Topik ini menjelaskan pertanyaan yang sering diajukan mengenai gateway VPN.
Tautan Cepat ke FAQ
Pertanyaan Produk
Dapatkah saya menggunakan gateway VPN untuk mengakses Internet?
Dapatkah VPC di wilayah berbeda berkomunikasi melalui gateway VPN?
Bagaimana cara mengonfigurasi aturan ACL jaringan untuk gateway VPN?
Dapatkah saya melakukan peningkatan atau penurunan konfigurasi gateway VPN?
Mengapa bandwidth koneksi VPN tidak memenuhi spesifikasi bandwidth yang dibeli?
Dapatkah lalu lintas antara VPC dan alamat IP publik dienkripsi oleh gateway VPN?
Fitur IPsec-VPN
Berapa banyak koneksi IPsec yang dapat dibuat oleh setiap gateway VPN?
Apa saja prasyarat agar pusat data dapat terhubung ke VPC melalui IPsec-VPN?
Perangkat gateway lokal apa saja yang dapat terhubung ke gateway VPN Alibaba Cloud?
Dapatkah saya mengonfigurasi beberapa blok CIDR peer dalam satu koneksi IPsec?
Bagaimana cara memilih versi IKE saat mengonfigurasi koneksi IPsec-VPN?
Apa yang harus saya lakukan jika jumlah rute melebihi batas?
Fitur SSL-VPN
Apa itu koneksi non-lintas batas dan koneksi lintas batas?
Alibaba Cloud VPN Gateway menyediakan layanan sesuai dengan kebijakan dan regulasi di Tiongkok daratan. Anda hanya dapat menggunakan VPN Gateway untuk membuat koneksi non-lintas batas. Untuk informasi lebih lanjut tentang mengakses resource lintas batas menggunakan koneksi VPN, lihat Bagaimana cara menggunakan koneksi VPN untuk mengakses resource lintas batas?.
Koneksi Non-lintas Batas
Saat membuat koneksi IPsec-VPN, koneksi tersebut dianggap non-lintas batas jika wilayah pusat data dan resource peer memenuhi salah satu kondisi berikut:
Pusat data berada di wilayah di Tiongkok daratan, dan resource peer berada di wilayah Alibaba Cloud di Tiongkok daratan.
Pusat data berada di luar Tiongkok daratan, dan resource peer berada di wilayah Alibaba Cloud di luar Tiongkok daratan.
Saat membuat koneksi SSL-VPN, koneksi tersebut dianggap non-lintas batas jika wilayah client dan resource peer memenuhi salah satu kondisi berikut:
Client berada di Tiongkok daratan, dan resource peer berada di wilayah Alibaba Cloud di Tiongkok daratan.
Client berada di luar Tiongkok daratan, dan resource peer berada di wilayah Alibaba Cloud di luar Tiongkok daratan.
Contoh 1 | Contoh 2 |
 |  |
Koneksi Lintas Batas
Saat membuat koneksi IPsec-VPN, koneksi tersebut dianggap lintas batas jika wilayah pusat data dan resource peer memenuhi salah satu kondisi berikut:
Pusat data berada di Tiongkok daratan, dan resource peer berada di wilayah Alibaba Cloud di luar Tiongkok daratan.
Pusat data berada di luar Tiongkok daratan, dan resource peer berada di wilayah Alibaba Cloud di Tiongkok daratan.
Saat membuat koneksi SSL-VPN, koneksi tersebut dianggap lintas batas jika wilayah client dan resource peer memenuhi salah satu kondisi berikut:
Client berada di Tiongkok daratan, dan resource peer berada di wilayah Alibaba Cloud di luar Tiongkok daratan.
Client berada di luar Tiongkok daratan, dan resource peer berada di wilayah Alibaba Cloud di Tiongkok daratan.
Contoh 1 | Contoh 2 |
 |  |
Wilayah di Tiongkok daratan dan wilayah di luar Tiongkok daratan
Klasifikasi wilayah | Wilayah yang termasuk |
Tiongkok daratan | China (Qingdao), China (Beijing), China (Zhangjiakou), China (Hohhot), China (Ulanqab), China (Shenzhen), China (Heyuan), China (Guangzhou), China (Hangzhou), China (Shanghai), China (Nanjing - Local Region), China (Chengdu) |
Luar Tiongkok daratan | China (Hong Kong), Singapura, Malaysia (Kuala Lumpur), Jepang (Tokyo), Indonesia (Jakarta), Filipina (Manila), Korea Selatan (Seoul), Thailand (Bangkok), Jerman (Frankfurt), Inggris (London), UEA (Dubai), AS (Silicon Valley), AS (Virginia), SAU (Riyadh - Partner Region), Meksiko |
Bagaimana cara menggunakan koneksi VPN untuk mengakses resource lintas batas?
