All Products
Search

This Product

    VPN Gateway:Membuat koneksi SSL-VPN dengan autentikasi IDaaS

    Document Center

    VPN Gateway:Membuat koneksi SSL-VPN dengan autentikasi IDaaS

    Last Updated:Jun 22, 2026

    Otentikasi dua faktor SSL-VPN mengharuskan klien melewati dua bentuk autentikasi terpisah sebelum membuat koneksi: autentikasi sertifikat klien SSL default dan autentikasi username serta password IDaaS (Identity as a Service). Koneksi SSL-VPN ke VPC hanya diizinkan setelah kedua proses autentikasi berhasil. Mekanisme autentikasi ganda ini meningkatkan keamanan dengan mencegah pencurian identitas dan akses tidak sah, sehingga melindungi data sensitif dalam VPC Anda dari ancaman eksternal. Topik ini menjelaskan cara menggunakan fitur otentikasi dua faktor SSL-VPN agar klien dapat mengakses sumber daya dalam VPC secara aman.

    Contoh skenario

    Topik ini menggunakan skenario pada diagram sebelumnya sebagai contoh. Sebuah perusahaan menggunakan Alibaba Cloud IDaaS untuk mengelola dan memelihara akun serta izin karyawan. Perusahaan tersebut memiliki instans VPC di wilayah China (Hangzhou) dan telah men-deploy aplikasi pada instans Elastic Compute Service (ECS) di dalam VPC tersebut. Perusahaan ingin agar karyawan yang sedang melakukan perjalanan dinas dapat mengakses sumber daya VPC kapan saja, sekaligus memastikan identitas karyawan diautentikasi.

    Perusahaan dapat menggunakan fitur SSL-VPN dari VPN Gateway dan mengaktifkan otentikasi dua faktor untuk SSL-VPN. Setelah melewati autentikasi sertifikat klien SSL dan autentikasi username serta password IDaaS, klien dapat membuat koneksi SSL-VPN ke VPC dan mengakses sumber daya di dalamnya secara aman.

    Prasyarat

    • Anda telah membuat instans IDaaS EIAM Edisi Perusahaan. Untuk informasi selengkapnya, lihat Kelola instans.

      Penting

    • Anda telah membuat organisasi dan akun dalam instans EIAM.

      Topik ini menjelaskan cara membuat organisasi dan akun secara manual dalam instans EIAM. Contoh organisasi dan akun disediakan. Jika Anda ingin menyinkronkan informasi akun ke instans EIAM secara otomatis melalui protokol LDAP agar karyawan dapat login ke aplikasi menggunakan autentikasi AD/LDAP, lihat Membuat koneksi SSL-VPN antara klien dan VPC dengan autentikasi AD. Untuk informasi lebih lanjut tentang metode sinkronisasi akun, lihat Buat akun atau organisasi. Misalnya, pada halaman Account Management instans IDaaS, organisasi SSL-VPN dalam struktur organisasi berisi akun bernama Lisi dengan status Normal.

    • Anda telah membuat VPC di wilayah China (Hangzhou) dan men-deploy aplikasi pada instans ECS di dalam VPC tersebut. Untuk informasi selengkapnya, lihat Buat VPC dengan blok CIDR IPv4.

      Pastikan aturan grup keamanan untuk instans ECS di dalam VPC mengizinkan klien mengakses sumber daya cloud. Untuk informasi selengkapnya, lihat Kueri aturan grup keamanan dan Tambahkan aturan grup keamanan.

    • Pastikan klien dapat mengakses internet dan blok CIDR pribadi klien tidak tumpang tindih dengan blok CIDR pribadi VPC.

