Skip to main content

VPN ( IPSEC Tunnel Mode )

 

VPN ( IPSEC Tunnel Mode )



IPsec (singkatan dari IP Security) adalah sebuah protokol yang digunakan untuk mengamankan transmisi datagram dalam sebuah internetwork berbasis TCP/IP. IPsec mendefiniskan beberapa standar untuk melakukan enkripsi data dan juga integritas data pada lapisan kedua dalam DARPA Reference Model (internetwork layer). 


IPsec melakukan enkripsi terhadap data pada lapisan yang sama dengan protokol IP dan menggunakan teknik tunneling untuk mengirimkan informasi melalui jaringan Internet atau dalam jaringan Intranet secara aman. IPsec didefinisikan oleh badan Internet Engineering Task Force (IETF) dan diimplementasikan di dalam banyak sistem operasi. Windows 2000 adalah sistem operasi pertama dari Microsoft yang mendukung IPsec.


IPsec diimplementasikan pada lapisan transport dalam OSI Reference Model untuk melindungi protokol IP dan protokol-protokol yang lebih tinggi dengan menggunakan beberapa kebijakan keamanan yang dapat dikonfigurasikan untuk memenuhi kebutuhan keamanan pengguna, atau jaringan. IPsec umumnya diletakkan sebagai sebuah lapsian tambahan di dalam stack protokol TCP/IP dan diatur oleh setiap kebijakan keamanan yang diinstalasikan dalam setiap mesin komputer dan dengan sebuah skema enkripsi yang dapat dinegosiasikan antara pengirim dan penerima. 


Kebijakan-kebijakan keamanan tersebut berisi kumpulan filter yang diasosiasikan dengan kelakuan tertentu. Ketika sebuah alamat IP, nomor port TCP dan UDP atau protokol dari sebuah paket datagram IP cocok dengan filter tertentu, maka kelakukan yang dikaitkan dengannya akan diaplikasikan terhadap paket IP tersebut.


Jadi intinya... di lab ini kita ingin mengkombinasikan GRE Tunnel dengan IPsec supaya lebih secure pengamanan nya... dikarenakan GRE Tunnel tidak melakukan enskripsi maka rentan sekali dia untuk terkena Decrypt, nah pada kali ini ada solusi untuk mengenkripsi yaitu dengan cara mengkombinasikan GRE tunnel dengan IPsec...


*Gimana?? sudah ada gambaran lah yaa 

*Sooo langsung aja ke konfigurasinyaa


Oiya BTW, ini adalah blogg lanjutan ya temen - temen... jadi disni saya hanya melakukan konfigurasi yang hanya pada lab ini saja... jika temen - temen ingin melihat konfigurasi - konfigurasi sebelumnya bisa dilihat di link ini =


πŸ‘‰https://insinyurbocah2109.blogspot.com/2020/11/belajar-vpn-gre-tunnel.html

( GRE Tunnel ) - Lab 1 VPN 



TOPOLOGI = 




Sebelum mulai konfigurasi utamanya... seberti biasa, kita hapus dulu konfigurasi sebelumnya. yaitu konfigurasi Tunnel dan Routing Eigrp nya pada R2 dan R3


Lalu jika sudah, kita langsung saja ke konfigurasinyaaa


R2

R2-TKJB#conf t

Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line.  End with CNTL/Z.

R2-TKJB(config)#

R2-TKJB(config)#crypto isakmp policy 1

R2-TKJB(config-isakmp)#encryption aes

R2-TKJB(config-isakmp)#hash sha

R2-TKJB(config-isakmp)#authent

R2-TKJB(config-isakmp)#authentication pre-

R2-TKJB(config-isakmp)#authentication pre-share

R2-TKJB(config-isakmp)#group 2

R2-TKJB(config-isakmp)#cryp isakmp key 0 IDNJOS add 13.13.13.3 

R2-TKJB(config-isakmp)#exit

R2-TKJB(config)#

R2-TKJB(config)#

R2-TKJB(config)#cryp ipsec transfo

R2-TKJB(config)#cryp ipsec transform-set ROSLIANA esp-aes esp-sha-hmac

R2-TKJB(config)#crypto map ROSLIANA12A 10 ipsec-isakmp

R2-TKJB(config-crypto-map)#set peer 13.13.13.3

R2-TKJB(config-crypto-map)#

R2-TKJB(config-crypto-map)#set transform-set ROSLIANA

R2-TKJB(config-crypto-map)#matc add 100

R2-TKJB(config-crypto-map)#access-

R2-TKJB(config-crypto-map)#access-list 100 per

R2-TKJB(config-crypto-map)#access-list 100 permit ip host 2.2.2.2 host 3.3.3.3


R3

R3-TKJB#conf t

Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line.  End with CNTL/Z.

