All Products
Search

This Product

    VPN Gateway:Membuat koneksi SSL-VPN ke VPC dengan otentikasi IDaaS

    Document Center

    VPN Gateway:Membuat koneksi SSL-VPN ke VPC dengan otentikasi IDaaS

    Last Updated:Mar 31, 2026

    Otentikasi dua faktor SSL-VPN mengharuskan klien melewati dua metode otentikasi berbeda sebelum membuat koneksi: otentikasi sertifikat klien SSL default dan otentikasi username serta password melalui IDaaS (Identity as a Service). Klien harus lulus kedua otentikasi tersebut untuk terhubung ke Virtual Private Cloud (VPC). Mekanisme berlapis ganda ini mencegah pencurian identitas dan koneksi tidak sah, sehingga meningkatkan keamanan koneksi SSL-VPN dan melindungi data sensitif dalam VPC Anda. Topik ini menjelaskan cara menggunakan fitur otentikasi dua faktor SSL-VPN agar klien dapat membuat koneksi SSL-VPN yang aman ke VPC dan mengakses sumber dayanya.

    Skenario

    Topik ini menggunakan skenario yang ditunjukkan pada gambar sebelumnya. Sebuah perusahaan menggunakan Alibaba Cloud IDaaS untuk mengelola akun dan izin karyawan. Perusahaan tersebut memiliki VPC di wilayah China (Hangzhou) dengan aplikasi yang dideploy pada instans Elastic Compute Service (ECS). Perusahaan ingin memungkinkan karyawan yang sedang dinas luar untuk mengakses sumber daya dalam VPC kapan saja, sekaligus memastikan semua akses telah diautentikasi.

    Untuk mencapai hal ini, perusahaan dapat menggunakan fitur SSL-VPN dari gateway VPN dan mengaktifkan otentikasi dua faktor. Untuk membuat koneksi SSL-VPN ke VPC, klien harus terlebih dahulu lulus otentikasi sertifikat klien SSL, lalu otentikasi username dan password IDaaS. Proses ini memastikan akses yang aman ke sumber daya dalam VPC.

    Prasyarat

    • Anda telah membuat instans IDaaS EIAM Edisi Perusahaan. Untuk informasi selengkapnya, lihat Manage instances.

      Penting

    • Anda telah membuat organisasi dan akun dalam instans EIAM.

      Topik ini menggunakan organisasi dan akun yang dibuat secara manual dalam instans EIAM, seperti yang ditunjukkan pada gambar berikut. Jika Anda ingin menyinkronkan informasi akun ke instans EIAM secara otomatis melalui LDAP agar karyawan dapat login ke aplikasi menggunakan autentikasi AD/LDAP, lihat Establish an SSL-VPN connection to a VPC by using AD authentication. Untuk informasi selengkapnya tentang metode sinkronisasi akun, lihat Create accounts and organizations.2024-05-09_13-13-48

    • Anda telah membuat VPC di wilayah China (Hangzhou) dan mendeploy aplikasi pada instans ECS dalam VPC tersebut. Untuk informasi selengkapnya, lihat Create an IPv4 VPC.

      Pastikan aturan security group untuk instans ECS dalam VPC Anda mengizinkan klien mengakses sumber daya cloud. Untuk informasi selengkapnya, lihat Query security group rules dan Add a security group rule.

    • Pastikan klien dapat mengakses internet dan blok CIDR privatnya tidak tumpang tindih dengan blok CIDR privat VPC.

    Prosedur

    Langkah 1: Tambahkan aplikasi Alibaba Cloud SSL-VPN

    1. Login ke Konsol IDaaS.

    2. Pada halaman EIAM, temukan instans EIAM yang telah Anda buat di bagian Prasyarat, lalu klik Console di kolom Actions.

    3. Di panel navigasi kiri instans EIAM, pilih Application. Pada halaman Application, klik Add Application.

    4. Pada halaman Add Application, temukan templat Alibaba Cloud - SSL VPN dan klik Add Application.

    5. Pada kotak dialog Add Application, masukkan nama untuk aplikasi tersebut dan klik Add.

    6. Pada tab Sign-In di halaman detail aplikasi, konfigurasikan parameter berikut lalu klik Save di bagian bawah tab.

      SSO: Biarkan fitur ini tetap diaktifkan.

