All Products
Search

This Product

    VPN Gateway:FAQ koneksi SSL-VPN

    Document Center

    VPN Gateway:FAQ koneksi SSL-VPN

    Last Updated:Jun 05, 2026

    Topik ini membantu Anda melakukan troubleshooting masalah umum pada koneksi SSL-VPN, seperti kegagalan koneksi klien dan masalah penerusan lalu lintas.

    Tautan cepat ke masalah umum

    Masalah koneksi client

    Masalah konektivitas SSL-VPN

    Masalah otentikasi dua faktor

    Bisakah saya memilih instans IDaaS yang dimiliki oleh Akun Alibaba Cloud lain saat mengonfigurasi otentikasi dua faktor?

    Tidak. Anda hanya dapat memilih instans IDaaS dari dalam Akun Alibaba Cloud Anda sendiri.

    Kegagalan koneksi client

    Tabel berikut menjelaskan kemungkinan penyebab dan solusinya.

    Kategori

    Penyebab

    Solusi

    Kesalahan konfigurasi

    Server SSL atau klien dikonfigurasi secara salah.

    1. Periksa konfigurasi Local CIDR Block pada server SSL. Pastikan blok CIDR VPC target telah ditambahkan ke Local CIDR Block. Untuk informasi lebih lanjut, lihat Modifikasi server SSL.

    2. Verifikasi bahwa perangkat lunak VPN pada klien dikonfigurasi dengan benar. Untuk informasi lebih lanjut tentang cara mengonfigurasi klien, lihat Konfigurasi klien.

    Sertifikat klien SSL kedaluwarsa

    Sertifikat klien SSL telah kedaluwarsa atau tidak valid.

    1. Verifikasi masa berlaku sertifikat klien SSL.

      Secara default, sertifikat klien SSL berlaku selama tiga tahun.

    2. Hapus sertifikat klien SSL yang ada beserta seluruh konfigurasinya. Kemudian, unduh dan instal sertifikat klien SSL baru.

      Anda harus mengunduh dan menginstal ulang sertifikat klien SSL setelah mengaktifkan atau menonaktifkan otentikasi dua faktor, atau memodifikasi konfigurasi server SSL. Untuk informasi lebih lanjut, lihat Unduh sertifikat klien SSL.

    Batas koneksi terlampaui

    Jumlah klien yang terhubung ke server SSL melebihi batas.

    1. Periksa apakah jumlah klien yang terhubung ke instans VPN Gateway melebihi batas.

      • Jika jumlah koneksi SSL bersamaan melebihi batas, tingkatkan spesifikasi server SSL. Untuk informasi lebih lanjut, lihat Ubah jumlah koneksi SSL bersamaan.

      • Sebagai alternatif, putuskan koneksi klien yang tidak aktif. Resource akan dilepas sekitar 5 menit setelah pemutusan.

        Untuk melihat informasi koneksi klien, lihat Lihat informasi klien SSL.

    2. Ubah Protocol server SSL menjadi TCP, lalu unduh dan instal ulang sertifikat klien SSL. Untuk informasi selengkapnya, lihat Ubah server SSL dan Unduh sertifikat klien SSL.

      Gunakan TCP untuk keandalan yang lebih baik. Sebagai protokol yang tidak andal, UDP dapat menyebabkan slot koneksi ditempati oleh koneksi yang tidak stabil.

    Masalah alamat IP

    Blok CIDR VPC tumpang tindih dengan blok CIDR klien.

    Modifikasi Local CIDR Block (blok CIDR VPC atau vSwitch) atau Client CIDR Block server SSL untuk mencegah konflik alamat IP. Untuk informasi lebih lanjut, lihat Modifikasi server SSL.

    Client CIDR Block server SSL terlalu kecil. Akibatnya, tidak ada alamat IP yang dapat dialokasikan ke klien.

