All Products
Search

This Product

    VPN Gateway:FAQ Gateway VPN

    Document Center

    VPN Gateway:FAQ Gateway VPN

    Last Updated:Jun 03, 2026

    Topik ini merangkum pertanyaan umum (FAQ) mengenai Gateway VPN.

    Tautan cepat

    Pertanyaan produk

    Fitur IPsec-VPN

    Fitur SSL-VPN

    Apa itu koneksi non-lintas batas dan lintas batas?

    Alibaba Cloud VPN Gateway menyediakan layanan sesuai kebijakan dan peraturan terkait di Tiongkok. Layanan ini hanya mendukung koneksi non-lintas batas dan tidak mendukung koneksi lintas batas. Jika Anda perlu mengakses sumber daya lintas batas melalui koneksi VPN, lihat Cara mengakses sumber daya lintas batas melalui koneksi VPN?.

    Koneksi non-lintas batas

    • Koneksi IPsec-VPN dianggap non-lintas batas jika wilayah pusat data on-premises dan sumber daya peer memenuhi salah satu kondisi berikut:

      • Pusat data on-premises berlokasi di Tiongkok daratanwilayah, dan sumber daya peer berada di wilayah Alibaba Cloud di Tiongkok daratan.

      • Pusat data on-premises berlokasi di luar Tiongkok daratan, dan sumber daya peer berada di wilayah Alibaba Cloud di luar Tiongkok daratan.

    • Koneksi SSL-VPN dianggap non-lintas batas jika wilayah klien dan sumber daya peer memenuhi salah satu kondisi berikut:

      • Klien berlokasi di Tiongkok daratan, dan sumber daya peer berada di wilayah Alibaba Cloud di Tiongkok daratan.

      • Klien berlokasi di luar Tiongkok daratan, dan sumber daya peer berada di wilayah Alibaba Cloud di luar Tiongkok daratan.

    Contoh 1

    Contoh 2

    Koneksi lintas batas

    • Koneksi IPsec-VPN dianggap lintas batas jika wilayah pusat data on-premises dan sumber daya peer memenuhi salah satu kondisi berikut:

      • Pusat data on-premises berlokasi di Tiongkok daratan, dan sumber daya peer berada di wilayah Alibaba Cloud di luar Tiongkok daratan.

      • Pusat data on-premises berlokasi di luar Tiongkok daratan, dan sumber daya peer berada di wilayah Alibaba Cloud di Tiongkok daratan.

    • Koneksi SSL-VPN dianggap lintas batas jika wilayah klien dan sumber daya peer memenuhi salah satu kondisi berikut:

      • Klien berlokasi di Tiongkok daratan, dan sumber daya peer berada di wilayah Alibaba Cloud di luar Tiongkok daratan.

      • Klien berlokasi di luar Tiongkok daratan, dan sumber daya peer berada di wilayah Alibaba Cloud di Tiongkok daratan.

    Contoh 1

    Contoh 2

    Klasifikasi wilayah

    Klasifikasi wilayah

    Wilayah yang termasuk

    Tiongkok daratan

    China (Qingdao), China (Beijing), China (Zhangjiakou), China (Hohhot), China (Ulanqab), China (Shenzhen), China (Heyuan), China (Guangzhou), China (Hangzhou), China (Shanghai), China (Nanjing - Local Region), China (Chengdu)

    Luar Tiongkok daratan

    China (Hong Kong), Singapura, Malaysia (Kuala Lumpur), Jepang (Tokyo), Indonesia (Jakarta), Filipina (Manila), Korea Selatan (Seoul), Thailand (Bangkok), Jerman (Frankfurt), Inggris (London), UEA (Dubai), AS (Silicon Valley), AS (Virginia), SAU (Riyadh - Partner Region), Meksiko

    Bagaimana cara mengakses sumber daya lintas batas melalui koneksi VPN?

    Untuk mengakses sumber daya lintas batas melalui koneksi VPN, gunakan Transit Router. TR memungkinkan komunikasi jaringan pribadi yang fleksibel antar-sumber daya lintas wilayah, termasuk lintas batas.