      Grant Types: Nilai default-nya adalah Password Grant. Nilai default untuk IdP adalah IDaaS Account, yang berarti sistem menggunakan informasi akun dalam instans EIAM untuk mengautentikasi karyawan.

      Authorize: Gunakan nilai default Manually. Ini mengharuskan Anda memberikan izin secara manual kepada akun tertentu untuk mengakses aplikasi ini. Untuk informasi selengkapnya, lihat Authorization scope.

    7. Tetap di tab Sign-In, lalu klik tab Application Authorization.

      Berikan izin kepada akun yang memerlukan koneksi SSL-VPN. Untuk informasi selengkapnya, lihat Authorize applications.

    Langkah 2: Buat instans gateway VPN

    1. Login ke Konsol gateway VPN.

    2. Pada halaman VPN Gateways, klik Create VPN Gateway.

    3. Pada halaman VPN Gateway, konfigurasikan gateway VPN berdasarkan informasi berikut, lalu klik Buy Now dan selesaikan pembayaran.

      Topik ini hanya menjelaskan parameter yang diperlukan. Gunakan nilai default untuk parameter lainnya. Untuk informasi selengkapnya, lihat Create and manage a VPN gateway instance.

      Parameter

      Deskripsi

      Region

      Pilih wilayah tempat Anda ingin membuat gateway VPN. Dalam contoh ini, China (Hangzhou) dipilih.

      Catatan

      Gateway VPN harus berada di wilayah yang sama dengan VPC.

      Gateway type

      Pilih jenis gateway VPN. Dalam contoh ini, Standard dipilih.

      Network Type

      Pilih jenis jaringan untuk instans gateway VPN. Dalam contoh ini, Public dipilih.

      Tunnels

      Sistem menampilkan mode tunnel yang didukung untuk koneksi IPsec-VPN di wilayah saat ini.

      Virtual Private Cloud

      Pilih instans VPC yang ingin Anda hubungkan.

      vSwitch 1

      Pilih vSwitch dari instans VPC.

      • Jika Anda memilih Single-tunnel, Anda hanya perlu menentukan satu vSwitch.

      • Jika Anda memilih Dual-tunnel, Anda perlu menentukan dua vSwitch.

        Setelah fitur IPsec-VPN diaktifkan, sistem akan membuat antarmuka jaringan elastis (ENI) untuk masing-masing dua vSwitch sebagai antarmuka untuk berkomunikasi dengan VPC melalui koneksi IPsec-VPN. Setiap ENI menggunakan satu alamat IP dalam vSwitch.

      Catatan

      • Sistem memilih vSwitch secara default. Anda dapat mengubah atau menggunakan vSwitch default.

      • Setelah gateway VPN dibuat, Anda tidak dapat mengubah vSwitch yang terkait dengan gateway VPN tersebut. Anda dapat melihat vSwitch yang terkait dengan gateway VPN, zona tempat vSwitch tersebut berada, dan ENI dalam vSwitch di halaman detail gateway VPN.

      vSwitch 2

      Pilih vSwitch kedua dari instans VPC.

      • Tentukan dua vSwitch di zona berbeda dalam VPC terkait untuk menerapkan pemulihan bencana lintas zona untuk koneksi IPsec-VPN.

      • Untuk wilayah yang hanya mendukung satu zona, pemulihan bencana lintas zona tidak didukung. Kami menyarankan Anda menentukan dua vSwitch di zona tersebut untuk menerapkan ketersediaan tinggi koneksi IPsec-VPN. Anda juga dapat memilih vSwitch yang sama dengan yang pertama.

      Catatan

      Jika vSwitch kedua tidak tersedia dalam VPC, Anda dapat membuatnya. Untuk informasi selengkapnya, lihat Create and manage a vSwitch.

      IPsec-VPN

      Menentukan apakah akan mengaktifkan fitur IPsec-VPN. Dalam contoh ini, pilih Disable.

      SSL-VPN

      Menentukan apakah akan mengaktifkan fitur SSL-VPN. Dalam contoh ini, pilih Enable.

      SSL connections

      Pilih jumlah maksimum klien yang dapat terhubung.

      Catatan

      Anda dapat mengonfigurasi SSL connections hanya setelah Anda mengaktifkan fitur SSL-VPN.

