Hubungkan client ke VPC menggunakan koneksi SSL-VPN - VPN Gateway

Anda dapat menggunakan koneksi SSL-VPN untuk mengakses sumber daya cloud pribadi secara aman melalui Internet. Sebagai contoh, dalam skenario kerja jarak jauh, client dapat menggunakan SSL-VPN untuk mengakses sumber daya pribadi seperti sistem OA atau server file secara aman. Topik ini menjelaskan cara menghubungkan client ke instans Elastic Compute Service (ECS) untuk memulai penggunaan SSL-VPN.

Catatan

Topik ini menyediakan petunjuk konfigurasi untuk client yang menjalankan Windows, Linux, Android, dan macOS. Untuk perangkat iOS, lihat Hubungkan perangkat iOS ke gateway VPN menggunakan perangkat lunak VPN bawaan.

Kasus penggunaan

Seperti yang ditunjukkan pada gambar berikut, asumsikan Anda telah men-deploy instans ECS di cloud dan ingin membuat koneksi pribadi antara client lokal Anda dan instans ECS tersebut. Untuk melakukannya, deploy dan konfigurasikan gateway SSL-VPN di VPC yang berisi instans ECS guna membuat koneksi antara client Anda dan VPC.

Sebelum memulai, rencanakan Blok CIDR jaringan dan alamat IP Anda. Contoh ini menggunakan paket jaringan berikut:

VPC:
- Wilayah: China (Hangzhou)
- Blok CIDR: 10.0.0.0/16
- vSwitch 1, berlokasi di Zona J, dengan Blok CIDR 10.0.0.0/24
- vSwitch 2, berlokasi di Zona K, dengan Blok CIDR 10.0.1.0/24
- ECS: Alamat IP adalah 10.0.0.1. Sistem operasi adalah Alibaba Cloud Linux 3.2104 LTS 64-bit.
Blok CIDR client: 192.168.0.0/16.
Setelah koneksi dibuat, gateway VPN akan mengalokasikan alamat IP dari Blok CIDR ini ke antarmuka jaringan virtual client. Blok CIDR ini tidak boleh tumpang tindih dengan Blok CIDR jaringan lokal client yang sudah ada.

Penting

Jika Anda merencanakan sumber daya sendiri, pastikan kondisi berikut terpenuhi:

Di wilayah tempat VPC mendukung multi-zona, VPC harus berisi vSwitch di minimal dua zona berbeda untuk high availability. Jika persyaratan ini belum terpenuhi, pertama-tama buat vSwitch.
Blok CIDR client yang direncanakan tidak boleh tumpang tindih dengan Blok CIDR vSwitch atau rute client lokal mana pun. Tumpang tindih Blok CIDR dapat menyebabkan konflik rute.

Langkah 1: Konfigurasikan gateway SSL-VPN

Pertama, deploy gateway SSL-VPN di VPC tempat Anda ingin menghubungkan client.

Buat gateway VPN

Login ke Konsol VPN Gateway. Pada halaman VPN Gateways, klik Create VPN Gateway.
Pada halaman pembelian VPN Gateway, konfigurasikan parameter berikut, pertahankan nilai default untuk parameter lainnya, lalu klik Buy Now dan selesaikan pembayaran.
Name: VPN Gateway 1.
Region: China (Hangzhou).
Gateway Type: Standard.
VPC: Pilih VPC tempat client akan terhubung.
VSwitch: vSwitch 1.
vSwitch 2: vSwitch 2.
Maximum Bandwidth: 10 Mbit/s.
Traffic: Secara default, VPN Gateway menggunakan model bayar-per-lalu-lintas. Untuk informasi selengkapnya, lihat penagihan SSL-VPN.
IPsec-VPN: Disabled.
SSL-VPN: Enabled.
SSL Connections: 5.
Duration: Secara default, VPN Gateway ditagih per jam.
Service-linked Role: Buat peran terkait layanan. (Jika parameter ini menampilkan Created, peran tersebut telah dibuat untuk akun Anda.)
Kembali ke Konsol VPN Gateway. Anda dapat melihat gateway VPN yang telah Anda buat.
Gateway VPN baru berada dalam status Preparing. Setelah sekitar 1 hingga 5 menit, status berubah menjadi Active. Status Active menunjukkan bahwa gateway VPN telah diinisialisasi dan siap digunakan.

Buat server SSL

Server SSL mengontrol jaringan dan sumber daya mana yang dapat diakses oleh client.

