VPN Gateway：Hubungkan perangkat iOS ke gateway VPN menggunakan perangkat lunak VPN bawaan

Prasyarat

• Akun Alibaba Cloud telah dibuat. Jika Anda belum memiliki Akun Alibaba Cloud, buat satu.

• Anda menggunakan iPhone.

• VPC telah dibuat di wilayah yang mendukung server IPsec. Untuk informasi lebih lanjut, lihat Buat VPC dengan Blok CIDR IPv4.

  Catatan

  • Saat ini, hanya wilayah berikut yang mendukung server IPsec: Cina (Hangzhou), Cina (Shanghai), Cina (Nanjing - Local Region), Cina (Qingdao), Cina (Beijing), Cina (Zhangjiakou), Cina (Hohhot), Cina (Ulanqab), Cina (Shenzhen), Cina (Heyuan), Cina (Guangzhou), Cina (Chengdu), Cina (Hong Kong), Jepang (Tokyo), Korea Selatan (Seoul), Singapura, Malaysia (Kuala Lumpur), Indonesia (Jakarta), Filipina (Manila), Thailand (Bangkok), Jerman (Frankfurt), Inggris (London), AS (Virginia), AS (Silicon Valley), UEA (Dubai), Meksiko, SAU (Riyadh - Partner Region).

  • Hanya perangkat iOS yang dapat terhubung ke Gateway VPN menggunakan perangkat lunak VPN bawaan.

Skenario

Sebuah perusahaan telah membuat instance Elastic Compute Service (ECS) di wilayah Cina (Qingdao) dan menerapkan aplikasi perusahaan pada instance ECS tersebut. Karena pertumbuhan bisnis, karyawan yang sedang melakukan perjalanan bisnis perlu mengakses aplikasi perusahaan yang diterapkan di Alibaba Cloud dari perangkat iOS secara remote.

Anda dapat membuat Gateway VPN dan kemudian menambahkan server IPsec pada gateway tersebut. Dengan cara ini, karyawan dapat menggunakan perangkat lunak VPN bawaan perangkat iOS mereka untuk terhubung ke Gateway VPN. Setelah klien seluler terhubung ke Gateway VPN, karyawan dapat mengakses aplikasi perusahaan yang diterapkan di Alibaba Cloud secara remote.

Prosedur

Langkah 1: Buat gateway VPN

1. Masuk ke Konsol Gateway VPN.

2. Di bilah navigasi atas, pilih wilayah VPC yang akan dikaitkan dengan Gateway VPN. Contohnya, China (Qingdao) dipilih.

3. Di halaman VPN Gateways, klik Create VPN Gateway.

4. Di halaman pembelian, atur parameter berikut, klik Buy Now, dan selesaikan pembayaran:

   • Name: Masukkan nama untuk Gateway VPN.

   • Wilayah: Pilih wilayah tempat Anda ingin menerapkan Gateway VPN.

     China (Qingdao) dipilih dalam contoh ini.

   • Gateway Type: Pilih tipe gateway NAT yang ingin Anda buat. Contohnya, Standard dipilih.

   • Network Type: Pilih tipe jaringan Gateway VPN. Contohnya, Public dipilih.

   • Tunnels: Sistem menampilkan mode saluran data yang didukung di Wilayah ini.

   • VPC: Pilih VPC untuk dikaitkan dengan Gateway VPN.

   • VSwitch: Pilih vSwitch dari VPC.

   • vSwitch 2: Pilih vSwitch lain dari VPC.

     Abaikan parameter ini jika Anda memilih Single-tunnel.

   • Bandwidth Maksimum: Pilih bandwidth Gateway VPN. Ini adalah bandwidth publik Gateway VPN.

     Contohnya, 10 Mbit/s dipilih.

   • Traffic: Secara default, Gateway VPN menggunakan metode pengukuran bayar-berdasarkan-transfer-data. Untuk informasi lebih lanjut, lihat Ikhtisar Penagihan.