    4. Kembali ke halaman VPN Gateways untuk melihat instans gateway VPN yang telah dibuat.

      Instans gateway VPN yang baru dibuat berada dalam status Preparing. Setelah 1 hingga 5 menit, statusnya berubah menjadi Normal. Status Normal menunjukkan bahwa gateway VPN telah diinisialisasi dan siap digunakan.

    Langkah 3: Buat server SSL

    1. Di panel navigasi kiri, pilih Interconnections > VPN > SSL Servers.

    2. Di bilah navigasi atas, pilih wilayah untuk Server SSL.

      Catatan

      Server SSL harus berada di wilayah yang sama dengan gateway VPN.

    3. Pada halaman SSL Server, klik Create SSL Server.

    4. Di panel Create SSL Server, konfigurasikan server SSL dengan parameter berikut, lalu klik OK.

      Topik ini hanya menjelaskan parameter yang diperlukan. Gunakan nilai default untuk parameter lainnya. Untuk informasi selengkapnya, lihat Create and manage an SSL server.

      Parameter

      Deskripsi

      VPN Gateways

      Pilih instans gateway VPN yang telah Anda buat.

      Local Network

      Masukkan blok CIDR VPC yang akan diakses. Contoh: 192.168.0.0/16.

      Client CIDR Block

      Masukkan blok CIDR yang akan digunakan klien untuk mengakses VPC. Dalam contoh ini, masukkan 10.0.0.0/24.

      Penting

      • Panjang prefiks subnet mask untuk Client CIDR Block harus antara 16 hingga 29 bit.

      • Blok CIDR klien tidak boleh tumpang tindih dengan local CIDR block, blok CIDR VPC, atau entri rute CIDR yang terkait dengan klien.

      • Kami menyarankan Anda menggunakan 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, atau subnet-nya untuk blok CIDR klien. Jika Anda harus menggunakan rentang alamat IP publik, Anda harus mengonfigurasinya sebagai blok CIDR yang ditentukan pengguna untuk VPC guna memastikan perutean yang tepat. Untuk informasi selengkapnya, lihat VPC FAQ.

      • Setelah Anda membuat server SSL, sistem secara otomatis menambahkan rute untuk Client CIDR Block ke tabel rute VPC. Jangan menambahkan rute ini secara manual ke tabel rute VPC. Jika tidak, koneksi SSL-VPN mungkin terganggu.

      Advanced Settings

      Aktifkan fitur otentikasi dua faktor. Contoh ini menggunakan EIAM 2.0. Gunakan nilai default untuk parameter lainnya.

      • IDaaS Instance Region: Pilih China (Hangzhou).

      • IDaaS Instance: Pilih instans EIAM yang telah Anda buat di bagian Prasyarat.

      • IDaaS Application: Pilih aplikasi Alibaba Cloud SSL-VPN.

        Catatan

        Saat Anda membuat server SSL di wilayah UAE (Dubai), kami menyarankan Anda mengaitkan server SSL tersebut dengan instans IDaaS EIAM 2.0 di Singapura untuk mengurangi latensi.

    Langkah 4: Buat sertifikat klien SSL

    1. Di panel navigasi kiri, pilih Interconnections > VPN > SSL Clients.

    2. Pada halaman SSL Client, klik Create SSL Client.

    3. Di panel Create SSL Client, masukkan nama untuk klien SSL, pilih SSL Server, lalu klik OK.

    4. Pada halaman SSL Client, temukan klien SSL yang telah Anda buat, lalu di kolom Actions, klik Download Certificate.

      Simpan sertifikat klien SSL yang diunduh ke perangkat lokal Anda. Anda akan menggunakannya nanti untuk konfigurasi klien.

    Langkah 5: Konfigurasikan klien

    Klien Linux

    1. Buka Antarmuka baris perintah.

    2. Jalankan perintah berikut untuk menginstal klien OpenVPN. 

      # Pada CentOS, jalankan perintah berikut.
yum install -y openvpn
# Periksa apakah direktori /etc/openvpn/conf/ ada. Jika tidak, buatlah.
cd /etc/openvpn # Masuk ke direktori openvpn.
ls              # Periksa apakah direktori conf ada di dalam direktori openvpn.
mkdir -p /etc/openvpn/conf # Jika direktori conf tidak ada, buatlah.

