All Products
Search

This Product

    VPN Gateway:DNS Kustom untuk resolusi nama domain pribadi

    Document Center

    VPN Gateway:DNS Kustom untuk resolusi nama domain pribadi

    Last Updated:May 23, 2026
    Penting

    Fitur ini saat ini tersedia di wilayah berikut: Filipina (Manila), Thailand (Bangkok), dan Malaysia (Kuala Lumpur).

    Anda dapat mengonfigurasi dan mendorong alamat server DNS pribadi dari server SSL-VPN sehingga klien dapat melakukan resolusi nama domain pribadi dalam VPC.

    Cara kerja

    Fitur DNS klien kustom untuk SSL-VPN didasarkan pada mekanisme DHCP Option protokol OpenVPN. Alur kerjanya sebagai berikut:

    1. Aktifkan sakelar SSL Server pada bagian Custom Client DNS, lalu masukkan hingga dua alamat IP server DNS pribadi dalam VPC.

    2. Server SSL-VPN mendorong konfigurasi DNS ke klien.

    3. Setelah klien membuat koneksi SSL-VPN, klien secara otomatis menerima alamat server DNS yang didorong oleh server.

    4. Sistem operasi klien menetapkan server DNS tersebut sebagai DNS utama untuk koneksi jaringan saat ini.

    5. Kueri DNS selanjutnya, seperti untuk git.internal atau example.com, dikirim melalui saluran data VPN ke server DNS di VPC untuk resolusi nama domain pribadi.

    Batasan

    • Anda dapat mengonfigurasi maksimal dua alamat server DNS (primary dan secondary).

    • Sistem tidak memverifikasi keterjangkauan server DNS. Pastikan alamat IP yang ditentukan dapat menyediakan layanan DNS dalam VPC.

    • Karena perbedaan lingkungan klien, beberapa klien mungkin memerlukan konfigurasi tambahan agar pengaturan DNS berlaku. Pada klien macOS yang menggunakan Tunnelblick, pengaturan DNS diterapkan secara otomatis setelah Anda terhubung. Pada klien Windows, Anda mungkin perlu mengubah metrik adaptor jaringan secara manual. Pada sistem Linux, diperlukan konfigurasi tambahan.

    • Fitur ini tidak didukung pada klien iPhone, iPad, atau Android.

    • Alamat server DNS dalam format nama domain tidak didukung.

    • Pembaruan DNS dinamis tidak didukung.

    • Alamat DNS IPv6 tidak didukung.

    Prosedur

    Prasyarat

    • Anda telah menghubungkan klien ke VPC dengan mengikuti petunjuk dalam panduan Quick start. Jika Anda menggunakan macOS, gunakan klien Tunnelblick.

    • Server DNS, seperti Windows AD DNS, CoreDNS, atau BIND, telah dideploy dan berjalan di VPC.

    • security group server DNS mengizinkan lalu lintas inbound pada UDP port 53 dari Client CIDR Block.

    Langkah 1: Aktifkan DNS kustom

    Console

    1. Pada kolom Actions instans SSL server yang dituju, klik Edit.

    2. Pada kotak dialog yang muncul, aktifkan sakelar Custom Client DNS dan konfigurasikan parameter berikut:

      • DNS Server Address 1: Masukkan alamat IP pribadi server DNS yang dideploy di VPC Anda.

      • DNS Server Address 2: Opsional. Masukkan alamat IP server DNS sekunder.

    API

    Panggil operasi API ModifySslVpnServer dan gunakan parameter DnsServers untuk menetapkan alamat server DNS.

    Langkah 2: Konfigurasikan klien

    Pilih metode konfigurasi sesuai sistem operasi Anda. Pada macOS, pengaturan DNS berlaku secara otomatis setelah Anda terhubung. Pada Linux, Anda harus memodifikasi file konfigurasi .ovpn.

