IBM Cloud Docs
客户端到站点 VPN 服务器常见问题

客户端到站点 VPN 服务器常见问题

使用 IBM Cloud® VPN for VPC时,可能会迂到这些常见问题。

VPN 运行状况状态指示什么?

状态描述如下所示:

  • Healthy-指示 VPN 服务器正常运行。
  • Degraded-指示 VPN 服务器已损害性能,容量或连接。
  • Faulted-指示 VPN 服务器完全不可访问且不可操作。
  • Inapplicable-指示由于当前生命周期状态,运行状况状态不适用。 生命周期状态为 faileddeleting 的资源将具有不适用的运行状态。 Pending 资源也可能具有此状态。

为什么我无法在 VPN 客户端中保存密码/验证码?

IBM IAM 生成的验证码是基于时间的一次性验证码 (TOTP),无法复用。 每次都必须重新生成该值。

如果使用已连接的 VPN 客户端更新 VPN 服务器,那么 VPN 客户端会发生什么情况?

VPN 客户端与 VPN 服务器断开连接。 所有 VPN 客户端都需要重新与 VPN 服务器连接。 使用用户标识和验证码认证时,必须检索验证码并从 VPN 客户端启动连接。

为什么要断开 VPN 客户端的连接?

VPN 服务器管理员可以指定 VPN 客户端的空闲时间。 在空闲时间窗口内没有来自 VPN 客户端的流量时,VPN 服务器会自动断开该客户端的连接。 如果 VPN 会话已断开连接,那么必须从 VPN 客户端重新启动该 VPN 会话。

如果删除具有已连接 VPN 客户端的 VPN 服务器,那么 VPN 客户端会发生什么情况?

VPN 客户端与 VPN 服务器断开连接。

如果我试图删除 VPN 服务器所在的子网,VPN 服务器会发生什么情况?

如果存在任何 VPN 服务器,那么无法删除子网。

如何更新 VPN 服务器连接到的安全组?

  1. 在导航窗格中,单击 VPN> 客户机到站点服务器,然后选择要更新的 VPN 服务器。
  2. 单击 附加的安全组> 附加,然后选择要附加的安全组。

我能否创建路由并将 VPN 服务器的专用 IP 用作下一个中继段?

否,无法创建路由并使用专用 IP。 专用 IP 不是静态的,可以随时更改。 VPN for VPC 服务会自动更新 VPC 路由表中的路由。 如果您创建 VPC 路由表,并且希望 VPN for VPC 服务将路由注入到新的路由表中,那么必须将 VPN 服务器添加到 accept routes from 标志。 如果不希望 VPN 服务器将路由插入到路由表中,那么还必须从 accept routes from 标志中除去 VPN 服务器。 有关更多信息,请参阅 配置 VPN 服务器的路由传播

如果尝试删除 VPN 服务器所连接的安全组,那么 VPN 服务器会发生什么情况?

如果存在任何 VPN 服务器,那么无法删除安全组。

如何将客户端到站点 VPN 从完整隧道模式切换到分离隧道模式?

按照步骤操作:

  1. IBM Cloud 控制台中,单击导航菜单图标菜单图标 > 基础架构 VPC 图标 **> 网络 **> VPN
  2. 单击客户端到站点服务器,然后单击要更新的 VPN 服务器名称。
  3. 在 VPN 服务器详细信息中,单击“编辑”并在隧道模式菜单中选择“分离隧道”。
  4. 输入要通过 VPN 访问的网络的具体 IP 地址或地址范围。
  5. 单击保存

为什么必须在 VPN 服务器供应期间选择子网?

服务器驻留在您选择的 VPN 子网中。 VPN 服务器在每个子网中需要两个可用的专用 IP 地址,以提供高可用性和自动维护。 最好将专用子网用于大小为 8 的 VPN 服务器,其中子网前缀的长度小于或等于 29。 通过专用子网,您可以定制安全组和 ACL 以实现更大的 VPN 服务器灵活性。

VPN 服务器是否支持高可用性配置?

是,它支持主动/主动配置中的高可用性。 如果要部署具有两个故障域的高可用性 VPN 服务器,那么必须选择两个子网。 您还可以将独立 VPN 服务器升级到高可用性方式,并将高可用性 VPN 服务器降级到独立方式。

VPN 服务器的吞吐量是否有上限?