# Pada Ubuntu, jalankan perintah berikut.
apt-get update
apt-get install -y openvpn
# Periksa apakah direktori /etc/openvpn/conf/ ada. Jika tidak, buatlah.
cd /etc/openvpn # Masuk ke direktori openvpn.
ls              # Periksa apakah direktori conf ada di dalam direktori openvpn.
mkdir -p /etc/openvpn/conf # Jika direktori conf tidak ada, buatlah.

    3. Ekstrak sertifikat klien SSL yang diunduh dan salin ke direktori /etc/openvpn/conf/.

    4. Masuk ke direktori /etc/openvpn/conf/, jalankan perintah berikut, lalu masukkan username dan password Anda. Setelah klien lulus otentikasi IDaaS, koneksi SSL-VPN akan dibuat. 

      openvpn --config /etc/openvpn/conf/config.ovpn --daemon

      2024-05-09_14-47-13

    Klien Windows

    1. Unduh dan instal klien OpenVPN untuk Windows.

    2. Ekstrak sertifikat klien SSL yang diunduh dan salin ke direktori OpenVPN\config.

      Dalam contoh ini, sertifikat diekstrak ke direktori C:\Program Files\OpenVPN\config. Salin sertifikat ke direktori instalasi aktual pada sistem Anda.

    3. Jalankan klien OpenVPN, klik Connect, lalu masukkan username dan password Anda. Setelah klien lulus otentikasi IDaaS, koneksi SSL-VPN akan dibuat.

      2024-05-09_15-18-40

    Klien macOS (OpenVPN)

    1. Buka Antarmuka baris perintah.

    2. Jika Homebrew belum diinstal pada klien Anda, jalankan perintah berikut untuk menginstalnya.

      /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

    3. Jalankan perintah berikut untuk menginstal klien OpenVPN. 

      brew install openvpn

    4. Ekstrak sertifikat klien SSL yang diunduh dan salin ke direktori konfigurasi.

      1. Backup semua file konfigurasi di direktori /usr/local/etc/openvpn.

        Penting

        Jalur instalasi default OpenVPN dapat berbeda tergantung versi macOS. Gunakan jalur instalasi aktual Anda.

      2. Jalankan perintah berikut untuk menghapus file konfigurasi OpenVPN.

        rm /usr/local/etc/openvpn/*

      3. Jalankan perintah berikut untuk menyalin sertifikat klien SSL yang diunduh ke direktori konfigurasi.

        cp cert_location /usr/local/etc/openvpn/

        cert_location adalah jalur ke sertifikat klien SSL yang diunduh, misalnya, /Users/example/Downloads/certs6.zip.

    5. Jalankan perintah berikut untuk mengekstrak sertifikat.

      cd  /usr/local/etc/openvpn/
unzip /usr/local/etc/openvpn/certs6.zip

    6. Masuk ke direktori /usr/local/etc/openvpn/, jalankan perintah berikut, lalu masukkan username dan password Anda untuk membuat koneksi SSL-VPN.

      sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn

    Langkah 6: Uji konektivitas

    Setelah menyelesaikan langkah-langkah sebelumnya, klien dapat mengakses sumber daya dalam VPC dari jarak jauh. Langkah-langkah berikut menunjukkan cara menguji konektivitas dari klien Linux ke VPC.

    1. Buka Antarmuka baris perintah pada klien.

    2. Jalankan perintah ping untuk mengakses instans ECS1 dalam VPC dan verifikasi konektivitas.

      ping <alamat IP instans ECS1>

      Menerima paket balasan, seperti yang ditunjukkan pada gambar, mengonfirmasi bahwa klien dapat mengakses sumber daya dalam VPC.

      2024-05-09_17-05-07

    FAQ

    Mengonfigurasi instans IDaaS EIAM 1.0

    Jika Anda perlu menggunakan instans IDaaS EIAM 1.0, Anda dapat melewatkan langkah untuk menambahkan aplikasi Alibaba Cloud SSL-VPN. Saat membuat server SSL, Anda dapat langsung mengaitkan instans EIAM 1.0 tersebut. Langkah-langkah lainnya tetap sama.2024-05-09_16-10-09

    Dukungan otentikasi faktor kedua

    Tidak.

    IDaaS hanya mendukung otentikasi username dan password untuk integrasi SSL-VPN. Metode otentikasi lain, seperti one-time passwords (OTP) atau verifikasi SMS, tidak didukung untuk skenario ini.