All Products
Search

This Product

    VPN Gateway:Panduan Cepat Enhanced VPN Gateway

    Document Center

    VPN Gateway:Panduan Cepat Enhanced VPN Gateway

    Last Updated:Jun 22, 2026
    Penting

    • Enhanced VPN Gateway saat ini berada dalam tahap beta undangan saja. Untuk menggunakan fitur ini, hubungi manajer akun Alibaba Cloud Anda untuk meminta aktivasi layanan.

    • Untuk perbandingan mendetail antara gateway VPN Enhanced dan standar, lihat Perbandingan fitur.

    Anda dapat menggunakan perangkat lunak open-source strongSwan untuk dengan cepat membuat koneksi IPsec dengan Enhanced VPN Gateway dan mengaktifkan komunikasi privat antara IDC lokal Anda dan VPC.

    Skenario

    Sebuah perusahaan memiliki VPC di wilayah Malaysia (Kuala Lumpur) dan perlu menghubungkan VPC tersebut ke IDC lokal menggunakan Enhanced VPN Gateway dan strongSwan.

    Dalam skenario ini, IDC lokal memiliki satu alamat IP egress publik dan menggunakan koneksi IPsec dual-tunnel untuk terhubung ke gateway VPN:

    Perencanaan resource

    • Resource cloud: VPC dengan blok CIDR 10.0.0.0/16 di wilayah Malaysia (Kuala Lumpur).

      • vSwitch 1: Di zona ketersediaan A, dengan blok CIDR 10.0.0.0/24.

      • vSwitch 2: Di zona ketersediaan B, dengan blok CIDR 10.0.1.0/24.

      • Instance ECS: Dideploy di vSwitch 1, dengan alamat IP 10.0.0.1.

      • VPN Gateway: Buat satu koneksi IPsec. Sistem secara otomatis menetapkan dua alamat IP publik untuk koneksi ini.

        • Alamat IPsec 1 (untuk saluran data primary): XX.XX.1.1

        • Alamat IPsec 2 (untuk saluran data secondary): XX.XX.2.2

    • Resource lokal: IDC lokal dengan blok CIDR 172.16.0.0/16.

      • Perangkat strongSwan: Alamat IP pribadi 172.16.0.1.

      • Alamat IP egress publik: XX.XX.3.3

    • Algoritma enkripsi: AES-256-GCM-16 / SHA-256 / DH Group 14. Anda harus menentukan ini pada perangkat lokal Anda. Enhanced VPN Gateway secara otomatis melakukan negosiasi algoritma yang kompatibel.

    • Metode perutean: Gunakan perutean statis dalam mode berbasis kebijakan (policy-based). Dalam mode ini, Anda menentukan jaringan di kedua ujung untuk menentukan traffic mana—yang dikenal sebagai "interesting traffic"—yang melewati tunnel VPN. Sistem secara otomatis merutekan traffic ini dan membuat entri rute yang diperlukan.

    Penting

    Topik ini menjelaskan skenario yang menggunakan satu alamat IP egress publik dan perutean statis. Untuk skenario yang menggunakan dua alamat IP egress publik atau perutean dinamis BGP, lihat Contoh konfigurasi strongSwan.

    Prasyarat

    • Blok CIDR VPC dan blok CIDR IDC lokal tidak tumpang tindih.

    • Anda telah membuat VPC seperti yang dijelaskan dalam bagian perencanaan resource. VPC tersebut berisi dua vSwitch di zona ketersediaan berbeda dan setidaknya satu Instance ECS untuk menguji konektivitas.

    • Server Linux telah dideploy di IDC lokal Anda. Topik ini menggunakan CentOS Stream 9 sebagai contoh. Server tersebut memiliki satu alamat IP egress publik. Anda akan menginstal strongSwan pada server ini untuk bertindak sebagai gateway lokal.

