Berikut adalah jawaban atas pertanyaan-pertanyaan umum (FAQ) mengenai VPN gateways.
FAQ
FAQ tentang VPN Gateway
Bisakah saya menggunakan VPN gateways untuk mengakses Internet?
Bisakah saya menggunakan VPN gateways untuk menghubungkan VPC di berbagai wilayah?
Bisakah saya meningkatkan atau menurunkan spesifikasi sebuah VPN gateway?
Mengapa bandwidth koneksi VPN tidak sesuai dengan spesifikasi bandwidth yang saya beli?
Bisakah saya menggunakan VPN gateway untuk mengenkripsi lalu lintas antara VPC dan alamat IP publik?
FAQ tentang IPsec-VPN
Berapa banyak koneksi IPsec-VPN yang dapat dibuat pada sebuah VPN gateway?
Apa saja prasyarat untuk menghubungkan pusat data ke VPC melalui IPsec-VPN?
Jenis perangkat gateway apa yang dapat terhubung ke VPN gateways?
Bisakah saya menentukan beberapa blok CIDR peer untuk koneksi IPsec-VPN?
Bagaimana cara meningkatkan bandwidth maksimum koneksi IPsec-VPN?
Bagaimana cara memilih versi IKE saat membuat koneksi IPsec-VPN?
Apa yang harus saya lakukan jika jumlah rute mencapai batas maksimum?
FAQ tentang SSL-VPN
Apa itu koneksi lintas batas dan koneksi intra-batas?
Alibaba Cloud VPN Gateway menyediakan layanan sesuai dengan kebijakan dan regulasi Tiongkok daratan. Anda hanya dapat menggunakan VPN Gateway untuk membangun koneksi intra-batas. Jika ingin menggunakan koneksi VPN untuk mengakses sumber daya lintas batas, lihat Bagaimana cara menggunakan koneksi VPN untuk mengakses sumber daya lintas batas?.
Koneksi intra-batas
Saat membuat koneksi IPsec-VPN, koneksi tersebut bersifat intra-batas jika wilayah pusat data dan peer memenuhi salah satu kondisi berikut:
region pusat data berada di Tiongkok daratan, dan peer juga berada di Tiongkok daratan.
Pusat data berada di luar Tiongkok daratan, dan peer juga berada di luar Tiongkok daratan.
Saat membuat koneksi SSL-VPN, koneksi tersebut bersifat intra-batas jika wilayah klien dan peer memenuhi salah satu kondisi berikut:
Klien berada di Tiongkok daratan, dan peer juga berada di Tiongkok daratan.
Klien berada di luar Tiongkok daratan, dan peer juga berada di luar Tiongkok daratan.
Contoh 1 | Contoh 2 |
Koneksi Lintas Batas
Saat membuat koneksi IPsec-VPN, koneksi tersebut bersifat lintas batas jika wilayah pusat data dan peer memenuhi salah satu kondisi berikut:
Pusat data berada di Tiongkok daratan, dan peer berada di luar Tiongkok daratan.
Pusat data berlokasi di daratan Tiongkok, sedangkan peer berlokasi di luar daratan Tiongkok.
Saat membuat koneksi SSL-VPN, koneksi tersebut bersifat lintas batas jika wilayah klien dan peer memenuhi salah satu kondisi berikut:
Klien berada di Tiongkok daratan, dan peer berada di luar Tiongkok daratan.
Klien berlokasi di Tiongkok daratan, sedangkan pihak lawan berada di luar Tiongkok daratan.
Contoh 1 | Contoh 2 |
Wilayah di Tiongkok daratan dan wilayah di luar Tiongkok daratan
Kategori | Wilayah |
Di Tiongkok daratan | Tiongkok (Qingdao), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Hohhot), Tiongkok (Ulanqab), Tiongkok (Shenzhen), Tiongkok (Heyuan), Tiongkok (Guangzhou), Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Nanjing - Local Region), Tiongkok (Chengdu) |
Di luar Tiongkok daratan | Tiongkok (Hong Kong), Singapura, Malaysia (Kuala Lumpur), Jepang (Tokyo), Indonesia (Jakarta), Filipina (Manila), Korea Selatan (Seoul), Thailand (Bangkok), Jerman (Frankfurt), Inggris (London), UEA (Dubai), AS (Silicon Valley), AS (Virginia), SAU (Riyadh - Partner Region), Meksiko Penting Wilayah SAU (Riyadh - Partner Region) dioperasikan oleh mitra. |
Bagaimana cara menggunakan koneksi VPN untuk mengakses sumber daya lintas batas?