Pada panel navigasi kiri, pilih Interconnections > VPN > SSL Servers. Pada bilah menu atas, pilih wilayah China (Hangzhou). Pada halaman SSL Server, klik Create SSL Server.

Pada panel Create SSL Server, konfigurasikan parameter berikut, pertahankan nilai default untuk parameter lainnya, lalu klik OK.

Name: SSL Server 1

VPN Gateway: Pilih VPN Gateway 1 yang Anda buat pada langkah sebelumnya.

Local Network: Masukkan Blok CIDR VPC 10.0.0.0/16.

Client CIDR Block: Masukkan 192.168.0.0/16.

Catatan

Local Network: Blok CIDR tujuan yang diakses client melalui koneksi SSL-VPN.

Client CIDR Block: Blok CIDR tempat alamat IP dialokasikan ke antarmuka jaringan virtual client. Blok CIDR ini tidak boleh tumpang tindih dengan Blok CIDR jaringan lokal client yang sudah ada.

Buat client SSL dan unduh sertifikat

Client SSL mengelola sertifikat client. Setiap client memerlukan sertifikat unik yang menyediakan autentikasi client dan enkripsi data. Anda harus mengunduh sertifikat tersebut lalu mengimpornya ke client Anda.

Pada panel navigasi kiri, pilih Interconnections > VPN > SSL Clients. Pada bilah menu atas, pastikan wilayahnya adalah China (Hangzhou). Pada halaman SSL Client, klik Create SSL Client.
Pada panel Create SSL Client, masukkan SSL Client 1 untuk Name, pilih SSL Server 1 untuk SSL Server, lalu klik OK.
Pada halaman SSL Client, temukan client SSL yang telah Anda buat dan klik Download Certificate pada kolom Actions.

Langkah 2: Konfigurasikan client

Pilih metode konfigurasi yang sesuai dengan sistem operasi client Anda.

Klien Windows

Unduh client OpenVPN untuk versi Windows Anda dan ikuti petunjuk di layar untuk menyelesaikan instalasi:
- Sistem Windows 64-bit (Intel/AMD): Client OpenVPN (Windows 64-bit).
- Sistem Windows ARM64: Client OpenVPN (Windows ARM64).
Jika halaman web gagal dibuka, hubungi account manager Anda atau engineer dukungan Alibaba Cloud.
Ekstrak paket sertifikat client SSL yang diunduh dan salin semua file hasil ekstraksi ke direktori konfigurasi OpenVPN.
- Jalur default: C:\Program Files\OpenVPN\config
- Catatan: Jika Anda mengubah jalur instalasi, salin file ke folder config di direktori instalasi aktual Anda.
Buka file config.ovpn dengan editor teks dan tambahkan baris berikut di akhir file: disable-dco.
Fitur Data Channel Offload (DCO) yang diperkenalkan di OpenVPN 2.6 memiliki masalah kompatibilitas pada beberapa sistem Windows, seperti versi tertentu Windows 10/11. Konfigurasi ini menonaktifkan DCO untuk mengatasi masalah koneksi pada beberapa perangkat.
Klik kanan ikon OpenVPN di system tray di pojok kanan bawah desktop Anda, lalu klik Connect.
Koneksi berhasil jika statusnya Connected dan alamat IP telah dialokasikan.

Client Linux

Jalankan perintah berikut untuk menginstal client OpenVPN dan membuat direktori conf.

CentOS

yum install -y openvpn
mkdir -p /etc/openvpn/conf

Ubuntu

apt-get update
apt-get install -y openvpn
mkdir -p /etc/openvpn/conf

Ekstrak paket sertifikat client SSL yang diunduh dan salin file ke direktori /etc/openvpn/conf/.
Masuk ke direktori /etc/openvpn/conf/ dan jalankan perintah berikut untuk membuat koneksi VPN.
```
openvpn --config /etc/openvpn/conf/config.ovpn --daemon
```

Client Android

Unduh dan instal client OpenVPN untuk Android.Jika halaman web gagal dibuka, hubungi account manager Anda atau engineer dukungan Alibaba Cloud.
Contoh ini menggunakan perangkat Android 9.0 dengan client OpenVPN v3.0.5.
Transfer paket sertifikat client SSL yang diunduh ke perangkat Android dan ekstrak.
Catatan
- Jika perangkat Android Anda tidak memiliki utilitas ekstraksi, Anda dapat mengekstrak paket sertifikat di komputer lalu mentransfer file hasil ekstraksi ke perangkat Android Anda.
- Pastikan semua file hasil ekstraksi berada dalam folder yang sama, seperti yang ditunjukkan pada gambar berikut.