   • IPsec-VPN: Aktifkan atau nonaktifkan fitur IPsec-VPN. Setelah Anda mengaktifkan fitur ini, Anda dapat menetapkan koneksi antara pusat data dan VPC. Contohnya, Disable dipilih.

   • SSL-VPN: Aktifkan atau nonaktifkan fitur SSL-VPN. Fitur SSL-VPN memungkinkan Anda terhubung ke VPC dari perangkat mana saja.

     Fitur SSL-VPN harus diaktifkan agar perangkat lunak VPN bawaan perangkat seluler dapat menetapkan koneksi dengan Gateway VPN. Contohnya, Enable dipilih.

   • SSL Connections: Pilih jumlah maksimum klien yang dapat terhubung ke Gateway VPN secara bersamaan.

     5 dipilih dalam contoh ini.

     Catatan

     Jumlah koneksi SSL-VPN mencakup koneksi SSL-VPN dan IPsec-VPN. Misalnya, jika Anda mengatur jumlah maksimum koneksi SSL menjadi 5 dan tiga klien SSL terhubung melalui koneksi SSL-VPN, maka hanya dua klien seluler yang dapat terhubung ke server IPsec.

   • Duration: Secara default, Gateway VPN ditagih per jam.

   • Service-linked Role: Klik Create Service-linked Role dan sistem secara otomatis membuat peran terkait layanan AliyunServiceRoleForVpn. Gateway VPN mengasumsikan peran ini untuk mengakses sumber daya cloud lainnya. Untuk informasi lebih lanjut, lihat AliyunServiceRoleForVpn.

     Jika Created ditampilkan, itu menunjukkan bahwa peran terkait layanan telah dibuat dan Anda tidak perlu membuatnya lagi.

5. Kembali ke halaman Gateway VPN untuk melihat Gateway VPN yang Anda buat.

   Gateway VPN yang baru dibuat berada dalam status Preparing. Setelah sekitar 2 menit, status berubah menjadi Activate. Itu menunjukkan bahwa Gateway VPN telah diinisialisasi dan siap digunakan. Sistem menetapkan alamat IP publik ke Gateway VPN. Alamat IP digunakan untuk menetapkan koneksi antara klien seluler dan Gateway VPN.

   Catatan

   Jika Anda ingin menggunakan Gateway VPN yang ada, pastikan bahwa itu diperbarui ke versi terbaru. Jika Gateway VPN yang ada tidak menggunakan versi terbaru, Anda tidak dapat menggunakan server IPsec.

   Anda dapat memeriksa apakah Gateway VPN merupakan versi terbaru dengan menggunakan tombol Upgrade. Jika Gateway VPN bukan versi terbaru, Anda dapat memperbaruinya dengan mengklik tombol Upgrade. Untuk informasi lebih lanjut, lihat Perbarui Gateway VPN.

Langkah 2: Buat server IPsec

1. Masuk ke Konsol Gateway VPN.

2. Di panel navigasi sisi kiri, pilih Interconnections > VPN > IPsec-VPN Server.

3. Di bilah menu atas, pilih wilayah server IPsec.

4. Di halaman IPsec-VPN Server, klik Create IPsec-VPN Server.

5. Di halaman Create IPsec-VPN Server, atur parameter berikut:

   • Name: Masukkan nama untuk server IPsec.

   • VPN Gateway: Pilih Gateway VPN yang ingin Anda hubungkan menggunakan perangkat lunak VPN bawaan perangkat seluler Anda.

     Gateway VPN yang dibuat di Langkah 1 dipilih dalam contoh ini.

   • Local Network: Masukkan blok CIDR VPC yang akan diakses oleh perangkat seluler.

     192.168.0.0/16 digunakan dalam contoh ini.

   • Client CIDR Block: Masukkan blok CIDR pribadi klien seluler dalam koneksi IPsec-VPN.

