VPN Gateway：Pertanyaan Umum mengenai koneksi SSL-VPN

Kategori

Penyebab

Solusi

Konfigurasi tidak valid

Konfigurasi server SSL atau klien tidak valid.

1. Periksa apakah blok CIDR yang perlu diakses oleh klien di virtual private cloud (VPC) telah ditentukan dalam parameter Local Network server SSL di sisi Alibaba Cloud. Untuk informasi selengkapnya, lihat Modify an SSL server.

2. Periksa apakah aplikasi VPN pada klien telah dikonfigurasi dengan benar. Untuk informasi selengkapnya, lihat Configure the client.

Sertifikat klien SSL kedaluwarsa

Sertifikat klien SSL tidak valid atau telah kedaluwarsa.

1. Periksa periode validitas sertifikat klien SSL.

   Periode validitas default sertifikat klien SSL adalah tiga tahun.

2. Hapus sertifikat klien SSL saat ini beserta seluruh konfigurasinya, unduh ulang sertifikat tersebut, lalu instal sertifikat tersebut pada klien.

   Anda harus mengunduh dan menginstal ulang sertifikat klien SSL setelah mengaktifkan atau menonaktifkan otentikasi dua faktor atau mengubah konfigurasi server SSL. Untuk informasi selengkapnya, lihat Download an SSL client certificate.

Koneksi klien berlebihan

Jumlah klien yang terhubung ke server SSL melebihi batas atas.

1. Periksa apakah jumlah klien yang terhubung ke gerbang VPN melebihi batas atas.

   • Jika batas atas terlampaui, Anda harus meningkatkan jumlah maksimum koneksi SSL konkuren yang didukung oleh server SSL. Untuk informasi selengkapnya, lihat Modify the maximum number of concurrent SSL connections.

   • Jika batas atas terlampaui tetapi Anda tidak ingin meningkatkan jumlah maksimum koneksi SSL konkuren yang didukung oleh server SSL, kami menyarankan agar Anda memutus klien yang tidak lagi diperlukan dari server SSL. Sumber daya akan dirilis 5 menit setelah Anda memutus klien dari server SSL.

     Untuk informasi selengkapnya tentang cara melihat informasi koneksi klien SSL, lihat View the information about an SSL client.

2. Ubah protocol used yang digunakan oleh server SSL menjadi TCP. Kemudian, unduh ulang dan instal sertifikat klien SSL. Untuk informasi selengkapnya, lihat Modify an SSL server dan Download an SSL client certificate.

   Hal ini mencegah koneksi tidak andal yang dibuat menggunakan UDP dan menghemat kuota untuk koneksi yang lebih andal yang dibuat menggunakan TCP.

Masalah terkait alamat IP

Alamat IP di VPC bertentangan dengan alamat IP klien.

Ubah parameter Local Network (blok CIDR VPC atau vSwitch) atau Client Subnet server SSL untuk menghindari konflik alamat IP dengan klien. Untuk informasi selengkapnya, lihat Modify an SSL server.

Jika blok CIDR yang hanya berisi beberapa alamat IP ditentukan sebagai nilai parameter Client CIDR Block server SSL, alamat IP yang dapat dialokasikan ke klien tidak mencukupi.

Pastikan jumlah alamat IP yang disediakan oleh blok CIDR klien minimal empat kali lipat dari jumlah koneksi SSL-VPN. Untuk informasi selengkapnya, lihat Create and manage an SSL server.

Sebagai contoh, jika Anda menentukan 192.168.0.0/24 sebagai blok CIDR klien, sistem pertama-tama akan membagi blok CIDR subnet dengan masker subnet /30 dari 192.168.0.0/24, misalnya 192.168.0.4/30. Subnet ini menyediakan hingga empat alamat IP. Selanjutnya, sistem mengalokasikan satu alamat IP dari 192.168.0.4/30 ke klien dan menggunakan tiga alamat IP lainnya untuk memastikan komunikasi jaringan. Dalam kasus ini, satu klien mengonsumsi empat alamat IP. Oleh karena itu, untuk memastikan bahwa alamat IP dapat dialokasikan ke klien Anda, Anda harus memastikan bahwa jumlah alamat IP dalam blok CIDR klien minimal empat kali lipat dari jumlah maksimum koneksi SSL-VPN yang didukung oleh gerbang VPN terkait.