    Pastikan jumlah alamat IP dalam blok CIDR klien yang ditentukan minimal empat kali lipat dari jumlah maksimum koneksi SSL-VPN. Untuk informasi lebih lanjut, lihat Buat dan kelola server SSL.

    Sebagai contoh, jika Anda menentukan 192.168.0.0/24 sebagai blok CIDR klien, sistem pertama-tama akan membagi blok subnet CIDR dengan masker subnet /30 dari 192.168.0.0/24, misalnya 192.168.0.4/30. Subnet ini menyediakan hingga empat alamat IP. Sistem kemudian mengalokasikan satu alamat IP dari 192.168.0.4/30 ke klien dan menggunakan tiga alamat IP lainnya untuk memastikan komunikasi jaringan. Dalam kasus ini, satu klien mengonsumsi empat alamat IP. Oleh karena itu, untuk memastikan alamat IP dapat dialokasikan ke klien Anda, pastikan jumlah alamat IP dalam blok CIDR klien minimal empat kali lipat dari jumlah maksimum koneksi SSL-VPN yang didukung oleh gateway VPN terkait.

    Masalah perangkat lunak VPN

    Terjadi konflik perangkat lunak VPN pada klien.

    1. Jika beberapa aplikasi VPN diinstal pada klien Anda, kami sarankan Anda hanya menggunakan satu aplikasi untuk membuat koneksi SSL-VPN.

    2. Coba restart klien atau instal ulang perangkat lunak VPN. Untuk informasi lebih lanjut, lihat Konfigurasi klien.

    Lainnya

    Penyebab tidak tercantum di atas.

    Periksa log koneksi SSL-VPN untuk melakukan troubleshooting kegagalan. Untuk informasi lebih lanjut, lihat Troubleshooting masalah koneksi SSL-VPN.

    Putus sambung secara intermiten

    Tabel berikut menjelaskan kemungkinan penyebab dan solusinya.

    Kategori

    Penyebab

    Solusi

    Jaringan publik tidak andal

    Kualitas jaringan publik yang buruk antara klien dan VPN Gateway menyebabkan putus sambung secara intermiten.

    Pada klien, jalankan perintah ping atau mtr untuk menguji kualitas jaringan dari klien ke alamat IP publik VPN Gateway.

    Jika kualitas jaringan buruk (misalnya, latency tinggi atau packet loss), hubungi penyedia layanan internet (ISP) Anda untuk bantuan.

    Koneksi SSL-VPN jarak jauh, seperti dari AS (Silicon Valley) ke Singapura, mungkin mengalami putus sambung secara intermiten saat klien mengakses VPC.

    Ubah Protocol server SSL menjadi TCP untuk keandalan yang lebih baik. Untuk informasi lebih lanjut, lihat Modifikasi server SSL.

    Jika masalah tetap berlanjut setelah mengubah Protocol menjadi TCP, kami sarankan Anda menggunakan Cloud Enterprise Network (CEN) dan Smart Access Gateway (SAG) untuk menghubungkan klien ke VPC.

    Perubahan konfigurasi server SSL

    Klien terputus karena konfigurasi server SSL diubah.

    Setelah Anda memodifikasi konfigurasi server SSL, sambungkan ulang klien.

    Koneksi client sebagian

    Tabel berikut menjelaskan kemungkinan penyebab dan solusinya.

    Kategori

    Penyebab

    Solusi

    Jaringan publik tidak andal

    Koneksi SSL-VPN jarak jauh, seperti dari AS (Silicon Valley) ke Singapura, mungkin mengalami putus sambung secara intermiten saat klien mengakses VPC.

    Ubah Protocol server SSL menjadi TCP untuk keandalan yang lebih baik. Untuk informasi lebih lanjut, lihat Modifikasi server SSL.

    Jika Anda menggunakan koneksi SSL-VPN untuk komunikasi jarak jauh, seperti dari AS (Silicon Valley) ke Singapura, dan masalah tetap berlanjut setelah mengubah Protocol menjadi TCP, kami sarankan menggunakan Cloud Enterprise Network dan Smart Access Gateway untuk menghubungkan klien Anda ke VPC.

