Belajar vpn

VPN Remote Access dan Site to Site dengan Vyatta

June 24th, 2009 Goto comments Leave a comment VPN Virtual Private Network atau VPN adalah suatu jaringan pribadi yang dibuat dengan menggunakan jaringan publik, atau dengan kata lain menciptakan suatu WAN yang sebenarnya terpisah baik secara fisikal maupun geografis sehingga secara logikal membentuk satu netwok tunggal, paket data yang mengalir antar site maupun dari user yang melakukan remote akses akan mengalami enkripsi dan authentikasi sehingga menjamin keamanan, integritas dan validitas data. VPN terbagi pada tipe Site to Site dan Remote Access. Tipe-tipe protokol yang digunakan antara lain IPSec, PPTP dan L2TP. Untuk lebih jelas memahami dan melakukan konfigurasi dalam membuat VPN, mari kita ikuti studi kasus dibawah ini.

UNTUK VPN SERVER R1 Masuk ke Configure Mode vyatta@vyatta:~$ configure [edit] Kemudian set IP untuk interface yang berada pada R1

vyatta@vyatta# set interfaces ethernet eth0 address 192.168.1.1/24 [edit] vyatta@vyatta# set interfaces ethernet eth1 address 222.124.194.2/27 [edit] Jika anda membuat VPN skala laboratorium berdasarkan contoh topologi diatas maka untuk menghubungkan dua alamat network atau lebih diperlukan router dan untuk itu anda perlu menge-set routing protocol supaya tercipta routing tabel, kebetulan untuk contoh tutorial ini kita akan menggunakan routing protocol OSPF. Abaikan langkah ini jika anda mengimplementasikan VPN server yang terhubung langsung dengan internet vyatta@vyatta# set protocols ospf area 1 network 222.124.194.0/27 [edit] Set interface eth0 sebagai passive interface agar broadcast pada peristiwa updating routing tabel tidak diteruskan ke local area network vyatta@vyatta# set protocols ospf passive-interface eth0 [edit] vyatta@vyatta# Sesuai dengan petunjuk diatas jika VPN server anda terhubung langsung dengan internet maka set-lah static routing yang berfungsi sebagai default routing untuk setiap paket data yang akan keluar menuju jaringan public vyatta@vyatta# set protocols static route 0.0.0.0/0 next-hop 222.124.194.1 Beri host name pada VPN Server 1 vyatta@vyatta#set system host-name R1 Set IPSec pada interface yang terhubung dengan internet vyatta@vyatta#set vpn ipsec ipsec-interfaces interface eth1 vyatta@vyatta#show vpn ipsec ipsec-interfaces vyatta@vyatta#set vpn ipsec ike-group IKE-1R1 proposal 1 vyatta@vyatta#set vpn ipsec ike-group IKE-1R1 proposal 1 encryption aes256

vyatta@vyatta#set vpn ipsec ike-group IKE-1R1 proposal 1 hash sha1 vyatta@vyatta#set vpn ipsec ike-group IKE-1 R1 proposal 2 encryption aes128 vyatta@vyatta#set vpn ipsec ike-group IKE-1 R1 proposal 2 hash sha1 vyatta@vyatta#set vpn ipsec ike-group IKE-1R1 lifetime 3600 vyatta@vyatta#show -all vpn ipsec ike-group IKE-1R1 vyatta@vyatta#set vpn ipsec esp-group ESP-1R1 proposal 1 vyatta@vyatta#set vpn ipsec esp-group ESP-1R1 proposal 1 encryption aes256 vyatta@vyatta#set vpn ipsec esp-group ESP-1R1 proposal 1 hash sha1 vyatta@vyatta#set vpn ipsec esp-group ESP-1R1 proposal 2 encryption 3des vyatta@vyatta#set vpn ipsec esp-group ESP-1R1 proposal 2 hash md5 vyatta@vyatta#set vpn ipsec esp-group ESP-1R1 lifetime 1800 vyatta@vyatta#show -all vpn ipsec esp-group ESP-1R1 vyatta@vyatta#set vpn ipsec site-to-site peer 202.146.180.228 authentication mode preshared-secret vyatta@vyatta#edit vpn ipsec site-to-site peer 202.146.180.228 vyatta@vyatta#set authentication pre-shared-secret test_key_1 vyatta@vyatta#set ike-group IKE-1R1 vyatta@vyatta#set local-ip 222.124.194.2 vyatta@vyatta#set tunnel 1 local-subnet 192.168.1.0/24 vyatta@vyatta#set tunnel 1 remote-subnet 192.168.2.0/24 vyatta@vyatta#set tunnel 1 esp-group ESP-1R1 vyatta@vyatta#top vyatta@vyatta#commit vyatta@vyatta#show -all vpn ipsec site-to-site peer 202.146.180.228

