IPSEC+Tunnel+Topologi

IPSEC adalah salah satu teknologi VPN yang paling umum digunakan untuk menghubungkan dua situs secara bersamaan melalui beberapa jenis koneksi WAN seperti Ethernet-Over-Fiber atau Broadband. Ini menciptakan terowongan terenkripsi antara dua rekan dan memindahkan data melalui terowongan yang cocok dengan kebijakan IPSEC.

IPSEC Policy vs Routing

Ada perbedaan yang sangat penting yang perlu dibuat di sini – IPSEC bukan routing. IPSEC tidak membuat interface virtual yang ditambahkan ke tabel rute seperti PPTP atau GRE. IPSEC tidak didasarkan pada perutean, ini didasarkan pada kebijakan. Bahkan dalam diagram di bawah ini ketika melacak dari satu subnet LAN ke yang lain melalui dua router cabang dan beberapa router Internet hanya satu hop.

Topologi IPSEC

Keduanya Router terhubung ke Internet kedua router memiliki IP Publik statis. Router ini dapat berada di dua kantor yang dimiliki oleh satu perusahaan, atau hanya dua lokasi yang perlu dihubungkan bersama. Dengan menggunakan VPN IPSEC kita mengharapkan komputer atau server di satu lokasi untuk dapat terhubung ke komputer client di tempat lain yang dilakukan dengan aman.

Mikrotik IPSEC Peers

Pertama, pada setiap router kita akan mengkonfigurasi peer IPSEC. 

Konfigurasi di Router A:

/ip ipsec peer add address=87.16.79.2/32 comment="Router B" enc-algorithm=aes-128 nat-traversal=no secret=my_secret

Konfigurasi di Router A:

/ip ipsec peer add address=165.95.23.2/32 comment="Router A" enc-algorithm=aes-128 nat-traversal=no secret=my_great_secret

Mikrotik IPSEC Policy

Router A Policy

/ip ipsec policy add comment="Router B Traffic" dst-address=192.168.30.0/24 sa-dst-address=87.16.79.2 sa-src-address=165.95.23.2 src-address=192.168.90.0/24 tunnel=yes

Router B Policy

/ip ipsec policy add comment="Router A Traffic" dst-address=192.168.90.0/24 sa-dst-address=165.95.23.2 sa-src-address=87.16.79.2 src-address=192.168.30.0/24 tunnel=yes

Mikrotik NAT Bypass

Jika Anda menggunakan NAT untuk mengirim beberapa IP LAN internal satu interface ke Internet, kami harus memotongnya. Jika kita tidak membuat bypass NAT, proses NAT akan mengambil traffic kita sebelum kebijakan IPSEC memiliki kesempatan untuk memindahkannya melewati tunnel, dan paket-paket itu akan membuat NAT keluar dari terlupakan. Kami akan membuat aturan NAT ini di setiap router, dan memindahkannya di atas yang lain.

By Pypass Router A

/ip firewall nat add chain=srcnat comment="Router B NAT bypass" dst-address=192.168.30.0/24 src-address=192.168.90.0/2

By Pypass Router B

/ip firewall nat add chain=srcnat comment="Router A NAT bypass" dst-address=192.168.90.0/24 src-address=192.168.30.0/24

1 COMMENT

Leave a Reply