Contoh pembahasan LKS ITNSA 2019 VPN Configuration
Pada tutorial kali ini akan mempraktekkan VPN site to site dengan menggunakan ASA, secara fungsi VPN site to site ini akan mengamankan jaringan antar site misalnya site kantor pusat dan kantor cabang yang melalui jaringan internet. Didalam pembuatan VPN site to site ini akan ada beberapa istilah seperti IKEV2, IPSEC, Phase 1 parameters (Hash, Encryption, DH group, Authentication), Phase 2 parameters (Protocol, Encryption, Hash). Yang perlu diperhatikan pada saat konfigurasi adalah parameter-parameter tersebut harus sesuai/matching antar kedua router ASA.
Sebelum melakukan konfigurasi VPN site to site IKE versi 2 dengan ASA pastikan terlebih dahulu koneksi IP nya bisa berjalan dengan baik.
Contoh topologi
HQLAN---------FW1------------INTERNET--------------FW2----------BRLAN
Kemudian lakukan langkah-langkah konfigurasi ini:
Note: Pembahasan ini hanyalah contoh, untuk attribute,environment konfigurasi seperti Topology, Hostname, IP, Parameters, Subnet, Traffic, ACL, Protocol bisa disesuaikan dengan kebutuhan task project nya.
Configure IKEv2 IPsec Site-to-Site VPN on FW1, FW2 firewalls:
- Phase 1 parameters:
Hash – MD5
Encryption – AES-128
DH group – 5
Authentication – pre-shared key (cisco1)
- Phase 2 parameters:
Protocol – ESP
Encryption – AES-128
Hash – MD5
- ACL:
For transmission through IPsec tunnel permit all TCP traffic from network of IP address of HQ2 subinterface in LAN2 subnet to network of IP address of BR2 interface in LAN3 subnet.
Task diatas lumayan tricky pakai paket TCP jadi tidak bisa cek trafik pakai ICMP, jadi nanti bisa kirim paket TCP dari LAN2 subnet ke LAN3 subnet atau sebaliknya. Untuk cek trafik bisa juga langsung dilakukan di router ASA.
Phase 1 configuration
crypto ikev2 policy 10
encryption aes-128
integrity md5
group 5
crypto ikev2 enable outside
Phase 2 configuration
crypto ipsec ikev2 ipsec-proposal VPN-TRANSFORM
protocol esp encryption aes-128
protocol esp integrity md5
ACL configuration
object network HQLAN
subnet 192.168.30.0 255.255.255.0
object network BRLAN
subnet 172.16.20.0 255.255.255.0
Untuk access-list sesuikan di FW1 dan FW2
FW1
access-list HQLAN-TO-BRLAN extended permit tcp object HQLAN object BRLAN
FW2
access-list BRLAN-TO-HQLAN extended permit tcp object BRLAN object HQLAN
CRYPTO MAP
FW1
crypto map SITE-TO-SITE 10 match address HQLAN-TO-BRLAN
crypto map SITE-TO-SITE 10 set peer 100.100.100.2
crypto map SITE-TO-SITE 10 set ikev2 ipsec-proposal VPN-TRANSFORM
crypto map SITE-TO-SITE interface outside
Sesuaikan juga match address lawan dan seet peer di FW2.
TUNNEL
FW1
tunnel-group 100.100.100.2 type ipsec-l2l
tunnel-group 100.100.100.2 ipsec-attributes
ikev2 remote-authentication pre-shared-key cisco1
ikev2 local-authentication pre-shared-key cisco1
Sesuikan IP tunnel group dengan IP lawan FW2.
Misalnya diatas adalah konfigurasi di FW1, IP FW2 adalah 100.100.100.2.
VERIFIKASI
Cek konfigurasi
sh run crypto
sh run tunnel-group
sh run access-list
sh run object
Cek traffik
ping tcp
show cryptop ipsec sa
Perhatikan pada packet, jika berhasil maka nilainya akan terus bertambah sesuai dengan traffik yang ada.