    Langkah 1: Buat Enhanced VPN Gateway

    1. Buka halaman VPN Gateway. Pada bilah navigasi atas, pilih wilayah Malaysia (Kuala Lumpur).

    2. Pada tab Enhanced IPsec-VPN, klik Create Enhanced IPsec-VPN.

      Penting

      Enhanced VPN Gateway berada dalam tahap beta undangan saja. Jika tab Enhanced IPsec-VPN tidak muncul, hubungi manajer akun Alibaba Cloud Anda untuk mengaktifkan layanan.

      • Region: Pilih wilayah tempat VPC Anda berada. Dalam topik ini, pilih Malaysia (Kuala Lumpur).

      • VPC: Pilih VPC target yang akan dihubungkan.

      • vSwitch 1: Pilih vSwitch di zona ketersediaan A.

      • vSwitch 2: Pilih vSwitch di zona ketersediaan B. vSwitch ini harus berada di zona ketersediaan yang berbeda dari vSwitch 1 untuk memastikan ketersediaan tinggi lintas zona. Jika tidak tersedia vSwitch, buat terlebih dahulu.

        Sistem membuat elastic network interface (ENI) di setiap vSwitch. ENI ini berfungsi sebagai antarmuka untuk traffic antara koneksi IPsec dan VPC. Setiap ENI mengonsumsi satu alamat IP dari vSwitch-nya.

    Langkah 2: Buat customer gateway

    Customer gateway adalah objek di Alibaba Cloud yang mencatat alamat IP publik perangkat gateway lokal Anda. Dalam skenario ini, IDC lokal Anda hanya memiliki satu alamat IP egress publik, sehingga Anda hanya perlu membuat satu customer gateway.

    1. Di panel navigasi kiri Konsol VPN Gateway, klik Customer Gateways.

    2. Klik Create Customer Gateway dan konfigurasikan parameter-parameter berikut.

      • Name: Masukkan nama untuk customer gateway, misalnya cgw-idc-kl.

      • IP Address: Masukkan alamat IP egress publik IDC lokal Anda (XX.XX.3.3).

    Langkah 3: Buat koneksi IPsec

    1. Di panel navigasi kiri, klik IPsec Connections, lalu klik Bind VPN Gateway.

    2. Konfigurasikan parameter dasar untuk koneksi IPsec.

      • Name: Masukkan nama yang bermakna untuk resource ini, misalnya ipsec-demo.

      • Region: Pilih Malaysia (Kuala Lumpur).

      • Gateway Type: Pilih Enhanced IPsec-VPN.

      • Billing: Nilainya secara otomatis diatur ke Pay-by-CDT. Untuk informasi lebih lanjut, lihat Traffic Jaringan Publik CDT.

      • Bind VPN Gateway: Pilih Enhanced VPN Gateway yang telah Anda buat di Langkah 1.

      • Routing Mode: Pilih Protected Data Flows. Dalam mode ini, Anda harus menentukan segmen jaringan di kedua ujung. Sistem secara otomatis mengirimkan traffic yang sesuai melalui tunnel dan menghasilkan entri rute.

      • Local Network: Masukkan blok CIDR VPC 10.0.0.0/16.

      • Remote Network: Masukkan blok CIDR pusat data 172.16.0.0/16.

      • Effective Immediately: Jika Anda memilih Yes, Alibaba Cloud secara proaktif memulai negosiasi dengan peer. Hal ini memungkinkan koneksi segera terbentuk setelah peer dikonfigurasi.

      • Enable BGP: Untuk skenario ini, biarkan opsi ini dinonaktifkan.

    3. Konfigurasikan parameter tunnel.

      Enhanced VPN Gateway mendukung negosiasi multi-algoritma, sehingga Anda dapat menggunakan pengaturan enkripsi default.

      • Tunnel 1 (Primary):

        • Customer Gateway: Pilih customer gateway yang telah Anda buat di Langkah 2.