Untuk menggunakan koneksi VPN guna mengakses sumber daya lintas batas, Anda dapat menggunakan transit routers. Transit routers menyediakan transmisi data latensi rendah dan kecepatan tinggi serta dapat menghubungkan sumber daya lintas batas (termasuk intra-batas), memungkinkan komunikasi antar-sumber daya di berbagai wilayah.
Bisakah saya menggunakan VPN gateways untuk mengakses Internet?
Tidak, Anda tidak dapat menggunakan VPN gateways untuk mengakses Internet.
Anda hanya dapat menggunakan VPN gateways untuk mengakses Virtual Private Cloud (VPC) melalui koneksi privat.
Apa saja prasyarat untuk menghubungkan pusat data ke VPC melalui IPsec-VPN?
Perangkat gateway pusat data mendukung protokol Internet Key Exchange versi 1 (IKEv1) atau IKEv2.
IPsec-VPN mendukung protokol IKEv1 dan IKEv2. Semua perangkat gateway yang mendukung protokol IKEv1 atau IKEv2 dapat terhubung ke VPN gateways di Alibaba Cloud. Untuk informasi lebih lanjut, lihat bagian Bagaimana cara memilih versi IKE saat mengonfigurasi koneksi IPsec-VPN? dari topik ini.
Alamat IP publik statis ditetapkan untuk perangkat gateway di pusat data.
Blok CIDR pusat data dan VPC tidak saling tumpang tindih.
Untuk informasi lebih lanjut tentang cara menghubungkan pusat data ke VPN menggunakan koneksi IPsec-VPN, lihat Hubungkan VPC ke pusat data dalam mode dual-tunnel.
Jenis perangkat gateway apa yang dapat terhubung ke VPN gateways?
Alibaba Cloud VPN gateways mendukung protokol standar IKEv1 dan IKEv2. Semua perangkat gateway yang mendukung protokol IKEv1 atau IKEv2 dapat terhubung ke Alibaba Cloud VPN gateways. Contohnya termasuk perangkat gateway yang disediakan oleh H3C, Hillstone, Sangfor, Cisco ASA, Juniper, SonicWall, Nokia, IBM, dan Ixia. Untuk informasi lebih lanjut, lihat Konfigurasikan gateway lokal.
Bisakah saya menggunakan VPN gateways untuk menghubungkan VPC di berbagai wilayah?
Ya, Anda dapat menggunakan VPN gateways untuk menghubungkan VPC di berbagai wilayah.
Untuk informasi lebih lanjut, lihat Aktifkan komunikasi antara dua VPC menggunakan koneksi IPsec-VPN dalam mode dual-tunnel.
Jika Anda membuat koneksi IPsec-VPN antara VPC di wilayah berbeda, kualitas koneksi dipengaruhi oleh kualitas Internet. Kami merekomendasikan Anda menggunakan CEN untuk menghubungkan VPC di wilayah berbeda. Untuk informasi lebih lanjut, lihat Hubungkan VPC di akun berbeda.
Apakah transfer data antar-VPC melewati Internet?
Dalam skenario di mana dua VPC dihubungkan menggunakan VPN gateways:
Jika VPC berada di wilayah yang sama, transfer data antar-VPC hanya melewati jaringan Alibaba Cloud dan tidak melewati Internet.
Jika VPC berada di wilayah berbeda, transfer data melewati Internet.
Apa perbedaan antara server IPsec dan server SSL?
Item | Server IPsec | Server SSL |
Skenario penggunaan | Menyediakan koneksi end-to-site. | Menyediakan koneksi end-to-site. |
Mode klien | Mengizinkan klien seluler yang menjalankan iOS untuk membangun koneksi IPsec-VPN ke Alibaba Cloud. | Mengizinkan klien seluler yang menjalankan Android dan komputer untuk membangun koneksi SSL-VPN ke Alibaba Cloud. |
Mode koneksi | Mengizinkan klien seluler yang menjalankan iOS untuk membangun koneksi IPsec-VPN ke Alibaba Cloud menggunakan fitur VPN bawaan. | Mengizinkan klien seluler yang menjalankan Android dan komputer untuk membangun koneksi SSL-VPN ke Alibaba Cloud menggunakan OpenVPN. |
Metode enkripsi | IPsec | Sertifikat SSL |
Bisakah saya menentukan beberapa blok CIDR peer untuk koneksi IPsec-VPN?
Ya, Anda dapat menentukan beberapa blok CIDR peer untuk koneksi IPsec-VPN.