#pkts encaps: 7767918, #pkts encrypt: 7767918, #pkts digest 7767918
#pkts decaps: 7760382, #pkts decrypt: 7760382, #pkts verify 7760382
DEBUG
debug crypto ikev2
debug crypto ipsec
Sebelum melakukan konfigurasi VPN site to site IKE versi 2 dengan ASA pastikan terlebih dahulu koneksi IP nya bisa berjalan dengan baik.
Contoh topologi
HQLAN---------FW1------------INTERNET--------------FW2----------BRLAN
Kemudian lakukan langkah-langkah konfigurasi ini:
Note: Pembahasan ini hanyalah contoh, untuk attribute,environment konfigurasi seperti Topology, Hostname, IP, Parameters, Subnet, Traffic, ACL, Protocol bisa disesuaikan dengan kebutuhan task project nya.
Configure IKEv2 IPsec Site-to-Site VPN on FW1, FW2 firewalls:
- Phase 1 parameters:
Hash – MD5
Encryption – AES-128
DH group – 5
Authentication – pre-shared key (cisco1)
- Phase 2 parameters:
Protocol – ESP
Encryption – AES-128
Hash – MD5
- ACL:
For transmission through IPsec tunnel permit all TCP traffic from network of IP address of HQ2 subinterface in LAN2 subnet to network of IP address of BR2 interface in LAN3 subnet.
Task diatas lumayan tricky pakai paket TCP jadi tidak bisa cek trafik pakai ICMP, jadi nanti bisa kirim paket TCP dari LAN2 subnet ke LAN3 subnet atau sebaliknya. Untuk cek trafik bisa juga langsung dilakukan di router ASA.
Phase 1 configuration
crypto ikev2 policy 10
encryption aes-128
integrity md5
group 5
crypto ikev2 enable outside
Phase 2 configuration
crypto ipsec ikev2 ipsec-proposal VPN-TRANSFORM
protocol esp encryption aes-128
protocol esp integrity md5
ACL configuration
object network HQLAN
subnet 192.168.30.0 255.255.255.0
object network BRLAN
subnet 172.16.20.0 255.255.255.0
Untuk access-list sesuikan di FW1 dan FW2
FW1
access-list HQLAN-TO-BRLAN extended permit tcp object HQLAN object BRLAN
FW2
access-list BRLAN-TO-HQLAN extended permit tcp object BRLAN object HQLAN
CRYPTO MAP
FW1
crypto map SITE-TO-SITE 10 match address HQLAN-TO-BRLAN
crypto map SITE-TO-SITE 10 set peer 100.100.100.2
crypto map SITE-TO-SITE 10 set ikev2 ipsec-proposal VPN-TRANSFORM
crypto map SITE-TO-SITE interface outside
Sesuaikan juga match address lawan dan seet peer di FW2.
TUNNEL
FW1
tunnel-group 100.100.100.2 type ipsec-l2l
tunnel-group 100.100.100.2 ipsec-attributes
ikev2 remote-authentication pre-shared-key cisco1
ikev2 local-authentication pre-shared-key cisco1
Sesuikan IP tunnel group dengan IP lawan FW2.
Misalnya diatas adalah konfigurasi di FW1, IP FW2 adalah 100.100.100.2.
VERIFIKASI
Cek konfigurasi
sh run crypto
sh run tunnel-group
sh run access-list
sh run object
Cek traffik
ping tcp
show cryptop ipsec sa
Perhatikan pada packet, jika berhasil maka nilainya akan terus bertambah sesuai dengan traffik yang ada.
#pkts encaps: 7767918, #pkts encrypt: 7767918, #pkts digest 7767918
#pkts decaps: 7760382, #pkts decrypt: 7760382, #pkts verify 7760382
DEBUG
debug crypto ikev2
debug crypto ipsec
Komentar