Untuk mengakses resource lintas batas menggunakan koneksi VPN, gunakan produk router transit. Router transit menyediakan transmisi jaringan berlatensi rendah dan berkecepatan tinggi, memungkinkan saluran komunikasi jaringan pribadi antar-resource di wilayah berbeda, termasuk koneksi lintas batas, serta memfasilitasi interkoneksi arbitrer antar-resource di wilayah berbeda.
Contoh topologi jaringan:
IPsec-VPN | SSL-VPN |
 |  |
Dapatkah saya menggunakan gateway VPN untuk mengakses Internet?
No.
Gateway VPN hanya menyediakan akses jaringan pribadi ke VPC, bukan akses Internet.
Apa saja prasyarat agar pusat data dapat terhubung ke VPC melalui IPsec-VPN?
Perangkat gateway di lokasi lokal harus mendukung protokol IKEv1 dan IKEv2.
IPsec-VPN mendukung protokol IKEv1 dan IKEv2. Perangkat gateway apa pun yang mendukung salah satu protokol IKEv1 atau IKEv2 dapat terhubung ke gateway VPN Alibaba Cloud. Untuk informasi lebih lanjut, lihat Bagaimana cara memilih versi IKE saat mengonfigurasi koneksi IPsec-VPN?.
Perangkat gateway di lokasi lokal harus memiliki alamat IP publik statis.
Blok CIDR pusat data dan VPC tidak boleh tumpang tindih.
Untuk informasi lebih lanjut tentang cara menghubungkan pusat data ke VPC menggunakan koneksi IPsec-VPN, lihat Hubungkan VPC ke pusat data dalam mode dual-tunnel.
Perangkat gateway lokal apa saja yang dapat terhubung ke gateway VPN Alibaba Cloud?
Gateway VPN Alibaba Cloud mendukung protokol standar IKEv1 dan IKEv2. Perangkat gateway apa pun yang mendukung salah satu protokol IKEv1 atau IKEv2 dapat terhubung ke gateway VPN Alibaba Cloud. Misalnya, perangkat gateway dari H3C, Hillstone, Sangfor, Cisco ASA, Juniper, SonicWall, Nokia, IBM, dan Ixia dapat terhubung ke gateway VPN Alibaba Cloud. Untuk informasi lebih lanjut, lihat Konfigurasi gateway lokal.
Dapatkah VPC di wilayah berbeda berkomunikasi melalui gateway VPN?
Ya.
Untuk informasi lebih lanjut, lihat Aktifkan komunikasi antara dua VPC menggunakan koneksi IPsec-VPN dalam mode dual-tunnel.
Jika Anda membuat koneksi IPsec-VPN antara VPC di wilayah berbeda, kualitas Internet akan memengaruhi kualitas koneksi. Kami merekomendasikan penggunaan Cloud Enterprise Network (CEN) untuk menghubungkan VPC di wilayah berbeda. Untuk informasi lebih lanjut, lihat Hubungkan VPC lintas akun.
Apakah lalu lintas antar-VPC mengalir melalui Internet?
Saat menggunakan gateway VPN untuk mengaktifkan komunikasi antar-VPC:
Jika dua VPC berada di wilayah yang sama, lalu lintas hanya mengalir melalui jaringan Alibaba Cloud, bukan Internet.
Jika dua VPC berada di wilayah berbeda, lalu lintas mengalir melalui Internet.
Apa perbedaan antara server IPsec dan server SSL?
Item | Server IPsec | Server SSL |
Skenario penggunaan | Menyediakan koneksi end-to-site. | Menyediakan koneksi end-to-site. |
Mode client | Memungkinkan client seluler yang menjalankan iOS membuat koneksi IPsec-VPN ke Alibaba Cloud. | Memungkinkan client seluler yang menjalankan Android dan komputer membuat koneksi SSL-VPN ke Alibaba Cloud. |
Mode koneksi | Memungkinkan client seluler yang menjalankan iOS membuat koneksi IPsec-VPN ke Alibaba Cloud menggunakan fitur VPN bawaan. | Memungkinkan client seluler yang menjalankan Android dan komputer membuat koneksi SSL-VPN ke Alibaba Cloud menggunakan OpenVPN. |
Metode enkripsi | IPsec | Sertifikat SSL |
Dapatkah saya mengonfigurasi beberapa blok CIDR peer dalam satu koneksi IPsec?
