Tuesday, July 8, 2008

IPsec Tunnel Antar Router Dengan Subnet LAN Yang Sama.

Misalkan ada dua jaringan lokal, Site A dan Site B, yang keduanya memiliki IP network address yang sama, digabungkan dengan menggunakan 2 buah router. Kedua router tersebut terhubung melalui jaringan publik/internet dengan menggunakan VPN tunnel. Dari host di Site A perlu untuk mengakses host yang ada di Site B, begitu pula sebaliknya.

Network address Translation (NAT) digunakan oleh kedua router tersebut untuk mengganti IP address host pengirim dan host penerima ke subnet yang berbeda.

Ilustrasi jaringan ditunjukan seperti gambar 1 dibawah ini.

Pada gambar diatas, ketika host 172.16.1.2 di site A akan mengakses host 172.16.1.3 di Site B, akan tersambung ke 172.19.1.2, bukan ke 172.16.1.2. Begitu juga sebaliknya, ketika host di site B mengakses site A, akan tersambung ke 172.18.1.2.

NAT di Router A akan menerjemahkan address 172.16.x.x sebagai 172.18.x.x host entry. NAT di Router B menerjemahkan 172.16.x.x menjadi 172.19.x.x

Untuk keamanan data, mengingat data akan dilewatkan melalui jaringan publik, data diacak/dienkripsi menggunakan fungsi crypto di setiap router sebelum dikirimkan melalui serial interface. Perhatikan bahwa proses NAT dilakukan sebelum data tersebut diacak/encrypted.

Konfigurasi
Router A: Cisco 2600Series IOS (tm) C2600 Software Release 12.3(6f)
Router A: Cisco 2600Series IOS (tm) C2600 Software Release 12.3(6f)

ROUTER A

Version 12.3
Service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router-A
!
boot-start-marker
boot-end-marker
!
no aaa new-model
ip subnet-zero
!
ip audit notify log
ip audit po max-events 100
ip ssh break-string
no ftp-server write-enable
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key cisco123 address 192.168.1.2
!
crypto ipsec transform-set myset1 esp-3des esp-md5-hmac
!
crypto map mymap 10 ipsec-isakmp
set peer 192.168.1.2
set transform-set myset1
!
match address 100
!
interface Serial0/0
description Interface to PUBLIC
ip address 192.168.1.1 255.255.0.0
ip nat outside
crypto map mymap
!
interface Ethernet0/0
ip address 172.16.1.1 255.255.255.0
no ip directed-broadcast
ip nat inside
!
ip nat inside source static network 172.16.0.0 172.18.0.0 / 16 no-alias
no ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0
!
access-list 100 permit 172.18.0.0 0.0.255.255 172.19.0.0 0.0.255.255
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
end

Router B

Version 12.3
Service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router-B
!
boot-start-marker
boot-end-marker
!
no aaa new-model
ip subnet-zero
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key cisco123 address 192.168.1.1
!
crypto ipsec transform-set myset1 esp-3des esp-md5-hmac
!
crypto map mymap 10 ipsec-isakmp
set peer 192.168.1.1
set transform-set myset1
!
match address 100
!
interface Serial0/0
description Interface to PUBLIC
ip address 192.168.1.2 255.255.0.0
ip nat outside
crypto map mymap
!
interface Ethernet0/0
ip address 172.16.1.1 255.255.255.0
no ip directed-broadcast
ip nat inside
!
ip nat inside source static network 172.16.0.0 172.19.0.0 / 16 no-alias
no ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0
!
access-list 100 permit 172.19.0.0 0.0.255.255 172.18.0.0 0.0.255.255
!
control-plane
!
line con 0
line aux 0
line vty 0 4
end

Validasi
Setelah melakukan konfigurasi, gunakan perintah berikut ini untuk memastikan apakan konfigurasi yang telah dibuat berjalan dengan benar.
- show crypto ipsec sa >> melihat fungsi security phase 2
- show crypto isakmp sa >> melihat fungsi security phase 1
- show ip nat translation >> melihat NAT yang sedang aktif.

Semoga bermanfaat...

Cheers!

Referensi:
www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800b07ed.shtml

Posted by at No comments:
Labels:

Blogging, Bagian Dari Gaya Hidup

"Jamane jaman edan, sing ora edan ora keduman"; sepenggal kalimat dari serat Jongko Joyoboyo nya Ronggowarsito, yang secara harfiahnya mungkin berarti "Jaman sudah gila, yang nggak ikut gila nggak kebagian". Tetapi bukan arti ikut ngedan supaya bisa keduman (kebagian) yang ingin saya sampaikan disini, "ngedan" (menjadi gila) yang ingin saya tekankan adalah ngedan dalam arti yang positif.

Melihat gejala blogging yang semakin menggila akhir-akhir ini, saya jadi pingin ikutan meramaikan jagad per-blogging-an ini. Blog memang jadi sarana yang efektif untuk menyampaikan ide2 kreatif, uneg-uneg, kritikan bahkan makian, atau hanya sekedar ingin bercerita. Hampir tanpa batasan, orang bisa dengan bebas ngomong apa saja..

Sama halnya dengan handphone, PDA maupun personal gadget canggih lainnya, blogging seolah-olah menjadi style, gaya hidup modern bagi masyarakat yang sudah melek internet ini. Orang berlomba-lomba untuk menampilkan blog yang menarik untuk dibaca, yang layak untuk dipamerkan dan menarik pengunjung sebanyak-banyaknya.

Seperti halnya handphone, notebook ataupun gadget2 lainnya, semakin canggih & menarik akan membuat orang kagum dan terkesima. Bedanya, kalo Blogging itu GRATIS!!
Blog jadi pilihan, Apalagi dengan segala kemudahan yang ditawarkan, dengan modal internet akses (warnet juga bisa!), register, jadi deh punya blog!.

Tinggal sekarang nih.. jadi tugas masing-masing blogger untuk bisa tetap menjaga agar blog-nya bisa tetap lestari, rame dikunjungi dan sepertinya memang bukan pekerjaan yang gampang lho..
Tantangannya, bagaimana membuat blog kita unique, menarik untuk dikunjungi dan bukan hanya sekedar copy paste artikel dari tempat lain.. :P

Cheers!
Posted by at No comments:
Labels:
Subscribe to: Posts (Atom)