IPSEC Tunnel Mode
Tentu kalian sudah tau, apa yang akan kita bahas pada blogg ini yaitu IPSEC Tunnel Mode... oke sebelum kita mulai lebih mendalam.. saya akan membahas terlebih dahulu apa itu IPSEC...
IPsec (singkatan dari IP Security) adalah sebuah protokol yang digunakan untuk mengamankan transmisi datagram dalam sebuah internetwork berbasis TCP/IP. IPsec mendefiniskan beberapa standar untuk melakukan enkripsi data dan juga integritas data pada lapisan kedua dalam DARPA Reference Model (internetwork layer).
IPsec melakukan enkripsi terhadap data pada lapisan yang sama dengan protokol IP dan menggunakan teknik tunneling untuk mengirimkan informasi melalui jaringan Internet atau dalam jaringan Intranet secara aman. IPsec didefinisikan oleh badan Internet Engineering Task Force (IETF) dan diimplementasikan di dalam banyak sistem operasi. Windows 2000 adalah sistem operasi pertama dari Microsoft yang mendukung IPsec.
IPsec diimplementasikan pada lapisan transport dalam OSI Reference Model untuk melindungi protokol IP dan protokol-protokol yang lebih tinggi dengan menggunakan beberapa kebijakan keamanan yang dapat dikonfigurasikan untuk memenuhi kebutuhan keamanan pengguna, atau jaringan. IPsec umumnya diletakkan sebagai sebuah lapsian tambahan di dalam stack protokol TCP/IP dan diatur oleh setiap kebijakan keamanan yang diinstalasikan dalam setiap mesin komputer dan dengan sebuah skema enkripsi yang dapat dinegosiasikan antara pengirim dan penerima.
Kebijakan-kebijakan keamanan tersebut berisi kumpulan filter yang diasosiasikan dengan kelakuan tertentu. Ketika sebuah alamat IP, nomor port TCP dan UDP atau protokol dari sebuah paket datagram IP cocok dengan filter tertentu, maka kelakukan yang dikaitkan dengannya akan diaplikasikan terhadap paket IP tersebut.
Jadi intinya... di lab ini kita ingin mengkombinasikan GRE Tunnel dengan IPsec supaya lebih secure pengamanan nya... dikarenakan GRE Tunnel tidak melakukan enskripsi maka rentan sekali dia untuk terkena Decrypt, nah pada kali ini ada solusi untuk mengenkripsi yaitu dengan cara mengkombinasikan GRE tunnel dengan IPsec...
*Gimana?? sudah ada gambaran lah yaa
*Sooo langsung aja ke konfigurasinyaa
Oiya BTW, ini adalah blogg lanjutan ya temen - temen... jadi disni saya hanya melakukan konfigurasi yang hanya pada lab ini saja... jika temen - temen ingin melihat konfigurasi - konfigurasi sebelumnya bisa dilihat di link ini =
👉https://insinyurbocah2109.blogspot.com/2020/11/belajar-vpn-gre-tunnel.html
( GRE Tunnel ) - Lab 1 VPN
TOPOLOGI =
Sebelum mulai konfigurasi utamanya... seberti biasa, kita hapus dulu konfigurasi sebelumnya. yaitu konfigurasi Tunnel dan Routing Eigrp nya pada R2 dan R3
Lalu jika sudah, kita langsung saja ke konfigurasinyaaa
R2
R2-TKJB#conf t
Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z.
R2-TKJB(config)#
R2-TKJB(config)#crypto isakmp policy 1
R2-TKJB(config-isakmp)#encryption aes
R2-TKJB(config-isakmp)#hash sha
R2-TKJB(config-isakmp)#authent
R2-TKJB(config-isakmp)#authentication pre-
R2-TKJB(config-isakmp)#authentication pre-share
R2-TKJB(config-isakmp)#group 2
R2-TKJB(config-isakmp)#cryp isakmp key 0 IDNJOS add 13.13.13.3
R2-TKJB(config-isakmp)#exit
R2-TKJB(config)#
R2-TKJB(config)#
R2-TKJB(config)#cryp ipsec transfo
R2-TKJB(config)#cryp ipsec transform-set ROSLIANA esp-aes esp-sha-hmac
R2-TKJB(config)#crypto map ROSLIANA12A 10 ipsec-isakmp
R2-TKJB(config-crypto-map)#set peer 13.13.13.3
R2-TKJB(config-crypto-map)#
R2-TKJB(config-crypto-map)#set transform-set ROSLIANA
R2-TKJB(config-crypto-map)#matc add 100
R2-TKJB(config-crypto-map)#access-
R2-TKJB(config-crypto-map)#access-list 100 per
R2-TKJB(config-crypto-map)#access-list 100 permit ip host 2.2.2.2 host 3.3.3.3
R3
R3-TKJB#conf t
Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z.
