Konfigurasi IPSec Site to Site VPN di Juniper
Assalamualaikum Wr Wb
Ingin sharing sekaligus jadi arsip belajar mengenai IPSec VPN di Juniper.
Topology :
Deskripsi Umum :
• Interface LAN ge-0/0/1 zone trust , menggunakan IP Private.
• Interface dari Provider ge-0/0/0 zone untrust dan menggunakan IP Public (simulasi menggunakan IP private/ IP point to point).
• Buat interface Tunnel di masing masing router, SRX menggunakan
interface st0.0 dan SSG20 menggunakan Interface Tunnel.1 yang nantinya
sebagai jalur VPN dengan membuat zone baru yaitu “VPN”.
Konfigurasi
Junos OS memakai konsep logical component interface. Dalam contoh ini
menggunakan unit 0 dan family inet (IPv4). Untuk statik route kita
spesifik antara gateway dan next hop nya. Setelah itu kita buat unik
zone untuk tunnel traffic yang nanti nya kita allow di policy masing
masing router dalam hal VPN Trafik dan untuk memudahkan dan membedakan
dengan policy lainnya. Bisa juga kita membuat policy untuk blok traffic
selain traffic VPN dan network mana yang bisa mengakses nya.
Host-inbound services diperlukan untuk masing masing router. Contoh
services yang tersedia FTP, HTTP, HTTPS, Internet Key Exchange (IKE),
ping, rlogin, RSH, SNMP, SSH, Telnet, TFTP, traceroute. Tapi dalam hal
ini kita asumsikan allow semua services dari zone trust dan untuk alasan
security kita hanya allow IKE dari system services untrust.
Dalam contoh ini kita buat address book/address list contoh
local-net(10.10.10.0/24) dan remote-net(192.168.168.0/24). Saat kita
mengkonfigurasi Peer IKE(Internet Key Exchange), IKE dapat di
diklasifikan mulai dari IP Address, full qualified domain name/user
fully qualified domain name(FQDN/UFQDN) atau ASN1-DN public key
infrastructure (PKI Certificates). Dalam contoh ini kita menggunakan IP
Address dengan menggunakan standart proposal IKE gateway nya (phase 1)
walaupun kita dapat membuat proposal sendiri sesuai yang kita kehendaki
dan kemudian kita spesisifikasikan di IPsec Policy nya.
Tahap - Tahap Konfigurasi :
1. Konfigurasi IP address di masing masing interface router sesuai gambar topology.
2. Konfigurasi default route ke gateway provider internet dan static route untuk remote office LAN(SSG20).
3. Konfigurasi Security Zone dan bind interface setelah itu kita
konfigurasi host inbound traffic di masing masing zone. Dalam contoh ini
kita harus enable service IKE (Internet Key Exchange) di interface
ge-0/0/0 dalam zone untrust.
4. Konfigurasi Addressbook masing masing zona yang nantinya kita gunakan dalam pembuatan policy.
5. Konfigurasi phase 1 IKE gateway. Dalam contoh ini standart proposal
tidak msalah walau kita ingin mengggunakan proposal sendiri asalakn
nantinya sama di masing masing peer nya.
6. Konfiigurasi phase 2 (IPsec) VPN. sama hal nya dengan phase 1 kita
gunakan standart proposal atau ingin menggukana proposal sendiri.
7. Bind secure tunnel (st0) interface ke zone VPN.
8. Konfigurasi security policies, kita permit Traffik dari remote
office(SSG) ke corporate LAN (SRX) dan kita juga konfigurasi policy
outgoing trust ke untrust permit semua policy (any) dengan source NAT
dari trafik internet.
