All Products
Search

This Product

    VPN Gateway:Menghubungkan ke VPC menggunakan SSL-VPN

    Document Center

    VPN Gateway:Menghubungkan ke VPC menggunakan SSL-VPN

    Last Updated:Jun 21, 2026

    SSL-VPN menghubungkan klien (Windows, Linux, Android, atau macOS) ke jaringan pribadi VPC untuk akses aman melalui internet.

    Untuk klien iOS dan iPadOS, lihat Menghubungkan iPhone atau iPad ke VPC menggunakan koneksi SSL-VPN.

    Kasus penggunaan

    Tujuan: Membuat VPN Gateway dengan SSL-VPN yang diaktifkan agar klien lokal dapat mengakses Instance ECS di dalam VPC secara aman menggunakan Alamat IP pribadinya.

    Skenario ini menggunakan sumber daya berikut:

    • VPC

      • Nama: vpc-demo

      • Wilayah: Tiongkok (Hangzhou)

      • Blok CIDR: 10.0.0.0/16

      • vSwitch: Dua vSwitch bernama vsw1 dan vsw2.

        • vsw1 berada di zona J dengan Blok CIDR 10.0.0.0/24.

        • vsw2 berada di zona K dengan Blok CIDR 10.0.1.0/24.

      • ECS: Instance ECS dengan Alamat IP pribadi 10.0.0.1, menjalankan sistem operasi Alibaba Cloud Linux 3.2104 LTS 64-bit.

    • Jaringan on-premises klien: 172.16.0.0/16

    Langkah 1: Konfigurasi sumber daya VPN cloud

    Sebelum menghubungkan klien ke VPC, buat dan konfigurasikan VPN Gateway, server SSL, dan klien SSL di Konsol Alibaba Cloud.

    1. Buat VPN Gateway

    VPN Gateway adalah titik masuk dan keluar di sisi cloud untuk koneksi SSL-VPN.

    1. Buka halaman VPN Gateway dan klik Create VPN Gateway.

    2. Pada halaman VPN Gateway, konfigurasikan parameter berikut:

      • Instance Name: vpn-demo

      • Region: China (Hangzhou).

      • VPC: Pilih VPC yang ingin diakses oleh klien.

      • vSwitch 1/vSwitch 2: Pilih masing-masing vsw1 dan vsw2.

        Instance VPN Gateway menggunakan arsitektur dual-active. Untuk memastikan ketersediaan tinggi lintas zona di wilayah yang mendukung beberapa zona, VPC Anda harus memiliki setidaknya dua vSwitch di zona yang berbeda. Jika persyaratan ini tidak terpenuhi, buat vSwitch terlebih dahulu.

      • Maximum Bandwidth: 10 Mbps

      • IPsec-VPN: Disabled (Opsi ini tersedia hanya setelah Anda mengaktifkan SSL-VPN di bawah.)

      • SSL-VPN: Enable.

      • SSL-VPN Connections: 5.

      • Service-linked Role: Jika peran terkait layanan belum ada, klik Create Service-linked Role.

      Untuk deskripsi parameter lebih rinci, lihat Create and manage a VPN Gateway instance.

    3. Setelah pembelian selesai, instance VPN Gateway akan muncul di halaman VPN Gateway.

      Instance VPN Gateway yang baru dibuat berada dalam status Preparing. Statusnya akan berubah menjadi Normal dalam waktu sekitar 1 hingga 5 menit. Setelah itu, instance siap digunakan.

    2. Buat server SSL

    Server SSL menentukan jaringan cloud yang dapat diakses oleh klien dan mengonfigurasi kolam alamat IP klien.

    1. Buka halaman SSL Servers. Di bilah navigasi atas, pilih wilayah China (Hangzhou), lalu klik Create SSL Server.

    2. Pada panel Create SSL Server, konfigurasikan pengaturan berikut:

      • Name: Masukkan server-demo.

      • VPN Gateway: Pilih instance VPN Gateway yang baru saja Anda buat.

      • Local Network: Masukkan Blok CIDR VPC: 10.0.0.0/16.

        Blok CIDR ini menentukan jaringan cloud yang dapat diakses oleh client. Biasanya ini adalah Blok CIDR VPC Anda.

      Biarkan opsi lain pada nilai default-nya. Untuk deskripsi parameter lebih rinci, lihat Create and manage an ssl server.