    Windows

    1. Klik kanan ikon klien OpenVPN di system tray dan pilih Reconnect.

    2. Buka Command Prompt dan jalankan nslookup example.com. Ganti example.com dengan nama domain pribadi Anda yang sebenarnya. Jika alamat IP pribadi yang benar dikembalikan, konfigurasi DNS telah berlaku.

    Penting

    Jika konfigurasi tidak berlaku, lakukan pemeriksaan berikut:

    1. Periksa metrik setiap adaptor jaringan. Di Command Prompt, jalankan perintah berikut:

      netsh interface ip show config

      Nilai metrik yang lebih rendah menunjukkan prioritas adaptor jaringan yang lebih tinggi.

    2. Jika adaptor jaringan untuk saluran data VPN tidak memiliki metrik terkecil, atur nilainya menjadi yang terkecil:

      netsh interface ip set interface "OpenVPN TAP-Windows" metric=10

      Adaptor jaringan yang dibuat oleh klien OpenVPN untuk saluran data VPN biasanya memiliki nama yang dimulai dengan 'OpenVPN TAP-Windows'. Nama adaptor 'OpenVPN TAP-Windows' hanya contoh. Gantilah dengan nama adaptor aktual pada klien Anda.

    Mac

    1. Pada klien Tunnelblick, putuskan koneksi lalu sambungkan kembali.

    2. Buka Terminal dan jalankan dig example.com. Ganti example.com dengan nama domain pribadi Anda yang sebenarnya. Jika alamat IP pribadi yang benar dikembalikan, konfigurasi DNS telah berlaku.

    CentOS/AliOS

    1. Modifikasi file config.ovpn di direktori /etc/openvpn/conf. Tambahkan empat baris berikut di akhir file:

      script-security 2
up /etc/openvpn/conf/client.up
down /etc/openvpn/conf/client.down
down-pre

    2. Salin skrip client.up dan client.down yang disertakan dengan OpenVPN ke direktori konfigurasi OpenVPN dan berikan izin eksekusi:

      sudo cp /usr/share/doc/openvpn/contrib/pull-resolv-conf/client.up /etc/openvpn/conf/
sudo cp /usr/share/doc/openvpn/contrib/pull-resolv-conf/client.down /etc/openvpn/conf/
sudo chmod +x /etc/openvpn/conf/client.up
sudo chmod +x /etc/openvpn/conf/client.down

    3. Pada kedua skrip client.up dan client.down, ubah kode berikut menjadi if false; then:

      image

    4. Mulai ulang proses openvpn:

      sudo killall openvpn
sudo openvpn --config /etc/openvpn/conf/config.ovpn --daemon

    5. Verifikasi bahwa alamat server DNS telah diperbarui:

      cat /etc/resolv.conf

    6. Jalankan dig example.com. Ganti example.com dengan nama domain pribadi Anda yang sebenarnya. Jika alamat IP pribadi yang benar dikembalikan, konfigurasi DNS telah berlaku.

    Penting

    Untuk menonaktifkan fitur resolusi DNS ini, ikuti langkah-langkah berikut:

    1. Putuskan koneksi dari SSL-VPN:

      sudo killall openvpn

    2. Edit file config.ovpn di direktori /etc/openvpn/conf. Beri komentar pada empat baris di akhir file yang dimulai dengan script-security, up, down, dan down-pre.

    3. Jalankan proses openvpn untuk membuat koneksi SSL-VPN:

      sudo openvpn --config /etc/openvpn/conf/config.ovpn --daemon

    Ubuntu

    1. Buka konsol Alibaba Cloud dan unduh ulang sertifikat. Pada kolom SSL Client untuk Actions yang dituju, klik Download Certificate.

    2. Pada klien Ubuntu Anda, pindahkan sertifikat klien yang ada dari direktori /etc/openvpn/conf ke direktori lain untuk pencadangan.

    3. Letakkan sertifikat klien yang baru diunduh ke direktori /etc/openvpn/conf.

    4. Edit file config.ovpn dan hapus komentar pada empat baris terakhir:

      image

    5. Instal resolvectl, tool command-line untuk systemd-resolved:

      apt install systemd-resolved

    6. Tetapkan DNS untuk antarmuka tun0 sebagai default global. Karakter ~. cocok dengan semua domain.

      resolvectl domain tun0 "~."

