Konfigurasi Site-to-Site VPN IKEv2 IPsec di Cisco ASA

-
Pada tutorial ini kita akan mempraktikkan VPN Site-to-Site menggunakan firewall ASA. VPN jenis ini digunakan untuk mengamankan komunikasi antar jaringan berbeda lokasi (misalnya kantor pusat dan cabang) melalui internet.

Teknologi ini umum digunakan pada perangkat dari .

🧭 Konsep Dasar yang Harus Dipahami

Dalam VPN IPsec terdapat dua fase utama:

🔐 Phase 1 (IKEv2 – Tunnel Negotiation)

Digunakan untuk membangun secure channel.

Parameter yang harus MATCH di kedua ASA:

  • Hash → MD5
  • Encryption → AES-128
  • DH Group → 5
  • Authentication → Pre-Shared Key

🔐 Phase 2 (IPsec – Data Protection)

Digunakan untuk mengamankan trafik data.

Parameter:

  • Protocol → ESP
  • Encryption → AES-128
  • Hash → MD5

🌐 Contoh Topologi

HQLAN —— FW1 —— INTERNET —— FW2 —— BRLAN

Contoh subnet:

  • HQ LAN → 192.168.30.0/24
  • Branch LAN → 172.16.20.0/24

⚠️ Prasyarat Penting

Sebelum konfigurasi VPN:

✅ Pastikan konektivitas IP antar firewall sudah OK
✅ Bisa saling ping interface outside

Jika belum bisa ping → VPN tidak akan terbentuk.

⚙️ LANGKAH KONFIGURASI

1️⃣ Phase 1 — IKEv2 Policy

FW1 & FW2 (HARUS SAMA)

crypto ikev2 policy 10
 encryption aes-128
 integrity md5
 group 5

crypto ikev2 enable outside

2️⃣ Phase 2 — IPsec Proposal

crypto ipsec ikev2 ipsec-proposal VPN-TRANSFORM
 protocol esp encryption aes-128
 protocol esp integrity md5

3️⃣ Definisikan Object Network

Kedua firewall:

object network HQLAN
 subnet 192.168.30.0 255.255.255.0

object network BRLAN
 subnet 172.16.20.0 255.255.255.0

4️⃣ ACL Interesting Traffic

⚠️ Penting: hanya trafik yang di-ACL yang akan masuk tunnel.

FW1

access-list HQLAN-TO-BRLAN extended permit tcp object HQLAN object BRLAN

FW2

access-list BRLAN-TO-HQLAN extended permit tcp object BRLAN object HQLAN

📌 Note:

Lab ini menggunakan TCP, bukan ICMP → ping biasa tidak akan memicu tunnel.

5️⃣ Crypto Map

FW1

crypto map SITE-TO-SITE 10 match address HQLAN-TO-BRLAN
crypto map SITE-TO-SITE 10 set peer 100.100.100.2
crypto map SITE-TO-SITE 10 set ikev2 ipsec-proposal VPN-TRANSFORM
crypto map SITE-TO-SITE interface outside

FW2

Lakukan konfigurasi sama dengan:

  • peer = IP FW1
  • ACL disesuaikan

6️⃣ Tunnel Group (PSK Authentication)

FW1

tunnel-group 100.100.100.2 type ipsec-l2l
tunnel-group 100.100.100.2 ipsec-attributes
 ikev2 remote-authentication pre-shared-key cisco1
 ikev2 local-authentication pre-shared-key cisco1

FW2

Gunakan IP FW1 sebagai tunnel-group.

🔎 VERIFIKASI

1️⃣ Cek Konfigurasi

show run crypto
show run tunnel-group
show run access-list
show run object

2️⃣ Generate Traffic (WAJIB)

Karena ACL hanya TCP:

Gunakan:

telnet / curl / aplikasi TCP

atau di ASA:

ping tcp

3️⃣ Cek Status Tunnel

show crypto ipsec sa

Jika berhasil, counter akan bertambah:

pkts encaps
pkts encrypt
pkts decrypt

Ini tanda tunnel aktif.