Buka client OpenVPN, impor file config.ovpn, dan tambahkan koneksi VPN.

导入config文件

Langkah	Deskripsi
①	Pilih metode koneksi OVPN Profile.
②	Temukan file `config.ovpn` di direktori penyimpanan.
③	Ketuk IMPORT untuk mengimpor file `config.ovpn`.
④	Sistem secara otomatis membaca informasi dari file `config.ovpn` dan menampilkan alamat IP publik gateway VPN. Ketuk ADD untuk menambahkan koneksi VPN.

Ketuk tombol toggle untuk mengaktifkan koneksi VPN.

Client macOS (GUI)

Buka halaman Tunnelblick Releases, temukan versi Tunnelblick 4.0.1 (build 5971), lalu unduh file .dmg dari panel Assets.Jika halaman web gagal dibuka, hubungi account manager Anda atau engineer dukungan Alibaba Cloud.
Instal perangkat lunak Tunnelblick.
Langkah
Deskripsi
①
Klik ganda paket instalasi Tunnelblick yang diunduh.
②
Klik ganda ikon Tunnelblick.
③
Pilih I have configuration files.
④
Klik OK.
Untuk membuat koneksi VPN, pertama ekstrak paket sertifikat client SSL yang diunduh. Lalu, seret file config.ovpn hasil ekstraksi ke panel Configurations.

Langkah	Deskripsi
①	Klik ikon Tunnelblick di Launchpad untuk membuka aplikasi Tunnelblick.
②	Seret file `config.ovpn` hasil ekstraksi ke panel Configurations.
③	Pilih Only Me.
④	Klik Connect.

Client macOS (CLI)

Buka aplikasi Terminal. Jika client Anda belum menginstal Homebrew, jalankan perintah berikut untuk menginstalnya.
Catatan
Skrip instalasi Homebrew berisi perintah sudo, yang akan meminta Anda memasukkan password administrator. Saat muncul prompt "Press RETURN/ENTER to continue...", tekan Enter untuk melanjutkan.
```
/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"
```
Jalankan perintah berikut untuk menginstal client OpenVPN.
```
brew install openvpn
```
Ekstrak paket sertifikat client SSL yang diunduh dan salin file ke direktori konfigurasi.
1. Backup direktori /opt/homebrew/etc/openvpn.
```
cp -r  /opt/homebrew/etc/openvpn /opt/homebrew/etc/openvpn_bak
```
2. Jalankan perintah berikut untuk menghapus file konfigurasi OpenVPN saat ini.
```
rm /opt/homebrew/etc/openvpn/*
```
3. Jalankan perintah berikut untuk menyalin paket sertifikat client SSL yang diunduh ke direktori konfigurasi.
```
cp /path/to/certs.zip /opt/homebrew/etc/openvpn/
```
  Catatan
  /path/to/certs.zip adalah jalur ke paket sertifikat client SSL yang Anda unduh. Biasanya, berada di direktori Downloads pengguna saat ini, misalnya /Users/example/Downloads/certs.zip.

Jalankan perintah berikut untuk mengekstrak paket sertifikat.

cd /opt/homebrew/etc/openvpn/
unzip /opt/homebrew/etc/openvpn/certs.zip

Pilih cara menjalankan client.
Jalankan di foreground
Jalankan perintah berikut untuk memulai proses client dan membuat koneksi VPN:
```
sudo /opt/homebrew/opt/openvpn/sbin/openvpn --config /opt/homebrew/etc/openvpn/config.ovpn
```
Setelah menjalankan perintah ini, proses tetap berada di foreground. Untuk memutus koneksi, tekan Ctrl+C untuk menghentikan tugas.
Jalankan di background
Untuk menjalankan client VPN sebagai layanan background yang otomatis dimulai saat boot, jalankan perintah berikut:
```
cp config.ovpn openvpn.conf
sudo brew services start openvpn
```
Untuk menghentikan layanan, jalankan perintah berikut:
```
sudo brew services stop  openvpn
```

Langkah 3: Uji koneksi

Penting

Sebelum menguji, pastikan aturan grup keamanan untuk instans ECS mengizinkan traffic ICMP. Untuk informasi selengkapnya, lihat Lihat aturan grup keamanan dan Tambahkan aturan grup keamanan.