    Prosedur

    Langkah 1: Tambahkan aplikasi Alibaba Cloud SSL-VPN

    1. Login ke Konsol IDaaS.

    2. Pada halaman EIAM, temukan instans EIAM yang telah Anda buat di bagian Prasyarat dan klik Console pada kolom Actions.

    3. Di panel navigasi sebelah kiri instans EIAM, pilih Application. Pada halaman Application, klik Add Application.

    4. Pada halaman Add Application, temukan templat Alibaba Cloud - SSL VPN dan klik Add Application.

    5. Pada kotak dialog Add Application, masukkan nama kustom untuk aplikasi tersebut lalu klik Add Now.

    6. Pada tab Sign-In di halaman detail aplikasi, konfigurasikan parameter berikut lalu klik Save di bagian bawah tab.

      SSO: Biarkan tetap diaktifkan.

      Grant Types: Nilai default adalah Password Grant. Untuk IdP, pilih nilai default IDaaS Account. Sistem menggunakan akun yang telah Anda buat secara manual dalam instans EIAM untuk mengautentikasi karyawan.

      Authorize: Gunakan nilai default Manually. Dalam mode ini, Anda harus memberikan akses secara manual kepada akun tertentu agar mereka dapat mengakses aplikasi. Untuk informasi selengkapnya, lihat Authorization scope.

    7. Pada tab Sign-In, klik tab Application Authorization.

      Berikan otorisasi kepada akun karyawan yang perlu membuat koneksi SSL-VPN. Untuk informasi selengkapnya, lihat Application authorization.

    Langkah 2: Buat instans VPN Gateway

    1. Login ke Konsol gateway VPN.

    2. Pada halaman VPN Gateways, klik Create VPN Gateway.

    3. Pada halaman VPN Gateway, konfigurasikan gateway VPN seperti dijelaskan di bawah ini, klik Buy Now, lalu selesaikan pembayaran.

      Tabel berikut hanya menjelaskan parameter yang relevan dengan topik ini. Gunakan nilai default untuk parameter lainnya. Untuk informasi selengkapnya, lihat Buat dan kelola instans VPN Gateway.

      Parameter

      Deskripsi

      Region

      Pilih wilayah tempat Anda ingin membuat instans VPN Gateway. Dalam contoh ini, China (Hangzhou) dipilih.

      Catatan

      Pastikan VPC dan instans VPN Gateway berada di wilayah yang sama.

      gateway type

      Pilih jenis gateway VPN yang ingin Anda buat. Dalam contoh ini, Standard dipilih.

      Network Type

      Pilih jenis jaringan untuk instans VPN Gateway. Dalam contoh ini, Public dipilih.

      tunnel

      Sistem menampilkan mode tunnel untuk koneksi IPsec-VPN yang didukung di wilayah saat ini.

      VPC

      Pilih VPC yang ingin Anda hubungkan.

      vSwitch 1

      Pilih vSwitch dari VPC.

      • Jika Anda memilih Single-tunnel, Anda hanya perlu menentukan satu vSwitch.

      • Jika Anda memilih Dual-tunnel, Anda perlu menentukan dua vSwitch.

        Setelah fitur IPsec-VPN diaktifkan, sistem membuat antarmuka jaringan elastis (ENI) untuk masing-masing dari dua vSwitch tersebut sebagai antarmuka untuk berkomunikasi dengan VPC melalui koneksi IPsec-VPN. Setiap ENI menggunakan satu alamat IP di vSwitch tersebut.

      Catatan

      • Sistem memilih vSwitch secara default. Anda dapat mengubah atau menggunakan vSwitch default tersebut.

      • Setelah gateway VPN dibuat, Anda tidak dapat mengubah vSwitch yang terkait dengan gateway VPN tersebut. Anda dapat melihat vSwitch yang terkait dengan gateway VPN, zona tempat vSwitch tersebut berada, dan ENI di dalam vSwitch pada halaman detail gateway VPN.

      vSwitch 2

      Pilih vSwitch kedua dari VPC.

      • Tentukan dua vSwitch di zona berbeda dalam VPC terkait untuk menerapkan pemulihan bencana lintas zona untuk koneksi IPsec-VPN.

      • Untuk wilayah yang hanya mendukung satu zona, pemulihan bencana lintas zona tidak didukung. Kami menyarankan Anda menentukan dua vSwitch di zona tersebut untuk menerapkan ketersediaan tinggi koneksi IPsec-VPN. Anda juga dapat memilih vSwitch yang sama dengan yang pertama.

      Catatan

      Jika VPC tidak memiliki vSwitch kedua, Anda dapat membuatnya. Untuk informasi selengkapnya, lihat Buat dan kelola vSwitch.

      IPsec-VPN

      Menentukan apakah akan mengaktifkan fitur IPsec-VPN. Dalam contoh ini, pilih Disable.

      SSL-VPN

      Menentukan apakah akan mengaktifkan fitur SSL-VPN. Dalam contoh ini, pilih Enable.

      SSL connections

      Pilih jumlah maksimum klien yang dapat terhubung secara bersamaan.

      Catatan

      Anda hanya dapat mengonfigurasi SSL Connections setelah mengaktifkan fitur SSL-VPN.

    4. Kembali ke halaman VPN Gateways untuk melihat instans VPN Gateway.

      Instans VPN Gateway baru berada dalam status Preparing. Setelah 1 hingga 5 menit, status berubah menjadi Normal. Status Normal menunjukkan bahwa instans VPN Gateway telah diinisialisasi.

    Langkah 3: Buat server SSL

    1. Di panel navigasi kiri, pilih Interconnections > VPN > SSL Servers.

    2. Di bilah navigasi atas, pilih wilayah untuk server SSL.

      Catatan

      Pastikan server SSL dan instans VPN Gateway berada di wilayah yang sama.

    3. Pada halaman SSL Server, klik Create SSL Server.

    4. Di panel Create SSL Server, konfigurasikan server SSL seperti dijelaskan dalam tabel berikut, lalu klik OK.

      Tabel berikut hanya menjelaskan parameter yang relevan dengan topik ini. Gunakan nilai default untuk parameter lainnya. Untuk informasi selengkapnya, lihat Buat dan kelola server SSL.

      Parameter

      Deskripsi

      VPN Gateways

      Pilih instans VPN Gateway yang telah Anda buat.

      Local Network

      Masukkan blok CIDR VPC yang ingin Anda akses. Dalam contoh ini, digunakan 192.168.0.0/16.

      Client CIDR Block

      Masukkan blok CIDR yang digunakan oleh klien untuk mengakses VPC. Dalam contoh ini, digunakan 10.0.0.0/24.

      Penting

      • Panjang masker subnet untuk blok CIDR klien harus antara 16 hingga 29 bit.

      • Blok CIDR klien tidak boleh tumpang tindih dengan Local Network, blok CIDR VPC, atau blok CIDR apa pun yang dirutekan pada klien.

      • Gunakan blok CIDR pribadi seperti 10.0.0.0/8, 172.16.0.0/12, dan 192.168.0.0/16, atau subnet-nya. Untuk menggunakan rentang IP publik, konfigurasikan sebagai blok CIDR yang ditentukan pengguna di VPC agar rute berfungsi dengan benar. FAQ VPC dan FAQ VPC.

      • Setelah Anda membuat server SSL, sistem akan menambahkan entri rute untuk blok CIDR klien ke tabel rute VPC. Jangan menambahkan entri rute ini secara manual karena dapat mengganggu traffic SSL-VPN.

      Advanced Settings

      Aktifkan otentikasi dua faktor. Topik ini menggunakan EIAM 2.0. Gunakan nilai default untuk pengaturan lainnya.

      • IDaaS Instance Region: Pilih China (Hangzhou).

      • IDaaS Instance: Pilih instans EIAM yang telah Anda buat di prasyarat.

      • IDaaS Application: Pilih aplikasi Alibaba Cloud SSL-VPN yang telah Anda tambahkan.

        Catatan

        Saat membuat server SSL di wilayah UAE (Dubai), bind instans IDaaS EIAM 2.0 di wilayah Singapura untuk mengurangi latensi lintas wilayah.

    Langkah 4: Buat sertifikat klien SSL

    1. Di panel navigasi kiri, pilih Interconnections > VPN > SSL Clients.

    2. Pada halaman SSL Client, klik Create SSL Client.

    3. Di panel Create SSL Client, masukkan nama untuk sertifikat klien SSL, pilih SSL Server yang sesuai, lalu klik OK.

    4. Pada halaman SSL Client, temukan sertifikat klien SSL yang telah Anda buat lalu klik Download Certificate pada kolom Actions.

      Simpan sertifikat klien SSL yang telah diunduh. Anda akan membutuhkannya untuk mengonfigurasi klien.

    Langkah 5: Konfigurasi klien

    Klien Linux

    1. Buka jendela command-line.

    2. Jalankan perintah berikut untuk menginstal klien OpenVPN. 

      # Pada CentOS, jalankan perintah berikut:
yum install -y openvpn
# Periksa apakah direktori /etc/openvpn/conf/ ada. Jika tidak, buatlah.
cd /etc/openvpn # Masuk ke direktori openvpn.
ls              # Periksa apakah direktori conf ada.
mkdir -p /etc/openvpn/conf # Jika direktori conf tidak ada, buatlah.

# Pada Ubuntu, jalankan perintah berikut:
apt-get update
apt-get install -y openvpn
# Periksa apakah direktori /etc/openvpn/conf/ ada. Jika tidak, buatlah.
cd /etc/openvpn # Masuk ke direktori openvpn.
ls              # Periksa apakah direktori conf ada.
mkdir -p /etc/openvpn/conf # Jika direktori conf tidak ada, buatlah.

    3. Ekstrak sertifikat klien SSL yang telah diunduh dan salin file-file tersebut ke direktori /etc/openvpn/conf/.

    4. Masuk ke direktori /etc/openvpn/conf/, jalankan perintah berikut, lalu masukkan username dan password. Setelah IDaaS mengautentikasi klien, koneksi SSL-VPN akan dibuat. 

      openvpn --config /etc/openvpn/conf/config.ovpn --daemon
      [root@iZuxxx raihcZ conf]# openvpn --config /etc/openvpn/conf/config.ovpn --daemon
Enter Auth Username: Lisi
Enter Auth Password: *********
[root@iZuf6fxxxxxxxxxihcZ conf]# ps aux | grep openvpn
root      10592  0.0  0.1  14532  5640 ?        Ss   14:46   0:00 openvpn --config /etc/openvpn/conf/config.ovpn --daemon
root      10594  0.0  0.0 221528   828 pts/1    S+   14:46   0:00 grep --color=auto openvpn
[root@iZufxxx ihcZ conf]#

    Klien Windows

    1. Unduh dan instal klien OpenVPN untuk versi Windows Anda:

      Jika Anda tidak dapat membuka tautan unduhan, hubungi manajer akun atau insinyur Alibaba Cloud Anda.

    2. Ekstrak paket sertifikat klien SSL yang telah diunduh dan salin semua file hasil ekstraksi ke direktori konfigurasi OpenVPN.

      • Jalur default: C:\Program Files\OpenVPN\config

      • Catatan: Jika Anda mengubah jalur instalasi, salin file-file tersebut ke folder config di direktori instalasi.

      image

    3. Buka file config.ovpn dengan editor teks dan tambahkan baris berikut di akhir file: disable-dco.

      Fitur Data Channel Offload (DCO) yang diperkenalkan di OpenVPN 2.6 tidak kompatibel dengan beberapa sistem Windows, seperti versi tertentu dari Windows 10 dan Windows 11. Menonaktifkan DCO mengatasi potensi masalah koneksi pada perangkat tersebut.
      client
dev tun
proto tcp
remote 121.41.xxx
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert vsc-bp1xxx.crt
key vsc-bp1xxx.key
cipher AES-128-CBC
;comp-lzo
verb 4
disable-dco

    4. Jalankan klien OpenVPN, klik Connect, lalu masukkan username dan password Anda. Setelah IDaaS mengautentikasi klien, koneksi SSL-VPN akan dibuat.