Didukung.
Sebelum mengonfigurasi beberapa blok CIDR peer, kami menyarankan Anda meninjau proposal untuk mengonfigurasi beberapa blok CIDR. Untuk informasi lebih lanjut, lihat Saran konfigurasi dan FAQ tentang mengaktifkan komunikasi antar-blok CIDR.
Berapa banyak koneksi IPsec yang dapat dibuat oleh setiap gateway VPN?
Setiap gateway VPN mendukung hingga 10 koneksi IPsec-VPN secara default. Anda dapat menyesuaikan kuota ini di Konsol Manajemen Alibaba Cloud. Untuk informasi lebih lanjut, lihat Kelola kuota IPsec-VPN.
Bagaimana cara mengonfigurasi aturan ACL jaringan untuk gateway VPN?
Jenis Gateway VPN | Aturan Konfigurasi |
IPsec-VPN | Konfigurasikan aturan pada arah outbound dan inbound ACL jaringan untuk mengizinkan blok CIDR dan alamat IP berikut. Hal ini memastikan gateway VPN dapat membuat koneksi IPsec-VPN:
|
SSL-VPN | Konfigurasikan aturan pada arah outbound dan inbound ACL jaringan untuk mengizinkan blok CIDR dan alamat IP berikut, serta buka port SSL-VPN. Hal ini memastikan gateway VPN dapat membuat koneksi SSL-VPN:
|
Dapatkah saya melakukan peningkatan atau penurunan konfigurasi gateway VPN?
Ya.
Untuk melakukan peningkatan atau penurunan bandwidth gateway VPN, lihat Peningkatan atau penurunan gateway VPN.
Untuk melakukan peningkatan atau penurunan kuota koneksi SSL-VPN untuk Gateway VPN Anda, lihat Ubah Jumlah Maksimum Koneksi SSL-VPN Bersamaan.
Untuk mengaktifkan fitur IPsec-VPN atau fitur SSL-VPN untuk Gateway VPN, lihat Aktifkan IPsec-VPN dan Aktifkan fitur SSL-VPN.
Apakah VPN Gateway mendukung penampilan informasi koneksi client untuk koneksi SSL-VPN?
Didukung.
Untuk operasi spesifik, lihat Lihat informasi koneksi client SSL.
Jika gateway VPN Anda dibuat setelah 10 Desember 2022, Anda dapat melihat informasi koneksi client SSL secara default.
Jika gateway VPN Anda yang terkait dengan server SSL dibuat sebelum 10 Desember 2022, Anda tidak dapat melihat informasi koneksi client SSL secara default. Untuk melihat informasi tersebut, Anda harus meningkatkan gateway VPN.
Dapatkah instans gateway VPN yang dibeli sebelum rilis SSL-VPN menggunakan fitur SSL-VPN?
Tidak.
Untuk menggunakan fitur ini, Anda dapat meningkatkan Gateway VPN ke versi terbaru. Untuk petunjuk detail, lihat Tingkatkan Gateway VPN.
Bagaimana cara memilih versi IKE saat mengonfigurasi koneksi IPsec-VPN?
Saat mengonfigurasi koneksi IPsec-VPN, pilih versi IKE berdasarkan dukungan perangkat gateway peer dan apakah komunikasi multi-blok CIDR diperlukan.
Komunikasi antar beberapa blok CIDR dibuat jika Anda menentukan beberapa blok CIDR Local Network atau Remote Network saat mengonfigurasi koneksi IPsec-VPN.
Dukungan Versi IKE untuk Perangkat Gateway Peer Koneksi IPsec | Apakah Komunikasi Multi-Blok CIDR Diperlukan? | Deskripsi Solusi Konfigurasi |
Hanya IKEv1 | Ya |
|
Tidak | Baik koneksi IPsec maupun perangkat gateway peer menggunakan IKEv1. | |
Hanya IKEv2 | Ya |
|
Tidak | Baik koneksi IPsec maupun perangkat gateway peer menggunakan IKEv2. | |
Mendukung IKEv1 dan IKEv2 | Ya |
|
Tidak | Baik koneksi IPsec maupun perangkat gateway peer sebaiknya menggunakan IKEv2. Dibandingkan dengan IKEv1, IKEv2 menyederhanakan proses negosiasi SA dan menawarkan dukungan yang lebih baik untuk skenario multi-blok CIDR. Oleh karena itu, kami merekomendasikan penggunaan IKEv2. |
Setelah alamat IP pusat data diterjemahkan oleh NAT, bagaimana cara membuat koneksi IPsec-VPN dengan gateway VPN Alibaba Cloud?
