VIRTUAL PRIVATE NETWORK DI CISCO PACKET

TRACER

A. VPN Router ke Router

VPN router ke router pada intinya membuat sebuah tunneling antara router dengan router.
Misal Router0 akan membuat tunneling ke Router2. Pembuatan tunneling ini dengan
membungkus destination IP dan source IP menjadi IP address router.

Langkah-langkah pembuatan VPN router ke router adalah :

Skema jaringan seperti dibawah ini :

Konfigurasikan masing-masing PC dan Router sampai semua terkoneksi.

Nama Device Interface IP Address

PC0 Fast Ethernet 0 192.168.1.100
Router0 Fast Ethernet 0/0 192.168.1.200
Router0 Fast Ethernet 0/1 193.168.1.100
Router1 Fast Ethernet 0/0 193.168.1.200
Router1 Fast Ethernet 0/1 194.168.1.100
Router3 Fast Ethernet 0/1 194.168.1.200
Router3 Fast Ethernet 0/0 195.168.1.100
Router2 Fast Ethernet 0/1 195.168.1.200
Router2 Fast Ethernet 0/0 196.168.1.100
Laptop0 Fast Ethernet 0 196.168.1.200
Routing masing-masing Router menggunakan Routing RIP dengan memasukkan network
address dari masing-masing interface yang dimiliki. Misal Router0 memiliki IP address
interface Fa0/0 192.168.1.200 dan Fa0/1 193.168.1.100, maka pada RIP dimasukkan
192.168.1.0 dan 193.168.1.0.

Berikut simulasi jaringan yang telah dikonfigurasi :

Screen shot Konfigurasi salah satu router (Router0) :

Hasil ping & trace route dari PC0 ke Laptop0 (192.168.1.100 ke 196.168.1.200) :
Untuk melihat perbedaan antara packet yang menggunakan VPN dan yang tidak menggunakan
VPN, kita harus melakukan simulasi terlebih dahulu pada jaringan yang tidak menggunakan
VPN.

Pada jaringan tanpa VPN, data yang dikirim dari 192.168.1.100 ke 196.168.1.200 layer 3 tidak
pernah di enkripsi dan tidak pernah dibungkus. Asal IP (source IP) tetap dari 192.168.1.100
menuju ke (destination IP) 196.168.1.200.

Konfigurasi VPN Router ke Router menggunakan IPSec

1. Konfigurasi Router0

Buat access list untuk mendefinisikan siapa saja yang boleh melewati ke router0

Kita membuat sebuah access list baru bernama CP dan pada access list ini yang diperbolehkan
melewati router0 adalah ip address dari kelas 192.168.1.0 menuju 196.168.1.0.
Kita membuat sebuah IKE (Internet Key Exchange Protocol) menggunakan ISAKMP SA dan
mempunyai policy 1. Enkripsi yang digunakan adalah 3des (triple DES) yang merupakan
symetric key. Autentikasi yang digunakan adalah pre-share, jadi dengan pre-share ini antara
pengirim dan penerima harus mempunyai kunci yang sama.

Pada script diatas kita membuat sebuah key myvpn untuk nanti koneksi ke 195.168.1.200 dan
melakukan setting ipsec dengan nama transform-set : 6 dengan protocol security adalah esp-
3des dan esp-sha-hmac.

Pada script ini kita membuat sebuah map dengan nama vpn-ngn dengan protocol ipsec-isakmp.
Map ini digunakan agar nantinya router yang kita miliki dapat menerima koneksi dari IP lain
lain.

2. Konfigurasi Router2
Pada prinsipnya konfigurasi router2 ini sama dengan konfigurasi router0. Perbedaannya, hanya
IP address dan interface-nya saja yang disesuaikan.

Simulasikan kembali jaringan yang telah dikonfigurasi dengan VPN dengan melakukan
pengiriman paket ICMP melalui ping. Lihat perbedaannya.

Data saat baru dikirim dari PC0 masih menunjukan source address 192.168.1.100 dan
destination address 196.168.1.200.
Tetapi pada saat data berada pada Router0 data dienkapsulasi dan dirubah source address dan
destination address-nya dirubah menjadi 193.168.1.100 untuk source address dan
195.168.1.200 untuk destination address. begitu pula saat data melewati Router1 dan Router3.
Baru pada Router2 data dibuka kembali menjadi seperti keadaan awal.

