TKJ SMKN 1 GEGER MADIUN

Teknik Komputer dan Jaringan
Home » JUNIFER » Konfigurasi IPSec Site to Site VPN di Juniper

Tuesday, May 27, 2014

Konfigurasi IPSec Site to Site VPN di Juniper

Konfigurasi IPSec Site to Site VPN di Juniper

Assalamualaikum Wr Wb

Ingin sharing sekaligus jadi arsip belajar mengenai IPSec VPN di Juniper.

Topology :

Deskripsi Umum :
• Interface LAN ge-0/0/1 zone trust , menggunakan IP Private.
• Interface dari Provider ge-0/0/0 zone untrust dan menggunakan IP Public (simulasi menggunakan IP private/ IP point to point).
• Buat interface Tunnel di masing masing router, SRX menggunakan interface st0.0 dan SSG20 menggunakan Interface Tunnel.1 yang nantinya sebagai jalur VPN dengan membuat zone baru yaitu “VPN”.

Konfigurasi
Junos OS memakai konsep logical component interface. Dalam contoh ini menggunakan unit 0 dan family inet (IPv4). Untuk statik route kita spesifik antara gateway dan next hop nya. Setelah itu kita buat unik zone untuk tunnel traffic yang nanti nya kita allow di policy masing masing router dalam hal VPN Trafik dan  untuk memudahkan dan membedakan dengan policy lainnya. Bisa juga kita membuat policy untuk blok traffic selain traffic VPN dan network mana yang bisa mengakses nya.
Host-inbound services diperlukan untuk masing masing router. Contoh services yang tersedia FTP, HTTP, HTTPS, Internet Key Exchange (IKE), ping, rlogin, RSH, SNMP, SSH, Telnet, TFTP, traceroute. Tapi dalam hal ini kita asumsikan allow semua services dari zone trust dan untuk alasan security kita hanya allow IKE dari system services untrust.
Dalam contoh ini kita buat address book/address list contoh local-net(10.10.10.0/24) dan remote-net(192.168.168.0/24). Saat kita mengkonfigurasi Peer IKE(Internet Key Exchange), IKE dapat di diklasifikan mulai dari IP Address, full qualified domain name/user fully qualified domain name(FQDN/UFQDN) atau ASN1-DN public key infrastructure (PKI Certificates). Dalam contoh ini kita menggunakan IP Address dengan menggunakan standart proposal IKE gateway nya (phase 1) walaupun kita dapat membuat proposal sendiri sesuai yang kita kehendaki dan kemudian kita spesisifikasikan di IPsec Policy nya.
Tahap - Tahap Konfigurasi :
1. Konfigurasi IP address di masing masing interface router sesuai gambar topology.
2. Konfigurasi default route ke gateway provider internet dan static route untuk remote office LAN(SSG20).
3. Konfigurasi Security Zone dan bind interface setelah itu kita konfigurasi host inbound traffic di masing masing zone. Dalam contoh ini kita harus enable service IKE (Internet Key Exchange) di interface ge-0/0/0 dalam zone untrust.
4. Konfigurasi Addressbook masing masing zona yang nantinya kita gunakan dalam pembuatan policy.
5. Konfigurasi phase 1 IKE gateway. Dalam contoh ini standart proposal tidak msalah walau kita ingin mengggunakan proposal sendiri asalakn nantinya sama di masing masing peer nya.
6. Konfiigurasi phase 2 (IPsec) VPN. sama hal nya dengan phase 1 kita gunakan standart proposal atau ingin menggukana proposal sendiri.
7. Bind secure tunnel (st0) interface ke zone VPN.
8. Konfigurasi security policies, kita permit Traffik dari remote office(SSG) ke corporate LAN (SRX) dan kita juga konfigurasi policy outgoing trust ke untrust permit semua policy (any) dengan source NAT dari trafik internet.
9. Konfigurasi TCP- maximum segment size (tcp-mss) untuk IPsec traffic.
Konfigurasi Junos OS (SRX210) Corporate Office
1. Konfigurasi IP address untuk Interface LAN, Point to point interface/ Ip public, dan Interfcae tunnel (st0) :
[edit]
root# set interfaces ge-0/0/0 unit 0 family inet address 1.1.1.1/30
root# set interfaces ge-0/0/1 unit 0 family inet address 10.10.10.1/24
root# set interfaces st0 unit 0 family inet address 10.11.11.10/24

