Halaman ini memberikan pedoman bagi operator jaringan untuk memastikan bahwa aplikasi jaringan pribadi virtual (VPN) konsumen dan perusahaan memberikan pengalaman pengguna akhir yang baik di jaringan mereka. Android menyediakan kelas VpnManager bagi pengembang untuk membuat solusi VPN, yang digunakan oleh konsumen dan perusahaan untuk mengenkripsi komunikasi mereka atau merutekannya ke jaringan berbeda.
Kami menyarankan operator jaringan mengikuti pedoman berikut:
- Mendukung paket protokol IPv6 Encapsulated Security Payload (ESP) (Next Header 50) di jaringan Anda , memastikan lalu lintas ini memiliki kinerja yang sebanding dengan koneksi protokol datagram pengguna (UDP) atau protokol kontrol transmisi (TCP). Sesi ESP harus diizinkan masuk ke perangkat, atau disetel ke waktu tunggu yang sangat tinggi, dan diteruskan sesuai kecepatan saluran.
- Atur terjemahan alamat jaringan (NAT) dan batas waktu firewall stateful minimal 600 detik untuk koneksi UDP pada port 4500 guna memastikan solusi VPN dapat mempertahankan konektivitas yang andal tanpa menimbulkan biaya daya yang berlebihan.
Mendukung paket protokol IPv6 ESP (Header Berikutnya 50).
Encapsulate Security Payload (ESP) adalah format paket yang didefinisikan sebagai bagian dari rangkaian protokol Internet Protocol Security (IPSec) untuk mengenkripsi dan mengautentikasi paket dalam solusi VPN. OS Android menerapkan protokol keamanan standar ini dalam solusi VPN bawaannya.
Pada jaringan berkemampuan IPv6, paket ESP dibawa langsung dalam paket IPv6 dengan bidang Header Berikutnya sebesar 50. Jika jaringan tidak mendukung jenis paket ini dengan baik, hal ini dapat menyebabkan kurangnya konektivitas untuk solusi VPN yang bertujuan untuk menggunakan ini. protokol tanpa enkapsulasi paket lebih lanjut. Jaringan mungkin menghapus paket ini karena konfigurasi firewall. Atau paket ESP mungkin mencapai jalur yang lambat di jaringan, dengan kinerja throughput yang sangat menurun dibandingkan dengan koneksi TCP atau UDP.
Internet Engineering Task Force (IETF) merekomendasikan untuk mengizinkan IPsec melalui firewall yang digunakan oleh layanan akses internet konsumen. Misalnya, lihat RFC 6092 bagian 3.2.4 . Paket ESP dapat diizinkan dengan aman melalui firewall di kedua arah karena jika perangkat menerima paket ESP yang bukan bagian dari asosiasi keamanan yang ada, perangkat tersebut akan membuang paket tersebut. Hasilnya, perangkat tidak perlu mengirim paket keepalive untuk mempertahankan konektivitas VPN, sehingga menghemat masa pakai baterai. Kami merekomendasikan agar jaringan mengizinkan paket ESP ke perangkat setiap saat, atau menghentikan sesi ESP hanya setelah tidak ada aktivitas dalam jangka waktu lama (misalnya, 30 menit).
Kami menyarankan operator jaringan mendukung paket protokol ESP (paket IPv6 dengan Header Berikutnya 50) di jaringan mereka dan meneruskan paket tersebut di perangkat keras dengan kecepatan jalur. Hal ini memastikan solusi VPN tidak mengalami masalah konektivitas dan memberikan kinerja yang sebanding dengan koneksi UDP atau TCP.
Tetapkan batas waktu NAT dan firewall stateful yang memadai
Untuk menjaga keandalan koneksi, solusi VPN perlu mempertahankan koneksi jangka panjang ke server VPN yang menyediakan konektivitas keluar dan masuk (misalnya, untuk menerima pemberitahuan push masuk, pesan obrolan, dan panggilan audio/video). Sebagian besar aplikasi VPN IPsec menggunakan ESP yang dienkapsulasi dalam paket UDP IPv4 dengan port tujuan 4500, seperti dijelaskan dalam RFC 3948 .
Untuk menjaga koneksi ini, perangkat perlu mengirimkan paket ke server secara berkala. Paket-paket ini harus dikirim pada frekuensi yang lebih tinggi daripada batas waktu NAT dan firewall yang ditentukan oleh operator jaringan. Penyimpanan yang sering dilakukan memerlukan banyak daya di sisi klien, dan berdampak besar pada masa pakai baterai. Mereka juga menghasilkan lalu lintas sinyal yang besar pada jaringan, bahkan jika perangkat dalam keadaan idle.
Kami menyarankan agar operator menaikkan batas waktu NAT dan firewall stateful cukup tinggi untuk menghindari dampak pada baterai. Batas waktu yang disarankan untuk enkapsulasi IPsec UDP (port 4500) adalah 600 detik atau lebih.
Dalam jaringan seluler, batas waktu NAT UDP sering kali dibuat tetap rendah karena kelangkaan alamat IPv4 menyebabkan tingginya faktor penggunaan kembali port. Namun, ketika VPN dibuat, jaringan perangkat tidak perlu mendukung koneksi TCP yang tahan lama, seperti koneksi yang digunakan untuk mengirimkan notifikasi masuk. Jadi jumlah koneksi berumur panjang yang diperlukan jaringan untuk mendukung adalah sama atau lebih rendah ketika VPN berjalan dibandingkan ketika VPN tidak berjalan.