Lompat ke konten Lompat ke sidebar Lompat ke footer
Beranda / IPSec Tunnel - Site-To-Site

IPSec Tunnel - Site-To-Site

Oleh Hasugian Posting Komentar

Malam all reader, ketemu lagi di catatan buruh IT,  hari ini saya akan menulis mengenai IPSec VPN. Barangkali ada yg mau implementasi dilapangan tetapi terkedala karna mungkin kurang paham, disini saya akan jelasin step-by-step cafra konfigurasinya, sekiranya bermanafaat bagi teman-teman mohon do'akan saya agar  slalu diberikan kesehatan oleh Tuhan yang maha kuasa tentunya bs menulis kembali.

Lanjut lagi..:)   IPSec Tunnel protocol diciptakan oleh kelompok kerja IPSec dibawah naungan IETF. Arsitektur dan komponen fundamental dari IPSec VPN seperti yang didefinisikan oleh RFC2401 adalah:
·    Security protocols  Authentication Header (AH) dan encapsulation security payload (ESP)
·    Key management ISAKMP, IKE, SKEME
·    Algorithms enkripsi dan authentikasi

Studi Kasus:
PT. Solisindo Teknologi Infotama yang terletak di Batam ingin membuka cabang di Jakarta. Untuk itu mereka ingin membangun koneksi yang aman dan terjamin kerahasiaannya antara kantor pusat dengan cabang tersebut melalui public network. Anda sebagai  Network Engineer ditugaskan untuk membangun koneksi tersebut.

Untuk keperluan  Lab ini saya gunaka router C2911 untuk kedua lokasi jakarta dan batam, sedangkan switchnya saya gunakan catalyst 2960 series. Untuk seedar diketahui tidak semua router support IPSec VPN, perlu diperhatiakn modul packet securityk9 apakah sudah ada atau belum. Untuk pengecekannya sendiri gunakan show version.


Kita akan coba lihat disalah satu router dengan perintah show version, nampak bahwa modul packet securityk9 belum aktif. Jika belum aktif ada bebeapa pilihan solusi, yt:
  1. upgrade ios router, atau
  2. mengaktifkan modul licensi packet securityk9 
Untuk keperluan saat ini saya lebih memilih opsi kedua. Adapun perintahnya adalah sebagai berikut:

R-JAKARTA(config)#license boot module c2900 technology-package securityk9 

Jika konfirmasi  jawab  yes

ACCEPT? [yes/no]: yes

Verifikasi kembali, pastikan modul licensi securityk9 sudah aktif, jangan lupa lakukan hal yg sama untul router lokasi Batam untk pengaktifan modul licensinya.
.
 Sekarang modul licensi secuityk9 sudah aktif di router, perhatikan bagian yg diharis bawahi.

Saatnya kita konfigurasi di semua router.

Tahap-1 :(Router R-JAKARTA)
Konfigurasi IP addres dimasing-masing interface

R-JAKARTA#CONFigure
R-JAKARTA(config)#INterface gi0/2
R-JAKARTA(config-if)#ip address 12.12.12.1 255.255.255.0
R-JAKARTA(config-if)#no sh
R-JAKARTA(config-if)#ex

R-JAKARTA(config)#interface gi0/1
R-JAKARTA(config-if)#ip address 172.16.10.1 255.255.255.0
R-JAKARTA(config-if)#no sh

R-JAKARTA(config)#router ospf 1
R-JAKARTA(config-router)#network 12.12.12.0 0.0.0.255 area 0

Tahap-2 : (Router R-JAKARTA)
Konfigurasi Access Control  List  (ACL) untuk mengijinkan traffik dari jakrta ke batam. IPSec VPN akan bs berjalan ketika ada traffik yang terjadi antara site-to-site

R-JAKARTA(config)#access-list 102 permit ip 172.16.10.0 0.0.0.255 192.168.100.0 0.0.0.255
R-JAKARTA(config)#access-list 102 permit icmp 172.16.10.0 0.0.0.255 192.168.100.0 0.0.0.255

Tahap-3 : (Router R-JAKARTA)

Konfigurasi vrypto ISAKMP policy 102 pada router R-JAKARTA dengan shared crypto key nya cisco123. Kemudian pilih algoritma enskripsi mengikuti urutan perintah ini.

R-JAKARTA(config)#crypto isakmp policy 102
R-JAKARTA(config-isakmp)#encryption aes 
R-JAKARTA(config-isakmp)#authentication pre-share 
R-JAKARTA(config-isakmp)#group 5
R-JAKARTA(config-isakmp)#ex
R-JAKARTA(config)#crypto isakmp key cisco123 address 13.13.13.3
R-JAKARTA(config)#

Tahap-4 : (Router R-JAKARTA)
Membuat trasnform-set VPN-SET menggunakan esp-aes dan esp-sha-hmac dan buat crypto VPN-MAP. 

R-JAKARTA(config)#crypto ipsec transform-set JAKARTA_BATAM_Set esp-aes esp-sha-hmac 
R-JAKARTA(config)#crypto map JAKARTA_BATAM_Map 102 ipsec-isakmp 
% NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.
R-JAKARTA(config-crypto-map)#set peer 13.13.13.3
R-JAKARTA(config-crypto-map)#set transform-set JAKARTA_BATAM_Set
R-JAKARTA(config-crypto-map)#match address 102
R-JAKARTA(config-crypto-map)#ex

Tahap-5 : (Router R-JAKARTA)
Terahir, ikat crypto map JAKARTA_BATAM_Map kedalam interface gi0/2, dimana interface ini adalah yg menuju keluar (internet).