Sebelum mengonfigurasi beberapa blok CIDR peer, kami merekomendasikan Anda mempelajari proposal untuk mengonfigurasi beberapa blok CIDR. Untuk informasi lebih lanjut, lihat Saran konfigurasi dan FAQ tentang mengaktifkan komunikasi di antara blok CIDR.
Berapa banyak koneksi IPsec-VPN yang dapat dibuat pada sebuah VPN gateway?
Secara default, Anda dapat membuat hingga 10 koneksi IPsec-VPN pada sebuah VPN gateway. Anda dapat menyesuaikan kuota di konsol Quota Center. Untuk informasi lebih lanjut, lihat Kelola kuota IPsec-VPN.
Bagaimana cara mengonfigurasi aturan ACL untuk sebuah VPN gateway?
Jenis VPN gateway | Aturan ACL |
IPsec-VPN | Konfigurasikan aturan keluar dan masuk untuk mengizinkan blok CIDR dan alamat IP berikut. Dengan cara ini, VPN gateway dapat membangun koneksi IPsec-VPN.
|
SSL-VPN | Konfigurasikan aturan keluar dan masuk untuk mengizinkan blok CIDR dan alamat IP berikut dan buka port yang dapat digunakan oleh koneksi SSL-VPN. Dengan cara ini, VPN gateway dapat membangun koneksi SSL-VPN.
|
Bisakah saya meningkatkan atau menurunkan spesifikasi sebuah VPN gateway?
Ya, Anda dapat meningkatkan atau menurunkan spesifikasi sebuah VPN gateway.
Untuk informasi lebih lanjut tentang cara meningkatkan atau menurunkan bandwidth VPN gateway, lihat Tingkatkan atau turunkan spesifikasi VPN gateway.
Untuk informasi lebih lanjut tentang cara meningkatkan atau mengurangi kuota koneksi SSL-VPN, lihat Ubah jumlah maksimum koneksi SSL bersamaan.
Untuk informasi lebih lanjut tentang cara mengaktifkan IPsec-VPN atau SSL-VPN untuk sebuah VPN gateway, lihat Aktifkan IPsec-VPN dan Aktifkan SSL-VPN.
Bisakah saya melihat informasi koneksi tentang klien SSL pada sebuah VPN gateway?
Ya, Anda dapat melihat informasi koneksi tentang klien SSL pada sebuah VPN gateway.
Untuk informasi lebih lanjut, lihat Lihat informasi tentang klien SSL.
Jika VPN gateway Anda dibuat setelah 10 Desember 2022, Anda dapat melihat informasi koneksi tentang klien SSL secara default.
Jika VPN gateway Anda yang terhubung dengan server SSL dibuat sebelum 10 Desember 2022, Anda tidak dapat melihat informasi koneksi tentang klien SSL secara default. Untuk melihat informasi tersebut, Anda harus memperbarui VPN gateway.
Bisakah saya mengaktifkan SSL-VPN untuk VPN gateways yang dibuat sebelum tanggal rilis SSL-VPN?
Tidak, Anda tidak dapat mengaktifkan SSL-VPN untuk VPN gateways yang dibuat sebelum tanggal rilis SSL-VPN.
Untuk mengaktifkan SSL-VPN, perbarui VPN gateways ke versi terbaru. Untuk informasi lebih lanjut, lihat Perbarui VPN gateway.
Bagaimana cara memilih versi IKE saat membuat koneksi IPsec-VPN?
Saat membuat koneksi IPsec-VPN, Anda dapat memilih versi IKE berdasarkan versi IKE yang didukung oleh perangkat gateway peer dan apakah komunikasi di antara beberapa blok CIDR diperlukan.
Komunikasi di antara beberapa blok CIDR akan dibangun jika Anda menentukan beberapa blok CIDR lokal (Local Network) atau blok CIDR peer (Remote Network) saat membuat koneksi IPsec-VPN.
Versi IKE yang didukung | Apakah komunikasi di antara beberapa blok CIDR diperlukan | Konfigurasi |
Hanya IKEv1 | Ya |
|
Tidak | Baik koneksi IPsec-VPN maupun perangkat gateway peer menggunakan IKEv1. | |
Hanya IKEv2 | Ya |
|
Tidak | Baik koneksi IPsec-VPN maupun perangkat gateway peer menggunakan IKEv2. | |
IKEv1 dan IKEv2 | Ya |
|
Tidak | Kami merekomendasikan agar baik koneksi IPsec-VPN maupun perangkat gateway peer menggunakan IKEv2. Dibandingkan dengan IKEv1, IKEv2 menyederhanakan proses negosiasi SA dan memberikan dukungan yang lebih baik untuk skenario di mana beberapa blok CIDR digunakan. Oleh karena itu, kami merekomendasikan Anda menggunakan IKEv2. |
Setelah alamat IP pusat data diterjemahkan oleh NAT, bagaimana pusat data tersebut membangun koneksi IPsec-VPN dengan VPN gateway?