R3-TKJB(config)#

R3-TKJB(config)#crypto isakmp policy 1

R3-TKJB(config-isakmp)#encryption aes 

R3-TKJB(config-isakmp)#hash sha

R3-TKJB(config-isakmp)#authentic

R3-TKJB(config-isakmp)#authentication pre-share

R3-TKJB(config-isakmp)#group 2 

R3-TKJB(config-isakmp)#crypto isakmp key 0 IDNJOS add 12.12.12.2

R3-TKJB(config-isakmp)#exit

R3-TKJB(config)#

R3-TKJB(config)#cryp

R3-TKJB(config)#crypto ipsec transfo

R3-TKJB(config)#crypto ipsec transform-set ROSLIANA esp-aes esp-sha-hmac

R3-TKJB(config-crypto-trans)#crypto map ROSLIANA12A 10 ipsec-isakmp

R3-TKJB(config-crypto-map)#set peer 12.12.12.2

R3-TKJB(config-crypto-map)#set transform-set ROSLIANA

R3-TKJB(config-crypto-map)#match addr 100

R3-TKJB(config-crypto-map)#acces

R3-TKJB(config-crypto-map)#access-list 100 permit ip host 3.3.3.3 host 2.2.2.2


Selanjutnya kita konfigurasikan Static route dan Crypto Map di R2 dan R3


R2

R2-TKJB(config)#ip rou

R2-TKJB(config)#ip route 3.3.3.3 255.255.255.255 13.13.13.3

R2-TKJB(config)#

R2-TKJB(config)#int fa0/0

R2-TKJB(config-if)#crypto map IDNSCHOOL

R2-TKJB(config-if)#exit

R2-TKJB(config)#


R3

R3-TKJB(config)#ip route 2.2.2.2 255.255.255.255 12.12.12.2

R3-TKJB(config)#int fa0/0

R3-TKJB(config-if)#crypto map IDNSCHOOL

R3-TKJB(config-if)#ex

R3-TKJB(config)#


Nahhh sekarang tinggal kita lakukan pengecekan!!!!


R2

R2-TKJB(config)#do show crypto session

Crypto session current status

Interface: FastEthernet0/0

Session status: UP-ACTIVE Peer: 13.13.13.3 port 500

 IKE SA: local 12.12.12.2/500 remote 13.13.13.3/500 Active

 IPSEC FLOW: permit ip host 2.2.2.2 host 3.3.3.3

 Active SAs: 2, origin: crypto map


R3

R3-TKJB(config-if)#do show crypto session

Crypto session current status

Interface: FastEthernet0/0

Session status: UP-ACTIVE Peer: 12.12.12.2 port 500

IKE SA: local 13.13.13.3/500 remote 12.12.12.2/500 Active

 IPSEC FLOW: permit ip host 3.3.3.3 host 2.2.2.2

 Active SAs: 2, origin: crypto map


R3

R3-TKJB(config)#do show crypto ipsec sa

interface: FastEthernet0/0

 Crypto map tag: ROSLIANA12A, local addr 13.13.13.3

 protected vrf: (none)

 local ident (addr/mask/prot/port): (3.3.3.3/255.255.255.255/0/0)

 remote ident (addr/mask/prot/port): (2.2.2.2/255.255.255.255/0/0)

 current_peer 12.12.12.2 port 500

 PERMIT, flags={origin_is_acl,}

 #pkts encaps: 18, #pkts encrypt: 18, #pkts digest: 18

 #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5

 #pkts compressed: 0, #pkts decompressed: 0

 #pkts not compressed: 0, #pkts compr. failed: 0

 #pkts not decompressed: 0, #pkts decompress failed: 0

 #send errors 5, #recv errors 0

 local crypto endpt.: 13.13.13.3, remote crypto endpt.: 12.12.12.2

path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0

 current outbound spi: 0x4F0F0D33(1326386483)

PFS (Y/N): N, DH group: none

 inbound esp sas:

 spi: 0x7CAFE9D5(2091903445)

 transform: esp-aes esp-sha-hmac ,

 in use settings ={Tunnel, }

 conn id: 1, flow_id: SW:1, sibling_flags 80000046, crypto map:

