Sebenarnya artikel ini adalah lanjutan dari artikel sebelumnya yaitu GRE Tunnel di Mikrotik. Artikel ini TIDAK BISA DIPISAHKAN dengan artikel sebelumnya. Mohon baca dan lakukan lab juga pada artikel sebelumnya karena ini lanjutan dari artikel sebelumnya. GRE Tunnel sebelumnya berbentuk plain text cara berkomunikasinya dan bila di sadap mudah dicuri datanya, maka itu komunikasi ini perlu ada pengamanan dengan protocol IPSec.
IPSec atau Internet Protocol Security adalah serangkaian protokol yang didefinisikan oleh Internet Engineering Task Force (IETF) untuk mengamankan pertukaran paket data melalui jaringan internet/public. Protocol IPSec ada 3 macam…
1. Authentication Header (AH) bisa baca referensi dari RFC4302
2. Encapsulating Security Payload (ESP) bisa baca referensi RFC4303
3. Internet Key Exchange (IKE) protokol, dinamis menghasilkan dan mendistribusikan kunci kriptografi untuk AH dan ESP.
Kali ini kita akan menggunakan IPSec dengan metode ESP namun ditambahkan header yang sudah di encrypt (AH). ESP ini adalah menggunakan kata sandi/kunci bersama-sama, kemudian menggunakan AH tersebut untuk meningkatkan keamanan. Untuk penggunaan IPSec ini akan memakan resource yang akan digunakan encrypt dan decrypt data yang keluar masuk dari GRE.
Sebelumnya feed ke topology-nya…
dan config terakhir Mikrotik di kedua sisi baik Site A maupun Site B…
Lanjut ke config IPSec…
1. Membuat IPSec peering dengan kata sandi MyPassword…
Router A
/ip ipsec peer add address=172.16.200.2/32 port=500 \ auth-method=pre-shared-key secret="MyPassword" \ generate-policy=no exchange-mode=main send-initial-contact=yes \ nat-traversal=no proposal-check=obey hash-algorithm=sha1 \ enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 \ dpd-interval=disable-dpd dpd-maximum-failures=1
Router B
/ip ipsec peer add address=172.16.10.250/32 port=500 \ auth-method=pre-shared-key secret="MyPassword" \ generate-policy=no exchange-mode=main send-initial-contact=yes \ nat-traversal=no proposal-check=obey hash-algorithm=sha1 \ enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 \ dpd-interval=disable-dpd dpd-maximum-failures=1
2. Membuat Policy
Router A
/ip ipsec policy add src-address=172.16.10.250/32 dst-address=172.16.200.2/32 \ protocol=all action=encrypt level=require ipsec-protocols=ah-esp tunnel=yes \ sa-src-address=172.16.10.250 sa-dst-address=172.16.200.2 proposal=default \ priority=0
Router B
/ip ipsec policy add src-address=172.16.200.2/32 dst-address=172.16.10.250/32 \ protocol=all action=encrypt level=require ipsec-protocols=ah-esp tunnel=yes \ sa-src-address=172.16.200.2 sa-dst-address=172.16.10.250 proposal=default \ priority=0
Check config IPSec di kedua router….
Check SA Certification-nya dari IPSec…
bila jumlah SA-nya sama, seharusnya link kedua PC sudah terkoneksi dengan aman.