Misalnya, jika pusat data berencana menggunakan 42.XX.XX.1 untuk membuat koneksi IPsec-VPN dengan gateway VPN Alibaba Cloud, tetapi pusat data menggunakan SNAT, lalu lintas dari 42.XX.XX.1 akan diterjemahkan menjadi 47.XX.XX.21. Dalam kasus ini, saat Anda membuat instans gateway pelanggan di Konsol Manajemen Gateway VPN Alibaba Cloud, masukkan 47.XX.XX.21 sebagai alamat IP instans gateway pelanggan. Hal ini memungkinkan gateway VPN Alibaba Cloud membuat koneksi IPsec-VPN dengan pusat data.
Kami merekomendasikan agar pusat data menggunakan port protokol IPsec default (500 dan 4500) untuk membuat koneksi IPsec-VPN dengan gateway VPN. Jangan mengubah nomor port.
Di sisi Alibaba Cloud, jika gateway VPN publik dikaitkan dengan instans VPC yang juga memiliki Gateway NAT yang diaktifkan, alamat IP instans gateway VPN publik tetap tidak berubah dan tidak diterjemahkan oleh Gateway NAT.
Bagaimana cara meningkatkan bandwidth koneksi IPsec-VPN?
Saat koneksi IPsec dikaitkan dengan instans gateway VPN, bandwidth maksimum instans gateway VPN adalah 1.000 Mbps (bandwidth maksimum adalah 500 Mbps di beberapa wilayah). Untuk meningkatkan bandwidth koneksi IPsec-VPN, kami merekomendasikan agar Anda mengaitkan koneksi IPsec ke instans router transit untuk menghubungkan pusat data Anda ke Alibaba Cloud. Router transit memungkinkan komunikasi jaringan antara pusat data Anda dan VPC.
Setelah koneksi IPsec dikaitkan dengan router transit, bandwidth maksimum koneksi IPsec-VPN adalah 1.000 Mbit/s. Untuk meningkatkan bandwidth maksimum, Anda dapat membuat beberapa koneksi IPsec-VPN antara router transit dan pusat data Anda. Dengan cara ini, lalu lintas jaringan ditransmisikan antara pusat data Anda dan Alibaba Cloud melalui beberapa koneksi IPsec-VPN, seperti yang ditunjukkan pada gambar berikut. Untuk informasi lebih lanjut, lihat Buat beberapa koneksi IPsec-VPN melalui Internet untuk load balancing dan Buat beberapa koneksi IPsec-VPN privat untuk mengimplementasikan load balancing.
Skenario di mana jenis jaringan koneksi IPsec adalah publik:
Skenario di mana jenis jaringan koneksi IPsec adalah privat:
Dapatkah instans ECS di zona lain dalam suatu VPC meneruskan lalu lintas melalui instans gateway VPN?
Ya.
Saat Anda membuat instans gateway VPN, tentukan vSwitch. Sistem akan men-deploy gateway VPN di zona tempat vSwitch yang ditentukan berada. Setelah dibuat, instans gateway VPN dapat meneruskan lalu lintas untuk instans ECS di semua zona instans VPC.
Anda mungkin perlu menambahkan konfigurasi routing sesuai kebutuhan agar instans gateway VPN dapat meneruskan lalu lintas instans ECS. Misalnya, jika vSwitch di suatu zona dikaitkan dengan tabel rute kustom instans VPC, Anda harus menambahkan rute kustom yang mengarah ke instans gateway VPN di tabel rute kustom tersebut.
Apa yang harus saya lakukan jika sistem melaporkan error tumpang tindih rute saat menambahkan rute ke instans gateway VPN?
Saat Anda menambahkan rute ke instans gateway VPN, error sistem biasanya terjadi karena dua alasan:
Blok CIDR tujuan dari rute yang Anda tambahkan sama dengan rute di instans VPC. Periksa konfigurasi routing di tabel rute instans VPC untuk menyelesaikan konflik rute.
Rute yang Anda tambahkan bertentangan dengan rute di instans gateway VPN. Periksa konfigurasi routing di tabel rute berbasis kebijakan dan tabel rute berbasis tujuan instans gateway VPN untuk menyelesaikan konflik rute.
