户端测试

1、测试参数如下

2、用户电脑生成TAP口，虚拟网卡.

3、从本地电脑ping VPC中云主机IP: