Junos SRX IPsec Site to Site

Assalmualalaikum Wr. Wb.

Senang sekali Alhamdulillahirobal’alamin hari ini masih diberi kesehatan sehingga bisa nulis lagi nih.hehe… Akhir2 ini karena ada kerjaan buat konfig router Juniper SRX, ya sambil belajar dan biar gak lupa seperti biasalah nulis2 dikit hasil belajar di blog yang sederhana ini :). Gini, karena terkait ada permintaan client untuk komunikasi antar cabang menggunakan VPN dan perangkat yang digunakan adalah Juniper SRX, maka tema yang akan dibahas kali ini adalah mengenai IPsec VPN. Sebelumnya juga udah pernah dibahas sih mengenai IPsec tapi itu di Cisco ya, kali ini menggunakan Juniper SRX. Secara konsep sama aja sih, cuman beda di komenya aja.hehe..

Contoh labnya masih sederhana aja, yaitu seperti pada gambar berikut ini :

screenshot

Pada topologi diatas menggambarkan ada 3 buah kantor yang terpisah terdiri dari 1 buah kantor Pusat dan 2 kantor cabang, kemudian dihubungkan melalui internet menggunakan VPN teknologi yang dipilih adalah IPsec.

Beberapa langkah membangun komunikasi IPsec pada Juniper SRX :

  1. Konfigurasi IKE (Internet Key Exchange) untuk mengatur tunnelling yang menghubungkan antar SRX.
  2. Ada dua bagian IKE yang harus dibuat yaitu IKE Phase 1 dan IKE Phase 2 :
    • Phase 1 – digunakan sebagai session tunnel yang berfungsi sebagai komunikasi antar perangkat IPsec.
    • Phase 2 – merupakan bagian dari tunnel VPN digunakan melewatkan trafik user.ike
  3. Membuat tunnel interface st0.x, dimana x adalah hanya urutan interface, dimana interface tersebut digunakan sebagai interface virtual untuk komunikasi VPN.
  4. Konfigurasi routing. Trafik apapun yang melalui VPN akan diroutingkan melalui interface st0.x.

stx

Konfigurasi dasar di Head Office (HO)

Sebelum melakukan inti konfigurasi dari IPsec sebelumnya dilakukan konfigurasi dasar agar SRX dapat terhubung ke internet.

  1. Konfigurasi default route ke Internet. Default route ini merupakan salah satu sarat agar SRX dapat terhubung ke internet.def route 1
  2. Menempatkan interface ge-0/0/0 pada zone untrust, zone ini mewakili zone internet. Adapun jenis trafik yang diperbolehkan masuk dari zone ini hanya ping, IKE (protocol yang digunakan untuk komunikasi IPsec nanti) dan OSPF (dynamic routing yang akan digunakan antar site).untrust 1
  3. Menempatkan interface ge-0/0/1 pada zone trust, zone ini mewakili zone jaringan lokal. Adapun jenis trafik yang boleh masuk dari zone ini adalah ping, dhcp, ssh, dan https.trust 1
  4. Selanjutnya test ping untuk verifikasi terhubung ke internet. Pastikan koneksi ke IP public di masing-masing cabang sukses.ping 1

Konfigurasi dasar di Branch Office 1 (BO-1)

Konfigurai dasar di BO tidak jauh berbeda dari konfigurasi di HO, antara lain.

  1. Konfigurasi default route ke internet.def route 2
  2. Konfigurasi zone trust.trust 2
  3. Konfigurasi zone untrust.untrust 2
  4. Verfikasi ping ke internet.ping 2

Konfigurasi dasar di Branch Office 2 (BO-2)

  1. Konfigurasi default route.def route 3
  2. Konfigurasi zone trust.trust 3
  3. Konfigurasi zone untrust.untrust 3
  4. Test verifikasi ping internet.ping 3

Konfigurasi IKE Phase 1 & Phase 2 di HO

Ada dua tahap dalam membentuk komunikasi IPsec yaitu konfigurasi IKE Phase 1 dan Phase 2. Didalam Phase 1 antara lain membuat IKE Proposal,  IKE Policy dan menetapkan IKE gateway.

  1. Membuat proposal. Didalam proposal ini antara lain melakukan konfigurasi metode otentikasi, algoritma otentikasi, jenis enkripsi, dan grouping.ike-prop 1
  2. Membuat policy. Didalam IKE policy dilakukan konfigurasi menerapkan proposal yang sudah dibuat dan mengatur password pre-shared.ike-pol 1
  3. Melakukan peer dengan SRX di site lain yaitu di BO-1 dan BO-2.
    • Peer VPN ke BO-1.ike gw bo-1
    • Peer VPN ke BO-2.ike gw bo-1

Selanjutnya konfigurasi untuk Phase 2 antara lain, proposal IPsec, policy IPsec, interface virtual VPN (st0.x) serta IPsec VPN ke site BO-1 dan site BO-2.