    Batas koneksi terlampaui

    Jumlah klien yang terhubung ke server SSL melebihi batas.

    1. Periksa apakah jumlah klien yang terhubung ke instans VPN Gateway melebihi batas.

      • Jika jumlah koneksi SSL bersamaan melebihi batas, tingkatkan spesifikasi server SSL. Untuk informasi lebih lanjut, lihat Ubah jumlah koneksi SSL bersamaan.

      • Sebagai alternatif, putuskan koneksi klien yang tidak aktif. Resource akan dilepas sekitar 5 menit setelah pemutusan.

        Untuk melihat informasi koneksi klien, lihat Lihat informasi klien SSL.

    2. Ubah Protocol server SSL menjadi TCP. Kemudian, unduh ulang dan instal sertifikat klien SSL. Untuk informasi lebih lanjut, lihat Modifikasi server SSL dan Unduh sertifikat klien SSL.

      Gunakan TCP untuk keandalan yang lebih baik. Sebagai protokol yang tidak andal, UDP dapat menyebabkan slot koneksi ditempati oleh koneksi yang tidak stabil.

    Masalah sisi klien

    Klien gagal terhubung karena klien atau perangkat lunak VPN tidak berfungsi sebagaimana mestinya.

    Coba restart klien, atau instal ulang dan konfigurasi ulang perangkat lunak VPN. Untuk informasi lebih lanjut tentang cara menginstal dan mengonfigurasi perangkat lunak VPN, lihat Konfigurasi klien.

    Waktu tidak sinkron

    Selisih waktu antara klien dan server SSL terlalu besar, menyebabkan verifikasi SSL gagal.

    Selisih waktu antara klien dan server SSL tidak boleh melebihi 10 menit. Sesuaikan waktu klien agar disinkronkan dengan sumber waktu standar.

    1. Periksa waktu saat ini pada klien.

      Sebagai contoh, pada sistem operasi Linux, jalankan perintah date untuk melihat waktu saat ini. Jika berbeda signifikan dari waktu standar, Anda harus menyesuaikannya.

    2. Sinkronkan waktu dengan menggunakan layanan Network Time Protocol (NTP).

      Sebagai contoh, pada sistem operasi Linux, jalankan perintah berikut untuk menyinkronkan waktu:

      yum install -y ntp    # Instal layanan NTP.
ntpdate pool.ntp.org  # Sinkronkan waktu.
date                  # Periksa apakah waktu sudah tersinkronisasi.

    Kegagalan ping setelah koneksi

    Tabel berikut menjelaskan kemungkinan penyebab dan solusinya.

    Penyebab

    Solusi

    Kebijakan kontrol akses aplikasi klien memblokir permintaan ping.

    Periksa apakah kebijakan kontrol akses aplikasi klien memblokir permintaan ping. Jika iya, modifikasi kebijakan kontrol akses tersebut. Untuk informasi lebih lanjut, lihat panduan pengguna aplikasi klien.

    Secara default, firewall sistem operasi Windows memblokir permintaan ping. Anda harus memodifikasi aturan inbound firewall untuk mengizinkan ICMPv4-In.

    Firewall sistem operasi pada instans ECS tujuan memblokir paket ICMP.

    Jika entri rute pada klien sudah benar (Anda dapat melihat rute ke blok CIDR VPC dengan menjalankan route print atau ip route), tetapi Anda masih tidak dapat melakukan ping ke instans ECS di VPC, periksa pengaturan firewall sistem operasi pada instans ECS tujuan:

    1. Periksa status firewalld: Jalankan systemctl status firewalld. Jika output menunjukkan active (running), firewall sedang aktif.