9. Konfigurasi TCP- maximum segment size (tcp-mss) untuk IPsec traffic.
Konfigurasi Junos OS (SRX210) Corporate Office
1. Konfigurasi IP address untuk Interface LAN, Point to point interface/ Ip public, dan Interfcae tunnel (st0) :
[edit]
root# set interfaces ge-0/0/0 unit 0 family inet address 1.1.1.1/30
root# set interfaces ge-0/0/1 unit 0 family inet address 10.10.10.1/24
root# set interfaces st0 unit 0 family inet address 10.11.11.10/24
2. Konfigurasi routing network LAN remote office untuk tunnel trafik
dapat di routing langusng ke interface tunnel atau di spesifikasikan
dengan IP address nya sebagai next-hop nya.
root# set routing-options static route 192.168.168.0/24 next-hop st0.0
3. Konfigurasi Zone masing masing interface.
[edit]
root# set security zones security-zone untrust interfaces ge-0/0/0.0
root# set security zones security-zone trust interfaces ge-0/0/1.0
root# set security zones security-zone vpn interfaces st0.0
4. Konfigurasi host-inbound services di masing masing zone :
[edit]
root# set security zones security-zone trust host-inbound-traffic system-services all
root# set security zones security-zone untrust host-inbound-traffic system-services ike
5. Konfigurasi addressbook / address list di masing masing zone :
[edit]
root# set security zones security-zone trust address-book address local-net 10.10.10.0/24
root# set security zones security-zone vpn address-book address remote-net 192.168.168.0/24
6. Konfigurasi IKE policy main mode contoh yang saya buat “ike-polcy1”,
standard proposal dan preshared key dalam string. Preshared key yang
nantinya kita samakan juga di remote office (SSG20)
[edit]
root# set security ike policy ike-policy1 mode main
root# set security ike policy ike-policy1 proposal-set standard
root# set security ike policy ike-policy1 pre-shared-key ascii-text "secretkey"
7. Konfigurasi IKE gateway (phase 1) contoh yang saya buat “ike-gate”
dengan peer IP address remote office, IKE Policy yang sudah kita buat di
atas dan outgoing interface.
[edit]
root# set security ike gateway ike-gate ike-policy ike-policy1
root# set security ike gateway ike-gate address 1.1.1.2
root# set security ike gateway ike-gate external-interface ge-0/0/0.0
8. Konfigurasi IPsec policy dalam standart proposal , standart proposal ( the esp-group2-3des-sha1 and esp-group2-aes128-sha1 ).
[edit]
root# set security ipsec policy vpn-policy1 proposal-set standard
9.
Konfigurasi
IPsec VPN dengan IKE gateway yang sudah kita buat dan IKE Policy yang
sudah kita buat juga dan kemudian kita bind interface ke interface st0.0
yang sudah kita masukan zone VPN.
[edit]
root# set security ipsec vpn ike-vpn ike gateway ike-gate
root# set security ipsec vpn ike-vpn ike ipsec-policy vpn-policy1
root# set security ipsec vpn ike-vpn bind-interface st0.0
10.
Konfigurasi Security Policy untuk tunnel raffik di 2 sisi dari zone trust ke vpn dan sebaliknya:
[edit security policies from-zone trust to-zone vpn]
root# set policy vpn-tr-vpn match source-address local-net
root# set policy vpn-tr-vpn match destination-address remote-net
root# set policy vpn-tr-vpn match application any
root# set policy vpn-tr-vpn then permit
[edit security policies from-zone vpn to-zone trust]
root# set policy vpn-vpn-tr match source-address remote-net
root# set policy vpn-vpn-tr match destination-address local-net
root# set policy vpn-vpn-tr match application any
root# set policy vpn-vpn-tr then permit
11.
Konfigurasi source NAT rule dan security policy.
[edit security nat source rule-set nat-out]
root# set from zone trust
root# set to zone untrust
root# set rule interface-nat match source-address 192.168.168.0/24
root# set rule interface-nat match destination-address 0.0.0.0/0
root# set rule interface-nat then source-nat interface
[edit security policies from-zone trust to-zone untrust]
root# set policy any-permit match source-address any
root# set policy any-permit match destination-address any
root# set policy any-permit match application any
root# set policy any-permit then permit
12.Konfigurasi tcp-mss TCP traffic tunnel VPN . dengan value of 1350
yang disarankan Ethernet-based networks dengan MTU 1500. Untuk lebih
jelasnya mungkin bisa browsing mengenai tcp-mss atau bias di baca di
knowledge base juniper.
root# set security flow tcp-mss ipsec-vpn mss 1350
Selesai , kita lanjut konfiguasi di SSG20.