  1. Konfigurasi proposal IPsec, didalamnya terdapat jenis protocol, tipe algoritma otentikasi, dan tipe enkirpsi.ipsec prop 1
  2. Konfigurasi policy IPsec, didalamnya terdapat konfigurasi penerapan proposal IPsec dan tipe group.ipsec pol 1
  3. Langkah berikutnya konfigurasi komunikasi VPN ke site BO-1 dan BO-2.
    • VPN ke BO-1.ipsec vpn bo-1
    • VPN ke BO-2.ipsec vpn bo-2
  4. Membuat interface virtual VPN yaitu st0.1 dan st0.2 sebagai interface tunnel beserta IP address tunnelnya. dimana untuk terhubung ke BO-1 menggunakan prefix 10.0.0.0/24 dan komunikasi ke BO-2 menggunakan prefix 10.0.1.0/24.st0 family inet

Konfigurasi IKE Phase 1 & Phase 2 di BO-1

Konfigurasi sama seperti di HO, untuk Phase 1 adalah sebagai berikut.

  1. Membuat IKE proposal.ike prop 2
  2. Membuat IKE policyike pol 2
  3. Membuat IKE gateway ke HO.ike gw ho

Konfigurasi Phase 2 adalah sebagai berikut.

  1. Membaut IPsec proposal.ipsec prop 2
  2. Membuat IPsec policy.ipsec pol 2
  3. Konfigurasi IPsec VPN ke HO.ipsec vpn ho 1
  4. Membuat interface virtual VPN beserta IP address-nya (10.0.0.0/24).st0 family inet 1

Konfigurasi IKE Phase 1 & Phase 2 di BO-2

Konfigurasi Phase 1 pada BO-2 antara lain.

  1. Membuat IKE proposalike prop 3
  2. Membuat IKE policy.ike pol 3
  3. Membentuk IKE gateway ke HO.ike gw 3

Konfigurasi Phase 2 antara lain.

  1. Konfigurasi IPsec proposal.ipsec prop 3
  2. Konfigurasi IPsec policy.ipsec pol 3
  3. Konfigurasi IPsec VPN ke HO.ipsec vpn bo-2
  4. Membuat interface virtual VPN beserta IP address-nya dengan prefix 10.0.1.0/24.st0 bo-2

Konfigurasi Security Policy

Karena Juniper SRX merupakan perangkat dengan flow based maka diperlukan policy untuk komunikasi antar zone, yaitu sebagai berikut.

SRX HO

security policy ho-1

security policy ho-2

SRX BO-1

security policy bo-1-1

security policy bo-1-2

SRX BO-2

security policy bo-2-1

security policy bo-2-2

Test ping

Langkah selanjutnya test ping untuk menguji konektifitas VPN, seperti berikut.ping vpn

Dilihat dari hasil test ping dari HO diatas menuju ke IP VPN di masing-masing BO menunjukan sukses. Kemudian kita bisa melihat status hubungan VPN antar site menggunakan perintah run show security ike security-assocation, seperti berikut.

ike sa

Kita juga bisa melihat statistik paket yang sudah terenkripsi menggunakan perintah run show security ipsec statistic, seperti berikut.

ipsec statistic

Dilihat dari informasi diatas terdapat jumlah paket yang berhasil ter-enkripsi yaitu sebanyak 2184 paket dan melakukan dekripsi sebanyak 2185 paket. Dihitung dalam satuan bytes enkripsi sebesar 331856 bytes dan dekripsi sebesar 181176 bytes.

Konfigurasi OSPF

Agar jaringan local di masing-masing site bisa terhubung maka bisa menggunakan routing dynamic salah satunya adalah OSPF. Konfigurasi di masing-masing SRX, seperti berikut.

HO

ospf ho

BO-1

ospf bo-1

BO-2

ospf bo-2

Setelah konfigurasi OSPF kita bisa melakukan verifikasi routing menggunakan run show route atau untuk lebih spesifik ke routing OSPF menggunakan perintah run show route protocol ospf, seperti berikut.

run show route

run show route protocol ospf

Test ping

Yang terahir nih gan, test ping diantara jaringan lokal, pastikan berhasil. seperti berikut.ping ospf

Nah, alhamdulillah berhasil. Sekian dulu gan coretan mengenai IPsec di SRX semoga bermanfaat.

Wassalamualaikum Wr. Wb.

 

NOTE : konfigurasi diatas baru sekedar lab based belum diimplementasikan di real network.

Leave a Reply

Your email address will not be published. Required fields are marked *