        • Pre-Shared Key: Kunci ini digunakan untuk autentikasi selama negosiasi IPsec. Kunci pra-bersama di kedua ujung tunnel harus identik, jika tidak tunnel tidak dapat dibentuk. Gunakan kunci kuat yang berisi huruf kapital, huruf kecil, angka, dan karakter khusus.

      • Tunnel 2 (Secondary):

        • Customer Gateway: Pilih customer gateway yang sama seperti yang dipilih untuk tunnel primary karena IDC lokal dalam skenario ini hanya memiliki satu alamat IP egress publik.

        • Pre-Shared Key: Dalam topik ini, gunakan kunci yang sama seperti tunnel primary.

      Penting

      Enhanced VPN Gateway secara default mengaktifkan negosiasi multi-algoritma. Beberapa algoritma umum telah dipilih sebelumnya dalam konfigurasi enkripsi. Sistem secara otomatis melakukan negosiasi dengan perangkat gateway lokal untuk menemukan algoritma yang didukung. Jika Anda perlu menentukan algoritma secara manual, buka bagian Encryption Configuration untuk mengubah pengaturan.

    4. Setelah Anda mengklik OK, sebuah kotak dialog akan meminta Anda untuk memublikasikan rute. Klik Cancel untuk sementara.

      Inisialisasi resource koneksi IPsec membutuhkan waktu sekitar 5 menit. Selama periode ini, Status adalah Preparing, dan Anda tidak dapat mengonfigurasi rute. Anda dapat terlebih dahulu mengonfigurasi perangkat strongSwan di Langkah 4, lalu menyelesaikan konfigurasi rute di Langkah 5.

    5. Catat alamat IP publik dari dua tunnel cloud. Anda akan memerlukannya untuk mengonfigurasi strongSwan.

      1. Kembali ke halaman IPsec-VPN connection dan temukan koneksi IPsec yang baru saja Anda buat.

      2. Di kolom Gateway IP Address, catat IPsec Address 1 dan IPsec Address 2. Topik ini menggunakan XX.XX.1.1 dan XX.XX.2.2 sebagai contoh.

    Langkah 4: Konfigurasi strongSwan

    Penting

    Informasi produk pihak ketiga dalam topik ini hanya untuk referensi. Alibaba Cloud tidak memberikan jaminan, baik eksplisit maupun implisit, mengenai kinerja atau keandalan produk pihak ketiga, dan tidak bertanggung jawab atas dampak apa pun dari pengoperasiannya.

    Contoh berikut menunjukkan cara mengonfigurasi strongSwan pada sistem operasi 64-bit CentOS Stream 9. Untuk sistem operasi lain, lihat dokumentasi resmi strongSwan.

    1. Konfigurasi aturan firewall

    Pada perangkat strongSwan, izinkan protokol ESP (nomor protokol IP 50), port UDP 500, dan port UDP 4500 untuk mengizinkan akses dari dua alamat IPsec di cloud.

    Perintah berikut menggunakan iptables sebagai contoh. Sesuaikan perintah berdasarkan tool firewall yang Anda gunakan.

    iptables -I INPUT -s XX.XX.1.1,XX.XX.2.2 -p esp -j ACCEPT                
iptables -I INPUT -s XX.XX.1.1,XX.XX.2.2 -p udp --dport 500 -j ACCEPT
iptables -I INPUT -s XX.XX.1.1,XX.XX.2.2 -p udp --dport 4500 -j ACCEPT

