Halaman ini memberikan panduan bagi operator jaringan untuk memastikan bahwa aplikasi virtual private network (VPN) konsumen dan
perusahaan memberikan pengalaman pengguna akhir yang baik
di jaringan mereka. Android menyediakan
class
VpnManager
untuk developer guna membuat solusi VPN, yang digunakan oleh konsumen dan
perusahaan untuk mengenkripsi komunikasi mereka atau merutekannya ke jaringan yang berbeda.
Sebaiknya operator jaringan mengikuti panduan berikut:
- Mendukung paket protokol Encapsulating Security Payload (ESP) IPv6 (Next Header 50) di jaringan Anda, sehingga memastikan traffic ini memiliki performa yang sebanding dengan koneksi user datagram protocol (UDP) atau transmission control protocol (TCP). Sesi ESP harus diizinkan masuk ke perangkat, atau disetel ke waktu tunggu yang sangat tinggi, dan diteruskan dengan kecepatan baris.
- Tetapkan waktu tunggu network address translation (NAT) dan firewall stateful minimal 600 detik untuk koneksi UDP di port 4500 guna memastikan solusi VPN dapat mempertahankan konektivitas yang andal tanpa menimbulkan biaya daya yang berlebihan.
Mendukung paket protokol ESP IPv6 (Next Header 50)
Encapsulating Security Payload (ESP) adalah format paket yang ditentukan sebagai bagian dari kumpulan protokol Internet Protocol Security (IPSec) untuk mengenkripsi dan mengautentikasi paket dalam solusi VPN. Android OS mengimplementasikan protokol keamanan standar ini dalam solusi VPN bawaannya.
Pada jaringan yang kompatibel dengan IPv6, paket ESP dibawa langsung dalam paket IPv6 dengan kolom Next Header 50. Jika jaringan tidak mendukung jenis paket ini dengan benar, hal ini dapat menyebabkan kurangnya konektivitas untuk solusi VPN yang bertujuan untuk menggunakan protokol ini tanpa enkapsulasi paket lebih lanjut. Jaringan mungkin menghentikan paket ini karena konfigurasi firewall. Atau, paket ESP mungkin mengalami jalur lambat di jaringan, dengan performa throughput yang sangat menurun dibandingkan dengan koneksi TCP atau UDP.
Internet Engineering Task Force (IETF) merekomendasikan untuk mengizinkan IPsec melalui firewall yang digunakan oleh layanan akses internet konsumen. Misalnya, lihat RFC 6092 bagian 3.2.4. Paket ESP dapat diizinkan dengan aman melalui firewall di kedua arah karena jika perangkat menerima paket ESP yang bukan bagian dari pengaitan keamanan yang ada, perangkat akan menghapus paket tersebut. Hasilnya, perangkat tidak perlu mengirim paket keepalive untuk mempertahankan konektivitas VPN, yang menghemat masa pakai baterai. Sebaiknya jaringan mengizinkan paket ESP ke perangkat setiap waktu, atau waktu tunggu sesi ESP hanya setelah tidak aktif dalam waktu lama (misalnya, 30 menit).
Sebaiknya operator jaringan mendukung paket protokol ESP (paket IPv6 dengan Header Berikutnya 50) di jaringan mereka dan meneruskan paket tersebut dalam hardware dengan kecepatan saluran. Hal ini memastikan solusi VPN tidak mengalami masalah konektivitas dan memberikan performa yang sebanding dengan koneksi UDP atau TCP.
Tetapkan waktu tunggu firewall stateful dan NAT yang memadai
Untuk menjaga keandalan koneksi, solusi VPN perlu mempertahankan koneksi berdurasi panjang ke server VPN yang menyediakan konektivitas keluar dan masuk (misalnya, untuk menerima notifikasi push masuk, pesan chat, dan panggilan audio atau video). Sebagian besar aplikasi VPN IPsec menggunakan ESP yang dienkapsulasi dalam paket UDP IPv4 dengan port tujuan 4500, seperti yang dijelaskan dalam RFC 3948.
Untuk mempertahankan koneksi ini, perangkat perlu mengirim paket secara berkala ke server. Paket ini harus dikirim dengan frekuensi yang lebih tinggi daripada waktu tunggu NAT dan firewall yang diberlakukan oleh operator jaringan. Keepalive yang sering digunakan membutuhkan banyak daya di sisi klien, dan memiliki dampak besar pada masa pakai baterai. Perangkat tersebut juga menghasilkan traffic sinyal yang substansial di jaringan, meskipun perangkat tidak aktif.
Sebaiknya operator menaikkan waktu tunggu NAT dan firewall stateful cukup tinggi untuk menghindari dampak pada baterai. Waktu tunggu yang direkomendasikan untuk enkapsulasi UDP IPsec (port 4500) adalah 600 detik atau lebih.
Di jaringan seluler, waktu tunggu UDP NAT sering kali dijaga agar tetap rendah karena kelangkaan alamat IPv4 menimbulkan faktor penggunaan kembali port yang tinggi. Namun, saat VPN dibuat, jaringan perangkat tidak perlu mendukung koneksi TCP yang berumur panjang, seperti yang digunakan untuk mengirimkan notifikasi masuk. Jadi, jumlah koneksi lama yang perlu didukung jaringan sama atau lebih rendah saat VPN berjalan dibandingkan saat VPN tidak berjalan.