IPSec over DMVPN

Well, long time guys. Enggak juga sih, baru sebulan absen ga nulis gara2 nyibuk #halahh. Kemarin kan udah baca dikit ya tentang IPSec, (kalo pengen tau banyak, silakan googling sendiri wkwkk) sekarang kita coba mengaplikasikannya. Ngelab tentunya. Dulu kan DMVPN juga pernah dibahas, tapi itu belum semua, makannya sekalian saya masukkan kesini, itung2 nyicil :D ... Istilahnya air susu dibalas dengan air tuba #eh, ngawurr.. maksudnya sekali mendayung, dua tiga pulau terlampaui. Cakep !!
So, this is the plan ...

And the plan is... Kita ngelab DMVPN dulu, saya pilih DMVPN phase 2. Routing protocol yang akan kita gunakan untuk mengubungkan antar client adalah .... apa enaknya yaaa.. soalnya masing2 routing protocol punya command yang beda2 ntar. Well, karena saya ngelab pake cisco, saya pilih EIGRP aja dehh.

Next...
Nah, Setelah DMVPN jalan, antar client bisa komunikasi, lanjut dengan setup IPSec. Kita sebagai engineer harus bisa ngasih guarantee keamanan jaringan kita. Setidaknya mengurangi vulnerability nya lah .. Jadi dengan IPSec jaringan kita lebih secure dari para blackhat. Joss.
Missing middle ... (abaikan)

Ok, lets's do it. Ini dia penampakan topologinya, simple kok ..

Metode Lab

1. Buat topologi seperti pada gambar
2. Konfig IP Address sesuai Standard.
Untuk LAN :
R1 = 10.10.10.0/24
R2 = 10.10.20.0/24
R3 = 10.10.30.0/24
3. Bikin static route agar ip publik dari HUB dan SPOKE bisa saling komunikasi
4. Buat Tunnel menggunakan ip publik tersebut, dan setup ip privat di interface tunnel tersebut.
IP interface tunnel :
R1 = 192.168.100.1/24
R2 = 192.168.100.2/24
R3 = 192.168.100.3/24
5. Konfig EIGRP antar tunnel, dan advertise network local dari masing2 router.
6. Verifikasi, pastikan antar network local bisa komunikasi.
7. Lanjutkan dengan setup IPSec.
8. Verifikasi.

Konfigurasi

Part 1. IP Addressing

Nothing to explain ...
RI-HUB(config)#int f0/0 RI-HUB(config-if)#ip add 14.14.14.1 255.255.255.0 RI-HUB(config-if)#no sh RI-HUB(config-if)#int f0/1 RI-HUB(config-if)#ip add 10.10.10.1 255.255.255.0 RI-HUB(config-if)#no sh
R2-SPOKE-1(config)#int f0/0 R2-SPOKE-1(config-if)#ip add 24.24.24.2 255.255.255.0 R2-SPOKE-1(config-if)#no sh R2-SPOKE-1(config-if)#int f0/1 R2-SPOKE-1(config-if)#ip add 10.10.20.1 255.255.255.0 R2-SPOKE-1(config-if)#no sh
R3-SPOKE-2(config)#int f0/0 R3-SPOKE-2(config-if)#ip add 34.34.34.3 255.255.255.0 R3-SPOKE-2(config-if)#no sh R3-SPOKE-2(config-if)#int f0/1 R3-SPOKE-2(config-if)#ip add 10.10.30.1 255.255.255.0 R3-SPOKE-2(config-if)#no sh
R4-INTERNET(config)#int f0/0 R4-INTERNET(config-if)#ip add 14.14.14.4 255.255.255.0 R4-INTERNET(config-if)#no sh R4-INTERNET(config-if)#int f0/1 R4-INTERNET(config-if)#ip add 24.24.24.4 255.255.255.0 R4-INTERNET(config-if)#no sh R4-INTERNET(config-if)#int f1/0 R4-INTERNET(config-if)#ip add 34.34.34.4 255.255.255.0 R4-INTERNET(config-if)#no sh
LAN-R1> ip 10.10.10.2/24 10.10.10.1 Checking for duplicate address... PC1 : 10.10.10.2 255.255.255.0 gateway 10.10.10.1 LAN-R1>
LAN-R2> ip 10.10.20.2/24 10.10.20.1 Checking for duplicate address... PC1 : 10.10.20.2 255.255.255.0 gateway 10.10.20.1 LAN-R2>
LAN-R3> ip 10.10.30.2/24 10.10.30.1 Checking for duplicate address... PC1 : 10.10.30.2 255.255.255.0 gateway 10.10.30.1 LAN-R3>