Jika Anda menambahkan rute berbasis tujuan yang blok CIDR tujuan dan lompatan berikutnya sama dengan rute berbasis tujuan yang sudah ada di instans gateway VPN, maka terjadi konflik rute.
Jika Anda menambahkan rute berbasis kebijakan yang blok CIDR sumber, blok CIDR tujuan, dan lompatan berikutnya sama dengan rute berbasis kebijakan yang sudah ada di instans gateway VPN, maka terjadi konflik rute.
Mengapa bandwidth koneksi VPN tidak memenuhi spesifikasi bandwidth yang dibeli?
Setelah Anda membeli gateway VPN, gateway tersebut menyediakan kapasitas bandwidth yang dibeli. Namun, faktor-faktor berikut dapat memengaruhi pengalaman bandwidth Anda selama transmisi lalu lintas:
Fungsi perangkat yang dikaitkan dengan instans gateway pelanggan, kapasitas koneksi, ukuran paket rata-rata, dan protokol yang digunakan (TCP dan UDP).
Latensi jaringan antara perangkat yang dikaitkan dengan instans gateway pelanggan dan gateway VPN.
CatatanJika Anda membeli instans gateway VPN jenis jaringan publik atau menggunakan koneksi IPsec jenis jaringan publik, kapasitas bandwidth publik dan latensi jaringan publik dapat memengaruhi pengalaman bandwidth Anda.
Jika Anda ingin menguji bandwidth gateway VPN Anda, kami merekomendasikan penggunaan iPerf3. Laju transfer file dengan menjalankan perintah seperti scp, ftp, dan cp tidak dapat mencerminkan bandwidth aktual karena dipengaruhi oleh kecepatan baca dan tulis disk. Untuk informasi lebih lanjut tentang cara menggunakan iPerf3, lihat Gunakan iPerf3 untuk menguji bandwidth sirkuit Express Connect.
Jika Anda memerlukan kualitas transmisi yang lebih tinggi, kami merekomendasikan penggunaan produk CEN.
Dapatkah lalu lintas antara VPC dan alamat IP publik dienkripsi oleh gateway VPN?
Ya.
Jika client atau pusat data Anda terhubung ke VPC menggunakan gateway VPN dan perlu mengakses resource di VPC menggunakan alamat IP publik, Anda harus melakukan operasi berikut:
Tambahkan blok CIDR alamat IP publik ke Gateway VPN:
Jika Anda menggunakan koneksi IPsec-VPN, tambahkan blok CIDR publik ke Remote Network koneksi IPsec-VPN.
Jika Anda menggunakan koneksi SSL-VPN, tambahkan blok CIDR publik ke Client CIDR Block server SSL.
Anda harus menetapkan blok CIDR publik sebagai blok CIDR pengguna untuk virtual private cloud (VPC). Hal ini memastikan VPC dapat mengakses blok CIDR publik. Untuk informasi lebih lanjut tentang blok CIDR pengguna, lihat FAQ VPC dan FAQ VPC.
Apa yang harus saya lakukan jika jumlah rute melebihi batas?
Jika jumlah rute melebihi batas saat menggunakan rute berbasis kebijakan, rute berbasis tujuan, atau perutean dinamis BGP, sehingga mencegah Anda menambahkan rute baru atau mencegah koneksi IPsec mempelajari rute BGP, Anda dapat menyelesaikan masalah ini dengan dua metode berikut:
Tingkatkan kuota rute.
Anda dapat meningkatkan kuota rute berbasis kebijakan, rute berbasis tujuan, atau rute BGP. Untuk informasi lebih lanjut, lihat Kuota IPsec-VPN.
Konfigurasikan rute agregat.
Agregasikan beberapa rute yang dikonfigurasi menjadi satu rute tanpa memengaruhi bisnis Anda.
Misalnya, jika Anda mengonfigurasi tiga rute berbasis tujuan dengan blok CIDR tujuan 10.10.1.0/24, 10.10.2.0/24, dan 10.10.3.0/24, semuanya mengarah ke koneksi IPsec yang sama (misalnya, koneksi IPsec 1), Anda dapat menambahkan rute berbasis tujuan baru dengan blok CIDR tujuan 10.10.0.0/22 dan lompatan berikutnya mengarah ke koneksi IPsec 1. Kemudian, hapus tiga rute berbasis tujuan asli untuk menghemat kuota rute tujuan.