2. Konfigurasi routing network LAN remote office untuk tunnel trafik dapat di routing langusng ke interface tunnel atau di spesifikasikan dengan IP address nya sebagai next-hop nya. 
root# set routing-options static route 192.168.168.0/24 next-hop st0.0
3. Konfigurasi Zone masing masing interface. 
[edit]
root# set security zones security-zone untrust interfaces ge-0/0/0.0
root# set security zones security-zone trust interfaces ge-0/0/1.0
root# set security zones security-zone vpn interfaces st0.0
4. Konfigurasi host-inbound services di masing masing zone : 
[edit]

root# set security zones security-zone trust host-inbound-traffic system-services all
root# set security zones security-zone untrust host-inbound-traffic system-services ike
5. Konfigurasi addressbook / address list di masing masing zone : 
[edit]
root# set security zones security-zone trust address-book address local-net 10.10.10.0/24
root# set security zones security-zone vpn address-book address remote-net 192.168.168.0/24
6. Konfigurasi IKE policy main mode contoh yang saya buat “ike-polcy1”, standard proposal dan preshared key dalam string. Preshared key yang nantinya kita samakan juga di remote office (SSG20) 
[edit]
root# set security ike policy ike-policy1 mode main
root# set security ike policy ike-policy1 proposal-set standard
root# set security ike policy ike-policy1 pre-shared-key ascii-text "secretkey"
7. Konfigurasi IKE gateway (phase 1) contoh yang saya buat “ike-gate” dengan peer IP address remote office, IKE Policy yang sudah kita buat di atas dan outgoing interface. 
[edit]
root# set security ike gateway ike-gate ike-policy ike-policy1
root# set security ike gateway ike-gate address 1.1.1.2
root# set security ike gateway ike-gate external-interface ge-0/0/0.0
8. Konfigurasi IPsec policy dalam standart proposal , standart proposal ( the esp-group2-3des-sha1 and esp-group2-aes128-sha1 ). 
[edit]
root# set security ipsec policy vpn-policy1 proposal-set standard
9. Konfigurasi IPsec VPN dengan IKE gateway yang sudah kita buat dan IKE Policy yang sudah kita buat juga dan kemudian kita bind interface ke interface st0.0 yang sudah kita masukan zone VPN. 
[edit]
root# set security ipsec vpn ike-vpn ike gateway ike-gate
root# set security ipsec vpn ike-vpn ike ipsec-policy vpn-policy1
root# set security ipsec vpn ike-vpn bind-interface st0.0
10. Konfigurasi Security Policy untuk tunnel raffik di 2 sisi dari zone trust ke vpn dan sebaliknya:  
[edit security policies from-zone trust to-zone vpn]
root# set policy vpn-tr-vpn match source-address local-net
root# set policy vpn-tr-vpn match destination-address remote-net
root# set policy vpn-tr-vpn match application any
root# set policy vpn-tr-vpn then permit

[edit security policies from-zone vpn to-zone trust]
root# set policy vpn-vpn-tr match source-address remote-net
root# set policy vpn-vpn-tr match destination-address local-net
root# set policy vpn-vpn-tr match application any
root# set policy vpn-vpn-tr then permit
11. Konfigurasi source NAT rule dan security policy. 
[edit security nat source rule-set nat-out]
root# set from zone trust
root# set to zone untrust
root# set rule interface-nat match source-address 192.168.168.0/24
root# set rule interface-nat match destination-address 0.0.0.0/0
root# set rule interface-nat then source-nat interface