    Topologi jaringan contoh:

    IPsec-VPN

    SSL-VPN

    Dapatkah saya menggunakan Gateway VPN untuk mengakses internet?

    Nomor

    Gateway VPN menyediakan akses jaringan pribadi ke VPC. Layanan ini tidak menyediakan akses internet.

    Prasyarat koneksi IPsec-VPN

    • Perangkat gateway di pusat data harus mendukung protokol IKEv1 dan IKEv2.

      IPsec-VPN mendukung protokol IKEv1 dan IKEv2. Perangkat apa pun yang mendukung salah satu protokol tersebut dapat terhubung ke Gateway VPN Alibaba Cloud. Untuk informasi lebih lanjut tentang cara memilih versi IKE, lihat Memilih versi IKE.

    • Perangkat gateway di pusat data harus diberi alamat IP publik statis.

    • Blok CIDR pusat data dan VPC tidak boleh tumpang tindih.

    Untuk informasi tentang cara pusat data terhubung ke VPC menggunakan koneksi IPsec-VPN, lihat Memulai dengan gateway VPN lama.

    Gateway on-premises yang kompatibel

    Gateway VPN Alibaba Cloud mendukung protokol standar IKEv1 dan IKEv2. Oleh karena itu, perangkat apa pun yang mendukung protokol ini dapat terhubung ke Gateway VPN Alibaba Cloud. Contohnya termasuk perangkat dari H3C, Hillstone, Sangfor, Cisco ASA, Juniper, SonicWall, Nokia, IBM, dan Ixia. Untuk informasi lebih lanjut, lihat Contoh konfigurasi gateway pelanggan.

    Dapatkah VPC di wilayah berbeda berkomunikasi melalui Gateway VPN?

    Ya.

    Untuk informasi lebih lanjut, lihat Membuat koneksi IPsec-VPN antar-VPC dalam mode dual-tunnel.

    Catatan

    Jika Anda membuat koneksi IPsec-VPN antara VPC di wilayah berbeda, kualitas koneksi bergantung pada kondisi jaringan publik. Kami menyarankan Anda menggunakan Cloud Enterprise Network (CEN) untuk membuat koneksi antara VPC di wilayah berbeda. Untuk informasi lebih lanjut, lihat Mengaktifkan komunikasi antar-VPC yang dimiliki akun berbeda.

    Apakah traffic antar-VPC melewati internet?

    Saat Anda menggunakan Gateway VPN untuk mengaktifkan komunikasi antar-VPC:

    • Jika kedua VPC berada di wilayah yang sama, traffic ditransmisikan melalui jaringan Alibaba Cloud, bukan internet.

    • Jika kedua VPC berada di wilayah berbeda, traffic ditransmisikan melalui internet.

    Server IPsec vs. server SSL

    Item

    Server IPsec

    Server SSL

    Skenario penggunaan

    Menyediakan koneksi end-to-site.

    Menyediakan koneksi end-to-site.

    Mode klien

    Memungkinkan klien seluler yang menjalankan iOS membuat koneksi IPsec-VPN ke Alibaba Cloud.

    Memungkinkan klien seluler yang menjalankan Android dan komputer membuat koneksi SSL-VPN ke Alibaba Cloud.

    Mode koneksi

    Memungkinkan klien seluler yang menjalankan iOS membuat koneksi IPsec-VPN ke Alibaba Cloud menggunakan fitur VPN bawaan.

    Memungkinkan klien seluler yang menjalankan Android dan komputer membuat koneksi SSL-VPN ke Alibaba Cloud menggunakan OpenVPN.

    Metode enkripsi

    IPsec

    Sertifikat SSL

    Dapatkah saya mengonfigurasi beberapa jaringan remote dalam satu koneksi IPsec-VPN?

    Ya.

    Sebelum mengonfigurasi beberapa jaringan remote untuk koneksi IPsec-VPN, kami menyarankan Anda meninjau saran konfigurasi untuk skenario multi-blok CIDR. Untuk informasi lebih lanjut, lihat Saran konfigurasi untuk skenario multi-blok CIDR.

    Berapa banyak koneksi IPsec-VPN yang dapat saya buat untuk setiap Gateway VPN?