Begitu pula sebaliknya saat response dari Laptop0 ke PC0 akan dienkapsulasi. Itulah prinsip
dasar dari VPN Router ke Router melakukan enkapsulasi / penyembunyian source address dan
destination address.
B. VPN Host to Host

Skema jaringan tanpa VPN :

Nama Device Interface IP Address

Server0 Fast Ethernet 0 200.200.200.200/24
Router0 Fast Ethernet 0/0 200.200.200.100/24
Router0 Fast Ethernet 0/1 200.200.100.200/24
Router1 Fast Ethernet 0/1 200.200.100.100/24
Router1 Fast Ethernet 0/0 200.200.50.200/24
Router2 Fast Ethernet 0/1 200.200.50.100/24
Router2 Fast Ethernet 0/0 200.200.150.200/24
PC0 Fast Ethernet 0 200.200.150.100/24
PC1 Fast Ethernet 0 200.200.150.150/24

Konfigurasi routing router RIP dengan mengisi network address dari masing-masing interface
yang dimiliki. Untuk PC0 dan PC1 isi gateway dengan 200.200.150.200, dengan Server0 isi
gateway dengan 200.200.200.100.

Lakukan ping dari PC0 ke Server0 untuk melihat apakah skema jaringan sudah terhubung
dengan baik.
Pada server0, service AAA harus dinyalakan, ini tujuannya supaya Server0 dapat melakukan
validasi terhadap siapa saja yang masuk ke router.

Client IP adalah IP address Router0 interface Fa0/0. Nantinya hanya IP address

200.200.200.100 inilah yang dapat mengakses AAA Server.

Konfigurasi Router0 dengan script seperti dibawah ini :

Router>en
Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#aaa new-model
Router(config)#aaa authentication login VPNAUTH group radius local
Router(config)#aaa authorization network VPNAUTH local
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#encr aes 256
Router(config-isakmp)#authentication pre-share
 Router(config-isakmp)#group 2
Router(config-isakmp)#ex
Router(config)#crypto isakmp client configuration group
myciscogroup
Router(config-isakmp-group)#key myciscogroup
Router(config-isakmp-group)#pool VPNCLIENTS
Router(config-isakmp-group)#netmask 255.255.255.0
Router(config-isakmp-group)#ex
Router(config)#crypto ipsec transform-set 6 esp-3des esp-sha-hmac
Router(config)#crypto dynamic-map mymap 10
Router(config-crypto-map)#set transform-set 6
Router(config-crypto-map)#reverse-route
Router(config-crypto-map)#ex
Router(config)#crypto map mymap client authentication list VPNAUTH
Router(config)#crypto map mymap isakmp authorization list VPNAUTH
Router(config)#crypto map mymap client configuration address
respond
Router(config)#crypto map mymap 10 ipsec-isakmp dynamic mymap
Router(config)#ip ssh version 1
Please create RSA keys (of at least 768 bits size) to enable SSH
v2.
Router(config)#spanning-tree mode pvst
Router(config)#int fa0/1
Router(config-if)#crypto map mymap
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
Router(config-if)#ex
Router(config)#int vlan1
Router(config-if)#no ip address
Router(config-if)#shutdown
Router(config-if)#ip local pool VPNCLIENTS 201.1.100.100
201.1.100.150
Router(config)#ip route 201.1.100.0 255.255.255.0 200.200.100.100
Router(config)#radius-server host 200.200.200.200 auth-port 1645
key myciscovpn

Pada PC0 atau PC1 coba lakukan tes VPN :

Group Name dan Group Key diisi sesuai dengan nama group name dan group key pada saat
kita konfigurasi Router0. Sedangkan username dan password disesuaikan dengan nama user
dan password yang kita isi pada AAA server. Nantinya kita akan mendapatkan Client IP.

Pada saat kita melakukan ping ke 200.200.200.200 (server0), maka setelah terjadi tunneling
destination IP akan terlebih dahulu menuju 200.200.100.200 (Router0, interface fa0/1).

Baru pada 200.200.100.200 (Router0) destination IP akan dirubah ke tujuan sebenarnya.