Sebagai contoh, sebuah pusat data berencana menggunakan 42.XX.XX.1 untuk membangun koneksi IPsec-VPN dengan Alibaba Cloud VPN gateway. Pusat data memiliki SNAT diaktifkan. SNAT menerjemahkan 42.XX.XX.1 menjadi 47.XX.XX.21. Saat Anda membuat gateway pelanggan di konsol VPN Gateway, Anda harus memasukkan 47.XX.XX.21 sebagai alamat IP gateway pelanggan. Jika tidak, pusat data tidak dapat membangun koneksi IPsec-VPN dengan Alibaba Cloud VPN gateway.
Kami merekomendasikan Anda menggunakan port IPsec default (port 500 atau port 4500) untuk membangun koneksi IPsec-VPN dengan VPN gateways.
Jika baik public VPN gateway maupun VPC yang terhubung dengan VPN gateway memiliki NAT diaktifkan, alamat IP public VPN gateway tetap tidak berubah dan tidak akan diterjemahkan oleh NAT.
Bagaimana cara meningkatkan bandwidth maksimum koneksi IPsec-VPN?
Jika koneksi IPsec terhubung dengan VPN gateway, bandwidth maksimum koneksi IPsec-VPN adalah 1.000 Mbit/s. Di wilayah tertentu, bandwidth maksimum adalah 500 Mbit/s. Untuk meningkatkan bandwidth maksimum, kami merekomendasikan Anda menghubungkan koneksi IPsec dengan transit router untuk menghubungkan pusat data ke VPC.
Setelah koneksi IPsec terhubung dengan transit router, bandwidth maksimum koneksi IPsec-VPN adalah 1.000 Mbit/s. Untuk meningkatkan bandwidth maksimum, Anda dapat membangun beberapa koneksi IPsec-VPN antara transit router dan pusat data Anda. Dengan cara ini, lalu lintas jaringan ditransmisikan antara pusat data Anda dan Alibaba Cloud melalui beberapa koneksi IPsec-VPN. Gambar berikut menunjukkan contohnya. Untuk informasi lebih lanjut, lihat Buat beberapa koneksi IPsec-VPN melalui Internet untuk load balancing dan Buat beberapa koneksi IPsec-VPN privat untuk implementasi load balancing.
Koneksi IPsec-VPN yang dibuat melalui Internet:
Koneksi IPsec-VPN yang dibuat melalui jaringan privat:
Bisakah sebuah VPN gateway meneruskan lalu lintas dari instance ECS yang ditempatkan di zona berbeda dalam satu VPC?
Ya, sebuah VPN gateway dapat meneruskan lalu lintas dari instance Elastic Compute Service (ECS) yang ditempatkan di zona berbeda dalam satu VPC.
Saat Anda membuat VPN gateway, Anda harus menentukan vSwitch. VPN gateway ditempatkan di zona tempat vSwitch tersebut berada. VPN gateway dapat meneruskan lalu lintas jaringan untuk semua instance ECS di semua zona VPC.
Anda mungkin perlu menambahkan rute untuk menentukan bagaimana lalu lintas jaringan ECS diteruskan berdasarkan skenario aktual. Sebagai contoh, jika vSwitch di zona tertentu dikaitkan dengan tabel rute kustom, Anda perlu menambahkan rute yang menunjuk ke VPN gateway ke tabel rute kustom tersebut.
Bagaimana cara memecahkan masalah kesalahan rute tumpang tindih yang dilaporkan saat saya menambahkan rute ke VPN gateway?
Penyebab potensial dari kesalahan ini meliputi:
Blok CIDR tujuan dari rute yang ingin Anda tambahkan sama dengan blok CIDR tujuan dari rute yang sudah ada di tabel rute VPC. Periksa rute di tabel rute VPC dan hindari rute tumpang tindih.
Rute yang ingin Anda tambahkan tumpang tindih dengan rute yang sudah ada di VPN gateway. Periksa rute di tabel rute berbasis kebijakan dan tabel rute berbasis tujuan dari VPN gateway.
Jika Anda menambahkan rute berbasis tujuan yang memiliki blok CIDR tujuan dan next hop yang sama dengan rute berbasis tujuan yang sudah ada di VPN gateway, kesalahan rute tumpang tindih dilaporkan.