    3. Buat client SSL dan unduh sertifikat

    Klien SSL mengelola sertifikat klien. Setiap klien yang perlu terhubung harus mengimpor sertifikat untuk otentikasi dan enkripsi.

    1. Di panel navigasi sebelah kiri, pilih Interconnections > VPN > SSL Clients. Di bilah navigasi atas, pastikan wilayah Tiongkok (Hangzhou) dipilih. Di halaman SSL Client, klik Create SSL Client.

    2. Pada panel Create SSL Client, masukkan client-demo untuk Name, pilih server-demo untuk SSL Server, lalu klik OK.

    3. Di halaman SSL Client, temukan klien SSL yang telah Anda buat dan, di kolom Actions, klik Download Certificate.

    Langkah 2: Konfigurasi client

    Ikuti petunjuk sesuai sistem operasi klien Anda.

    Klien Windows

    1. Unduh dan instal klien OpenVPN untuk versi Windows Anda:

      Jika Anda tidak dapat membuka tautan unduhan, hubungi account manager atau insinyur Alibaba Cloud Anda.

    2. Ekstrak paket sertifikat klien SSL yang diunduh dan salin semua file hasil ekstraksi ke direktori konfigurasi OpenVPN.

      • Jalur default: C:\Program Files\OpenVPN\config

      • Catatan: Jika Anda mengubah jalur instalasi, salin file ke folder config di direktori instalasi.

      image

    3. Buka file config.ovpn dengan editor teks dan tambahkan baris berikut di akhir file: disable-dco.

      Fitur Data Channel Offload (DCO) yang diperkenalkan di OpenVPN 2.6 tidak kompatibel dengan beberapa sistem Windows, seperti versi tertentu dari Windows 10 dan Windows 11. Menonaktifkan DCO mengatasi potensi masalah koneksi pada perangkat tersebut.
      client
dev tun
proto tcp
remote 121.41.xxx
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert vsc-bp1xxx.crt
key vsc-bp1xxx.key
cipher AES-128-CBC
;comp-lzo
verb 4
disable-dco

    4. Di system tray, klik kanan ikon OpenVPN lalu klik Connect.

    5. Koneksi berhasil jika statusnya "Connected" dan alamat IP telah diberikan.

    Client Linux

    1. Jalankan perintah berikut untuk menginstal klien OpenVPN dan membuat direktori conf.

      CentOS
      yum install -y openvpn
mkdir -p /etc/openvpn/conf
      Ubuntu
      apt-get update
apt-get install -y openvpn
mkdir -p /etc/openvpn/conf

    2. Ekstrak paket sertifikat klien SSL yang diunduh dan salin file hasil ekstraksi ke direktori /etc/openvpn/conf/.

      image

    3. Pindah ke direktori /etc/openvpn/conf/ dan jalankan perintah berikut untuk membuat koneksi VPN. 

      openvpn --config /etc/openvpn/conf/config.ovpn --daemon

    4. (Opsional) Konfigurasikan proses OpenVPN agar berjalan otomatis saat boot.

      1. Edit file /etc/rc.local dan tambahkan perintah berikut.

        # Buka file /etc/rc.local dalam mode edit.
vi /etc/rc.local 
# Tekan i untuk memasuki mode edit, lalu tambahkan perintah berikut ke file /etc/rc.local.
cd /etc/openvpn/conf/
openvpn --config /etc/openvpn/conf/config.ovpn --daemon
# Tekan Esc untuk keluar dari mode edit, lalu masukkan perintah berikut untuk menyimpan dan keluar dari file.
:wq

      2. Berikan izin eksekusi ke file /etc/rc.local.

        chmod +x /etc/rc.local

    Client Android

    1. Unduh dan instal klien OpenVPN untuk Android.Jika Anda tidak dapat membuka tautan unduhan, hubungi account manager atau insinyur Alibaba Cloud Anda.

      Contoh ini menggunakan perangkat Android 9.0 dengan klien OpenVPN v3.0.5 yang diinstal.

    2. Transfer paket sertifikat klien SSL yang diunduh ke perangkat Android Anda dan ekstrak paket tersebut.

      Catatan

      • Jika perangkat Android Anda tidak memiliki utilitas unzip, Anda dapat mengekstrak paket sertifikat di komputer lalu mentransfer file hasil ekstraksi ke klien Android Anda.

      • Pastikan semua file hasil ekstraksi berada dalam folder yang sama, seperti yang ditunjukkan pada gambar berikut.

