Bagaimana Membangun Site to Site VPN

Biznet GIO Cloud Membangun Site To Site VPN

© Biznet GIO all right reserved

Biznet GIO Cloud - Membangun Site To Site VPN

2 of 24

Pendahuluan Dokumen ini menjelaskan tentang langkah – langkah membuat site to site VPN. Harap dicatat site to site VPN hanya dapat dibangun dari VPC. Ada dua panduan didalam Guide ini, pertama adalah membangun site to site VPN menggunakan Mikrotik dan menggunakan Cisco, pertama akan Kami coba jelaskan bagaimana membangun site to site VPN menggunakan Mikrotik

Membangung Site to site VPN dengan Mikrotik Panduan ini diasumsikan anda telah membangun sebuah VPC dan remote office menggunakan mikrotik. Dalam melaksanakan site to site VPN, kami akan menunjukkan bagaimana cara membangun satu diantara dua VPC. Jika anda akan membangun sebuat site to site VPN antara VPC dan lokasi lainnya, proses logikanya akan sama. Desain ilustrasinya sebagai berikut :

VPC yang bernama “Cloud-VPC” telah dibuat di zona Jakarta availability dan

“Cloud-VPC-Remote” berada di office. Detail VPN yang dibuat sebagai berikut :

Setting Cloud - VDC Cloud – VPC - Remote

VPC IP Address 103.44.26.52 182.253.215.84

Protected Subnet 10.1.1.0/24 192.168.1.0/24

Phase 1 AES128, SHA1, modp1024(2)

Phase 2 AES128, SHA1, none

Shared Secret VPC-S3cret

Anda tidak perlu khawatir tentang data pada table diatas karena dokumen ini telah dirancang untuk memandu anda untuk menemukan informasi ini dan membuat keputusan yang diperlukan untuk koneksi VPN.



3 of 24

“Protected Subnet” adalah istilah yang digunakan IPSec untuk menentukan rentang IP Address dari perangkat-perangkat yang ingin berhubungan.

Getting started Dalam rangka membangun VPN antara 2 sites anda perlu mengetahui alamat IP publik dari kedua site dan memastikan parameter antara 2 sites telah sama. Pertama anda harus mengetahui masing-masing alamat IP public untuk menghubungkan satu sama lain. Dalam hal ini satu VPC dan mikrotik akan kami jelaskan nanti. Arahkan ke tab [VPC], dari halaman home pilih [Managed Resources]. Ini akan menampilkan semua managed resource yang anda butuhkan dalam membuat VPN. Dalam akun yang kami bikin, anda dapat melihat 2 VPC ini. Selanjutnya anda perlu memilih VPC dan menentukan alamat IP. Dalam contoh ini terlihat VPC dan alamat IP 103.44.26.52. Anda dapat memiliki beberapa alamat IP dalam satu VPC (Ingat mungkin anda telah menambahkan alamat IP untuk setiap tier VPC) anda membutuhkan untuk mengkonfirmasi alamat IP tersebut untuk VPC.

Ini dapat dikonfirmasi dengan sebagai berikut Source NAT = true dan Static NAT = false



4 of 24

VPN Customer Gateway Harap dicatat sebelum melanjutkan ke tahap berikutnya, VPN customer gateway merupakan alamat IP mikrotik anda, jadi kami dapat menghubungkan VPC ke office dengan fitur ini. Buka tab [VPN Customer Gateway].

Pilih [Add New]. Akan muncul sebuah tampilan konfigurasi seperti dibawah ini. Anda mengharuskan mengisikan kolom tersebut sesuai dengan desain anda.

Pada kolom Name isikan dengan nama nama yang unik dan mudah diingat. Gateway IP – Masukkan alamat IP untuk site target.

CIDR List – Masukkan subnet untuk target alamat IP atau mikrotik CIDR seperti contoh 192.168.1.0/24 IPSec Preshared Key – Ini kata kunci rahasia anda untuk masuk ke dalam kedua gateway, VPC anda, dan target site.

Standar IPSec berlaku, lebih baik

menggunakan 6 karakter, alpha atau numeric karakter, case sensitive.