    Secara default, Anda dapat membuat hingga 10 koneksi IPsec-VPN untuk setiap Gateway VPN. Anda dapat menyesuaikan kuota tersebut di Konsol Alibaba Cloud. Untuk informasi lebih lanjut, lihat Mengelola kuota IPsec-VPN.

    Cara mengonfigurasi ACL jaringan

    Jenis Gateway VPN

    Aturan yang diperlukan

    IPsec-VPN

    Di ACL jaringan, konfigurasikan aturan arah keluar dan masuk untuk mengizinkan traffic dari blok CIDR dan alamat IP berikut. Hal ini memastikan Gateway VPN dapat membuat koneksi IPsec-VPN.

    • 100.64.0.0/10

      Catatan

      Alibaba Cloud menggunakan blok CIDR 100.64.0.0/10 untuk layanan internal. Anda harus mengizinkan traffic dari blok CIDR ini agar Gateway VPN berfungsi sebagaimana mestinya.

    • Alamat IP gateway pelanggan

    • Alamat IP Gateway VPN

    SSL-VPN

    Di ACL jaringan, konfigurasikan aturan arah keluar dan masuk untuk mengizinkan traffic dari blok CIDR dan alamat IP berikut, serta buka port SSL-VPN. Hal ini memastikan Gateway VPN dapat membuat koneksi SSL-VPN.

    • 100.64.0.0/10

      Catatan

      Alibaba Cloud menggunakan blok CIDR 100.64.0.0/10 untuk layanan internal. Anda harus mengizinkan traffic dari blok CIDR ini agar Gateway VPN berfungsi sebagaimana mestinya.

    • Alamat IP publik klien

    • Alamat IP Gateway VPN

    • Buka port yang digunakan oleh SSL-VPN.

      Misalnya, port 1194.

    Dapatkah saya melakukan peningkatan atau penurunan spesifikasi Gateway VPN?

    Ya.

    Melihat informasi koneksi klien SSL

    Ya.

    Untuk informasi lebih lanjut, lihat Melihat informasi koneksi klien SSL.

    Catatan

    • Instans Gateway VPN yang dibuat setelah 10 Desember 2022 mendukung fitur ini secara default.

    • Secara default, instans Gateway VPN yang dibuat sebelum 10 Desember 2022 tidak mendukung melihat informasi koneksi klien SSL. Untuk mengaktifkannya, tingkatkan instans Gateway VPN.

    SSL-VPN pada instans lama

    Tidak.

    Untuk menggunakan fitur SSL-VPN, Anda harus meningkatkan Gateway VPN ke versi terbaru. Untuk informasi lebih lanjut, lihat Meningkatkan gateway VPN.

    Memilih versi IKE

    Saat mengonfigurasi koneksi IPsec-VPN, pilih versi IKE berdasarkan versi IKE yang didukung perangkat gateway peer dan apakah Anda perlu berkomunikasi lintas beberapa blok CIDR.

    Catatan

    Komunikasi antar beberapa blok CIDR berarti Anda mengonfigurasi beberapa blok CIDR Local Network atau Remote Network untuk koneksi IPsec-VPN.

    Dukungan IKE perangkat peer

    Komunikasi multi-CIDR

    Konfigurasi

    Hanya IKEv1

    Ya

    Tidak

    Gunakan IKEv1 untuk koneksi IPsec-VPN dan perangkat gateway peer.

    Hanya IKEv2

    Ya

    • Gunakan IKEv2 untuk koneksi IPsec-VPN dan perangkat gateway peer.

    • Koneksi IPsec-VPN yang menggunakan IKEv2 mendukung komunikasi antar beberapa blok CIDR.

    Tidak

    Gunakan IKEv2 untuk koneksi IPsec-VPN dan perangkat gateway peer.

    Keduanya IKEv1 dan IKEv2

    Ya

    • Gunakan IKEv2 untuk koneksi IPsec-VPN dan perangkat gateway peer.

    • Koneksi IPsec-VPN yang menggunakan IKEv2 mendukung komunikasi antar beberapa blok CIDR.

    Tidak

    Kami menyarankan Anda menggunakan IKEv2 untuk koneksi IPsec-VPN dan perangkat gateway peer.