     Subnet klien bukan blok CIDR pribadi klien seluler tetapi blok CIDR pribadi yang ditetapkan ke adaptor jaringan virtual klien seluler. Saat klien seluler mengakses VPC, Gateway VPN menetapkan alamat IP dari subnet klien yang ditentukan ke klien.

     Catatan

     Blok CIDR klien tidak boleh tumpang tindih dengan blok CIDR vSwitch di VPC.

     10.0.0.0/16 digunakan dalam contoh ini.

   • Pre-Shared Key: Kunci pra-bersama digunakan untuk verifikasi identitas antara server IPsec dan klien seluler. Koneksi IPsec-VPN hanya dapat ditetapkan ketika kedua ujung memiliki kunci yang sama. Anda dapat menentukan kunci atau menggunakan kunci default yang dihasilkan secara acak oleh sistem.

     123456 digunakan dalam contoh ini.

   • Effective Immediately: Pilih apakah akan segera memulai negosiasi.

     • Yes: Memulai negosiasi setelah konfigurasi selesai.

     • No: Memulai negosiasi ketika lalu lintas masuk terdeteksi.

     Yes dipilih dalam contoh ini.

   • Advanced Configuration: Pengaturan default digunakan dalam contoh ini.

     Catatan

     Untuk menghubungkan perangkat iOS ke Gateway VPN menggunakan perangkat lunak VPN bawaan, parameter Versi harus diatur ke ikev2.

   

6. Klik OK.

Langkah 3: Hubungkan ke gateway VPN menggunakan perangkat lunak VPN bawaan perangkat seluler

Operasi berikut menjelaskan cara menghubungkan perangkat iOS ke Gateway VPN menggunakan perangkat lunak VPN bawaan. Dalam contoh ini, perangkat berjalan pada iOS 14.

1. Buka Settings di iPhone Anda.

2. Pilih General > VPN > Add VPN Configuration.

3. Di halaman Add Configurations, atur parameter berikut:

   • Type: Pilih tipe VPN.

     IKEv2 dipilih dalam contoh ini.

   • Description: Masukkan deskripsi untuk VPN.

   • Server: Masukkan alamat IP publik Gateway VPN yang ingin Anda hubungkan dengan klien seluler.

     Dalam contoh ini, alamat IP publik Gateway VPN di Langkah 1 dimasukkan.

   • Remote ID: Masukkan alamat IP publik Gateway VPN yang ingin Anda hubungkan dengan klien seluler.

     Dalam contoh ini, alamat IP publik Gateway VPN di Langkah 1 dimasukkan.

   • Local ID: Parameter ini tidak disetel dalam contoh ini.

   • User Authentication: Pilih tipe otentikasi pengguna.

     None dipilih dalam contoh ini.

   • Use Certificate: Parameter ini dinonaktifkan dalam contoh ini.

   • Secret: Rahasia digunakan untuk verifikasi identitas antara server IPsec dan klien seluler. Koneksi IPsec-VPN hanya dapat ditetapkan ketika kedua ujung menggunakan rahasia yang sama.

     123456 digunakan dalam contoh ini.

4. Klik Done.

5. Di halaman VPN, pilih konfigurasi VPN dan aktifkan Status.

Langkah 4: Uji konektivitas jaringan

Lakukan langkah-langkah berikut untuk menguji konektivitas antara perangkat seluler dan VPC.

Sebelum menjalankan tes, pastikan bahwa aturan grup keamanan ECS mengizinkan permintaan dari klien seluler. Untuk informasi lebih lanjut, lihat Lihat Aturan Grup Keamanan dan Tambahkan Aturan Grup Keamanan.

1. Buka browser di perangkat seluler.

2. Masukkan alamat IP pribadi instance ECS ke bilah alamat browser.

   192.168.0.196 digunakan dalam contoh ini.

   Hasilnya menunjukkan bahwa klien seluler dapat mengakses sumber daya yang diterapkan di VPC.