    2. Lihat detail firewall: Jalankan firewall-cmd --list-all. Periksa apakah bidang icmp-blocks berisi echo-request.

    3. Nonaktifkan sementara firewall untuk verifikasi: Jalankan systemctl stop firewalld dan coba ping lagi. Jika ping berhasil, masalah disebabkan oleh firewalld.

    4. Periksa aturan iptables: Jalankan iptables -L INPUT -n untuk memeriksa adanya aturan DROP atau REJECT untuk ICMP.

    5. Periksa SELinux: Jalankan getenforce. Jika statusnya Enforcing, Anda dapat sementara mengubahnya menjadi Permissive dengan menjalankan setenforce 0 untuk memeriksa apakah SELinux adalah penyebabnya.

    6. Verifikasi bahwa ACL jaringan untuk vSwitch instans mengizinkan traffic ICMP melalui aturan inbound dan outbound-nya.

    Catatan

    Setelah memastikan bahwa firewall adalah akar penyebabnya, kami sarankan menambahkan aturan izin daripada membiarkan firewall dinonaktifkan. Sebagai contoh, jalankan firewall-cmd --permanent --add-rich-rule='rule protocol value="icmp" accept' lalu jalankan firewall-cmd --reload untuk menerapkan aturan tersebut.

    Masalah ping satu arah

    Tabel berikut menjelaskan kemungkinan penyebab dan solusinya.

    Skenario

    Penyebab

    Solusi

    Klien berhasil menggunakan perintah ping untuk mengakses VPC, tetapi VPC gagal saat menggunakan ping untuk mengakses klien.

    Kebijakan kontrol akses aplikasi klien memblokir permintaan ping.

    Periksa apakah kebijakan kontrol akses aplikasi klien memblokir permintaan ping. Jika iya, modifikasi kebijakan kontrol akses tersebut. Untuk informasi lebih lanjut, lihat panduan pengguna aplikasi klien.

    Secara default, firewall sistem operasi Windows memblokir permintaan ping. Anda harus memodifikasi aturan inbound firewall untuk mengizinkan ICMPv4-In.

    Menggunakan ping untuk mengakses klien dari VPC berhasil, tetapi menggunakan perintah ping untuk mengakses VPC dari klien gagal.

    Jalur traffic outbound dan return antara klien dan VPC berbeda.

    1. Jika Anda menggunakan Cloud Enterprise Network (CEN) dalam jaringan Anda, periksa konfigurasi rute semua node forwarding antara klien dan VPC. Pastikan traffic antara klien dan VPC mengikuti jalur yang sama di kedua arah.

    2. Periksa apakah resource VPC, seperti instans ECS, memiliki alamat IP publik. Jika resource tersebut memiliki alamat IP publik dan alamat IP tujuan untuk traffic dari VPC ke klien adalah alamat IP publik, traffic mungkin dirutekan melalui Internet daripada jaringan pribadi.

    Ping berhasil tetapi akses aplikasi gagal

    Tabel berikut menjelaskan kemungkinan penyebab dan solusinya.

    Penyebab

    Solusi

    Client tidak memiliki rute ke server DNS, sehingga resolusi nama domain tidak tersedia.

    1. Tambahkan blok CIDR server DNS ke Local CIDR Block server SSL agar client dapat mempelajari rute ke server DNS.

      Sebagai contoh, jika Anda menggunakan Alibaba Cloud DNS PrivateZone untuk manajemen nama domain, Anda dapat menambahkan 100.100.2.136/32 dan 100.100.2.138/32 ke Local CIDR Block server SSL. Dengan cara ini, client dapat menggunakan layanan resolusi nama domain.

    2. Pada client, jalankan perintah ping atau mtr untuk menguji konektivitas ke aplikasi. Jika koneksi normal, koneksi SSL-VPN, client, server, dan rute berfungsi sebagaimana mestinya. Dalam hal ini, Anda perlu melakukan troubleshooting lebih lanjut berdasarkan layanan cloud yang diterapkan dan aplikasi tersebut.

    Kegagalan akses resource

    Tabel berikut menjelaskan kemungkinan penyebab dan solusinya.