    2. Aktifkan IP forwarding

    echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sudo sysctl -p

    3. Instal strongSwan

    dnf install epel-release -y
dnf install strongswan -y

    4. Konfigurasi strongSwan

    1. Buat cadangan file konfigurasi asli:

      mv /etc/strongswan/swanctl/swanctl.conf /etc/strongswan/swanctl/swanctl.conf.bak

    2. Buat file konfigurasi baru:

      vi /etc/strongswan/swanctl/swanctl.conf

    3. Tambahkan konfigurasi berikut dan simpan file tersebut. Ganti nilai placeholder dengan nilai aktual Anda.

      # Konfigurasi IPsec-VPN dual-tunnel strongSwan untuk: Alibaba Cloud Enhanced VPN Gateway + satu IP egress publik lokal + mode berbasis kebijakan
#
# CATATAN: Hanya ubah parameter yang ditandai "MODIFY". Biarkan sisanya tetap default.
# Detail algoritma: aes256gcm16-sha256-modp2048 = AES-256-GCM-16 / SHA-256 / DH Group 14
# Ketersediaan tinggi: vco1 (priority=1) adalah tunnel primary, dan vco2 (priority=2) adalah tunnel secondary. Failover otomatis.
connections {
   # === Tunnel 1 (Primary) ===
   vco1 {
      version = 2
      dpd_delay = 10
      rekey_time = 84600
      over_time = 1800
      proposals = aes256gcm16-sha256-modp2048
      encap = yes
      local_addrs  = 172.16.0.1                # MODIFY: Alamat IP pribadi antarmuka jaringan server strongSwan. Jika server berada di belakang perangkat NAT, masukkan alamat IP pribadinya. Jika antarmuka jaringan server langsung diberi alamat IP publik, masukkan alamat IP publik tersebut.
      local {
         auth = psk
         id = XX.XX.3.3                        # MODIFY: Alamat IP egress publik gateway lokal Anda.
      }
      remote_addrs = XX.XX.1.1                 # MODIFY: Alamat IP publik Alibaba Cloud Tunnel 1.
      remote {
         auth = psk
         id = XX.XX.1.1                        # MODIFY: Alamat IP publik Alibaba Cloud Tunnel 1. Harus sesuai dengan remote_addrs.
      }
      children {
         vco_child1 {
            local_ts  = 172.16.0.0/16          # MODIFY: Blok CIDR jaringan lokal Anda (interesting traffic).
            remote_ts = 10.0.0.0/16            # MODIFY: Blok CIDR VPC Anda (interesting traffic).
            mode = tunnel
            rekey_time = 85500
            life_time = 86400
            dpd_action = restart
            start_action = start
            close_action = start
            esp_proposals = aes256gcm16-sha256-modp2048
            priority = 1                       # Menentukan tunnel primary. Kami sarankan agar Anda tidak mengubah parameter ini.
         }
      }
   }
   # === Tunnel 2 (Secondary) ===
   vco2 {
      version = 2
      dpd_delay = 10
      rekey_time = 84600
      over_time = 1800
      proposals = aes256gcm16-sha256-modp2048
      encap = yes
      local_addrs  = 172.16.0.1                # MODIFY: Alamat IP antarmuka jaringan server strongSwan. Harus sama dengan local_addrs untuk Tunnel 1.
      local {
         auth = psk
         id = XX.XX.3.3                        # MODIFY: Alamat IP egress publik gateway lokal Anda. Harus sama dengan id untuk Tunnel 1.
      }
      remote_addrs = XX.XX.2.2                 # MODIFY: Alamat IP publik Alibaba Cloud Tunnel 2.
      remote {
         auth = psk
         id = XX.XX.2.2                        # MODIFY: Alamat IP publik Alibaba Cloud Tunnel 2. Harus sesuai dengan remote_addrs.
      }
      children {
         vco_child2 {
            local_ts  = 172.16.0.0/16          # MODIFY: Blok CIDR jaringan lokal Anda. Harus sama dengan local_ts untuk Tunnel 1.
            remote_ts = 10.0.0.0/16            # MODIFY: Blok CIDR VPC Anda. Harus sama dengan remote_ts untuk Tunnel 1.
            mode = tunnel
            rekey_time = 85500
            life_time = 86400
            dpd_action = restart
            start_action = start
            close_action = start
            esp_proposals = aes256gcm16-sha256-modp2048
            priority = 2                       # Menentukan tunnel secondary. Kami sarankan agar Anda tidak mengubah parameter ini.
         }
      }
   }
}
secrets {
   ike-vco1 {
      id = XX.XX.1.1                           # MODIFY: Alamat IP publik Alibaba Cloud Tunnel 1.
      secret = your-psk-here                   # MODIFY: Kunci pra-bersama untuk Tunnel 1. Harus sesuai dengan kunci yang dikonfigurasi di konsol Alibaba Cloud.
   }
   ike-vco2 {
      id = XX.XX.2.2                           # MODIFY: Alamat IP publik Alibaba Cloud Tunnel 2.
      secret = your-psk-here                   # MODIFY: Kunci pra-bersama untuk Tunnel 2. Harus sesuai dengan kunci yang dikonfigurasi di konsol Alibaba Cloud.
   }
}