Masalah terkait aplikasi VPN

Terjadi konflik aplikasi VPN pada klien.

1. Jika beberapa aplikasi VPN diinstal pada klien Anda, kami menyarankan agar Anda hanya menggunakan satu aplikasi VPN untuk membuat koneksi SSL-VPN.

2. Mulai ulang klien atau instal ulang aplikasi VPN pada klien. Untuk informasi selengkapnya, lihat Configure the client.

Lainnya

Alasan lainnya

Periksa log koneksi SSL-VPN yang bermasalah dan atasi masalah tersebut. Untuk informasi selengkapnya, lihat Troubleshoot SSL-VPN connection issues.

Kategori

Penyebab

Solusi

Koneksi Internet tidak stabil

Koneksi Internet antara klien dan gateway VPN tidak stabil.

Pada klien, jalankan perintah ping atau mtr untuk mengakses alamat IP publik Gateway VPN dan periksa kualitas tautan Internet.

Jika koneksi Internet tidak stabil dan menyebabkan latensi jaringan tinggi atau tingkat kehilangan paket tinggi, hubungi penyedia layanan Internet (ISP) untuk membantu memecahkan masalah tersebut.

Jika Anda menggunakan koneksi SSL-VPN melalui jarak jauh, seperti koneksi antara wilayah AS (Silicon Valley) dan Singapura, klien mungkin terputus secara intermiten saat mengakses VPC.

Ubah protocol yang digunakan oleh server SSL di sisi Alibaba Cloud menjadi TCP untuk meningkatkan keandalan koneksi. Untuk informasi selengkapnya, lihat Memodifikasi server SSL.

Jika masalah tetap berlanjut setelah Anda mengubah protocol yang digunakan oleh server SSL menjadi TCP, kami menyarankan agar Anda menggunakan Cloud Enterprise Network (CEN) dan Smart Access Gateway (SAG) untuk menghubungkan klien ke VPC.

Perubahan konfigurasi server SSL

Klien terputus dari server SSL karena konfigurasi server SSL dimodifikasi.

Setelah Anda memodifikasi konfigurasi server SSL, sambungkan ulang klien ke server SSL.

Kategori

Penyebab

Solusi

Koneksi Internet tidak stabil

Jika Anda menggunakan koneksi SSL-VPN melalui jarak jauh, seperti koneksi antara wilayah AS (Silicon Valley) dan Singapura, klien mungkin terputus secara intermiten saat mengakses VPC.

Ubah protocol yang digunakan oleh server SSL di sisi Alibaba Cloud menjadi TCP untuk meningkatkan keandalan koneksi. Untuk informasi selengkapnya, lihat Memodifikasi server SSL.

Jika Anda menggunakan koneksi SSL-VPN untuk komunikasi jarak jauh, seperti komunikasi antara AS (Silicon Valley) dan Singapura, dan masalah konektivitas tetap berlanjut setelah Anda mengubah protocol yang digunakan oleh server SSL menjadi TCP, kami menyarankan agar Anda menggunakan Cloud Enterprise Network (CEN) dan Smart Access Gateway untuk menghubungkan klien Anda ke virtual private cloud (VPC).

Koneksi klien berlebihan

Jumlah klien yang terhubung ke server SSL melebihi batas atas.

1. Periksa apakah jumlah klien yang terhubung ke gateway VPN melebihi batas atas.

   • Jika batas atas terlampaui, Anda harus meningkatkan jumlah maksimum koneksi SSL konkuren yang didukung oleh server SSL. Untuk informasi selengkapnya, lihat Memodifikasi jumlah maksimum koneksi SSL konkuren.