vyatta@vyatta#exit Generate RSA key vyatta@R1>vpn rsa-key generate A local RSA key file already exists and will be overwritten <CTRL>C to exit: 8 Your new local RSA key has been generated The public portion of the key is: 0sAQNZtj56JMxVNR7bhUazGNcNbaybFEi0zf8FZd7fQkSd8GT9HDBQ2QunL7P3LdAr EoU9Vw7R0oJzew9zTq3J9mU4/OfG/n1NbNLfcT17QHP7EldgPpGcQ6TaXpfToIENsqN0 nEPyT9AM7SBUa8B78wSsE79XFI4knSgUX5FmhV5452DWl2nYGrBqVEvL2rnHhbnR 2Z0DGbYebWyO4Lbl3TWJkkVrXT6QgzN1GQw0/MkaknEBIFk6XuoAm8HbVE0zFL4 Wr/Zs2t1k0amCsh/Dqhj+UZkdxV0LN69BELYn5EYiqigNPlgZFDnZ0jhz1EqxnQ2QT4Q +ErwIf1v0KkhlA+f8Lg2H5GdxkY9pnWcd+zSOQHf (catatan: pada saat generate RSA key bisa jadi waktu yang perlukan cukup lama, untuk itu anda harus sabar menunggu) Copy RSA key ini dan masuk lagi ke configure mode vyatta@R1>configure Set VPN RSA key dan beri nama dengan R2-Key (sebab berfungsi sebagai key buat R2 yang ingin berhubungan dengan R1) kemudian paste-kan RSA key tadi vyatta@R1# set vpn rsa-keys rsa-key-name R2-key rsa-key 0sAQNZtj56JMxVNR7bhUazGNcNbaybFEi0zf8FZd7fQkSd8GT9HDBQ2QunL7P3LdAr EoU9Vw7R0oJzew9zTq3J9mU4/OfG/n1NbNLfcT17QHP7EldgPpGcQ6TaXpfToIENsqN0 nEPyT9AM7SBUa8B78wSsE79XFI4knSgUX5FmhV5452DWl2nYGrBqVEvL2rnHhbnR 2Z0DGbYebWyO4Lbl3TWJkkVrXT6QgzN1GQw0/MkaknEBIFk6XuoAm8HbVE0zFL4 Wr/Zs2t1k0amCsh/Dqhj+UZkdxV0LN69BELYn5EYiqigNPlgZFDnZ0jhz1EqxnQ2QT4Q +ErwIf1v0KkhlA+f8Lg2H5GdxkY9pnWcd+zSOQHf Simpan hasil konfigurasi vyatta@R1# commit [edit] vyatta@R1#save

UNTUK ROUTER R2 Abaikan langkah ini jika anda memang mengimplementasikan VPN Server yang terhubung langsung dengan internet. Jika tidak ikuti langkah dibawah ini Set host name vyatta@vyatta# system host-name R2 [edit] Kemudian set IP untuk interface yang berada pada R2 vyatta@vyatta# set interfaces ethernet eth0 address 222.124.194.1/27 [edit] vyatta@vyatta# set interfaces ethernet eth0 address 222.124.194.1/27 [edit] vyatta@vyatta# set interfaces ethernet eth1 address 202.146.180.224/29 [edit] Set routing protocol vyatta@vyatta# set protocols ospf area 1 network 222.124.194.0/27 [edit] vyatta@vyatta# set protocols ospf area 1 network 202.146.180.224/29 [edit] Simpan hasil konfigurasi vyatta@vyatta#commit vyatta@vyatta#save UNTUK VPN SERVER R3 Masuk ke configure mode vyatta@vyatta:~$ configure

[edit] vyatta@vyatta# system host-name R3 [edit] vyatta@vyatta# set interfaces ethernet eth0 address 202.146.180.228/29 [edit] vyatta@vyatta# set interfaces ethernet eth1 address 192.168.2.1/24 [edit] Sama seperti keterangan diatas jika anda membuat VPN skala laboratorium berdasarkan topologi diatas maka diperlukan routing protocol supaya tercipta routing table. Abaikan juga langkah ini jika anda mengimplementasikan VPN server yang terhubung langsung dengan internet vyatta@vyatta# set protocols ospf area 0 network 202.146.180.224/29 [edit] vyatta@vyatta# set protocols ospf passive-interface eth1 [edit] vyatta@vyatta# Dan seperti yang sudah dijelaskan jika VPN server anda terhubung langsung dengan internet maka set-lah static routing yang berfungsi sebagai default routing untuk setiap paket data yang akan keluar menuju jaringan public vyatta@vyatta# set protocols static route 0.0.0.0/0 next-hop 202.146.180.225 Set ipsec pada interface yang terhubung dengan internet vyatta@vyatta#set vpn ipsec ipsec-interfaces interface eth0 vyatta@vyatta#show vpn ipsec ipsec-interfaces vyatta@vyatta#set vpn ipsec ike-group IKE-1R3 proposal 1 vyatta@vyatta#set vpn ipsec ike-group IKE-1R3 proposal 1 encryption aes256 vyatta@vyatta#set vpn ipsec ike-group IKE-1R3 proposal 1 hash sha1

vyatta@vyatta#set vpn ipsec ike-group IKE-1R3 proposal 2 encryption aes128 vyatta@vyatta#set vpn ipsec ike-group IKE-1R3 proposal 2 hash sha1 vyatta@vyatta#set vpn ipsec ike-group IKE-1R3 lifetime 3600 vyatta@vyatta#show -all vpn ipsec ike-group IKE-1R3 vyatta@vyatta#set vpn ipsec esp-group ESP-1R3 proposal 1 vyatta@vyatta#set vpn ipsec esp-group ESP-1R3 proposal 1 encryption aes256 vyatta@vyatta#set vpn ipsec esp-group ESP-1R3 proposal 1 hash sha1 vyatta@vyatta#set vpn ipsec esp-group ESP-1R3 proposal 2 encryption 3des vyatta@vyatta#set vpn ipsec esp-group ESP-1R3 proposal 2 hash md5 vyatta@vyatta#set vpn ipsec esp-group ESP-1R3 lifetime 1800 vyatta@vyatta#show -all vpn ipsec esp-group ESP-1R3 vyatta@vyatta#set vpn ipsec site-to-site peer 222.124.194.2 authentication mode preshared-secret vyatta@vyatta#edit vpn ipsec site-to-site peer 222.124.194.2 vyatta@vyatta#set authentication pre-shared-secret test_key_1 vyatta@vyatta#set ike-group IKE-1R3 vyatta@vyatta#set local-ip 202.146.180.228 vyatta@vyatta#set tunnel 1 local-subnet 192.168.2.0/24 vyatta@vyatta#set tunnel 1 remote-subnet 192.168.1.0/24 vyatta@vyatta#set tunnel 1 esp-group ESP-1R3 vyatta@vyatta#top vyatta@vyatta#commit vyatta@vyatta#show -all vpn ipsec site-to-site peer 222.124.194.2 vyatta@vyatta#exit