      Lokasi penyimpanan file

    3. Buka klien OpenVPN, impor file config.ovpn, dan tambahkan koneksi VPN.

      Import config file

      Nomor

      Deskripsi

      Pilih metode koneksi OVPN Profile.

      Temukan file config.ovpn di direktori penyimpanan.

      Klik IMPORT untuk mengimpor file config.ovpn.

      Sistem secara otomatis membaca informasi dari file config.ovpn dan menampilkan Alamat IP publik gateway VPN. Klik ADD untuk menambahkan koneksi VPN.

    4. Ketuk tombol toggle untuk mengaktifkan koneksi VPN.

      Enable OpenVPN

    Klien Mac (GUI, direkomendasikan untuk cip M-series)

    1. Buka halaman Tunnelblick Releases, temukan versi Tunnelblick 4.0.1 (build 5971), dan unduh file .dmg dari panel Assets. Jika Anda tidak dapat membuka tautan unduhan, hubungi account manager atau insinyur Alibaba Cloud Anda.

      image

    2. Instal perangkat lunak Tunnelblick.

      image

      Nomor

      Deskripsi

      Klik ganda paket installer Tunnelblick yang diunduh.

      Klik ganda ikon Tunnelblick.

      Pilih I have configuration files.

      Klik OK.

    3. Ekstrak paket sertifikat klien SSL yang diunduh. Lalu, seret file config.ovpn hasil ekstraksi ke panel Configurations.

    image

    No.

    Deskripsi

    Dari Launchpad, klik ikon Tunnelblick.

    Seret file config.ovpn hasil ekstraksi ke panel Configurations.

    Pilih Only Me.

    Klik Connect.

    Klien Mac (baris perintah)

    1. Buka aplikasi Terminal. Jika Homebrew belum diinstal di Mac Anda, jalankan perintah berikut untuk menginstalnya.

      Catatan

      Skrip instalasi Homebrew mencakup perintah sudo dan akan meminta kata sandi administrator Anda. Saat muncul pesan "Press RETURN/ENTER to continue...", tekan Enter untuk melanjutkan.

      /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

      image

    2. Jalankan perintah berikut untuk menginstal klien OpenVPN. 

      brew install openvpn

      image

    3. Salin sertifikat klien SSL yang telah diunduh ke direktori konfigurasi.

      1. Cadangkan direktori /opt/homebrew/etc/openvpn.

        cp -r  /opt/homebrew/etc/openvpn /opt/homebrew/etc/openvpn_bak

      2. Jalankan perintah berikut untuk menghapus file konfigurasi OpenVPN saat ini.

        rm /opt/homebrew/etc/openvpn/*

      3. Jalankan perintah berikut untuk menyalin paket sertifikat klien SSL yang diunduh ke direktori konfigurasi.

        cp /path/to/certs.zip /opt/homebrew/etc/openvpn/
        Catatan

        /path/to/certs.zip adalah jalur ke paket sertifikat klien SSL yang diunduh Anda. Biasanya berada di direktori Downloads pengguna saat ini, misalnya /Users/example/Downloads/certs.zip.

    4. Jalankan perintah berikut untuk mengekstrak sertifikat.

      cd /opt/homebrew/etc/openvpn/
unzip /opt/homebrew/etc/openvpn/certs.zip

    5. Berikan izin eksekusi ke file /etc/rc.local.

      chmod +x /etc/rc.local

    Client Android

    1. Topik ini menggunakan klien Android 9.0 dengan klien OpenVPN 3.0.5 yang diinstal.

    2. Transfer sertifikat klien SSL yang diunduh ke perangkat Android Anda dan ekstrak sertifikat tersebut.

      Catatan

      • Jika perangkat Android Anda tidak memiliki perangkat lunak untuk mengekstrak file, ekstrak sertifikat di komputer Anda. Lalu, transfer file hasil ekstraksi ke klien Android.

      File save location

    3. Buka klien OpenVPN, impor file config.ovpn, dan tambahkan koneksi VPN.

      Import config file

      Nomor

      Deskripsi

      Pilih metode koneksi OVPN Profile.

      Temukan file config.ovpn di direktori penyimpanan.

      Klik IMPORT untuk mengimpor file config.ovpn.

      Sistem membaca file config.ovpn dan menampilkan Alamat IP publik gateway VPN. Klik ADD untuk menambahkan koneksi VPN.