🐞 DEBUG TROUBLESHOOTING

Jika tunnel tidak up:

debug crypto ikev2
debug crypto ipsec

🚨 Penyebab Paling Umum VPN Gagal

90% kasus karena:

❌ Parameter Phase 1 tidak sama
❌ PSK tidak sama
❌ ACL tidak mirror
❌ NAT belum dikecualikan
❌ Peer IP salah

✅ Kesimpulan

VPN Site-to-Site ASA membutuhkan:

  1. Matching Phase-1 parameters
  2. Matching Phase-2 parameters
  3. ACL menarik trafik
  4. Crypto map
  5. Tunnel-group authentication

Jika semua match → tunnel akan otomatis terbentuk.


Komentar

Posting Komentar

Postingan populer dari blog ini

Cara restart / stop windows service (services.msc) dengan bat / cmd

-
Menjalankan Service SQL Server Secara Manual dengan Batch Script (Windows) Sebenarnya service di Windows bisa di-set automatic start melalui Services Manager agar langsung berjalan saat boot. Namun jika tidak ingin SQL Server terus memakan resource CPU dan memory ketika tidak digunakan, maka lebih baik diset manual start dan dijalankan hanya saat diperlukan. Supaya lebih praktis, kita bisa membuat shortcut batch script sehingga tidak perlu membuka services.msc setiap ingin menjalankan service. 🔎 Cara Melihat Daftar Service Windows 1️⃣ Melalui GUI Tekan: Win + R → services.msc 2️⃣ Melalui Command Prompt Buka CMD lalu jalankan: sc query Perintah ini akan menampilkan semua service beserta statusnya. ▶️ Script BAT untuk START SQL Server Buat file misalnya: start-sql.bat Isi dengan: @echo off net start MSSQL$SQLEXPRESS ⏹️ Script untuk STOP Service Jika ingin menghentikan service, cukup ganti start menjadi stop : @echo off net stop MSSQL$SQLEXPRESS 📌 Cara Men...
Baca selengkapnya

Learning Haproxy Load Balancer with Podman and Go Backends

-
+------------------+          +-------------------+               +-------------------+ |   Client              |          |   Haproxy LB   |                |   Podman Pod   | | (e.g., Browser)  +   ---->      (Port 8181)    +---------->-------------------+ +------------------+          +---------+---------+                |                         |                                         |                                  ...
Baca selengkapnya

Konfigurasi ITNSA OpenVPN auth LDAP

-
Gambar
Konfigurasi OpenVPN Authentication Menggunakan OpenLDAP Sebelum mencoba integrasi  OpenVPN dengan OpenLDAP , pastikan beberapa hal dasar sudah berjalan dengan baik agar proses konfigurasi lebih mudah. ✅ Prasyarat 1️⃣ Pastikan OpenVPN Sudah Berfungsi Konfigurasikan terlebih dahulu  sampai: Client bisa terkoneksi Tunnel sudah terbentuk Routing berjalan normal Jangan lanjut ke LDAP jika VPN dasar belum berhasil. 2️⃣ Pastikan OpenLDAP Sudah Siap Server  harus: Sudah terinstall Struktur directory sudah dibuat User VPN sudah ada Lakukan pengecekan dengan: Test Query User ldapsearch Test Authentication Identity ldapwhoami Sesuaikan parameter perintah di atas dengan konfigurasi LDAP Anda. Jika kedua perintah berhasil → berarti LDAP siap digunakan. 🔧 3️⃣ Install OpenVPN Auth LDAP Plugin Install paket: apt-get install openvpn-auth-ldap 📁 Buat Direktori Konfigurasi mkdir /etc/openvpn/auth cp /usr/share/doc/openvpn-auth-ldap/examples/auth-ldap.conf /etc/openvpn/au...
Baca selengkapnya