vyatta@R3>vpn rsa-key generate A local RSA key file already exists and will be overwritten <CTRL>C to exit: 8 Your new local RSA key has been generated The public portion of the key is: 0sAQOaAFWK13JnatBgfiQR76ei0/yhxfdAzJ85AU2pu9udS8t3oKQU3EhZvuQVGA/YRk Y9godKr7bz3Gw0hfDVXVumX/zwKmW8AcYoCCvj7xMAnyCHHRmtHaSaT/5AMXBH GEaQpkGyXfrvs55+drxtAaLFXgVQ0MDivYUYmASicNErUy9MPWLSABfvhH+i0QrTE HcIwmyzD/0AGlz0QvbcMlssEDe7OVmjLeOKwp+yb+uNr+48+1aMggIL0qfENfDH+JZh 8jlNF3LriRrXJkTLkGdLjfVv3TUtdUoSa6eiCJ18XrbTr+vVaRNvOVWY9d9Bl3yZVmAa EihYGiqOynnWtyNsZHEaiHofS+DU5lzv/BI2MyVb Jika ingin melihat RSA key yang sudah digenerate vyatta@R3> show vpn ike rsa-keys Local public key (/opt/vyatta/etc/config/ipsec.d/rsa-keys/localhost.key): 0sAQOaAFWK13JnatBgfiQR76ei0/yhxfdAzJ85AU2pu9udS8t3oKQU3EhZvuQVGA/YRk Y9godKr7bz3Gw0hfDVXVumX/zwKmW8AcYoCCvj7xMAnyCHHRmtHaSaT/5AMXBH GEaQpkGyXfrvs55+drxtAaLFXgVQ0MDivYUYmASicNErUy9MPWLSABfvhH+i0QrTE HcIwmyzD/0AGlz0QvbcMlssEDe7OVmjLeOKwp+yb+uNr+48+1aMggIL0qfENfDH+JZh 8jlNF3LriRrXJkTLkGdLjfVv3TUtdUoSa6eiCJ18XrbTr+vVaRNvOVWY9d9Bl3yZVmAa EihYGiqOynnWtyNsZHEaiHofS+DU5lzv/BI2MyVb Masuk kembali ke configure mode set RSA key name dengan nama R1-key vyatta@R3> configure [edit] vyatta@EAST# set vpn rsa-keys rsa-key-name R1-key rsa-key 0sAQOaAFWK13JnatBgfiQR76ei0/yhxfdAzJ85AU2pu9udS8t3oKQU3EhZvuQVGA/YRk Y9godKr7bz3Gw0hfDVXVumX/zwKmW8AcYoCCvj7xMAnyCHHRmtHaSaT/5AMXBH GEaQpkGyXfrvs55+drxtAaLFXgVQ0MDivYUYmASicNErUy9MPWLSABfvhH+i0QrTE HcIwmyzD/0AGlz0QvbcMlssEDe7OVmjLeOKwp+yb+uNr+48+1aMggIL0qfENfDH+JZh 8jlNF3LriRrXJkTLkGdLjfVv3TUtdUoSa6eiCJ18XrbTr+vVaRNvOVWY9d9Bl3yZVmAa EihYGiqOynnWtyNsZHEaiHofS+DU5lzv/BI2MyVb [edit]

Simpan hasil konfigurasi vyatta@R3# commit [edit] vyatta@R3# save Saving configuration to /opt/vyatta/etc/config/config.boot Done [edit] vyatta@R3# Sampai langkah ini VPN Site to site sudah selesai kita lakukan, untuk client-client yang terhubung pada VPN server, set IP sesuai dengan alamat yang terdapat pada masing-masing site dengan tidak lupa memberikan gateway, yaitu alamat IP yang terdapat pada router/VPN Server yang terhubung dengan Local Area Network. Contoh untuk client yang berada pada alamat network 192.168.1.0/24 maka bisa diberikan alamat IP Address: 192.168.1.2 Subnet Mask 255.255.255.0 Gateway: 192.168.1.1 Kemudian lakukan ping antar local area network untuk menguji apakah VPN server ini sudah berjalan sebagaimana mestinya VPN REMOTE ACCESS Setelah selesai melakukan konfigurasi untuk VPN site to site selanjutnya kita bisa melakukan konfigurasi untuk VPN remote access. Disini kita akan menjadikan R1 sebagai VPN Server Remote access Masuk ke configure mode vyatta@R1>configure vyatta@R1#set vpn pptp remote-access outside-address 222.124.194.2