   • Jika batas atas terlampaui tetapi Anda tidak ingin meningkatkan jumlah maksimum koneksi SSL konkuren yang didukung oleh server SSL, kami menyarankan agar Anda memutus klien yang tidak lagi diperlukan dari server SSL. Sumber daya akan dilepas 5 menit setelah Anda memutus klien dari server SSL.

     Untuk informasi selengkapnya tentang cara melihat informasi koneksi klien SSL, lihat Melihat informasi klien SSL.

2. Ubah protocol used oleh server SSL menjadi TCP. Kemudian, unduh ulang dan instal sertifikat klien SSL. Untuk informasi selengkapnya, lihat Memodifikasi server SSL dan Mengunduh sertifikat klien SSL.

   Hal ini mencegah koneksi tidak andal yang dibuat menggunakan UDP dan menghemat kuota untuk koneksi yang lebih andal yang dibuat menggunakan TCP.

Eksepsi klien

Klien atau aplikasi VPN pada klien tidak berjalan sebagaimana mestinya. Akibatnya, klien terputus dari server SSL.

Mulai ulang klien, atau instal ulang dan konfigurasi ulang aplikasi VPN. Untuk informasi selengkapnya tentang cara menginstal dan mengonfigurasi aplikasi VPN, lihat Mengonfigurasi klien.

Permasalahan sinkronisasi waktu

Verifikasi SSL gagal karena perbedaan waktu antara klien dan server SSL.

Perbedaan waktu antara klien dan server SSL tidak boleh lebih dari 10 menit. Kami menyarankan agar Anda mengatur waktu sistem klien ke waktu standar.

1. Periksa waktu sistem klien.

   Sebagai contoh, pada sistem operasi Linux, jalankan perintah date di antarmuka baris perintah untuk melihat waktu saat ini pada klien. Jika waktunya sangat berbeda dari waktu standar, sesuaikan.

2. Sinkronkan waktu terbaru dari layanan Network Time Protocol (NTP).

   Contoh ini menggunakan Linux. Jalankan perintah berikut pada CLI untuk menyinkronkan waktu sistem klien:

   yum install -y ntp    # Menginstal layanan NTP.
   ntpdate pool.ntp.org  # Menyinkronkan waktu terbaru.
   date # Periksa apakah waktu sistem klien telah disinkronkan.

Penyebab

Solusi

Kebijakan kontrol akses aplikasi klien melarang probe dari perintah ping.

Periksa apakah kebijakan kontrol akses aplikasi klien melarang probe dari perintah ping. Jika iya, modifikasi kebijakan kontrol akses tersebut. Untuk informasi selengkapnya, lihat panduan pengguna klien.

Secara default, firewall klien Windows melarang probe dari perintah ping. Anda harus memodifikasi aturan masuk firewall untuk mengizinkan ICMPv4-In.

Deskripsi masalah

Penyebab

Solusi

Klien berhasil ping VPC, tetapi VPC tidak dapat ping klien.

Kebijakan kontrol akses aplikasi klien melarang probe dari perintah ping.

Periksa apakah kebijakan kontrol akses aplikasi klien melarang probe dari perintah ping. Jika iya, modifikasi kebijakan kontrol akses tersebut. Untuk informasi selengkapnya, lihat panduan pengguna klien.

Secara default, firewall klien Windows melarang probe dari perintah ping. Anda harus memodifikasi aturan masuk firewall untuk mengizinkan ICMPv4-In.

VPC dapat ping klien, tetapi klien tidak dapat ping VPC.

Jalur yang diproses saat Anda mengirim paket ping ke VPC dari klien berbeda dengan jalur yang diproses saat Anda mengirim paket ping ke klien dari VPC.

1. Jika Anda menggunakan CEN, periksa konfigurasi entri rute setiap node antara klien dan VPC. Pastikan klien dan VPC menggunakan jalur yang sama untuk berkomunikasi satu sama lain.