    Dibandingkan dengan IKEv1, IKEv2 menyederhanakan proses negosiasi Security Association (SA) dan memberikan dukungan lebih baik untuk skenario dengan beberapa blok CIDR. Kami menyarankan Anda menggunakan IKEv2.

    Koneksi IPsec-VPN dengan NAT

    Sebagai contoh, pusat data berencana menggunakan alamat IP 42.XX.XX.1 untuk membuat koneksi IPsec-VPN dengan Gateway VPN Alibaba Cloud. Namun, pusat data menggunakan SNAT, yang menerjemahkan alamat IP sumber dari 42.XX.XX.1 menjadi 47.XX.XX.21. Dalam kasus ini, saat membuat gateway pelanggan di Konsol Gateway VPN, Anda harus mengatur alamat IP gateway pelanggan menjadi 47.XX.XX.21. Hal ini memungkinkan Gateway VPN Alibaba Cloud membuat koneksi IPsec-VPN dengan pusat data.

    Kami menyarankan Anda menggunakan port IPsec default (UDP 500 dan 4500) untuk membuat koneksi IPsec-VPN antara pusat data dan Gateway VPN. Kami tidak menyarankan Anda menerjemahkan nomor port.

    Di sisi Alibaba Cloud, jika VPC yang dikaitkan dengan Gateway VPN berbasis publik juga memiliki Gateway NAT yang dikonfigurasi, Gateway NAT tersebut tidak menerjemahkan alamat IP instans Gateway VPN berbasis publik.

    Meningkatkan bandwidth IPsec-VPN

    Saat koneksi IPsec-VPN dikaitkan dengan instans Gateway VPN, bandwidth maksimum instans tersebut adalah 1.000 Mbit/s (500 Mbit/s di beberapa wilayah). Untuk meningkatkan bandwidth koneksi IPsec-VPN, kami menyarankan Anda mengaitkan koneksi IPsec-VPN dengan instans Transit Router untuk menghubungkan pusat data ke Alibaba Cloud. Anda kemudian dapat menggunakan TR untuk mengaktifkan komunikasi jaringan antara pusat data dan VPC.

    Saat koneksi IPsec-VPN dikaitkan dengan instans TR, bandwidth maksimum untuk satu koneksi IPsec-VPN adalah 1.000 Mbit/s. Untuk meningkatkan total bandwidth, Anda dapat membuat beberapa koneksi IPsec-VPN antara TR dan pusat data. Hal ini memungkinkan traffic antara pusat data dan Alibaba Cloud ditransmisikan melalui beberapa koneksi IPsec-VPN secara bersamaan, seperti yang ditunjukkan pada gambar berikut. Untuk informasi lebih lanjut, lihat Membuat beberapa koneksi IPsec-VPN publik untuk load balancing dan Membuat beberapa koneksi IPsec-VPN privat untuk mencapai load balancing bagi traffic jaringan privat.

    • Skenario koneksi IPsec-VPN publik:

      IPsec连接绑定TR最佳实践-公网-场景图

    • Skenario koneksi IPsec-VPN privat:

      IPsec连接绑定TR最佳实践-私网-场景图

    Meneruskan traffic lintas zona

    Ya.

    Saat membuat instans Gateway VPN, Anda harus menentukan vSwitch. Sistem akan men-deploy Gateway VPN di zona tempat vSwitch tersebut berada. Setelah instans Gateway VPN dibuat, instans tersebut dapat meneruskan traffic untuk instans ECS di semua zona VPC.

    Bergantung pada konfigurasi Anda, Anda mungkin perlu menambahkan rute agar instans Gateway VPN dapat meneruskan traffic dari instans ECS. Misalnya, jika vSwitch di beberapa zona dikaitkan dengan tabel rute kustom VPC, Anda harus menambahkan rute kustom yang mengarah ke instans Gateway VPN ke tabel rute kustom tersebut.

    Menyelesaikan konflik rute

    Jika muncul error saat Anda menambahkan rute ke instans Gateway VPN, error tersebut biasanya terjadi karena salah satu alasan berikut:

    • Blok CIDR tujuan dari rute yang ingin Anda tambahkan sama dengan blok CIDR tujuan dari rute yang sudah ada di VPC. Periksa rute di tabel rute VPC untuk menyelesaikan konflik rute.

