FortiGate : IPSec VPN Tunnel Site to Site

Apa itu VPN IPSec Site-to-Site

VPN IPSec Site-to-Site adalah teknologi yang digunakan untuk menghubungkan jaringan yang berbeda lokasi melalui internet secara secure. Dengan VPN, dua site atau lebih bisa saling komunikasi se-akan-akan dalam satu jaringan yang sama

VPN ini biasanya digunakan oleh perusahaan yang tidak hanya memiliki satu kantor saja, seperti ada kantor branch di berbagai lokasi, sehingga perangkat dari Branch to HQ bisa saling bertukar data dengan secure.

Cara Kerja VPN IPSec Site-to-Site 

Ketika dua jaringan ingin saling terhubung menggunakan IPSec VPN, perangkat jaringan seperti Firewall atau Router akan membuat sebuah Tunnel Encryption melalui internet.

Prosesnya secara sederhana:

  1. Perangkat VPN di kedua sisi melakukan Secure Negotiation.

  2. Setelah cocok, dibuat sebuah Tunnel IPSec.

  3. Data yang dikirim akan di Encryption sebelum melewati internet.

  4. Saat sampai di sisi lain, data akan di Encryption dan diteruskan ke Destination.

Dengan cara ini, walaupun data melewati internet publik, data tetap aman dan tidak bisa dibaca oleh pihak lain.

Part Penting dalam IPSec VPN Site-to-Site

Beberapa komponen utama dalam IPSec Site-to-Site:

1. Phase 1 (IKE / ISAKMP)

Phase 1 digunakan untuk membuat Secure Connection antar dua device VPN. Pada tahap ini kedua device akan melakukan Authentication dan menyepakati metode Encrypton.

Hal yang biasanya dikonfigurasi pada Phase 1:

  1. Encryption (AES, 3DES)
  2. Authentication (SHA, MD5)
  3. Diffie-Hellman Group
  4. Lifetime
  5. Pre-Shared Key

Tujuan Phase 1 adalah membuat IKE Security Association (SA).

2. Phase 2 (IPSec Tunnel)

Setelah Phase 1 berhasil, Phase 2 akan membuat tunnel untuk mengamankan data traffic antar jaringan.

Pada tahap ini ditentukan:

  1. Network lokal
  2. Network Remote
  3. Protocol ESP
  4. Encryption dan Authentication

Phase 2 menghasilkan IPSec Security Association yang digunakan untuk mengamankan paket data.

Keuntungan Menggunakan IPSec Site-to-Site

Beberapa keuntungan VPN IPSec Site-to-Site:

  • Menghubungkan Head Quarter dan Branch dengan aman
  • Data ter-Encryption saat melewati internet
  • Menghemat biaya dibandingkan leased line
  • Mendukung banyak perangkat seperti Firewall dan Router



Topology


1. Basic Configuration

  • Configuration IP Address FW-HQ

FW-HQ (interface) # show
config system interface
    edit "port1"
        set vdom "root"
        set ip 172.23.0.148
        set allowaccess ping https ssh http
        set type physical
        set alias "ISP"
        set lldp-reception enable
        set role wan
        set snmp-index 1
    next
    edit "port2"
        set vdom "root"
        set ip 10.10.20.1 255.255.255.0
        set allowaccess ping
        set type physical
        set alias "LAN"
        set device-identification enable
        set lldp-transmission enable
        set role lan
        set snmp-index 2
    next
end

FW-HQ (interface) #


  • Configuration IP Address FW-Branch :

FW-Branch (interface) # show
config system interface
    edit "port1"
        set vdom "root"
        set ip 172.23.11.45
        set allowaccess ping https ssh http
        set type physical
        set alias "ISP"
        set lldp-reception enable
        set role wan
        set snmp-index 1
    next
    edit "port2"
        set vdom "root"
        set ip 192.168.54.1 255.255.255.0
        set allowaccess ping
        set type physical
        set alias "LAN"
        set device-identification enable
        set lldp-transmission enable
        set role lan
        set snmp-index 2
    next
end

FW-HQ (interface) #


2. VPN IPSec Configuration


  • Configuration VPN IPSec Wizard FW-HQ.


  • Add Remote IP-Address from IP Public FW-Branch and Create Pre-shared key for Authentication.


  • Add IP Local Interface in FW-HQ for forward segment local to VPN Access and add remote subnet/local subnets in FW-Branch to be access segment local FW-HQ.


  • Confirm for configuration then create.


  • Configuration VPN IPSec Wizard from FW-Branch.


  • Add Remote IP-Address from IP Public FW-HQ and add Pre-shared key same on FW-HQ.

  • Add IP Local Interface in FW-Branch for forward segment local to VPN Access and add remote subnet/local subnets in FW-HQ to be access segment local FW-Branch.

  • Confirm for configuration then create.


3. Verify Configuration Auto Create Policy.
  • FW-HQ

  • FW-Branch

4. Verify Configuration Auto create Static Route.

  • FW-HQ
  • FW-Branch


5. Verify VPN IPSec Status.

  • FW-HQ

  • FW-Branch.


6. Verify Connnectivity from User.

  • Web-Server to User-Branch.

  • User-Branch to Web-Server.

7. Throubleshoot VPN
  • diagnose vpn ike gateway list name VPN-HQ
  • diagnose vpn tunnel list name VPN-HQ
  • diagnose sniffer packet any '(x) x.x.x.x' 4 0 1

Kesimpulan

VPN IPSec Site-to-Site adalah solusi yang digunakan untuk menghubungkan dua jaringan berbeda melalui internet dengan koneksi yang aman dan ter-Encryption. Teknologi ini banyak digunakan oleh perusahaan untuk menghubungkan kantor pusat dengan kantor cabang tanpa harus menggunakan jaringan private/MPLS yang mahal.

Dengan adanya IPSec VPN, komunikasi antar jaringan menjadi lebih aman, efisien, dan fleksibel.