    Klien macOS (OpenVPN)

    1. Buka jendela command-line.

    2. Jika Homebrew belum terinstal, jalankan perintah berikut untuk menginstalnya.

      /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

    3. Jalankan perintah berikut untuk menginstal klien OpenVPN. 

      brew install openvpn

    4. Ekstrak sertifikat klien SSL yang telah diunduh dan salin file-file tersebut ke direktori konfigurasi.

      1. Cadangkan semua file konfigurasi di folder /usr/local/etc/openvpn.

        Penting

        Jalur instalasi default untuk OpenVPN dapat berbeda tergantung versi macOS. Pastikan untuk menggunakan jalur instalasi aktual pada langkah-langkah berikutnya.

      2. Jalankan perintah berikut untuk menghapus file konfigurasi OpenVPN.

        rm /usr/local/etc/openvpn/*

      3. Jalankan perintah berikut untuk menyalin sertifikat klien SSL yang telah diunduh ke direktori konfigurasi.

        cp cert_location /usr/local/etc/openvpn/

        cert_location adalah jalur ke sertifikat klien SSL yang telah diunduh. Contoh: /Users/example/Downloads/certs6.zip.

    5. Jalankan perintah berikut untuk mengekstrak sertifikat.

      cd  /usr/local/etc/openvpn/
unzip /usr/local/etc/openvpn/certs6.zip

    6. Masuk ke direktori /usr/local/etc/openvpn/, jalankan perintah berikut, lalu masukkan username dan password untuk membuat koneksi SSL-VPN.

      sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn

    Langkah 6: Uji konektivitas

    Prosedur berikut menunjukkan cara menguji konektivitas antara klien Linux dan VPC.

    1. Buka jendela command-line pada klien.

    2. Jalankan perintah ping untuk mengakses instans ECS1 di dalam VPC dan verifikasi konektivitasnya.

      ping <alamat IP instans ECS1>

      Jika Anda menerima paket balasan seperti yang ditunjukkan di bawah ini, klien telah berhasil terhubung ke VPC.

      [root@iZuf6         ihcZ conf]# ping 192.168.10.154
PING 192.168.10.154 (192.168.10.154) 56(84) bytes of data.
64 bytes from 192.168.10.154: icmp_seq=1 ttl=63 time=11.9 ms
64 bytes from 192.168.10.154: icmp_seq=2 ttl=63 time=11.7 ms
64 bytes from 192.168.10.154: icmp_seq=3 ttl=63 time=11.7 ms
64 bytes from 192.168.10.154: icmp_seq=4 ttl=63 time=11.8 ms
64 bytes from 192.168.10.154: icmp_seq=5 ttl=63 time=11.5 ms
^Z
[8]+  Stopped                 ping 192.168.10.154
[root@iZuf6hgotc     :Z conf]#

    FAQ

    Konfigurasi IDaaS EIAM 1.0

    Jika Anda menggunakan instans IDaaS EIAM 1.0, lewati langkah Add an Alibaba Cloud SSL-VPN application. Saat membuat server SSL, langsung kaitkan instans EIAM 1.0 tersebut. Langkah-langkah lainnya tetap sama. Pada halaman Create SSL Server, perluas advanced configuration, atur Protocol ke TCP (Recommended), atur Port ke 1194, atur Encryption Algorithm ke AES-128-CBC, atur Compression ke No, dan aktifkan two-factor authentication. Untuk IDaaS instance version, pilih EIAM 1.0 (Legacy). Jika versi VPN saat ini tidak mendukung EIAM 2.0, Anda harus melakukan upgrade ke versi terbaru terlebih dahulu. Kemudian, pilih Region of IDaaS instance dan IDaaS instance yang sesuai.

    Dukungan untuk autentikasi sekunder OTP

    Tidak.

    IDaaS hanya mendukung autentikasi username dan password. Metode autentikasi sekunder untuk klien, seperti one-time password (OTP) atau autentikasi SMS, tidak didukung.