Anda di halaman 1dari 10

User Guide : How to Configure VPN IPsec Site to Site, Between Cisco Router to Fortinet

Created by : Mr.L Config in Fortigate 40C Pada dokumentasi ini, saya akan membagi langkah-langkah untuk melakukan konfigurasi teknologi VPN IPsec antara Roter Cisco 1900 dan Fortigate 40C. pertama-tama terimakasih kepada TYME yang telah memberikan pencerahan dan waktu untuk saya mengerjakan latihan ini, serta kepada klinik Tong Fang, untuk pengobatanya yang luar binasa, terima kasih Tong Fang. Topologi:

Created by : Mr.L

1. Langkah awal yang harus dilakukan adalah seperti biasa, kita melakukan setting interface untuk masing2 router gateway, pertama-tama saya akan mencontohkan cara melakukan setting dan konfigurasi VPN IPsec pada Fortigate 40C, seperti contoh gambar di bawah adalah settingan IP interface untuk Fortigate 40C sesuai dengan topologi di atas. Gambar Set interface:

2. Langkah kedua adalah melakukan Settig VPN IPsec Phase1 dan 2 seperti yang dapat dilihat pada conoh Gambar di bawah Gambar Set VPN IPsec Phase1 : Preshare key : kartuku123

Created by : Mr.L

Seperti yang dapat dilihat pada Gambar, saya melakukan settingan beberapa parameter untuk antar gateway dapat saling melakukan authentication dan membentuk tunneling, di sini saya masih sedikit ada keraguan seputar protocol Autentication antara Fortigate 40C yang menggunakan IKE dan Cisco 1900 ISAKMP (Internet Security Authentication Key and Management Protocol) apakah kedua teknologi protocol ini bisa saling berhubungan dan membentuk tunnel, tetapi ternyata bisa Praise GodImpossible is Nothing, setelah itu kita harus melakukan konfigurasi untuk Phase2 yang dapat dilihat pada gambar di bawah. Gambar Set VPN IPsec Phase2

Pada phase2 ada sedikit point-point penting yang harus di perhatikan untuk membentu tunnel, salah satunya adalah Quick Mode Selector Source Address dan Destination Address, di sini saya mendefine address yang saya spesifikasikan yang diizinkan untuk berkomunikasi ke Local Cisco Network. Konfigurasi define address dapat dilihat pada konfigurasi di bawah ini.

Created by : Mr.L

3. Di sini saya melakukan create Define Address untuk mengelompokkan alamat yang diberikan access untuk berkomunikasi dan yang tidak berdasarkan policy-nya kemudian, saya melakukan dua pengelompokan dua Network Address Segmen yaitu Local_Forti untuk Alamat Local Network pada Fortigate 40C dan Cisco Address untuk Alamat Network Local Cisco 1900 Gambar Set Address Local Address Fortinet

Gambar Set Address Local Address Cisco Local Network

Define Address Firewall All

Created by : Mr.L

4. Langkah Selanjutnya adalah melakukan Setingg Policy Pada Fortigate 40C berdasarkan traffic flow paket data, contohnya dapat dilihat pada Gambar di bawah ini. Gambar Config Policy Firewall Forti Cisco VPN IPsec : Penampakan1

Gambar Config Policy Firewall Forti Cisco VPN IPsec : Penampakan2

Created by : Mr.L

5. Tahap yang terakhir yang harus dilakukan pada Fortigate 40C adalah, melakukan Static Routing pada Interface Gateway Router Cisco agar dapat saling bertukar key untuk Authentication dan membentuk tunnel, dan routing ke dalam Netwok Local Cisco 1900, anda juga dapat menggunakan Default route saja untuk memperkecil ukuran routing table Gambar Setting Routing Static IPsec VPN Forti Cisco

Pada Tahap ini kita telah selesai melakukan setting VPN IPsec pada Fortigate 40C, Langkah selanjutnya adalah melakukan Konfigurasi untuk Cisco 1900 untuk membentuk tunneling, konfigurasi pada cisco router menggunakan CLI, yang konfigurasinya dapat dilihat di bawah ini

Configurasi Router Cisco : Cisco_Side#show running-config Building configuration... Current configuration : 1813 bytes ! ! Last configuration change at 10:35:54 UTC Tue Aug 21 2012 version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Cisco_Side ! boot-start-marker boot-end-marker ! ! ! aaa new-model !
Created by : Mr.L

! ! ! ! ! ! aaa session-id common ! ! no ipv6 cef ! ! ! ! ! no ip domain lookup ip domain name leo.com ip cef ! multilink bundle-name authenticated ! crypto pki token default removal timeout 0 ! ! license udi pid CISCO1921/K9 sn FGL154725AJ ! ! username kartuku password 0 kartuku123 ! redundancy ! ! ! ! ! ip ssh time-out 60 ip ssh version 2 !

Created by : Mr.L

! crypto isakmp policy 1 encr 3des authentication pre-share group 5 crypto isakmp key kartuku123 address 172.16.20.1 ! ! crypto ipsec transform-set TFT esp-3des esp-sha-hmac ! ! ! crypto map COBA 1 ipsec-isakmp description tunnel to Forti set peer 172.16.20.1 set transform-set TFT match address toforti ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ip address 172.16.30.1 255.255.255.252 duplex auto speed auto crypto map COBA ! interface GigabitEthernet0/1 ip address 192.168.1.254 255.255.255.0 duplex auto speed auto ! ip forward-protocol nd ! no ip http server no ip http secure-server
Created by : Mr.L

! ip route 172.16.20.0 255.255.255.252 172.16.30.2 ip route 172.30.10.0 255.255.255.0 172.16.30.2 ! ip access-list extended toforti permit ip 192.168.1.0 0.0.0.255 172.30.10.0 0.0.0.255 ! ! ! ! ! ! ! ! ! control-plane ! ! ! line con 0 logging synchronous line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 2 transport input ssh line vty 3 4 transport input all ! scheduler allocate 20000 1000 end Cisco_Side#

Created by : Mr.L

Pengujian : Lakukan UP tunneling seperti Gambar di bawah

Jika Semua Parameter untuk membangun telah di setting dengan benar, seharusnya Tunell akan UP, tetapi jika terjadi kesalahan maka tunnel tidak akan UP, cek juga pada log dan report untuk memastikan kedua Gateway yang akan membentuk tunnel telah melakukan Negotiation seperti gambar di bawah ini.

Langkah terakhir adalah melakukan Test Koneksi dengan melakukan ping ke Local Network Cisco, jika kita dari posisi Local address fortinet, jika success maka kita akan menerima replay paket data seperti gambar di bawah ini, jika Gagal akan Muncul ICMP Request Time Out, jika Destination Host Unreachable, periksa kembali table routing anda, dan host yang akan anda PING apakah aktif atau tidak Jika success maka hasilnya akan seperti Gambar di bawah ini

Created by : Mr.L