Pada client Anda, ping alamat IP instans ECS:

ping 10.0.0.1

Tanggapan menunjukkan koneksi berhasil.

Jika client Anda berjalan di Android, ikuti langkah-langkah berikut untuk memverifikasi konektivitas:

Instal Nginx pada instans ECS. Perintah berikut menggunakan contoh instans ECS dengan Alibaba Cloud Linux 3.2104 LTS 64-bit:
```
yum install -y nginx
systemctl start nginx.service
```
Izinkan traffic pada Port TCP 80 di grup keamanan instans ECS. Untuk informasi selengkapnya, lihat Lihat aturan grup keamanan dan Tambahkan aturan grup keamanan.
Pada perangkat Anda, buka browser web dan masukkan alamat IP pribadi instans ECS, 10.0.0.1, di bilah alamat. Mengakses halaman selamat datang Nginx menunjukkan koneksi berhasil.

FAQ

Untuk pertanyaan lainnya, lihat FAQ tentang koneksi SSL-VPN.

Bagaimana cara memecahkan masalah koneksi SSL-VPN yang gagal dari client saya?

Verifikasi bahwa perangkat Anda memiliki koneksi Internet yang stabil.
Jika koneksi Internet berfungsi, masalah kemungkinan besar terkait dengan konfigurasi sertifikat client.

Mengapa saya tidak bisa ping instans ECS setelah membuat koneksi SSL-VPN?

Hal ini biasanya berarti traffic ICMP (yang digunakan oleh perintah ping) diblokir oleh firewall. Penyebab paling umum adalah grup keamanan yang terkait dengan instans ECS Anda. Untuk mengatasinya, tambahkan aturan inbound ke grup keamanan yang mengizinkan traffic ICMP dari Blok CIDR client Anda. Untuk petunjuk detail, lihat Kueri aturan grup keamanan dan Tambahkan aturan grup keamanan.

Bagaimana cara memecahkan masalah ketidakmampuan mengakses port tertentu pada instans ECS saya, meskipun saya bisa ping?

Pastikan port layanan pada instans ECS berada dalam status listening. Contoh berikut menunjukkan cara memeriksa Port 80 pada instans Linux:
Pastikan firewall pada sistem operasi instans ECS mengizinkan traffic ke port tersebut. Contoh berikut menunjukkan cara mengizinkan traffic ke Port 80 di iptables:
```
iptables -I INPUT -p 80 -j ACCEPT
```
Pastikan grup keamanan yang terkait dengan instans ECS mengizinkan traffic ke port tersebut. Untuk informasi selengkapnya, lihat Kueri aturan grup keamanan dan Tambahkan aturan grup keamanan.

Mengapa instans ECS saya tidak bisa ping client saya, meskipun client bisa ping ECS?

Masalah ini biasanya terjadi karena firewall sistem operasi client memblokir permintaan ping. Anda dapat mengizinkan permintaan tersebut di pengaturan firewall client.

Bagaimana cara memutus session OpenVPN dari command line di Linux atau macOS?

Buka command line, jalankan perintah berikut untuk mencari proses OpenVPN, lalu catat ID prosesnya.
```
ps aux | grep openvpn
```
Jalankan perintah berikut untuk menghentikan proses OpenVPN.
```
kill -9 <process ID>
```

Apa cara yang benar untuk menghubungkan ke SSL-VPN di Mac dengan chip Apple Silicon (M1)?

Gunakan client macOS (GUI) untuk membuat koneksi VPN.

Bagaimana cara mengonfigurasi OpenVPN agar otomatis dimulai saat boot sistem di Linux?

Edit file /etc/rc.local dan tambahkan perintah.

# Buka file /etc/rc.local dalam mode edit.
vim /etc/rc.local 
# Tekan tombol i untuk memasuki mode edit, lalu tambahkan perintah berikut ke file /etc/rc.local.
cd /etc/openvpn/conf/
openvpn --config /etc/openvpn/conf/config.ovpn --daemon
# Tekan tombol Esc untuk keluar dari mode edit, lalu masukkan perintah berikut untuk menyimpan file dan keluar.
:wq

Berikan izin execute pada file /etc/rc.local.
```
chmod +x /etc/rc.local
```

Langkah	Deskripsi
①	Klik ganda paket instalasi Tunnelblick yang diunduh.
②	Klik ganda ikon Tunnelblick.
③	Pilih I have configuration files.
④	Klik OK.