Pengaturan sisanya telah menjadi default walaupun anda dapat mengubah settingan ini.

Dengan memilih tanda panah anda dapat melihat enkripsi yang berbeda tipe. Setelah anda

selesai dan setuju dengan syarat dan ketentuan yang berlaku, pilih [Confirm].



5 of 24

Koneksi VPN Setelah membuat VPN Customer Gateway, sekarang diperlukan membuat VPN Connection. Arahkan ke tab [VPC]. . Lalu pilih tab [VPN Connections], dan klik Add VPN Connecton. Akan muncul sebuah top up bernama ‘Add VPN Connection”. Kemudian pilih appropriate VPN Gateway.

Ketika membuat VPN gateway kami menamakan sama dengan VPC agar lebih mudah dikenali. Setuju dengan syarat dan ketentuan, lalu pilih [confirm].

VPN sekarang akan mencoba untuk menghubungkan namun akan gagal. Namun ini bukan

kendala karena anda belum membuat koneksi pada site tujuan. Pesan ‘Error’ tersebut menunggu dari sisi lainnya untuk merespons.



6 of 24

Untuk membangun sambungan koneksi, anda harus melakukan reset diantara kedua VPN, caranya dengan menggunakan pilihan “Reset”. Sekarang akan mempersiapkan konfigurasi mikrotik berikut detailnya : Public IP : 182.253.215.84 Netmask : 255.255.255.248 Gateway : 182.253.215.81 CIDR : 192.168.1.0/24 Remote mikrotik dengan menggunakan WInbox, dan pastikan koneksi internet sudah terpasang pada Eth1 dan PC plug di Eth2. Anda dapat mengunduh Winbox melalui link berikut : http://www.mikrotik.com/download

http://www.mikrotik.com/download



7 of 24

Konfigurasi Router {pertama, lakukan setting IP address menggunakan menu IP dan pilih address Dan hasilnya sebagai berikut : Setelah itu, buat IPSec konfigurasi pada mikrotik, fungsi utama dari bagian ini untuk menghubungkan VPC cloud dengan customer gateway. Jadi pengaturan harus sama dengan konfigurasi VPN customer gateway



8 of 24

Buat aturan baru pada IPSec, IPSec menu dapat ditemukan pada IP > IPSec, lalu pilih tab policy dan klik add new.

Jika policy telah dibuat, tahap selanjutnya membuat peers, pilih peers menu sebelah tab policy, konfigurasi peers harus sama dengan VPN customer gateway, termasuk metode encrypt.



9 of 24

Konfigurasi selanjutnya adalah IPsec Proposal dan harus diedit pada tab proposal di IPsec menu.



10 of 24

Tahap selanjutnya membuat konfigurasi NAT, pada mikrotik pilih menu IP > Firewall lalu pilih NAT. Tambahan New NAT Setting

Lalu pilih Action tab Lalu akan membuat masquarade setting, klik new NAT rules, dan klik action tab pilih masquerade lalu klik OK



11 of 24

Hasilnya akan sebagai berikut,

Konfigurasi yang terakhir pada mikrotik adalah meng enablekan logging IPsec, jadi untuk konfigurasi ini anda harus memilih menu system menu lalu pilih logging dan klik add new

Anda harus reset koneksi, jadi anda kembali ke CPBM, login dengan akun anda, lalu pilih VPC dan VPC connection lalu klik reset, lampu indicator akan menjadi hijau.

Sekarang VPN site to site siap dihubungkan



12 of 24

Sebagai tambahan anda harus memperhatikan tentang ACL pada Tiering VPC, saat ini kami memiliki 3 Tier pada VPC : Web Tier 10.1.1.1/28 Application Tier 10.1.1.16/28 Database Tier 10.1.1.32/28 Jika anda mau menambahkan tier silahkan pada menu VPC dan tab Tiers lalu klik add tier. Saat ini kami memiliki 1 VM pada Web Tier dan 1 PC terhubung ke eth2, dan mikrotik detailnya sebagai berikut : VM1 : 10.1.1.7 PC1 : 192.168.1.7 Jadi, jika PC anda mau mengakses VM anda harus add permission pada ACL Webtier, untuk konfigurasi ACL, silahkan ke menu networks, pilih tier networks anda dan ACL.