ROSLIANA12A

 sa timing: remaining key lifetime (k/sec): (4593143/1916)

 IV size: 16 bytes

 replay detection support: Y

 Status: ACTIVE

 inbound ah sas:

 inbound pcp sas:

 outbound esp sas:

 spi: 0x4F0F0D33(1326386483)

 transform: esp-aes esp-sha-hmac ,

 in use settings ={Tunnel, }

 conn id: 2, flow_id: SW:2, sibling_flags 80000046, crypto map:

ROSLIANA12A

 sa timing: remaining key lifetime (k/sec): (4593141/1916)

 IV size: 16 bytes

 replay detection support: Y

 Status: ACTIVE

 outbound ah sas:

 outbound pcp sas:



Terakhir TEST PINGG !!!


R2

R2-TKJB#ping 3.3.3.3 source 2.2.2.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:

Packet sent with a source address of 2.2.2.2

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 49/63/88 ms 




DONE😊😊😊


Comments

Post a Comment

Popular posts from this blog

Konfigurasi Event OSPF Adjacency (Email)

  Konfigurasi Event OSPF Adjacency (Email) LAB INI LANJUTAN SAMA SEPERTI LAB SEBELUM SEBELUMNYA Selain event syslog tadi kita juga bisa memanfaatkan EEM ini untuk mengirimkan informasi ke email kita, misalnya OSPF kita down maka, router kita otomatis akan mengirimkan debug ospf ke email kita. Untuk topology masih sama. KONFIG R1 R1(config)#event manager applet OSPF_DOWN R1(config-applet)#event syslog pattern "Nbr 2.2.2.2 on FastEthernet0/0 from FULL to DOWN" R1(config-applet)#action 1.0 cli command "enable" R1(config-applet)#action 2.0 cli command "debug ip ospf adj" R1(config-applet)#action 3.0 mail server "smtp.gmail.com" to "uuqeili@gmail.com" from "R1@idn.id" subject "OSPF IS DOWN" body "Please fix OSPF" R1(config-applet)#exit Untuk Pengecekkan, kita bisa coba debug aja,  dan hapus EEM interface down,  Dan kita bisa lihat di email kita apa hasilnyaa... selesai
Post a Comment
Read more

Remote SPAN ( RSPAN )

  Remote SPAN  ( RSPAN ) Assalamualaikum temen - temen... kembali lagi di blogg saya, dan terimakasih telah berkunjung ke blogg saya, di blogg kali ini saya akan memberikan materi lab mengenai Remote Span  ( RSPAN ). Karena ini adalah blog lanjutan, jadi saya akan mengkonfigurasi yang hanya ada pada blog ini saja, bagi temen - temen ingin melihat konfigurasi sebelumnya ataupun blog sebelumnya mengenai BELAJAR CCNP, bisa cek link dibawah ini : https://bit.ly/37DxJrX TOPOLOGI =  SW-1 SW-1(config)#vlan 100 SW-1(config-vlan)#name RSPAN SW-1(config-vlan)#exit SW-1(config)# SW-1(config)#int e0/1 SW-1(config-if)#sw trunk encap dot1q SW-1(config-if)#sw mode tru SW-1(config-if)#exit SW-1(config)# SW-1(config)#monitor session 1 source vlan 10 SW-1(config)#monitor session 1 destination remote vlan 100 SW-2 SW-2(config)#vlan 10 SW-2(config-vlan)#name PC SW-2(config-vlan)#int e0/1 SW-2(config-if)#sw mod acc SW-2(config-if)#sw acc vlan 10 SW-2(config-if)#exit SW-2(config)# SW-2(co...
Post a Comment
Read more

Konfigurasi Event CLI

Konfigurasi Event CLI =LAB INI LANJUTAN DARI LAB SEBELUMNYA TOPOLOGI 1 R1(config)#event manager applet SHOW_INTERFACE_UP R1(config-applet)#event cli pattern "show ip interface brief" sync yes R1(config-applet)#action 1.0 cli command "enable" R1(config-applet)#action 2.0 cli command "show ip interface brief | include up" R1(config-applet)#action 3.0 puts "$_cli_result" R1(config-applet)#action 4.0 set $_exit_status "0" SETELAH ITU BISA KALIAN CEK DENGAN DO SH IP INT BR 
Post a Comment
Read more