Jika Anda menambahkan rute berbasis kebijakan yang memiliki blok CIDR sumber, blok CIDR tujuan, dan next hop yang sama dengan rute berbasis kebijakan yang sudah ada di VPC gateway, kesalahan rute tumpang tindih dilaporkan.
Mengapa bandwidth koneksi VPN tidak sesuai dengan spesifikasi bandwidth yang saya beli?
Setelah Anda membeli VPN gateway, VPN gateway menyediakan bandwidth sesuai dengan spesifikasi yang Anda beli. Namun, bandwidth Anda mungkin terpengaruh karena penyebab berikut saat VPN gateway Anda mentransfer data:
Fitur perangkat yang terhubung dengan gateway pelanggan, jumlah koneksi bersamaan, ukuran rata-rata paket, dan protokol yang digunakan, seperti TCP atau UDP.
Latensi jaringan antara perangkat yang terhubung dengan gateway pelanggan dan VPN Gateway.
CatatanJika Anda membeli public VPN gateway atau menggunakan koneksi IPsec-VPN yang dibuat melalui Internet, bandwidth publik dan latensi Internet dapat memengaruhi bandwidth Anda.
Jika Anda ingin menguji bandwidth VPN gateway Anda, kami merekomendasikan Anda menggunakan iPerf3. Kecepatan transfer file dengan menjalankan perintah seperti scp, ftp, dan cp tidak dapat mencerminkan bandwidth aktual karena pengaruh kecepatan baca dan tulis disk. Untuk informasi lebih lanjut tentang cara menggunakan iPerf3, lihat bagian Gunakan iPerf3 untuk menguji bandwidth sirkuit Express Connect dari topik "Uji performa sirkuit Express Connect".
Jika Anda membutuhkan kualitas transmisi yang lebih tinggi, kami merekomendasikan Anda menggunakan CEN. Untuk informasi lebih lanjut, lihat Apa itu CEN?.
Bisakah saya menggunakan VPN gateway untuk mengenkripsi lalu lintas antara VPC dan alamat IP publik?
Ya, Anda dapat menggunakan VPN gateway untuk mengenkripsi lalu lintas antara VPC dan alamat IP publik.
Jika klien atau pusat data Anda terhubung ke VPC menggunakan VPN gateway dan perlu mengakses sumber daya di VPC menggunakan alamat IP publik, Anda harus melakukan operasi berikut:
Tambahkan blok CIDR publik tempat alamat IP publik tersebut termasuk ke dalam VPN gateway.
Jika Anda menggunakan koneksi IPsec-VPN, tambahkan blok CIDR publik ke blok CIDR peer (Remote Network) dari koneksi IPsec-VPN.
Jika Anda menggunakan koneksi SSL-VPN, tambahkan blok CIDR publik ke blok CIDR klien (Client CIDR Block) dari server SSL.
Tetapkan blok CIDR publik tempat alamat IP publik tersebut termasuk sebagai blok CIDR pengguna VPC. Ini memastikan bahwa VPC dapat mengakses blok CIDR publik. Untuk informasi lebih lanjut, lihat Apa itu blok CIDR pengguna? dan Bagaimana cara mengonfigurasi blok CIDR pengguna?.
Apa yang harus saya lakukan jika jumlah rute mencapai batas maksimum?
Jika jumlah rute berbasis kebijakan, rute berbasis tujuan, atau rute Border Gateway Protocol (BGP) mencapai batas maksimum, dan Anda tidak dapat menambahkan rute atau koneksi IPsec-VPN tidak dapat mempelajari rute dari BGP, Anda dapat menyelesaikan masalah ini dengan melakukan operasi berikut:
Tingkatkan kuota rute.
Anda dapat meningkatkan kuota rute berbasis kebijakan, rute berbasis tujuan, atau rute BGP. Untuk informasi lebih lanjut, lihat Kuota IPsec-VPN.
Konfigurasikan rute agregat.
Anda dapat menggabungkan beberapa rute menjadi satu rute tanpa memengaruhi bisnis Anda.
Sebagai contoh, Anda telah mengonfigurasi tiga rute berbasis tujuan yang blok CIDR tujuannya masing-masing adalah 10.10.1.0/24, 10.10.2.0/24, dan 10.10.3.0/24, dan next hop mereka menunjuk ke koneksi IPsec-VPN 1. Dalam kasus ini, Anda dapat menambahkan rute berbasis tujuan yang blok CIDR tujuannya adalah 10.10.0.0/22 dan next hop menunjuk ke koneksi IPsec-VPN 1. Kemudian, Anda dapat menghapus tiga rute berbasis tujuan tersebut.