Penyebab umum dan solusi untuk kegagalan koneksi klien SSL-VPN, masalah penerusan traffic, serta perilaku enkripsi.
Kegagalan koneksi
Mengapa klien SSL-VPN saya gagal terhubung?
Konfigurasi server atau klien SSL tidak valid
Verifikasi bahwa Blok CIDR VPC yang perlu dijangkau oleh klien tercantum dalam parameter Local Network pada server SSL, lalu konfirmasi bahwa aplikasi VPN pada klien telah dikonfigurasi dengan benar.
Sertifikat klien SSL kedaluwarsa atau tidak valid
Sertifikat klien SSL berlaku selama tiga tahun secara default. Jika sertifikat telah kedaluwarsa, hapus sertifikat tersebut beserta seluruh konfigurasinya, lalu unduh dan instal ulang. Unduh ulang sertifikat juga setelah:
Mengaktifkan atau menonaktifkan otentikasi dua faktor
Memodifikasi konfigurasi server SSL
Lihat Unduh sertifikat klien SSL.
Terlalu banyak koneksi bersamaan
Jumlah klien yang terhubung mungkin melebihi batas Gateway VPN.
Untuk menaikkan batas, lihat Ubah jumlah maksimum koneksi SSL bersamaan.
Untuk membebaskan koneksi, putuskan klien yang menganggur. Sumber daya akan dilepas 5 menit setelah pemutusan. Lihat Lihat informasi tentang klien SSL.
Ubah Protocol server SSL menjadi TCP, lalu unduh dan instal ulang sertifikat klien. Koneksi TCP lebih andal daripada UDP dan mencegah koneksi tidak andal menghabiskan kuota. Lihat Ubah server SSL.
Konflik alamat IP
Jika Blok CIDR VPC bertabrakan dengan alamat IP lokal klien, ubah parameter Local Network (Blok CIDR VPC atau vSwitch) atau parameter Client CIDR Block pada server SSL untuk menghilangkan tumpang tindih tersebut. Lihat Ubah server SSL.
Alamat pada blok CIDR klien tidak mencukupi
Setiap koneksi SSL-VPN mengonsumsi empat alamat IP. Sistem membagi subnet /30 dari Client CIDR Block — misalnya, 192.168.0.4/30 dari 192.168.0.0/24. Satu alamat digunakan oleh klien; tiga lainnya mendukung komunikasi jaringan. Client CIDR Block harus menyediakan setidaknya empat kali jumlah maksimum koneksi SSL-VPN pada Gateway VPN.
Lihat Buat dan kelola server SSL.
Konflik aplikasi VPN
Jika beberapa aplikasi VPN diinstal pada klien, gunakan hanya satu untuk membuat koneksi SSL-VPN. Mulai ulang klien atau instal ulang aplikasi VPN. Lihat Konfigurasikan klien.
Penyebab lainnya
Periksa log koneksi SSL-VPN untuk menemukan error spesifik. Lihat Pecahkan masalah koneksi SSL-VPN.
Stabilitas koneksi
Mengapa klien saya secara berkala terputus dari server SSL?
Koneksi internet tidak stabil
Jalankan ping atau mtr terhadap Alamat IP publik Gateway VPN dari klien untuk memeriksa kualitas koneksi. Jika latensi tinggi atau terjadi kehilangan paket, hubungi penyedia layanan internet (ISP) Anda.
Untuk koneksi jarak jauh — misalnya, antara AS (Silicon Valley) dan Singapura — pemutusan intermiten umum terjadi saat menggunakan UDP. Ubah Protocol server SSL menjadi TCP untuk meningkatkan keandalan. Lihat Ubah server SSL.
Jika masalah tetap berlanjut setelah beralih ke TCP, pertimbangkan penggunaan Cloud Enterprise Network (CEN) dan Smart Access Gateway (SAG) untuk menghubungkan klien ke VPC.
Perubahan konfigurasi server SSL
Memodifikasi konfigurasi server SSL akan memutus semua klien. Hubungkan ulang setelah perubahan diterapkan.
Mengapa hanya sebagian klien saya yang dapat terhubung?
Koneksi jarak jauh atau tidak stabil
Klien yang terhubung melalui jarak jauh (misalnya, Silicon Valley AS ke Singapura) lebih rentan terputus saat menggunakan UDP. Ubah Protocol server SSL menjadi TCP. Jika masalah tetap berlanjut, pertimbangkan penggunaan CEN dan SAG.