    5. Jalankan strongSwan dan verifikasi status tunnel

    sudo systemctl restart strongswan
swanctl --load-all
watch swanctl --list-sas

    Jika kedua tunnel menampilkan ESTABLISHED dan CHILD_SA berada dalam status INSTALLED, berarti koneksi IPsec-VPN telah berhasil dibentuk antara perangkat strongSwan dan Gateway VPN Alibaba Cloud.

    Every 2.0s: swanctl --list-sas    iZ8psgynxxx: Fri Mar 13 14:53:47 2026
plugin 'sqlite': failed to load - sqlite_plugin_create not found and no plugin file
available
vco1: #11, ESTABLISHED, IKEv2, fbf8cda98d1d4f45_i c8a12ae19f8303d8_r*
   local  'XX.XX.3.3x.18' @ 172.16.0.1[4500]
   remote 'XX.XX.1.1x.58' @ XX.XX.1.1x.58[4500]
   AES_GCM_16-256/PRF_HMAC_SHA2_256/MODP_2048
   established 1534s ago, rekeying in 81327s
   vco_child1: #10, reqid 1, INSTALLED, TUNNEL-in-UDP, ESP:AES_GCM_16-256/MODP_2048
      installed 10638s ago, rekeying in 73995s, expires in 75762s
      in  c31a70fc, 892248 bytes, 10622 packets,    1s ago
      out c53ef972, 892332 bytes, 10623 packets,    1s ago
      local  172.16.0.0/16
      remote 10.0.0.0/16
vco2: #10, ESTABLISHED, IKEv2, 9b259bb527d43acf_i f53df17098e08519_r*
   local  'XX.XX.3.3x.18' @ 172.16.0.1[4500]
   remote 'XX.XX.2.2x.121' @ XX.XX.2.2x.121[4500]
   AES_GCM_16-256/PRF_HMAC_SHA2_256/MODP_2048
   established 3270s ago, rekeying in 81252s
   vco_child2: #9, reqid 1, INSTALLED, TUNNEL-in-UDP, ESP:AES_GCM_16-256/MODP_2048
      installed 12865s ago, rekeying in 71956s, expires in 73535s
      in  c11c544e,      0 bytes,     0 packets,    7s ago
      out c7acef03,      0 bytes,     0 packets,   14s ago
      local  172.16.0.0/16
      remote 10.0.0.0/16

    Langkah 5: Konfigurasi rute cloud

    Karena topik ini menggunakan mode berbasis kebijakan, sistem secara otomatis menambahkan entri rute ke Destination-based Route Table Enhanced VPN Gateway.

    Anda dapat memublikasikan rute ini ke tabel rute VPC. Memublikasikan rute ini akan mengarahkan traffic dari Instance ECS di VPC ke jaringan IDC lokal melalui gateway VPN.

    1. Klik ID instans Enhanced VPN Gateway yang telah Anda buat untuk membuka halaman detailnya.

    2. Buka tab Destination-based Route Table. Temukan entri rute tujuan yang secara otomatis dihasilkan sistem (jaringan tujuan 172.16.0.0/16, lompatan berikutnya adalah koneksi IPsec).