Part 2. Static routing

Tujuannya supaya ip publik antar router bisa komunikasi, agar bisa digunakan untuk tunneling.
RI-HUB(config)#ip route 24.24.24.0 255.255.255.0 14.14.14.4 RI-HUB(config)#ip route 34.34.34.0 255.255.255.0 14.14.14.4
R2-SPOKE-1(config)#ip route 14.14.14.0 255.255.255.0 24.24.24.4 R2-SPOKE-1(config)#ip route 34.34.34.0 255.255.255.0 24.24.24.4
R3-SPOKE-2(config)#ip route 14.14.14.0 255.255.255.0 34.34.34.4 R3-SPOKE-2(config)#ip route 24.24.24.0 255.255.255.0 34.34.34.4


Part 3. DMVPN Tunneling

Setup DMVPN dengan menggunakan ip publiknya. Tunnel source adalah ip publik masik2 router, dan mode-nya multipoint. Untuk nhrp network-id harus sama di semua router. Di HUB tidak menggunakan command ip nhrp map yang artinya mapping dilakukan secara dynamic. Kemudian di SPOKE, gunakan command ip nhrp nhs (ip tunel HUB). Tujuannya untuk mengirimkan registration request ke HUB. MHS kepanjangan dari Next Hop Server.
RI-HUB(config)#int tun0 RI-HUB(config-if)#ip add 192.168.100.1 255.255.255.0 RI-HUB(config-if)#tunnel source 14.14.14.1 RI-HUB(config-if)#tunnel mode gre multipoint RI-HUB(config-if)#ip nhrp network-id 123
R2-SPOKE-1(config-if)#int tun0 R2-SPOKE-1(config-if)#ip add 192.168.100.2 255.255.255.0 R2-SPOKE-1(config-if)#tunnel source 24.24.24.2 R2-SPOKE-1(config-if)#tunnel mode gre multipoint R2-SPOKE-1(config-if)#ip nhrp network-id 123 R2-SPOKE-1(config-if)#ip nhrp map 192.168.100.1 14.14.14.1 R2-SPOKE-1(config-if)#ip nhrp nhs 192.168.100.1
R3-SPOKE-2(config-if)#int tun0 R3-SPOKE-2(config-if)#ip add 192.168.100.3 255.255.255.0 R3-SPOKE-2(config-if)#tunnel source 34.34.34.3 R3-SPOKE-2(config-if)#tunnel mode gre multipoint R3-SPOKE-2(config-if)#ip nhrp network-id 123 R3-SPOKE-2(config-if)#ip nhrp map 192.168.100.1 14.14.14.1 R3-SPOKE-2(config-if)#ip nhrp nhs 192.168.100.1


