TRACER
VPN router ke router pada intinya membuat sebuah tunneling antara router dengan router.
Misal Router0 akan membuat tunneling ke Router2. Pembuatan tunneling ini dengan
membungkus destination IP dan source IP menjadi IP address router.
Hasil ping & trace route dari PC0 ke Laptop0 (192.168.1.100 ke 196.168.1.200) :
Untuk melihat perbedaan antara packet yang menggunakan VPN dan yang tidak menggunakan
VPN, kita harus melakukan simulasi terlebih dahulu pada jaringan yang tidak menggunakan
VPN.
Pada jaringan tanpa VPN, data yang dikirim dari 192.168.1.100 ke 196.168.1.200 layer 3 tidak
pernah di enkripsi dan tidak pernah dibungkus. Asal IP (source IP) tetap dari 192.168.1.100
menuju ke (destination IP) 196.168.1.200.
1. Konfigurasi Router0
Buat access list untuk mendefinisikan siapa saja yang boleh melewati ke router0
Kita membuat sebuah access list baru bernama CP dan pada access list ini yang diperbolehkan
melewati router0 adalah ip address dari kelas 192.168.1.0 menuju 196.168.1.0.
Kita membuat sebuah IKE (Internet Key Exchange Protocol) menggunakan ISAKMP SA dan
mempunyai policy 1. Enkripsi yang digunakan adalah 3des (triple DES) yang merupakan
symetric key. Autentikasi yang digunakan adalah pre-share, jadi dengan pre-share ini antara
pengirim dan penerima harus mempunyai kunci yang sama.
Pada script diatas kita membuat sebuah key myvpn untuk nanti koneksi ke 195.168.1.200 dan
melakukan setting ipsec dengan nama transform-set : 6 dengan protocol security adalah esp-
3des dan esp-sha-hmac.
Pada script ini kita membuat sebuah map dengan nama vpn-ngn dengan protocol ipsec-isakmp.
Map ini digunakan agar nantinya router yang kita miliki dapat menerima koneksi dari IP lain
lain.
2. Konfigurasi Router2
Pada prinsipnya konfigurasi router2 ini sama dengan konfigurasi router0. Perbedaannya, hanya
IP address dan interface-nya saja yang disesuaikan.
Simulasikan kembali jaringan yang telah dikonfigurasi dengan VPN dengan melakukan
pengiriman paket ICMP melalui ping. Lihat perbedaannya.
Data saat baru dikirim dari PC0 masih menunjukan source address 192.168.1.100 dan
destination address 196.168.1.200.
Tetapi pada saat data berada pada Router0 data dienkapsulasi dan dirubah source address dan
destination address-nya dirubah menjadi 193.168.1.100 untuk source address dan
195.168.1.200 untuk destination address. begitu pula saat data melewati Router1 dan Router3.
Baru pada Router2 data dibuka kembali menjadi seperti keadaan awal.
Begitu pula sebaliknya saat response dari Laptop0 ke PC0 akan dienkapsulasi. Itulah prinsip
dasar dari VPN Router ke Router melakukan enkapsulasi / penyembunyian source address dan
destination address.
B. VPN Host to Host
Konfigurasi routing router RIP dengan mengisi network address dari masing-masing interface
yang dimiliki. Untuk PC0 dan PC1 isi gateway dengan 200.200.150.200, dengan Server0 isi
gateway dengan 200.200.200.100.
Lakukan ping dari PC0 ke Server0 untuk melihat apakah skema jaringan sudah terhubung
dengan baik.
Pada server0, service AAA harus dinyalakan, ini tujuannya supaya Server0 dapat melakukan
validasi terhadap siapa saja yang masuk ke router.
Router>en
Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#aaa new-model
Router(config)#aaa authentication login VPNAUTH group radius local
Router(config)#aaa authorization network VPNAUTH local
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#encr aes 256
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#group 2
Router(config-isakmp)#ex
Router(config)#crypto isakmp client configuration group
myciscogroup
Router(config-isakmp-group)#key myciscogroup
Router(config-isakmp-group)#pool VPNCLIENTS
Router(config-isakmp-group)#netmask 255.255.255.0
Router(config-isakmp-group)#ex
Router(config)#crypto ipsec transform-set 6 esp-3des esp-sha-hmac
Router(config)#crypto dynamic-map mymap 10
Router(config-crypto-map)#set transform-set 6
Router(config-crypto-map)#reverse-route
Router(config-crypto-map)#ex
Router(config)#crypto map mymap client authentication list VPNAUTH
Router(config)#crypto map mymap isakmp authorization list VPNAUTH
Router(config)#crypto map mymap client configuration address
respond
Router(config)#crypto map mymap 10 ipsec-isakmp dynamic mymap
Router(config)#ip ssh version 1
Please create RSA keys (of at least 768 bits size) to enable SSH
v2.
Router(config)#spanning-tree mode pvst
Router(config)#int fa0/1
Router(config-if)#crypto map mymap
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
Router(config-if)#ex
Router(config)#int vlan1
Router(config-if)#no ip address
Router(config-if)#shutdown
Router(config-if)#ip local pool VPNCLIENTS 201.1.100.100
201.1.100.150
Router(config)#ip route 201.1.100.0 255.255.255.0 200.200.100.100
Router(config)#radius-server host 200.200.200.200 auth-port 1645
key myciscovpn
Pada saat kita melakukan ping ke 200.200.200.200 (server0), maka setelah terjadi tunneling
destination IP akan terlebih dahulu menuju 200.200.100.200 (Router0, interface fa0/1).