    3. Di kolom Actions entri rute target, klik Advertise untuk memublikasikan rute ke tabel rute VPC.

      Setelah Anda memublikasikan rute, entri rute baru ditambahkan ke tabel rute VPC dengan jaringan tujuan 172.16.0.0/16 dan lompatan berikutnya adalah gateway VPN. Traffic dari Instance ECS di VPC ke jaringan IDC lokal secara otomatis dirutekan melalui tunnel VPN.

    Verifikasi koneksi

    Verifikasi konektivitas

    1. Pastikan bahwa aturan grup keamanan Instance ECS Anda mengizinkan traffic ICMP. Kemudian, login ke perangkat strongSwan Anda dan ping alamat IP pribadi Instance ECS cloud.

      ping 10.0.0.1

      Paket balasan mengonfirmasi bahwa komunikasi telah terbentuk antara IDC lokal dan VPC cloud.

    2. Pastikan firewall lokal Anda mengizinkan traffic ICMP. Kemudian, login ke Instance ECS di VPC (10.0.0.1) dan ping alamat IP pribadi perangkat strongSwan.

      ping 172.16.0.1

      Jika Anda menerima paket balasan, koneksi balik juga telah terbentuk.

    Verifikasi ketersediaan tinggi

    1. Dari Instance ECS, jalankan ping berkelanjutan ke server lokal:

      ping 172.16.0.1 -c 10000

    2. Hentikan tunnel primary. Di konsol Alibaba Cloud, ubah kunci pra-bersama tunnel primary untuk membuat ketidaksesuaian kunci. Hal ini menyebabkan tunnel primary gagal.

    3. Amati hasil ping. Setelah gangguan singkat, komunikasi dilanjutkan. Hal ini menunjukkan bahwa traffic secara otomatis dialihkan ke tunnel secondary.

    4. Pulihkan tunnel primary. Ubah kembali kunci pra-bersama tunnel primary ke nilai yang benar. Setelah tunnel primary dipulihkan, traffic secara otomatis kembali ke tunnel primary.

    Pemecahan masalah

    Permasalahan umum dan solusinya:

    Gejala

    Kemungkinan Penyebab

    Solusi

    Negosiasi tunnel gagal.

    Kegagalan konektivitas jaringan

    Periksa apakah perangkat strongSwan dapat ping ke alamat IPsec Alibaba Cloud. Pastikan firewall IDC lokal mengizinkan traffic UDP pada port 500 dan 4500.

    Ketidaksesuaian kunci pra-bersama

    Verifikasi bahwa kunci pra-bersama identik di kedua ujung, termasuk kapitalisasi dan karakter khusus.

    Ketidaksesuaian parameter IKE

    Periksa apakah versi IKE, algoritma enkripsi, algoritma autentikasi, grup DH, dan parameter lainnya sesuai di kedua ujung.

    Tunnel terbentuk, tetapi ping gagal.

    Rute belum dikonfigurasi.

    Verifikasi bahwa Anda telah memublikasikan rute tujuan dari gateway VPN ke tabel rute VPC.

    Batasan grup keamanan

    Periksa apakah grup keamanan ECS mengizinkan traffic ICMP dari jaringan IDC lokal (172.16.0.0/16).

    Batasan firewall lokal

    Periksa apakah firewall lokal mengizinkan traffic dari jaringan VPC (10.0.0.0/16).

    Rute tidak ada di sisi strongSwan

    Pastikan IP forwarding diaktifkan pada perangkat strongSwan dan server lain di IDC Anda menggunakan perangkat strongSwan sebagai lompatan berikutnya untuk traffic ke jaringan VPC.

    Untuk informasi lebih lanjut, lihat Pemecahan masalah koneksi IPsec.