Batas koneksi terlampaui
Jika Gateway VPN telah mencapai batas koneksi bersamaan, klien tambahan akan ditolak. Naikkan batas tersebut atau putuskan klien yang menganggur. Sumber daya akan dilepas 5 menit setelah pemutusan.
Mengubah Protocol menjadi TCP dan mengunduh ulang sertifikat klien akan menggantikan koneksi UDP yang tidak andal dengan koneksi TCP yang andal, sehingga membebaskan kuota. Lihat Ubah server SSL dan Unduh sertifikat klien SSL.
Masalah aplikasi klien
Aplikasi VPN pada klien yang gagal mungkin telah crash atau salah konfigurasi. Mulai ulang klien atau instal ulang dan konfigurasi ulang aplikasi VPN. Lihat Konfigurasikan klien.
Ketidaksesuaian waktu (clock skew)
Verifikasi SSL gagal jika selisih waktu antara klien dan server SSL melebihi 10 menit. Sinkronkan klien ke server Network Time Protocol (NTP).
Pada Linux:
yum install -y ntp # Instal layanan NTP.
ntpdate pool.ntp.org # Sinkronkan waktu.
date # Verifikasi waktu sistem.Pada sistem operasi lain, buka pengaturan tanggal dan waktu sistem, lalu aktifkan sinkronisasi waktu otomatis.
Masalah konektivitas
Klien saya terhubung, tetapi VPC tidak dapat melakukan ping ke klien tersebut
Firewall atau kebijakan kontrol akses klien kemungkinan besar memblokir ICMP. Secara default, firewall Windows memblokir permintaan ping arah masuk. Ubah aturan firewall inbound Windows untuk mengizinkan ICMPv4-In. Pada sistem operasi lain, periksa apakah kebijakan kontrol akses klien mengizinkan traffic ICMP.
Klien saya terhubung, tetapi ping hanya berhasil dalam satu arah
Klien dapat melakukan ping ke VPC, tetapi VPC tidak dapat melakukan ping ke klien
Firewall atau kebijakan kontrol akses klien memblokir ICMP arah masuk. Pada Windows, aktifkan aturan inbound ICMPv4-In. Pada sistem lain, periksa kebijakan kontrol akses klien.
VPC dapat melakukan ping ke klien, tetapi klien tidak dapat melakukan ping ke VPC
Jalur forward dan return mungkin berbeda. Periksa dua penyebab berikut:
Jika Anda menggunakan CEN, verifikasi konfigurasi entri rute di setiap node antara klien dan VPC. Kedua arah harus mengikuti jalur yang sama.
Periksa apakah resource target di VPC (misalnya, Instance ECS) memiliki Alamat IP publik. Jika baik resource maupun klien memiliki IP publik, VPC mungkin mengarahkan traffic melalui internet, bukan melalui saluran data VPN.
Klien saya terhubung, tetapi tidak dapat menyelesaikan nama domain atau mengakses aplikasi
Klien kemungkinan besar tidak memiliki rute ke Server DNS.
Tambahkan Blok CIDR Server DNS ke parameter Local Network pada server SSL. Misalnya, jika Anda menggunakan Alibaba Cloud DNS PrivateZone, tambahkan
100.100.2.136/32dan100.100.2.138/32ke Local Network.Jalankan
pingataumtrdari klien ke aplikasi tujuan. Jika aplikasi dapat dijangkau melalui IP, saluran data SSL-VPN berfungsi dan masalah hanya terjadi pada DNS.
Lihat Ubah server SSL.
Klien saya terhubung, tetapi tidak dapat mengakses sumber daya cloud
Konfigurasi Local Network tidak ada atau salah
Verifikasi bahwa Blok CIDR yang perlu dijangkau oleh klien tercantum dalam parameter Local Network pada server SSL, lalu konfirmasi bahwa klien telah menerima rute yang sesuai.
Pada Windows:
ipconfig REM Lihat alamat IP yang diberikan ke klien.
route print REM Periksa apakah klien menerima rute untuk Local Network.Pada Linux:
ifconfig # Lihat alamat IP yang diberikan ke klien.
ip route show all # Periksa apakah klien menerima rute untuk Local Network.Lihat Ubah server SSL.
Tumpang tindih antara Local Network dan Client CIDR Block
Jika Blok CIDR dalam parameter Local Network tumpang tindih dengan parameter Client CIDR Block, traffic tidak dapat dirutekan dengan benar. Sesuaikan salah satu parameter untuk menghilangkan tumpang tindih tersebut.