    • Rute yang ingin Anda tambahkan bertentangan dengan rute yang sudah ada pada instans Gateway VPN. Periksa rute berbasis kebijakan dan rute berbasis tujuan instans Gateway VPN untuk menyelesaikan konflik rute.

      • Jika Anda menambahkan rute berbasis tujuan yang blok CIDR tujuan dan lompatan berikutnya sama dengan rute berbasis tujuan yang sudah ada pada instans Gateway VPN, maka terjadi konflik rute.

      • Jika Anda menambahkan rute berbasis kebijakan yang blok CIDR sumber, blok CIDR tujuan, dan lompatan berikutnya sama dengan rute berbasis kebijakan yang sudah ada pada instans Gateway VPN, maka terjadi konflik rute.

    Mengapa koneksi VPN tidak mencapai bandwidth yang dibeli?

    Meskipun Gateway VPN menyediakan bandwidth yang Anda beli, faktor-faktor berikut memengaruhi throughput aktual:

    • Fitur, kapasitas koneksi, ukuran paket rata-rata, dan protokol (TCP dan UDP) perangkat yang dikaitkan dengan gateway pelanggan.

    • Latensi jaringan antara perangkat yang dikaitkan dengan gateway pelanggan dan Gateway VPN.

      Catatan

      Jika Anda membeli instans Gateway VPN berbasis publik atau menggunakan koneksi IPsec-VPN berbasis publik, kapasitas bandwidth publik dan latensi internet dapat memengaruhi throughput Anda.

    Jika Anda perlu menguji bandwidth Gateway VPN, kami menyarankan Anda menggunakan tool iPerf3. Laju transfer perintah seperti FTP, SCP, dan CP tidak mencerminkan throughput jaringan aktual karena dibatasi oleh kecepatan I/O disk. Untuk informasi lebih lanjut tentang cara menggunakan tool iPerf3, lihat Menggunakan iPerf3 untuk menguji bandwidth sirkuit Express Connect.

    Jika Anda memiliki persyaratan tinggi terhadap kualitas transmisi, kami menyarankan Anda menggunakan Cloud Enterprise Network (CEN).

    Dapatkah Gateway VPN mengenkripsi traffic antara VPC dan alamat IP publik?

    Ya.

    Untuk menggunakan Gateway VPN guna mengenkripsi traffic dari sumber daya di VPC ke alamat IP publik, kondisi berikut harus dipenuhi:

    1. Tambahkan blok CIDR tempat alamat IP publik berada ke Gateway VPN:

      • Jika Anda menggunakan koneksi IPsec-VPN, tambahkan blok CIDR publik ke Remote Network koneksi IPsec-VPN.

      • Jika Anda menggunakan koneksi SSL-VPN, tambahkan blok CIDR publik ke Client CIDR Block server SSL.

    2. Tetapkan blok CIDR publik sebagai blok CIDR yang ditentukan pengguna untuk VPC guna memastikan VPC dapat mengakses blok CIDR publik tersebut. Untuk informasi lebih lanjut tentang blok CIDR yang ditentukan pengguna, lihat FAQ VPC dan FAQ VPC.

    Kuota entri rute terlampaui

    Jika Anda tidak dapat menambahkan entri rute baru atau koneksi IPsec-VPN tidak dapat mempelajari rute BGP karena kuota entri rute terlampaui, Anda dapat menggunakan salah satu metode berikut untuk menyelesaikan masalah tersebut:

    • Tingkatkan kuota entri rute.

      Anda dapat mengajukan permintaan untuk meningkatkan kuota rute berbasis kebijakan, rute berbasis tujuan, dan rute BGP. Untuk informasi lebih lanjut, lihat Kuota IPsec-VPN.

    • Konfigurasikan ringkasan rute.

      Tanpa memengaruhi layanan Anda, ringkas beberapa entri rute spesifik menjadi satu entri rute yang lebih umum.