R-JAKARTA(config)#interface gi0/2
R-JAKARTA(config-if)#crypto map JAKARTA_BATAM_Map
*Jan  3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R-JAKARTA(config-if)#exi

Tahap-6 : (Router R-JAKARTA)
Lalu tambahkan routing static  untuk menuju network LAN yang ada di R-BATAM
R-JAKARTA(config)#ip route 192.168.100.0 255.255.255.0 13.13.13.3

Lakukan hal yang sama untuk router R-BATAM.
Tahap-1 

R-BATAM#CONFigure
R-BATAM(config)#INterface GI0/2
R-BATAM(config-if)#ip address 13.13.13.3 255.255.255.0
R-BATAM(config-if)#no sh
R-BATAM(config-if)#ex

R-BATAM(config)#interface gi0/1
R-BATAM(config-if)#ip address 192.168.100.1 255.255.255.0
R-BATAM(config-if)#no sh

R-BATAM(config)#router ospf 1
R-BATAM(config-router)#network 13.13.13.0 0.0.0.255 area 0

Tahap-2

R-BATAM(config)#
R-BATAM(config)#access-list 102 permit ip 192.168.100.0 0.0.0.255 172.16.10.0 0.0.0.255
R-BATAM(config)#access-list 102 permit icmp 192.168.100.0 0.0.0.255 172.16.10.0 0.0.0.255

Tahap-3 :

R-BATAM(config)#crypto isakmp policy 102
R-BATAM(config-isakmp)#encryption aes 
R-BATAM(config-isakmp)#authentication pre-share 
R-BATAM(config-isakmp)#group 5
R-BATAM(config-isakmp)#exi
R-BATAM(config)#crypto isakmp key cisco123 address 12.12.12.1

Tahap-4 :

R-BATAM(config)#crypto ipsec transform-set JAKARTA_BATAM_Set esp-aes esp-sha-hmac 
R-BATAM(config)#crypto map JAKARTA_BATAM_Map 102 ipsec-isakmp 
% NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.
R-BATAM(config-crypto-map)#set peer 12.12.12.1
R-BATAM(config-crypto-map)#set transform-set JAKARTA_BATAM_Set
R-BATAM(config-crypto-map)#match address 102
R-BATAM(config-crypto-map)#exi
R-BATAM(config)#

Tahap-5 :

R-BATAM(config)#interface gi0/0
R-BATAM(config-if)#crypto map JAKARTA_BATAM_Map
*Jan  3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R-BATAM(config-if)#exi

Tahap-6 :
R-BATAM(config)#ip route 172.16.10.0 255.255.255.0 12.12.12.1

Sampai tahap ini konfigurasi IPSec VPN suah selesai, saatnya untuk verfikasi dan menampilkan beberapa informasi VPN IPsec pakah sdh berjalan dengan baik..

Tahap-7 :
Untuk verifikasi saya akan lakukan ping dari komputer disisi jakarta ke komputer  batam dan juga sebaliknya.


Untuk menampilkan semua destiantion dan source peering

Menampilkan crypto map

Menampilkan paket yang ter-enskapsulasi

R-JAKARTA#show crypto ipsec sa

 interface: GigabitEthernet0/2
Crypto map tag: JAKARTA_BATAM_Map, local addr 12.12.12.1
protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
current_peer 13.13.13.3 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 3493, #pkts encrypt: 3493, #pkts digest: 0
#pkts decaps: 3495, #pkts decrypt: 3495, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 12.12.12.1, remote crypto endpt.:13.13.13.3
path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/2
current outbound spi: 0x4274574A(1114920778)

inbound esp sas:

 spi: 0x4BC43310(1271149328)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2008, flow_id: FPGA:1, crypto map: JAKARTA_BATAM_Map
sa timing: remaining key lifetime (k/sec): (4525504/436)
IV size: 16 bytes
replay detection support: N
Status: ACTIVE

 Sampai tahap ini konfigurasi dan verifikasi lab IPSec tunnel dah selesai. Sampai ketemu di postingan berikutnya.  

------------------------------------------------------------------------------------------------------------

 

----------------------------------------------------------------------------------------------------------------

Router R1

Konfigurasi R1
access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

crypto isakmp policy 102
encryption aes
authentication pre-share
group 5
exi
crypto isakmp key cisco123 address 123.2.2.2

crypto ipsec transform-set JAKARTA_BATAM_Set esp-aes esp-sha-hmac

crypto map JAKARTA_BATAM_Map 102 ipsec-isakmp
set peer 123.2.2.2
set transform-set JAKARTA_BATAM_Set
match address 102
exi

interface gi0/0
crypto map JAKARTA_BATAM_Map
exi

ip route 192.168.2.0 255.255.255.0 123.2.2.2

--------------------------------------------------------------------

Konfigurasi R2

access-list 102 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 102 permit icmp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

crypto isakmp policy 102
encryption aes
authentication pre-share
group 5
exi
crypto isakmp key cisco123 address 123.1.1.2

crypto ipsec transform-set JAKARTA_BATAM_Set esp-aes esp-sha-hmac

crypto map JAKARTA_BATAM_Map 102 ipsec-isakmp
set peer 123.1.1.2
set transform-set JAKARTA_BATAM_Set
match address 102
exi

interface gi0/0
crypto map JAKARTA_BATAM_Map
exi

ip route 192.168.1.0 255.255.255.0 123.1.1.2
------------------------------------------------------------------------
Verifkasi:
show crypto isakmp policy
show crypto isakmp sa
show crypto ipsec sa
show crypto map
show crypto ipsec transform-set
 

Posting Komentar untuk "IPSec Tunnel - Site-To-Site"

Posting Komentar