[edit security policies from-zone trust to-zone untrust]
root# set policy any-permit match source-address any
root# set policy any-permit match destination-address any
root# set policy any-permit match application any
root# set policy any-permit then permit
12.Konfigurasi tcp-mss TCP traffic tunnel VPN . dengan value of 1350 yang disarankan Ethernet-based networks dengan MTU 1500. Untuk lebih jelasnya mungkin bisa browsing mengenai tcp-mss atau bias di baca di knowledge base juniper. 
root# set security flow tcp-mss ipsec-vpn mss 1350
Selesai , kita lanjut konfiguasi di SSG20. Sebenarnya dari konfigurasi tidak ada yang di bedakan hanya saja menyesuaikan dengan topology diatas dan langkah yang hampir sama.  
set zone name "VPN"
set interface ethernet0/0 zone "Untrust"
set interface ethernet0/1 zone "Trust"
set interface "tunnel.1" zone "VPN"
set interface ethernet0/0 ip 1.1.1.2/30
set interface ethernet0/0 route
set interface ethernet0/1 ip 192.168.168.1/24
set interface ethernet0/1 route
set interface tunnel.1 ip 10.11.11.11/24
set flow tcp-mss 1350
set address "Trust" "192.168.168-net" 192.168.168.0 255.255.255.0
set address "VPN" "10.10.10-net" 10.10.10.0 255.255.255.0
set ike gateway "corp-ike" address 1.1.1.1 Main outgoing-interface ethernet0/0 preshare "secretkey" sec-level standard
set vpn "corp-vpn" gateway "corp-ike" replay tunnel idletime 0 sec-level standard
set vpn "corp-vpn" monitor optimized rekey
set vpn "corp-vpn" bind interface tunnel.1
set policy from "Trust" to "Untrust" "ANY" "ANY" "ANY" nat src permit
set policy from "Trust" to "VPN" "192.168.168-net" "10.10.10-net" "ANY" permit
set policy from "VPN" to "Trust" "10.10.10-net" "192.168.168-net" "ANY" permit
set route 10.10.10.0/24 interface tunnel.1
set route 0.0.0.0/0 interface ethernet0/0 gateway 1.1.1.1
Verifikasi hasil konfigurasi yang sudah kita buat. 1. Kita check status VPN di SRX dengan melihat IKE phase 1 security association dan Internet Key Exchange (IKE) (phase 1) security associations dengan CLI show security ike security-associations.
- Jika kita show security ike security-associations dan output nya remote address 1.1.1.2 dan status UP berarti VPN yang kita buat sudah terhubung . 
- Tapi jika status masih DOWN kita check IKE SA kemungkinan masalah berada di phase 1 check ulang apakah sudah benar konfigurasi di phase 1. Check Ulang remote IP address nya, IKE Policy dan interfaces pastikan semua sudah sesuai topology. 







2. Verifikasi status IPsec (phase 2). setelah IKE phase 1 di verifikasi, kita jalankan command show security ipsec security-associations untuk melihat status IKE (phase 2) security associations dengan verifikasi sebagai berikut :
- show security ipsec security-associations command output 1 IPsec security association (SA) peer dan dengan default port 500, tanpan NAT traversall (nat-traversal default port 4500 atau random port diatas nya).
- security parameter index (SPI) digunakan di dua sisi, lifetime dalam hitungan detik , dan usage limits atau lifesize dalam hitungan kilobytes.
-  Kolom Mon mengacu pada status VPN. jika VPN monitoring di enable, kemudian akan  tampil U (up) atau D (down). Atau tanda (-) berarti VPN monitoring tidak diaktifkan dalam SA ini.
- vsys selalu menunjukan 0/root, dan ID number 131073. Dan nilai index unik untuk setiap SA IPsec.
show security ipsec security-associations index 131073 detail kita dapat melihat Local Identity dan Remote Identity.

- Jika tidak ada IPsec SA ,  check ke phase 2 proposals.

3. Check statistics dan errors untuk IPsec SA. show security ipsec statistics index 131073 command  check Encapsulating Security Payload (ESP) dan Authentication Header (AH) counters dan check apakah ada pesan errors dalam IPsec security association nya.
4. Kita test Trafik dari Corp Office Router ke host menggunakan source interface LAN dan sebaliknya.
Demikian Semoga Bermanfaat.

Posted in:
Newer Post Older Post Home

0 comments:

Post a Comment