    Kategori

    Penyebab

    Solusi

    Masalah routing

    Local CIDR Block server SSL tidak ditentukan atau dikonfigurasi secara salah.

    1. Periksa konfigurasi Local CIDR Block server SSL. Pastikan blok CIDR yang akan diakses oleh klien telah ditambahkan dengan benar ke Local CIDR Block server SSL. Untuk informasi lebih lanjut, lihat Modifikasi server SSL.

    2. Verifikasi bahwa klien telah menerima rute ke Local CIDR Block server SSL.

      • Pada klien Windows, jalankan perintah ipconfig untuk melihat alamat IP yang dialokasikan ke klien. Kemudian, jalankan perintah route print untuk memverifikasi bahwa klien telah menerima rute ke Local CIDR Block server SSL.

      • Pada klien Linux, jalankan perintah ifconfig untuk melihat alamat IP yang dialokasikan ke klien. Kemudian, jalankan perintah ip route show all untuk memverifikasi bahwa klien telah menerima rute ke Local CIDR Block server SSL.

    Masalah konfigurasi blok CIDR

    Local CIDR Block tumpang tindih dengan Client CIDR Block server SSL.

    Periksa konfigurasi server SSL. Pastikan Local CIDR Block dan Client CIDR Block tidak tumpang tindih. Untuk informasi lebih lanjut, lihat Modifikasi server SSL.

    Destination CIDR Block entri rute untuk koneksi IPsec-VPN pada VPN Gateway yang sama bertentangan dengan Client CIDR Block server SSL.

    Ubah entri rute untuk koneksi IPsec-VPN menjadi yang lebih spesifik, atau ubah Client CIDR Block server SSL menjadi blok CIDR yang berbeda. Hal ini mencegah Destination CIDR Block bertentangan dengan Client CIDR Block. Untuk informasi lebih lanjut, lihat Modifikasi rute berbasis kebijakan, Modifikasi rute berbasis tujuan, atau Modifikasi server SSL.

    Masalah aturan grup keamanan

    Aturan grup keamanan aplikasi VPC atau kebijakan kontrol akses aplikasi klien tidak mengizinkan komunikasi antara klien dan VPC.

    1. Periksa aturan grup keamanan aplikasi VPC. Pastikan aturan grup keamanan mengizinkan traffic antara klien dan VPC. Untuk informasi lebih lanjut, lihat Lihat aturan grup keamanan dan Tambahkan aturan grup keamanan.

    2. Periksa kebijakan kontrol akses aplikasi klien. Pastikan kebijakan kontrol akses mengizinkan traffic antara klien dan VPC.

    Masalah perangkat lunak VPN

    Versi OpenVPN yang tidak kompatibel pada klien (terlalu lama atau terlalu baru) dapat mencegah klien menerima atau memproses paket respons dari VPN Gateway.

    Sebagai contoh, klien Windows yang menginstal OpenVPN 2.6.6 mungkin gagal melakukan ping ke resource cloud.

    Kami sarankan Anda mengunduh dan menggunakan versi OpenVPN yang disediakan dalam dokumentasi VPN Gateway. Untuk informasi lebih lanjut, lihat Konfigurasi klien.

    Packet loss setelah koneksi

    Tabel berikut menjelaskan kemungkinan penyebab dan solusinya.

    Kategori

    Penyebab

    Solusi

    Masalah spesifikasi VPN Gateway

    Lonjakan traffic melebihi bandwidth instans VPN Gateway.

    Periksa data pemantauan traffic instans VPN Gateway di Konsol VPN Gateway untuk lonjakan traffic.

    Anda dapat meng-upgrade instans VPN Gateway. Untuk informasi lebih lanjut, lihat Upgrade atau perpanjang gateway VPN.

    Konfigurasi server SSL

    Server SSL menggunakan UDP, protokol yang tidak andal, untuk membuat koneksi SSL-VPN dengan client.