    4. Klik tombol toggle untuk mengaktifkan koneksi VPN.

      Enable OpenVPN

    Client Mac (GUI, direkomendasikan untuk chip seri-M)

    1. Buka halaman Tunnelblick Releases, temukan versi Tunnelblick 4.0.1 (build 5971), dan unduh file .dmg dari panel Assets.Jika Anda tidak dapat membuka tautan unduhan, hubungi account manager atau insinyur Alibaba Cloud Anda.

      image

    2. Instal perangkat lunak Tunnelblick.

      image

      No.

      Deskripsi

      Klik ganda paket instalasi Tunnelblick yang diunduh.

      Klik ganda ikon Tunnelblick.

      Pilih I have configuration files.

      Klik OK.

    3. Ekstrak sertifikat klien SSL yang diunduh. Seret file config.ovpn hasil ekstraksi ke panel Configurations untuk membuat koneksi VPN.

    image

    No.

    Deskripsi

    Di Launchpad, klik ikon Tunnelblick untuk membuka perangkat lunak Tunnelblick.

    Seret file config.ovpn hasil ekstraksi ke panel Configurations.

    Pilih Only Me.

    Klik Connect.

    Client Mac (command line)

    1. Buka jendela Terminal. Jika Homebrew belum diinstal, jalankan perintah berikut untuk menginstalnya.

      Catatan

      Skrip instalasi Homebrew mencakup perintah sudo. Anda akan diminta memasukkan kata sandi administrator. Saat diminta dengan "Press RETURN/ENTER to continue...", tekan Enter untuk melanjutkan.

      /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

      image

    2. Jalankan perintah berikut untuk menginstal klien OpenVPN. 

      brew install openvpn

      image

    3. Salin sertifikat klien SSL yang diunduh ke direktori konfigurasi.

      1. Cadangkan direktori /opt/homebrew/etc/openvpn.

        cp -r  /opt/homebrew/etc/openvpn /opt/homebrew/etc/openvpn_bak

      2. Jalankan perintah berikut untuk menghapus file konfigurasi OpenVPN saat ini.

        rm /opt/homebrew/etc/openvpn/*

      3. Jalankan perintah berikut untuk menyalin sertifikat klien SSL yang diunduh ke direktori konfigurasi.

        cp /path/to/certs.zip /opt/homebrew/etc/openvpn/
        Catatan

        /path/to/certs.zip adalah jalur ke sertifikat klien SSL yang diunduh. Biasanya berada di direktori Downloads pengguna, seperti /Users/example/Downloads/certs.zip.

    4. Jalankan perintah berikut untuk mengekstrak sertifikat.

      cd /opt/homebrew/etc/openvpn/
unzip /opt/homebrew/etc/openvpn/certs.zip

    5. Pilih cara menjalankan klien.

      Jalankan di foreground

      Jalankan perintah berikut untuk memulai proses klien dan membuat koneksi VPN:

      sudo /opt/homebrew/opt/openvpn/sbin/openvpn --config /opt/homebrew/etc/openvpn/config.ovpn

      Setelah menjalankan perintah ini, proses akan terus berjalan di foreground. Untuk memutus koneksi, tekan Ctrl+C untuk menghentikan perintah.

      Jalankan di background

      Jalankan perintah berikut untuk menjalankan klien VPN sebagai layanan latar belakang yang otomatis dimulai saat boot:

      cp config.ovpn openvpn.conf
sudo brew services start openvpn

      Untuk menghentikan layanan, jalankan perintah berikut:

      sudo brew services stop  openvpn

    Langkah 3: Uji konektivitas

    1. Konfigurasi aturan grup keamanan

      Untuk memastikan klien dapat mengakses sumber daya di VPC, tambahkan aturan masuk ke grup keamanan yang terkait dengan instance ECS, yang mengizinkan traffic dari Client CIDR Block (10.200.200.0/24).

      • Untuk pengujian konektivitas: Izinkan protokol ICMP agar perintah ping dapat berfungsi dengan baik.

      • Untuk akses layanan: Izinkan port spesifik yang dibutuhkan oleh layanan Anda, seperti TCP 22 (SSH), TCP 3389 (RDP), dan TCP 80/443 (layanan web).