Atur range IP pool, yaitu IP yang akan diberikan secara otomatis pada user yang mengakses VPN server, sehingga pada client akan mempunyai dua IP yaitu IP yang digunakan untuk berhubungan dengan internet, dan satu lagi IP yang didapat dari hasil tunneling ke VPN server, dengan IP yang didapat dari VPN Server inilah maka client tampak seolah-olah berada network yang sama dengan network yang diaksesnya vyatta@R1#set vpn pptp remote-access client-ip-pool start 192.168.1.50 vyatta@R1#set vpn pptp remote-access client-ip-pool stop 192.168.1.60 vyatta@R1#set vpn pptp remote-access authentication mode local Buat username dan password untuk user agar bisa mengakses VPN Server, ulangi lagi langkah ini jika ingin menambah user lain vyatta@R1#set vpn pptp remote-access authentication local-users username candra password fasilkom Supaya user yang mengakses ke VPN server juga bisa mengakses internet maka pada Server VPN kita lakukan NAT vyatta@R1#set service nat rule 10 type source vyatta@R1#set service nat rule 10 source address 192.168.1.0/24 vyatta@R1#set service nat rule 10 outbound-interface eth1 vyatta@R1#set service nat rule 10 outside-address address 222.124.194.2 Dan jika kita memiliki DNS Server local kita bisa mengarahkan query ke IP DNS server local set vpn pptp remote-access dns-servers server-2 192.168.1.2 Tetapi jika kita memiliki DNS server yang berada ditempat lain maka kita bisa melakukan forwarding ke IP DNS server tersebut (Misal DNS dengan IP 202.146.180.230) vyatta@R1# set service dns forwarding listen-on eth1 [edit] vyatta@R1# set service dns forwarding name-server 222.124.194.18 [edit] Dan jika kita ingin agar web server kita tadi juga berfungsi sebagai web caching maka

vyatta@R1#set service webproxy listen-address 192.168.1.1 Simpan hasil konfigurasi vyatta@R1#commit vyatta@R1#save vyatta@R1#show vpn pptp remote-access Selanjutnya supaya user bisa mengkases VPN server lakukan konfigurasi dengan cara: 1. Pilh Start > Control Panel > Network Connections. 2. Pilih Create a new connection. klik Next. 3. Pilih Connect to the network at my workplace. klik Next. 4. Pilih Virtual Private Network connection. klik Next. 5. Buat nama; sebagai contoh VPN-FASILKOM klik Next. 6. Pilih Do not dial the initial connection. klik Next. 7. Ketik alamat dari VPN server yaitu 222.124.194.3 klik Next. 8. Pilih Do not use my smart card. klik Next. 9. Tandai add shortcut to this connection to my desktop 10. klik Finish 11. Klik dua kali shortcut yang sudah terbentuk pada desktop 12. Masukkan username dan password untuk user yang sudah dibuat pada server 13. Setelah proses authentikasi valid akan user akan terhubung dengan VPN server 14. Untuk mengetahui IP yang didapat dari VPN server, klik start, ketik CMD kemudian enter 15. Kemudian ketik ipconfig /all, maka disitu akan terlihat berapa IP yang didapatkan, bandingkan
alamat network IP tersebut dengan alamat network local area yang diakses

16. Lakukan ping dengan salah satu alamat yang terdapat pada Local Area Network tersebut, jika
mendapat reply berarti VPN Server remote access sudah berhasil kita buat

Selamat mencoba