Sekarang PC anda dapat melakukan ping ke VM anda jika ICMP anda dengan ICMP tipe 8 dan ICMP Code 0, untuk referensi silahkan merujuk pada website berikut http://www.nthelp.com/icmp.html Setelah itu anda harus memperhatikan IPtables, jika anda menggunakan CentOS, silahkan login ke VM dan ketikkan cat /etc/sysconfig/iptables

http://www.nthelp.com/icmp.html



13 of 24

Tidak ada ICMP blocking pada VM ini, jika terdapat blocking ICMP silahkan hapus sementara hanya untuk testing dan restart iptables service. Dan jika anda permit TCP atau UDP port lainnya, silahkan menambahkan ACL permission dan juga pastikan untuk mengecek IPtables. Sekarang PC anda dapat melakukan ping ke VM

Biznet GIO Cloud Membangun Site to Site VPN

Dengan Router Cisco



15 of 24

Pendahuluan

Dokumen ini akan memandu anda melalui langkah-langkah yang diperlukan untuk membangun site to site VPN. Harap dicatat site to site VPN hanya dapat dibangun dari VPC. Dalam melakukan site to site VPN kami akan menunjukkan cara membangun satu VPC dan Cisco. Jika anda membangun site to site VPN antara VPC dengan lokasi yang lainnya, proses dan logikanya akan sama.

Berikut langkah-langkah untuk menghubungkan site to site VPN

1. Tentukan parameter VPN (IP address/ Pre share Key/Phase1,2 policy) 2. Konfigurasi VPC 3. Konfigurasi tier pada VPC 4. Deploy Virtual Machine pada tier 5. Konfigurasi VPN Customer Gateway 6. Menghubungkan VPN dari VPC

Dalam membangun VPN antara 2 sites anda perlu mengetahui alamat IP public dari kedua sites dan pastikan kedua parameter di dua sites tersebut sama.



16 of 24

1. Menentukan parameter VPN (IP address/ Pre share Key/Phase1,2 policy )

Silahkan tentukan parameter VPN

(Parameter sheet)

Setting Cloud - VPC Remote Cisco Router

IP Address (Global IP) B:2.2.2.2 A:1.1.1.1

CIDR (Private NW) D:10.10.10.0/24 B:10.200.0.240/24

Phase 1 AES128, SHA1, modp1024(2)

Phase 2 AES128, SHA1, none

Shared Secret 123123 :define some pre shared key

2. Konfigurasi VPC

Arahkan ke tab [VPC] dari halaman utama pilih [Managed Resources]. Ini akan menampilkan Managed Resources yang anda perlukan dalam membuat VPN Pilih Add VPC, dan tampilan konfigurasi akan tampil. VPC Name : Isikan dengan nama VPC Description : Tambahkan deskripsi untuk mengenali VPC Zone : Zona dimana tersedia VPC CIDR : Alokasi CIDR untuk semua tier dalam VPC Setuju dengan syarat dan ketentuan, pilih OK

Setelah konfigurasi VPC, silahkan cek global IP address yang dimasukkan dalam VPC.



17 of 24

Periksa alamat IP public IP Address dibutuhkan untuk setting VPN pada Cisco.

3. Konfigurasi Tier Pada VPC

Adding a Tier: Tier yang berbeda lokasi dalam VPC bertindak sebagai network yang terisolasi yang tidak memiliki akses ke tier lainnya. Tier ditetapkan pada VLAN yang berbeda yang dapat berkomunikasi satu sama lain dengan menggunakan virtual router. Tier memberikan latency yang rendah untuk konektivitas ke tier dalam VPC.

C



18 of 24

1. Klik Add a Tier.

2. Tentukan rincian sebagai berkut:

o Network name: Nama network

o Network Desc: Deskripsi network

o Zone: Zona dimana network ditambahkan.

o Network Offering: Network offering yang digunakan untuk network

o Gateway: Gateway yang digunakan

o Netmask: Netmask yang digunakan pada subnet

o Network Domain: Domain dimana tersedia network

3. Setuju dengan syarat dan ketentuan, lalu klik OK.



19 of 24

4 .Deploy Virtual Machine pada VPC tier

Harap dicatat bahwa anda membutuhkan membuat tier network sebelum mendeploy VM.