Part 4. Konfigurasi EIGRP antar LAN

Nah, saat kita menggunakan Dynamic Routing Protocol di DMVPN, maka kita harus setup agar multicastnya running. Gunakan command ip nhrp map multicast. Kemudian, tambahkan no ip split-horizon dan no ip next-hop-self di interface tunnel HUB. Tujuannya untuk mencegah loop. Disini kita akan mengadvertise network dari masing2 LAN.
RI-HUB(config)#int tun0 RI-HUB(config-if)#ip nhrp map multicast 24.24.24.2 RI-HUB(config-if)#ip nhrp map multicast 34.34.34.3 RI-HUB(config-if)#router eigrp 1 RI-HUB(config-router)#no au RI-HUB(config-router)#net 192.168.100.1 0.0.0.0 RI-HUB(config-router)#net 10.10.10.0 0.0.0.255 RI-HUB(config-router)#int tun0 RI-HUB(config-if)#no ip split-horizon eigrp 1 RI-HUB(config-if)#no ip next-hop-self eigrp 1
R2-SPOKE-1(config)#int tun0 R2-SPOKE-1(config-if)#ip nhrp map multicast 14.14.14.1 R2-SPOKE-1(config-if)#router eigrp 1 R2-SPOKE-1(config-router)#no au R2-SPOKE-1(config-router)#net 192.168.100.2 0.0.0.0 R2-SPOKE-1(config-router)#net 10.10.20.0 0.0.0.255
R3-SPOKE-2(config-if)#int tun0 R3-SPOKE-2(config-if)#ip nhrp map multicast 14.14.14.1 R3-SPOKE-2(config-if)#router eigrp 1 R3-SPOKE-2(config-router)#no au R3-SPOKE-2(config-router)#net 192.168.100.3 0.0.0.0 R3-SPOKE-2(config-router)#net 10.10.30.0 0.0.0.255


Part 5. Konfigurasi IPSec

Di sini, pada phase1 kita akan setup IPSec dengan enription AES dan hash MD5. Mode authentikasinya pre-share dan key nya sendiri = SADEWA (harus sama di semua router). Kemudian pada phase2, kita akan setting transform-set dengan nama R1R2R3, AH = ah-md5-hmac, ESP-transform = md5-hmac dan Cipher = esp-aes. Setelah kita selesai bikin transform-set, dilanjut bikin IPSEC profile. Profile tersebut dibuat berdasarkan transform-set dan profile inilah yang akan kita gunakan untuk tunnel protection di masing2 router.
R1-HUB(config)#crypto isakmp enable R1-HUB(config)#crypto isakmp policy 10 R1-HUB(config-isakmp)#encr aes R1-HUB(config-isakmp)#hash md5 RI-HUB(config-isakmp)#authentication pre-share R1-HUB(config-isakmp)#crypto isakmp key SADEWA address 24.24.24.2 R1-HUB(config-isakmp)#crypto isakmp key SADEWA address 34.34.34.3 R1-HUB(config-isakmp)#crypto ipsec transform-set R1R2R3 ah-md5-hmac esp-md5-hmac esp-aes R1-HUB(cfg-crypto-trans)#mode transport R1-HUB(cfg-crypto-trans)#crypto ipsec profile IPSEC R1-HUB(ipsec-profile)#set transform-set R1R2R3 R1-HUB(ipsec-profile)#int tun0 R1-HUB(config-if)#tunnel protection ipsec profile IPSEC
R2-SPOKE-1(config)#crypto isakmp enable R2-SPOKE-1(config)#crypto isakmp policy 10 R2-SPOKE-1(config-isakmp)#encr aes R2-SPOKE-1(config-isakmp)#hash md5 R2-SPOKE-1(config-isakmp)#authentication pre-share R2-SPOKE-1(config-isakmp)#crypto isakmp key SADEWA address 14.14.14.1 R2-SPOKE-1(config-isakmp)#crypto ipsec transform-set R1R2R3 ah-md5-hmac esp-md5-hmac esp-aes R2-SPOKE-1(cfg-crypto-trans)#mode transport R2-SPOKE-1(cfg-crypto-trans)#crypto ipsec profile IPSEC R2-SPOKE-1(ipsec-profile)#set transform-set R1R2R3 R2-SPOKE-1(ipsec-profile)#int tun0 R2-SPOKE-1(config-if)#tunnel protection ipsec profile IPSEC
R3-SPOKE-2(config)#crypto isakmp enable R3-SPOKE-2(config)#crypto isakmp policy 10 R3-SPOKE-2(config-isakmp)#encr aes R3-SPOKE-2(config-isakmp)#hash md5 R3-SPOKE-2(config-isakmp)#authentication pre-share R3-SPOKE-2(config-isakmp)#crypto isakmp key SADEWA address 14.14.14.1 R3-SPOKE-2(config-isakmp)#crypto ipsec transform-set R1R2R3 ah-md5-hmac esp-md5-hmac esp-aes R3-SPOKE-2(cfg-crypto-trans)#mode transport R3-SPOKE-2(cfg-crypto-trans)#crypto ipsec profile IPSEC R3-SPOKE-2(ipsec-profile)#set transform-set R1R2R3 R3-SPOKE-2(ipsec-profile)#int tun0 R3-SPOKE-2(config-if)#tunnel protection ipsec profile IPSEC