Sebenarnya dari konfigurasi tidak ada yang di bedakan hanya saja
menyesuaikan dengan topology diatas dan langkah yang hampir sama.
set zone name "VPN"
set interface ethernet0/0 zone "Untrust"
set interface ethernet0/1 zone "Trust"
set interface "tunnel.1" zone "VPN"
set interface ethernet0/0 ip 1.1.1.2/30
set interface ethernet0/0 route
set interface ethernet0/1 ip 192.168.168.1/24
set interface ethernet0/1 route
set interface tunnel.1 ip 10.11.11.11/24
set flow tcp-mss 1350
set address "Trust" "192.168.168-net" 192.168.168.0 255.255.255.0
set address "VPN" "10.10.10-net" 10.10.10.0 255.255.255.0
set ike gateway "corp-ike" address 1.1.1.1 Main outgoing-interface ethernet0/0 preshare "secretkey" sec-level standard
set vpn "corp-vpn" gateway "corp-ike" replay tunnel idletime 0 sec-level standard
set vpn "corp-vpn" monitor optimized rekey
set vpn "corp-vpn" bind interface tunnel.1
set policy from "Trust" to "Untrust" "ANY" "ANY" "ANY" nat src permit
set policy from "Trust" to "VPN" "192.168.168-net" "10.10.10-net" "ANY" permit
set policy from "VPN" to "Trust" "10.10.10-net" "192.168.168-net" "ANY" permit
set route 10.10.10.0/24 interface tunnel.1
set route 0.0.0.0/0 interface ethernet0/0 gateway 1.1.1.1
Verifikasi hasil konfigurasi yang sudah kita buat.
1. Kita check status VPN di SRX dengan melihat IKE phase 1 security
association dan Internet Key Exchange (IKE) (phase 1) security
associations dengan CLI show security ike security-associations.
- Jika kita show security ike security-associations dan output nya
remote address 1.1.1.2 dan status UP berarti VPN yang kita buat sudah
terhubung .
- Tapi jika status masih DOWN kita check IKE SA kemungkinan masalah
berada di phase 1 check ulang apakah sudah benar konfigurasi di phase 1.
Check Ulang remote IP address nya, IKE Policy dan interfaces pastikan
semua sudah sesuai topology.
2. Verifikasi status IPsec (phase 2). setelah IKE phase 1 di verifikasi,
kita jalankan command show security ipsec security-associations untuk
melihat status IKE (phase 2) security associations dengan verifikasi
sebagai berikut :
- show security ipsec security-associations command output 1 IPsec
security association (SA) peer dan dengan default port 500, tanpan NAT
traversall (nat-traversal default port 4500 atau random port diatas
nya).
- security parameter index (SPI) digunakan di dua sisi, lifetime dalam
hitungan detik , dan usage limits atau lifesize dalam hitungan
kilobytes.
- Kolom Mon mengacu pada status VPN. jika VPN monitoring di enable,
kemudian akan tampil U (up) atau D (down). Atau tanda (-) berarti VPN
monitoring tidak diaktifkan dalam SA ini.
- vsys selalu menunjukan 0/root, dan ID number 131073. Dan nilai index unik untuk setiap SA IPsec.
show
security ipsec security-associations index 131073 detail kita dapat melihat
Local Identity dan
Remote Identity.
- Jika tidak ada IPsec SA , check ke phase 2 proposals.
3. Check statistics dan errors untuk IPsec SA. show security ipsec
statistics index 131073 command check Encapsulating Security Payload
(ESP) dan Authentication Header (AH) counters dan check apakah ada pesan
errors dalam IPsec security association nya.
4. Kita test Trafik dari Corp Office Router ke host menggunakan source interface LAN dan sebaliknya.
Demikian Semoga Bermanfaat.