Ketika anda subscribe VM, silahkan pilih Tier Network yang telah terasosiasi dalam VPC.



20 of 24

5. Konfigurasi VPN Customer Gateway

Sebelum melanjutkan ke tahap selanjutnya, VPN Customer Gateway merupakan ip public yang digunakan pada router (Sebagai contoh menggunakan router Cisco)

Setelah mengkonfirmasi alamat ip, sekarang diperlukan membangun VPN gateway. Seperti membangun VPN untuk VPC, hanya diperlukan konfigurasi gateway dalam VPC sekali,

Harapi dicatat sebelum melanjutkan ke tahap selanjutnya, VPN Customer Gateway sebagai ip publik telah diset pada router anda (Dalam kasus ini pada router Cisco) Buka tab [VPN Customer Gateway]

Pilih [Add New], kotak konfigurasi akan tampil seperti dibawah ini silahkan isikan sesuai dengan desain anda.

Name – Masukkan nama yang unik dan mudah untuk diidentifikasi.

Gateway IP – Masukkan IP Address untuk site tujuan (Dalam kasus ini masukkan IP dar Cisco).

Networks- Masukkan subnet network untuk alamat IP site target (Contoh alamat IP dari sisi LAN :10.200.0.0/24)

IPSec Preshared Key – Masukkan kata kunci yang harus digunakan pada dikedua sisi, VPC dan target router.

Standar IPSec berlaku, kata kunci terdiri dari 6 karakter alpha atau numeric, case sensitive.

A

A

A

B



21 of 24

6.Menghubungkan VPN dari VPCs

Ketika membuat VPN customer gateway, anda harus membuat VPN Connection. Arahkan kembali ke tab PC

.

Lalu pilih [VPN Connections], klik [Add VPN Connection]. Kemudian akan keluar layar tampilan “Add VPN Connection”.

Kemudian pilih menu appropriate VPN gateway.

Ketika membuat VPN gateway, ketikkan nama yang mudah diingat dan mudah diidentifikasi.

Setuju dengan syarat dan ketentuan, lalu klik [confirm].

VPN sekarang akan mencoba menghubungkan namun akan gagal karena anda membuat koneksi di site tujuan.



22 of 24

Sekarang gateway dan network address telah diset tetapi anda akan melihat pesan “error” yang artinya dimana site tujuan belum siap dan menunggu respons respons dari site tujuan. Untuk membangun kembali koneksi, anda harus melakukan konfigurasi dari kedua VPN dari kedua sisi dan melakukan [Reset] pada option.



23 of 24

Mengganti ACL

Referensi konfigurasi Cisco

Jika membutuhkan untuk mengecek koneksi, silahkan mengganti ACL pada tier.

Pilih VPCs, klik Tiers

Tentukan Access Control List (ACL) pada virtual router VPC untuk mengendalikan ingress dan egress traffic antara VPC tiers, dan antara tiers dan internet.

Secara default semua incoming dan outgoing traffic akan terblock, silahkan melakukan open ports, dan membuat new network ACL.



24 of 24

Referensi Konfigurasi untuk router Cisco :

crypto isakmp policy 1

encr 3des

hash md5

authentication pre-share

group 5

crypto isakmp key 123123 address 2.2.2.2 <-----Parameter C

!

!

crypto ipsec transform-set proposal4 esp-3des esp-md5-hmac

!

crypto map cmap 2 ipsec-isakmp

set peer 2.2.2.2 <-----Parameter C

set transform-set proposal4

match address 165

ip nat inside source list 185 interface GigabitEthernet0 overload

interface GigabitEthernet0

ip address 1.1.1.1 255.255.255.0

ip access-group 102 in

duplex auto

speed auto

fair-queue

crypto map cmap

access-list 102 permit ip any any

access-list 165 permit ip 10.200.0.0 0.0.0.255 10.10.10.0 0.0.0.255 <- Kami mengijinkan dua

subnet

Documents

Bagaimana Membangun Site to Site VPN