2. Periksa apakah sumber daya yang diakses klien di VPC, seperti instans Elastic Compute Service (ECS), telah diberi alamat IP publik. Jika sumber daya tersebut diberi alamat IP publik dan klien juga menggunakan alamat IP publik, VPC mungkin mengakses klien melalui Internet, bukan jaringan internal.

Penyebab

Solusi

Tidak ada entri rute yang dikonfigurasi pada klien untuk mengarahkan permintaan klien ke server DNS. Akibatnya, nama domain tidak dapat diselesaikan.

1. Periksa apakah blok CIDR server DNS telah ditentukan sebagai nilai parameter Local Network server SSL di Alibaba Cloud. Hal ini memungkinkan klien mempelajari entri rute yang mengarah ke server DNS.

   Sebagai contoh, jika Anda menggunakan Alibaba Cloud DNS PrivateZone untuk mengelola nama domain, Anda dapat menentukan blok CIDR 100.100.2.136/32 dan 100.100.2.138/32 sebagai nilai parameter Local Network server SSL. Dengan cara ini, klien dapat menggunakan layanan resolusi nama domain.

2. Pada klien, jalankan perintah ping atau mtr untuk memeriksa konektivitas ke aplikasi tujuan. Jika aplikasi dapat dijangkau, klien SSL dan server SSL berfungsi sebagaimana mestinya dan entri rutenya normal. Dalam hal ini, Anda harus melakukan pemecahan masalah lebih lanjut berdasarkan layanan Alibaba Cloud dan aplikasi yang Anda terapkan.

Kategori

Penyebab

Solusi

Permasalahan entri rute

Parameter Local Network server SSL tidak ditentukan atau nilainya tidak valid.

1. Periksa apakah blok CIDR yang perlu diakses klien telah ditentukan dalam parameter Local Network server SSL di sisi Alibaba Cloud dan apakah pengaturannya valid. Untuk informasi selengkapnya, lihat Memodifikasi server SSL.

2. Periksa apakah klien telah mempelajari entri rute yang mengarah ke blok CIDR yang ditentukan sebagai nilai parameter Local Network server SSL.

   • Pada klien Windows, jalankan perintah ipconfig di antarmuka baris perintah untuk melihat alamat IP yang dialokasikan ke klien. Jalankan perintah route print untuk memeriksa apakah klien telah berhasil menerima entri rute ke Local Network server SSL.

   • Pada klien Linux, jalankan perintah ifconfig di antarmuka baris perintah untuk melihat alamat IP yang dialokasikan ke klien. Jalankan perintah ip route show all untuk memeriksa apakah klien telah berhasil menerima entri rute ke Local Network server SSL.

Permasalahan blok CIDR

Blok CIDR yang ditentukan sebagai nilai parameter Local Network server SSL tumpang tindih dengan blok CIDR yang ditentukan sebagai nilai parameter Client CIDR Block.

Periksa apakah blok CIDR yang ditentukan dalam parameter Local Network server SSL di sisi Alibaba Cloud tumpang tindih dengan blok CIDR yang ditentukan dalam parameter Client Subnet. Untuk informasi selengkapnya, lihat Memodifikasi server SSL.

Koneksi IPsec-VPN dibuat pada gateway VPN yang terkait dengan server SSL. Koneksi IPsec-VPN tersebut terkait dengan entri rute yang memiliki destination CIDR block yang tumpang tindih dengan blok CIDR yang ditentukan dalam parameter Client Subnet server SSL.

Ubah entri rute yang terkait dengan koneksi IPsec-VPN menjadi entri rute spesifik atau atur parameter Client Subnet server SSL ke blok CIDR lainnya. Hal ini memastikan bahwa destination CIDR block entri rute tidak tumpang tindih dengan blok CIDR yang ditentukan dalam parameter Client Subnet server SSL. Untuk informasi selengkapnya, lihat Memodifikasi entri rute berbasis kebijakan, Memodifikasi entri rute berbasis tujuan, atau Memodifikasi server SSL.