    2. Uji ping

      Di klien Anda, gunakan perintah ping untuk menguji konektivitas ke instance ECS. Respons yang berhasil menunjukkan koneksi pribadi ke instance ECS:

      ping 10.0.0.1

      image

    3. Uji port layanan

      Untuk memverifikasi akses layanan, akses layanan yang berjalan di instance ECS. Misalnya, instal dan mulai layanan web seperti Nginx di instance ECS:

      # Jalankan di instance ECS (contoh untuk Alibaba Cloud Linux 3):
yum install -y nginx
systemctl start nginx.service

      Setelah memastikan grup keamanan yang terkait dengan instance ECS mengizinkan traffic dari blok CIDR klien pada port TCP 80, akses http://10.0.0.1 di browser klien.

      Jika halaman selamat datang Nginx muncul, layanan Anda dapat diakses.

      image

    FAQ

    Otentikasi username dan password

    Anda dapat mengaktifkan otentikasi dua faktor. Ini mengharuskan klien melakukan otentikasi menggunakan sertifikat dan username/password untuk membuat koneksi SSL-VPN.

    Memutus koneksi VPN di Linux atau macOS

    1. Untuk menemukan proses OpenVPN, buka command line dan jalankan perintah berikut. Catat ID prosesnya.

      ps aux | grep openvpn

    2. Untuk menghentikan proses OpenVPN, jalankan perintah berikut.

      kill -9 <process ID>

    Penyelesaian masalah koneksi

    Gejala

    Penyebab dan Penyelesaian

    Koneksi gagal. Misalnya, log klien menampilkan AUTH_FAILED atau TLS Handshake failed.

    1. Masalah jaringan: Pastikan perangkat klien Anda dapat mengakses internet. Pastikan firewall jaringan lokal atau perangkat lunak keamanan tidak memblokir klien OpenVPN dari mengakses Alamat IP publik dan port (default: TCP/1194) gateway VPN.

    2. Masalah sertifikat: Pastikan file config.ovpn yang diimpor dan file sertifikat terkaitnya lengkap dan tidak diubah. Coba unduh kembali sertifikat dari konsol dan impor lagi.

    Koneksi berhasil, tetapi Anda tidak dapat ping instance ECS di VPC.

    1. Aturan grup keamanan: Ini adalah penyebab paling umum. Masuk ke Konsol ECS dan periksa grup keamanan untuk instance target. Pastikan terdapat aturan masuk yang mengizinkan protokol ICMP, dengan sumber diatur ke Client CIDR Block Anda (misalnya, 10.200.200.0/24).

    2. Firewall sistem operasi: Periksa apakah firewall sistem operasi di instance ECS (seperti firewalld atau iptables) memblokir permintaan ICMP.

    Koneksi berhasil dan ping berfungsi, tetapi Anda tidak dapat mengakses layanan (seperti website atau SSH) di instance ECS.

    1. Aturan grup keamanan: Periksa grup keamanan untuk instance ECS dan pastikan mengizinkan traffic dari Client CIDR Block Anda pada port layanan yang diperlukan (misalnya, TCP 80 dan TCP 22).

    2. Status layanan listening: Masuk ke instance ECS dan verifikasi bahwa layanan tersebut sedang listening pada port yang benar. Misalnya, pada sistem Linux, Anda dapat menjalankan perintah netstat -nltp.

    3. Firewall sistem operasi: Masuk ke instance ECS dan verifikasi bahwa firewall sistem operasi mengizinkan traffic pada port yang diperlukan.

    Setelah terhubung ke VPN, Anda tidak dapat mengakses jaringan lokal Anda (misalnya, printer) atau internet.

    Konflik routing: Masalah ini terjadi jika Client CIDR Block yang Anda konfigurasikan di server SSL bertentangan dengan blok CIDR jaringan lokal Anda. Kembali ke Langkah 1, ubah Client CIDR Block di server SSL ke rentang yang kurang umum (misalnya, 10.240.240.0/24), lalu unduh kembali sertifikat dan konfigurasikan ulang klien.

    Instance ECS tidak dapat melakukan ping ke klien.

    Ini adalah perilaku yang diharapkan. Untuk alasan keamanan, firewall pada sistem operasi klien biasanya memblokir permintaan inbound yang tidak diminta dari sumber eksternal, termasuk titik akhir VPN. Hal ini tidak memengaruhi kemampuan klien untuk mengakses sumber daya cloud. Untuk mengizinkan koneksi inbound dari sumber daya cloud, Anda harus mengonfigurasi firewall klien agar mengizinkan traffic yang diperlukan (misalnya, ICMP untuk permintaan ping).

    Untuk informasi lebih lanjut, lihat SSL-VPN connection FAQ.