    7. Mulai ulang proses openvpn:

      sudo killall openvpn
sudo openvpn --config /etc/openvpn/conf/config.ovpn --daemon

    8. Verifikasi bahwa alamat server DNS telah diperbarui:

      resolvectl status tun0

    9. Jalankan dig example.com. Ganti example.com dengan nama domain pribadi Anda yang sebenarnya. Jika alamat IP pribadi yang benar dikembalikan, konfigurasi DNS telah berlaku.

    Penting

    Untuk menonaktifkan fitur resolusi DNS ini, ikuti langkah-langkah berikut:

    1. Putuskan koneksi dari SSL-VPN:

      sudo killall openvpn

    2. Edit file config.ovpn di direktori /etc/openvpn/conf. Beri komentar pada empat baris di akhir file yang dimulai dengan script-security, up, down, dan down-pre.

    3. Jalankan proses openvpn untuk membuat koneksi SSL-VPN:

      sudo openvpn --config /etc/openvpn/conf/config.ovpn --daemon

    FAQ

    Pengaturan DNS tidak berlaku

    • Pastikan subnet server DNS termasuk dalam rentang SSL Server yang dikonfigurasi untuk Local CIDR Block. Jika tidak, tambahkan subnet server DNS ke konfigurasi Local CIDR Block.

    • Pastikan server DNS mengizinkan permintaan resolusi dari Client CIDR Block (kolam alamat IP yang dialokasikan untuk klien oleh SSL-VPN).

    • Pastikan security group server DNS mengizinkan traffic pada UDP port 53.

    • Periksa apakah VPN lain atau perangkat lunak jaringan mengganti pengaturan DNS.

    • Untuk klien Windows, periksa juga hal berikut:

      • Pastikan metrik adaptor jaringan untuk saluran data VPN adalah yang terkecil. Untuk petunjuknya, lihat Langkah 2: Konfigurasikan klien.

      • Jalankan ipconfig /flushdns di Command Prompt untuk menghapus cache DNS, lalu coba lagi.

    • Untuk klien CentOS/AliOS, periksa juga hal berikut:

      • Pastikan konfigurasi script-security 2 dan skrip up/down telah ditambahkan ke file .ovpn.

      • Pastikan skrip pembaruan DNS yang sesuai (client.up dan client.down) ada di direktori /etc/openvpn/conf/.

      • Periksa file /etc/resolv.conf untuk memastikan berisi alamat DNS yang dikonfigurasi.

    • Untuk klien Ubuntu, periksa juga hal berikut:

      • Pastikan Anda telah mengunduh ulang file sertifikat dan menghapus komentar pada empat baris terakhir di file .ovpn.

      • Pastikan skrip pembaruan DNS yang sesuai (update-resolv-conf atau update-systemd-resolved) ada di sistem.

      • Jalankan resolvectl status untuk memastikan output berisi alamat DNS yang dikonfigurasi.

    Mengunduh ulang sertifikat klien

    Anda hanya perlu mengunduh ulang sertifikat untuk klien Ubuntu. Hal ini tidak diperlukan untuk sistem operasi lain.

    Dukungan alamat IPv6

    Tidak. Hanya server DNS dengan alamat IPv4 yang didukung.

    Server DNS tidak dapat dijangkau

    Sistem tidak memverifikasi keterjangkauan server DNS. Jika server DNS yang dikonfigurasi tidak dapat dijangkau, klien tidak dapat melakukan resolusi nama domain setelah terhubung ke VPN. Pastikan server DNS beroperasi di VPC dan subnet-nya termasuk dalam konfigurasi routing SSL-VPN.

    Menggunakan server DNS di luar VPC

    Ya. Misalnya, Anda dapat menetapkan alamat server DNS pada SSL server ke server DNS di pusat data on-premises Anda.