阿里云三要素认证 阿里云VPN网关连接教程

别再对着控制台发呆了：阿里云VPN网关，真·三步走通

朋友，你是不是也经历过——点开阿里云VPN网关控制台，页面密密麻麻全是「本端子网」「远端子网」「IKE版本」「预共享密钥」「DPD超时」……瞬间感觉不是在配网络，是在考网络工程师执照？别慌。这篇教程不讲RFC文档，不背参数口诀，只干一件事：让你在晚饭前，把家里电脑连上公司VPC里的测试数据库。

第一步：先画张‘草图’，比乱点按钮重要十倍

别急着点「创建VPN网关」！先掏出一张纸（或备忘录），画两栏：

• 左边写你的VPC：比如VPC ID是 vpc-xxxxxx，网段是 172.16.0.0/16；子网选杭州可用区H的 172.16.10.0/24（记住，这个子网要专门给VPN网关用，别和ECS挤一起）；
• 右边写你的本地环境：家用宽带路由器WAN口IP（动态？别怕，我们用域名或DDNS）；LAN侧网段是 192.168.3.0/24；如果用Windows自带VPN客户端，它默认会分配 192.168.137.0/24 ——这点后面会救命。

⚠️ 踩坑预警：VPC网段和本地网段绝对不能重叠！见过最惨案例：公司VPC用 192.168.1.0/24，员工家路由器也用 192.168.1.0/24，连通后所有流量黑洞——因为路由表根本分不清“这个192.168.1.100到底是家里的打印机还是VPC里的Redis”。改！立刻改！哪怕改成 192.168.123.0/24 都行。

第二步：创建VPN网关——不是‘买’，是‘申请一个带锁的快递柜’

进阿里云控制台 → 专有网络VPC → VPN网关 →「创建VPN网关」。这里就仨关键选项：

• 规格：新手选「基础型」足够（5Mbps，够你查日志、连跳板机）；别被「企业型」唬住，那玩意儿是给千人团队跑ERP的；
• 所属VPC和交换机：必须选你刚才画图里那个专用子网（比如 172.16.10.0/24）；注意：交换机要选「已有交换机」，别手滑点「新建」——新建的交换机可能没开通SNAT，导致VPN网关自己都上不了网；
• 名称：建议叫 vpn-gw-office-to-home，三个月后你翻记录时会感谢自己。

点击创建，等1-2分钟。状态变「运行中」后，记下它分配的「公网IP」（比如 47.98.xxx.xxx）——这地址就是你家路由器要拨号的「门牌号」。

第三步：注册‘用户网关’——其实就是告诉阿里云：我家路由器叫啥、住哪

在VPN网关列表页，点刚建好的网关 → 左侧菜单「用户网关」→ 「创建用户网关」。

• 名称：比如 home-router-dlink（写具体型号，避免以后混淆）；
• 公网IP：填你家路由器的公网IP。如果你是动态IP（绝大多数家庭宽带），这里填个占位符如 1.1.1.1，但务必在下一步「IPsec连接」里勾选「启用NAT穿越（NAT-T）」——这是动态IP能活下来的唯一稻草；
• 路由模式：选「静态路由」（简单！可控！）；BGP？那是给IDC机房准备的，你家猫主子都不需要BGP。

创建完，用户网关列表里会出现它。现在，你手里有两把钥匙：阿里云的VPN网关（锁在云端），你家的用户网关（锁在门口）——接下来，把它们焊死。

第四步：建立IPsec连接——填空题来了，答案全在下面

回到VPN网关详情页 → 「IPsec连接」→ 「创建IPsec连接」。这才是核心战场，但别怕，我们拆成填空题：

• 连接名称：比如 to-home-2024；
• 用户网关：选你刚建的 home-router-dlink；
• 本端子网：填你VPC里要暴露给家里的网段，比如 172.16.10.0/24,172.16.20.0/24（多个用英文逗号隔开）；
• 远端子网：填你家LAN网段，比如 192.168.3.0/24；
• IKE配置：
  　　• IKE版本：v1（兼容性之王，v2虽新但某些老路由器不认）；
  　　• 认证算法：SHA-256（别选MD5，早该退休了）；
  　　• 加密算法：AES-128-CBC；
  　　• DH组：Group 14（2048位，平衡安全与速度）；
  　　• SA生命周期：86400秒（24小时，省心）；
• IPsec配置：
  　　• 封装模式：隧道模式（必须）；
  　　• 认证算法：SHA-256；
  　　• 加密算法：AES-128-CBC；
  　　• PFS：DH Group 14（开启！防密钥泄露）；
  　　• SA生命周期：3600秒（1小时，够稳）；
• 预共享密钥（PSK）：生成一串32位随机字符，比如 U7x#kL9!mQ2@vR8$pT5&wY1*zN4%cJ6——复制到小本本，待会儿要输进路由器！

点创建。状态变成「已启用」后，去路由器后台填同一套参数（重点核对PSK、本端/远端子网、DH组）。不同品牌界面差异大，但必填项就这五个：服务器地址（阿里云VPN网关公网IP）、PSK、本地子网、远程子网、加密套件。

第五步：连不上？别重启，先做三件事

如果Windows提示「错误789」或路由器显示「Phase 1 failed」，别急着砸路由器。按顺序查：

1. 看安全组：VPN网关绑定的安全组，必须放行UDP 500（IKE）和UDP 4500（NAT-T）端口，源地址填 0.0.0.0/0（别信什么‘只放行本地IP’，动态IP根本没法预设）；
2. 看路由表：VPC路由表里，有没有一条指向VPN网关的路由？目标网段填你家的 192.168.3.0/24，下一跳选你创建的VPN网关实例；
3. 看本地路由：Windows里执行 route print，确认有没有新增一条指向VPC网段（如 172.16.0.0）的路由，网关是 192.168.137.1（微软虚拟网卡默认网关）。没有？手动加：route add 172.16.0.0 mask 255.255.0.0 192.168.137.1。

阿里云三要素认证 最后绝招：在VPC内起一台ECS，用 tcpdump -i any port 500 or port 4500 抓包。如果完全没数据进来，一定是防火墙或NAT问题；如果收到包但没回包，大概率是PSK或加密套件不匹配——此时，请拿出小本本，逐字核对。

附：日常维护小抄

• 换路由器？只需重新配置IPsec参数，用户网关和VPN网关不用动；
• 想加第二个地点（比如办公室）？再建一个用户网关 + 一个IPsec连接，VPC路由表自动多一条路由；
• 费用怎么算？VPN网关按小时计费（基础型约0.2元/小时），流量免费；公网带宽另算（建议单独买1Mbps按量付费，够用）；
• 替代方案？如果只是临时查库，SFTP+SSH隧道更轻量；如果全员远程，建议升级到阿里云「智能接入网关SAG」，支持APP一键连，但成本翻倍。

好了，合上电脑前，试着ping一下VPC里那台ECS的内网IP。如果听到清脆的「滴」声——恭喜，你刚刚亲手点亮了一条穿越公有云的私密隧道。而这条隧道的名字，就叫：不求人。