R3-TKJB(config)#
R3-TKJB(config)#crypto isakmp policy 1
R3-TKJB(config-isakmp)#encryption aes
R3-TKJB(config-isakmp)#hash sha
R3-TKJB(config-isakmp)#authentic
R3-TKJB(config-isakmp)#authentication pre-share
R3-TKJB(config-isakmp)#group 2
R3-TKJB(config-isakmp)#crypto isakmp key 0 IDNJOS add 12.12.12.2
R3-TKJB(config-isakmp)#exit
R3-TKJB(config)#
R3-TKJB(config)#cryp
R3-TKJB(config)#crypto ipsec transfo
R3-TKJB(config)#crypto ipsec transform-set ROSLIANA esp-aes esp-sha-hmac
R3-TKJB(config-crypto-trans)#crypto map ROSLIANA12A 10 ipsec-isakmp
R3-TKJB(config-crypto-map)#set peer 12.12.12.2
R3-TKJB(config-crypto-map)#set transform-set ROSLIANA
R3-TKJB(config-crypto-map)#match addr 100
R3-TKJB(config-crypto-map)#acces
R3-TKJB(config-crypto-map)#access-list 100 permit ip host 3.3.3.3 host 2.2.2.2
Selanjutnya kita konfigurasikan Static route dan Crypto Map di R2 dan R3
R2
R2-TKJB(config)#ip rou
R2-TKJB(config)#ip route 3.3.3.3 255.255.255.255 13.13.13.3
R2-TKJB(config)#
R2-TKJB(config)#int fa0/0
R2-TKJB(config-if)#crypto map IDNSCHOOL
R2-TKJB(config-if)#exit
R2-TKJB(config)#
R3
R3-TKJB(config)#ip route 2.2.2.2 255.255.255.255 12.12.12.2
R3-TKJB(config)#int fa0/0
R3-TKJB(config-if)#crypto map IDNSCHOOL
R3-TKJB(config-if)#ex
R3-TKJB(config)#
Nahhh sekarang tinggal kita lakukan pengecekan!!!!
R2
R2-TKJB(config)#do show crypto session
Crypto session current status
Interface: FastEthernet0/0
Session status: UP-ACTIVE Peer: 13.13.13.3 port 500
IKE SA: local 12.12.12.2/500 remote 13.13.13.3/500 Active
IPSEC FLOW: permit ip host 2.2.2.2 host 3.3.3.3
Active SAs: 2, origin: crypto map
R3
R3-TKJB(config-if)#do show crypto session
Crypto session current status
Interface: FastEthernet0/0
Session status: UP-ACTIVE Peer: 12.12.12.2 port 500
IKE SA: local 13.13.13.3/500 remote 12.12.12.2/500 Active
IPSEC FLOW: permit ip host 3.3.3.3 host 2.2.2.2
Active SAs: 2, origin: crypto map
R3
R3-TKJB(config)#do show crypto ipsec sa
interface: FastEthernet0/0
Crypto map tag: ROSLIANA12A, local addr 13.13.13.3
protected vrf: (none)
local ident (addr/mask/prot/port): (3.3.3.3/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (2.2.2.2/255.255.255.255/0/0)
current_peer 12.12.12.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 18, #pkts encrypt: 18, #pkts digest: 18
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 5, #recv errors 0
local crypto endpt.: 13.13.13.3, remote crypto endpt.: 12.12.12.2
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
current outbound spi: 0x4F0F0D33(1326386483)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0x7CAFE9D5(2091903445)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 1, flow_id: SW:1, sibling_flags 80000046, crypto map:
ROSLIANA12A
sa timing: remaining key lifetime (k/sec): (4593143/1916)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x4F0F0D33(1326386483)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2, flow_id: SW:2, sibling_flags 80000046, crypto map:
ROSLIANA12A
sa timing: remaining key lifetime (k/sec): (4593141/1916)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
Terakhir TEST PINGG !!!
R2
R2-TKJB#ping 3.3.3.3 source 2.2.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
Packet sent with a source address of 2.2.2.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 49/63/88 ms
DONE😊😊😊
TERIMAKASIH
WASSALAMUALAIKUM WR.WB
0 comments:
Post a Comment