Part 6. Verifikasi

R1-HUB
RI-HUB#sh ip nhrp brief Target Via NBMA Mode Intfc Claimed 192.168.100.2/32 192.168.100.2 24.24.24.2 dynamic Tu0 < > 192.168.100.3/32 192.168.100.3 34.34.34.3 dynamic Tu0 < > RI-HUB#sh ip nhrp multicast I/F NBMA address Tunnel0 34.34.34.3 Flags: static Tunnel0 24.24.24.2 Flags: static RI-HUB#sh ip eigrp nei IP-EIGRP neighbors for process 1 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 1 192.168.100.3 Tu0 11 00:42:45 98 5000 0 14 0 192.168.100.2 Tu0 6 00:42:46 162 5000 0 22 RI-HUB#sh ip rou Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 34.0.0.0/24 is subnetted, 1 subnets S 34.34.34.0 [1/0] via 14.14.14.4 24.0.0.0/24 is subnetted, 1 subnets S 24.24.24.0 [1/0] via 14.14.14.4 10.0.0.0/24 is subnetted, 3 subnets C 10.10.10.0 is directly connected, FastEthernet0/1 D 10.10.20.0 [90/297270016] via 192.168.100.2, 00:42:38, Tunnel0 D 10.10.30.0 [90/297270016] via 192.168.100.3, 00:42:38, Tunnel0 14.0.0.0/24 is subnetted, 1 subnets C 14.14.14.0 is directly connected, FastEthernet0/0 C 192.168.100.0/24 is directly connected, Tunnel0 RI-HUB#sh crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status 14.14.14.1 34.34.34.3 QM_IDLE 1002 0 ACTIVE 14.14.14.1 24.24.24.2 QM_IDLE 1001 0 ACTIVE IPv6 Crypto ISAKMP SA RI-HUB#

LAN-R1
LAN-R1> ping 10.10.20.2 10.10.20.2 icmp_seq=1 timeout 10.10.20.2 icmp_seq=2 timeout 84 bytes from 10.10.20.2 icmp_seq=3 ttl=62 time=93.601 ms 84 bytes from 10.10.20.2 icmp_seq=4 ttl=62 time=93.600 ms 84 bytes from 10.10.20.2 icmp_seq=5 ttl=62 time=93.600 ms LAN-R1> ping 10.10.30.2 10.10.30.2 icmp_seq=1 timeout 84 bytes from 10.10.30.2 icmp_seq=2 ttl=62 time=78.001 ms 84 bytes from 10.10.30.2 icmp_seq=3 ttl=62 time=78.001 ms 84 bytes from 10.10.30.2 icmp_seq=4 ttl=62 time=78.000 ms 84 bytes from 10.10.30.2 icmp_seq=5 ttl=62 time=78.000 ms LAN-R1>

Bonus :
AES dan DES adalah salah satu contoh metode enkripsi. AES (Advanced Encryption Standard) lebih baru daripada DES (Data Encryption Standard). MD5 (Message-Digest algorithm 5) dan SHA (Secure Hash Algorithm) bukan metode enkripsi melainkan hash. Enkrpsi bisa di dekripsi (data kembali seperti semula) sedangkan hash tidak bisa kembali seperti semula karena bersifat satu arah. Kelemahan hash adalah bruteforce, terutama metode MD5.