Konflik entri rute IPsec-VPN
Jika koneksi IPsec-VPN pada Gateway VPN yang sama memiliki entri rute yang Blok CIDR tujuannya tumpang tindih dengan Client CIDR Block server SSL, traffic akan salah dirutekan. Ubah entri rute IPsec-VPN menjadi entri rute yang lebih spesifik, atau ubah Client CIDR Block menjadi rentang yang tidak tumpang tindih.
Aturan security group atau ACL jaringan memblokir traffic
Periksa aturan security group dari resource target (misalnya, Instance ECS) di VPC. Aturan tersebut harus mengizinkan traffic dari Blok CIDR klien. Periksa juga ACL jaringan di sisi klien.
Kompatibilitas versi OpenVPN
Versi OpenVPN yang usang atau terlalu baru dapat menyebabkan masalah kompatibilitas. Misalnya, OpenVPN 2.6.6 pada Windows dapat mencegah klien melakukan ping ke sumber daya cloud. Gunakan versi OpenVPN yang direkomendasikan dalam dokumentasi Gateway VPN. Lihat Konfigurasikan klien.
Masalah performa
Klien saya terhubung, tetapi terjadi kehilangan paket
Bandwidth Gateway VPN terlampaui
Lonjakan traffic mendadak dapat melebihi bandwidth Gateway VPN. Periksa data pemantauan traffic di Konsol Gateway VPN. Jika bandwidth terus-menerus mencapai batas maksimum, lakukan pada Gateway VPN. Lihat Lakukan upgrade atau downgrade gateway VPN.
Ketidakandalan protokol UDP
UDP tidak menjamin pengiriman. Ubah Protocol server SSL menjadi TCP untuk transport yang andal, lalu unduh dan instal ulang sertifikat klien SSL.
Koneksi internet tidak stabil
Jalankan ping atau mtr dari klien ke Alamat IP publik Gateway VPN. Jika koneksi tidak stabil, hubungi ISP Anda.
Klien saya terhubung, tetapi latensi tinggi
Bandwidth Gateway VPN terlampaui
Periksa data pemantauan traffic di Konsol Gateway VPN. Jika lonjakan traffic melebihi bandwidth gateway, lakukan pada Gateway VPN. Lihat Lakukan upgrade atau downgrade gateway VPN.
Versi Gateway VPN lama
Gateway VPN yang dibuat sebelum 1 April 2021 memiliki performa forwarding yang lebih rendah. Latensi meningkat di bawah beban traffic berat. Lakukan upgrade ke versi yang lebih baru dengan performa SSL-VPN yang lebih baik. Lihat Upgrade gateway VPN untuk SSL-VPN.
Enkripsi dan keamanan
Mengapa koneksi SSL-VPN saya menggunakan algoritma enkripsi yang berbeda dari yang saya tentukan?
Hal ini diharapkan terjadi ketika mode Negotiable Crypto Parameters (NCP) aktif.
Baik server SSL Alibaba Cloud maupun OpenVPN 2.4.0 atau versi lebih baru mengaktifkan NCP secara default. Selama proses pembentukan koneksi, klien dan server melakukan negosiasi untuk memilih algoritma paling aman dari daftar ncp_ciphers, mengabaikan algoritma yang Anda tentukan secara manual untuk server SSL.
Untuk OpenVPN 2.4.0 dan versi lebih baru, daftar default ncp_ciphers mencakup AES-256-GCM dan AES-128-GCM. Konfirmasi algoritma yang dinegosiasikan dalam log koneksi:
Data Channel: using negotiated cipher 'AES-256-GCM'Jika klien menjalankan OpenVPN versi sebelum 2.4.0 dan tidak mendukung NCP, server SSL akan kembali menggunakan algoritma yang Anda tentukan.
Rekomendasi: Gunakan OpenVPN 2.4.0 atau versi lebih baru agar server dapat secara dinamis menegosiasikan cipher terkuat yang tersedia.
Jika klien menggunakan Tunnelblick, server SSL selalu melakukan negosiasi algoritma enkripsi secara dinamis. Algoritma yang Anda tentukan untuk server SSL tidak berlaku.
Dapatkah saya menggunakan instans IDaaS dari Akun Alibaba Cloud lain untuk otentikasi dua faktor?
Tidak. Instans IDaaS harus dimiliki oleh Akun Alibaba Cloud Anda sendiri.