独立 VPN 服务器最多支持 600 Mbps 的聚集吞吐量。 高可用性 VPN 服务器最多支持 1200 Mbps 的聚集吞吐量。 单个客户机连接的吞吐量高达 150 Mbps (适用于独立和高可用性 VPN 服务器)。

我能否将 VPN 服务器用于 IBM Cloud 经典基础架构?

是的,您可以将 VPN 服务器用于 IBM Cloud 经典基础架构。 不过,您还必须在 VPC 上启用 Classic Access,或配置IBM Cloud Transit Gateway以连接 VPN 服务器所在的 VPC。

支持哪些 VPN 客户端?

请参阅 支持的客户机软件 以获取详细信息。

我可以对 VPN 服务器使用什么协议和端口?

您可以使用 UDP 或 TCP 以及任何端口号来运行 VPN 服务器。 建议使用 UDP,因为它提供了更好的性能; 建议使用端口 443,因为因特网服务提供者可能会阻止其他端口。 如果无法从 VPN 客户端连接到 VPN 服务器,那么可以尝试 TCP/443,因为它几乎在所有因特网服务提供商上都已打开。

我应该使用哪些路由操作?

VPN 路由的操作取决于路由目标:

  • 如果路由目标位于 VPC 或使用 VPN 网关连接的本地专用子网中,那么路由操作可以是 deliver; 否则,可以是 translate
  • 如果要阻止来自客户机的流量,请使用 drop 路由操作将不需要或不需要的网络流量转发到空或“黑洞”路由。
  • 当路由操作为 translate 时,源 IP 将在从 VPN 服务器发送之前转换为 VPN 服务器专用 IP。 这意味着您的 VPN 客户端 IP 在目标设备中不可见。

我应该使用哪些 DNS 服务器 IP 地址?

当您供应 VPN 服务器时,DNS 服务器 IP 地址是可选的。 如果要从客户机访问服务端点和 IaaS 端点,那么应使用 161.26.0.10161.26.0.11 IP 地址。 请参阅 服务端点IaaS 端点 以获取详细信息。

如果需要从客户机解析专用 DNS 名称,请使用 161.26.0.7161.26.0.8。 有关详细信息,请参阅 关于 DNS Services

如何更新 VPN 服务器的证书?

VPN 服务器不知道对 Secrets Manager中的证书进行的更新。 必须重新导入具有其他 CRN 的证书,然后使用新证书 CRN 更新 VPN 服务器。

我可以对 VPN 服务器使用定制主机名吗?

是的,可以。 必须创建 CNAME DNS 记录并将其指向 DNS 提供者中的 VPN 服务器主机名。 之后,通过将直接 remote 445df6c234345.us-south.vpn-server.appdomain.cloud 替换为 remote your-customized-hostname.com 来编辑客户机概要文件。

445df6c234345.us-south.vpn-server.appdomain.cloud 是一个示例 VPN 服务器主机名。

如果使用 IBM Cloud Internet Services 作为 DNS 提供商,请参阅 CNAME 类型记录,了解如何添加 CNAME DNS 记录。

如果需要帮助,我应该在 IBM 支持案例中提供哪些信息?

IBM 支持案例 中提供以下内容:

  1. 您的 VPN 服务器标识。

  2. VPN 客户端和操作系统版本。

  3. 来自 VPN 客户端的日志。

  4. 迂到问题时的时间范围。

  5. 如果使用基于用户标识的认证,请提供用户名。

  6. 如果使用基于证书的认证,请提供客户机证书的公共名称。

    要查看客户机证书的公共名称,请使用 subject 部分中的 OpenSSL 命令 openssl x509 -noout -text -in your_client_certificate_file

如何在 API 中使用 IAM 访问管理标记分配 VPN client 角色?

在客户机到站点 VPN 上使用访问管理标记来管理用户访问权并对 Client Authentication 启用 UserId and Passcode 方式时,必须使用访问标记附加 VPN Client 角色。 否则,VPN 客户端无法连接到 VPN 服务器。 有关更多信息,请参阅 使用 API 授予用户对支持 IAM 的标记资源的访问权,并将 role_id 设置为 crn:v1:bluemix:public:is::::serviceRole:VPNClient 以授予访问权。