Permasalahan grup keamanan

Aturan grup keamanan aplikasi di VPC, atau ACL jaringan klien melarang VPC dan klien berkomunikasi satu sama lain.

1. Periksa apakah aturan grup keamanan aplikasi di VPC mengizinkan VPC berkomunikasi dengan klien. Untuk informasi selengkapnya, lihat Melihat aturan grup keamanan dan Menambahkan aturan grup keamanan.

2. Periksa apakah ACL jaringan klien mengizinkan klien berkomunikasi dengan VPC.

Permasalahan terkait aplikasi VPN

Jika versi OpenVPN yang usang atau terbaru diinstal pada klien, masalah kompatibilitas dapat terjadi. Akibatnya, klien mungkin gagal menerima atau memproses tanggapan yang dikirim oleh gateway VPN.

Sebagai contoh, jika OpenVPN 2.6.6 diinstal pada klien Windows, klien gagal mengirim paket ping ke sumber daya cloud karena masalah kompatibilitas.

Kami menyarankan agar Anda menggunakan versi OpenVPN yang disarankan dalam dokumentasi Gateway VPN. Untuk informasi selengkapnya, lihat Mengonfigurasi klien.

Kategori

Penyebab

Solusi

Permasalahan spesifikasi gateway VPN

Lonjakan lalu lintas mendadak terjadi selama transfer data, yang melebihi bandwidth maksimum gateway VPN.

Anda dapat melihat informasi pemantauan lalu lintas gateway VPN di konsol Gateway VPN untuk memeriksa apakah terjadi lonjakan lalu lintas mendadak.

Anda dapat meningkatkan gateway VPN. Untuk informasi selengkapnya, lihat Meningkatkan atau menurunkan spesifikasi gateway VPN.

Mengoptimalkan konfigurasi server SSL

Server SSL menggunakan UDP yang tidak andal untuk membuat koneksi SSL-VPN ke klien.

1. Ubah Protocol server SSL menjadi TCP. Hal ini memungkinkan server SSL membuat koneksi SSL-VPN dengan klien melalui TCP, yang merupakan protokol andal. Untuk petunjuk detail, lihat Memodifikasi server SSL.

2. Unduh ulang dan instal sertifikat klien SSL. Untuk informasi selengkapnya, lihat Mengunduh sertifikat klien SSL dan bagian Langkah 4: Mengonfigurasi klien pada topik "Menghubungkan klien ke VPC".

Koneksi Internet tidak stabil

Koneksi Internet antara klien dan gateway VPN tidak stabil.

Pada klien, jalankan perintah ping atau mtr untuk mengakses alamat IP publik Gateway VPN dan periksa kualitas tautan Internet.

Jika koneksi Internet tidak stabil, hubungi ISP untuk membantu memecahkan masalah tersebut.

Kategori

Penyebab

Solusi

Permasalahan spesifikasi gateway VPN

Lonjakan lalu lintas mendadak terjadi selama transfer data, yang melebihi bandwidth maksimum gateway VPN.

Anda dapat melihat informasi pemantauan lalu lintas gateway VPN di konsol Gateway VPN untuk memeriksa apakah terjadi lonjakan lalu lintas mendadak.

Anda dapat meningkatkan instans Gateway VPN. Untuk informasi selengkapnya, lihat Meningkatkan, menurunkan spesifikasi, atau memperpanjang instans Gateway VPN dengan perubahan spesifikasi.

Versi Gateway VPN rendah

Kemampuan penerusan Gateway VPN pada versi sebelumnya tidak memenuhi persyaratan. Latensi respons meningkat ketika gateway VPN perlu meneruskan lalu lintas berat.

Jika gateway VPN Anda dibuat sebelum 1 April 2021, tingkatkan gateway VPN tersebut. Performa koneksi SSL-VPN pada versi Gateway VPN yang lebih baru telah ditingkatkan. Untuk informasi selengkapnya, lihat Meningkatkan atau menurunkan spesifikasi gateway VPN.