    1. Ubah Protocol server SSL menjadi TCP. Hal ini memungkinkan server SSL membuat koneksi SSL-VPN yang andal dengan client. Untuk informasi lebih lanjut, lihat Modifikasi server SSL.

    2. Unduh ulang sertifikat klien SSL dan instal pada client. Untuk informasi lebih lanjut, lihat Unduh sertifikat klien SSL dan Konfigurasi client.

    Jaringan publik tidak andal

    Client terputus secara intermiten karena kualitas jaringan publik yang buruk antara client dan VPN Gateway.

    Pada client, jalankan perintah ping atau mtr untuk menguji kualitas jaringan dari client ke alamat IP publik VPN Gateway.

    Jika kualitas jaringan buruk, hubungi ISP Anda untuk bantuan.

    Latency tinggi setelah koneksi

    Tabel berikut menjelaskan kemungkinan penyebab dan solusinya.

    Kategori

    Penyebab

    Solusi

    Masalah spesifikasi VPN Gateway

    Lonjakan traffic melebihi bandwidth instans VPN Gateway.

    Periksa data pemantauan traffic instans VPN Gateway di Konsol VPN Gateway untuk lonjakan traffic.

    Anda dapat meng-upgrade instans VPN Gateway. Untuk informasi lebih lanjut, lihat Upgrade atau perpanjang gateway VPN.

    Versi VPN Gateway usang

    Versi VPN Gateway yang lebih lama memiliki performa forwarding yang lebih rendah, yang dapat menyebabkan latency tinggi di bawah beban traffic berat.

    Upgrade VPN Gateway yang dibuat sebelum 1 April 2021. Versi yang lebih baru menawarkan performa forwarding SSL-VPN yang dioptimalkan. Untuk informasi lebih lanjut, lihat Upgrade gateway VPN.

    Algoritma enkripsi yang ditentukan tidak digunakan

    Penyebab

    Baik server SSL Alibaba Cloud maupun OpenVPN (versi 2.4.0 dan yang lebih baru) memiliki mode NCP (Non-Compliant Plaintext) yang diaktifkan secara default. Mode NCP adalah metode untuk melakukan negosiasi algoritma enkripsi secara dinamis. Saat mode ini diaktifkan, klien dan server SSL membuat koneksi SSL-VPN dengan melakukan negosiasi untuk menggunakan algoritma enkripsi dengan tingkat keamanan tertinggi yang didukung oleh kedua pihak dari daftar ncp_ciphers, bukan menggunakan algoritma enkripsi yang Anda tentukan untuk server SSL.

    Pada OpenVPN 2.4.0 dan yang lebih baru, algoritma enkripsi default dalam daftar ncp_ciphers adalah AES-256-GCM dan AES-128-GCM. Saat klien membuat koneksi SSL-VPN dengan server SSL, Anda dapat memeriksa log koneksi untuk melihat algoritma enkripsi yang dinegosiasikan. Sebagai contoh, log mungkin berisi Data Channel: using negotiated cipher 'AES-256-GCM'.

    Jika klien menggunakan versi OpenVPN sebelum 2.4.0, yang tidak mendukung NCP, koneksi akan menggunakan algoritma enkripsi yang ditentukan untuk server SSL.

    Rekomendasi

    Kami sarankan Anda menggunakan OpenVPN 2.4.0 atau yang lebih baru pada klien agar klien dan server SSL dapat melakukan negosiasi algoritma enkripsi.

    Catatan

    Jika klien menggunakan Tunnelblick, algoritma enkripsi dinegosiasikan secara dinamis secara default. Algoritma yang paling aman dan didukung bersama digunakan, dan algoritma yang Anda tentukan untuk server SSL tidak berlaku.

    IDaaS lintas akun untuk otentikasi dua faktor

    Tidak. Anda hanya dapat memilih instans IDaaS dari dalam Akun Alibaba Cloud Anda sendiri.