      Misalnya, jika Anda telah mengonfigurasi tiga rute berbasis tujuan dengan blok CIDR tujuan 10.10.1.0/24, 10.10.2.0/24, dan 10.10.3.0/24 yang semuanya mengarah ke koneksi IPsec-VPN yang sama (misalnya, koneksi IPsec 1), Anda dapat menambahkan rute berbasis tujuan dengan blok CIDR tujuan 10.10.0.0/22 yang mengarah ke koneksi IPsec 1. Kemudian, Anda dapat menghapus ketiga rute yang lebih spesifik tersebut untuk menghemat entri rute berbasis tujuan.

    Mode single-tunnel vs. dual-tunnel

    Koneksi IPsec-VPN untuk instans Gateway VPN yang baru dibeli menggunakan mode dual-tunnel secara default. Untuk instans Gateway VPN yang sudah ada, koneksi dibuat dalam mode single-tunnel secara default. Kami menyarankan Anda meningkatkan koneksi IPsec-VPN Anda ke mode dual-tunnel untuk mencapai ketersediaan tinggi. Peningkatan ini tidak mengubah metode penagihan atau menimbulkan biaya tambahan.

    Item

    Mode single-tunnel

    Mode dual-tunnel

    Jumlah saluran data per koneksi IPsec-VPN

    Satu

    Dua

    Jumlah vSwitch yang dikaitkan

    Anda hanya perlu menentukan satu vSwitch saat membuat instans Gateway VPN.

    Anda harus menentukan dua vSwitch yang dideploy di zona berbeda saat membuat instans Gateway VPN.

    Ketersediaan tinggi

    Untuk memastikan ketersediaan tinggi, Anda harus membuat beberapa koneksi IPsec-VPN untuk instans Gateway VPN atau membuat beberapa instans Gateway VPN.

    Ketersediaan tinggi dicapai melalui dua saluran data dari satu koneksi IPsec-VPN.

    Bobot rute

    Didukung

    Tidak didukung

    Pemeriksaan kesehatan

    Didukung

    Tidak didukung

    Alamat IP Gateway VPN

    Setelah Anda membuat instans Gateway VPN, sistem hanya menetapkan satu alamat IP ke instans tersebut.

    Gateway VPN menggunakan alamat IP ini untuk membuat koneksi IPsec-VPN atau SSL-VPN.

    Setelah Anda membuat instans Gateway VPN, sistem dapat menetapkan hingga tiga alamat IP jika Anda mengaktifkan fitur IPsec-VPN dan SSL-VPN. Koneksi IPsec-VPN menggunakan dua alamat IP untuk membuat dua saluran data terenkripsi, dan koneksi SSL-VPN menggunakan satu alamat IP. Ketiga alamat IP tersebut berbeda.

    Mengontrol akses IP publik

    Gateway VPN tidak menyediakan fitur bawaan untuk mengonfigurasi daftar izin IP sumber. Mekanisme kontrol akses bekerja sebagai berikut untuk koneksi IPsec-VPN dan SSL-VPN:

    • IPsec-VPN: Saat membuat koneksi IPsec-VPN, Anda harus menentukan alamat IP publik gateway pelanggan di sisi Alibaba Cloud. Gateway VPN hanya menerima permintaan negosiasi IKE/IPsec dari alamat IP gateway pelanggan tersebut. Permintaan dari alamat IP lain tidak dapat membuat saluran data IPsec, sehingga tidak diperlukan kontrol akses IP sumber tambahan.

    • SSL-VPN: Koneksi SSL-VPN tidak membatasi alamat IP sumber klien. Kontrol akses bergantung pada validasi sertifikat klien. Untuk keamanan yang lebih baik, Anda dapat menerapkan otentikasi dua faktor menggunakan IDaaS.

    Untuk memfilter traffic berdasarkan alamat IP sumber untuk subnet Gateway VPN, gunakan fitur ACL jaringan VPC. Di Konsol VPC, buat ACL jaringan, tetapkan aturan masuk untuk membatasi alamat IP sumber, lalu kaitkan ACL jaringan tersebut dengan vSwitch tempat Gateway VPN dideploy. Untuk informasi lebih lanjut, lihat Cara mengonfigurasi ACL jaringan.