Konfigurasi IPsec VPN Site-to-Site Sophos Firewall dan Mikrotik Menggunakan Preshared Key dengan IKEv2

Setelah kantor cabang Palembang dan Batam, group yang selanjutnya yang berdiri adalah Medan, dimana site tersebut juga membutuhkan koneksi ke Jakarta untuk mengakses beberapa server. Catatan ini akan menjelaskan langkah-langkah konfigurasi IPsec VPN Site-to-Site antara perangkat Sophos dan Mikrotik menggunakan preshared key dengan IKEv2 di kedua sisi.

Berikut topologi dan skenarionya:


Network Diagram IPsec VPN Site-to-Site Antara Sophos dan Mikrotik - ITSTAFF.web.id

Location JAKARTA MEDAN
Site Head Office Branch Office
Device Sophos XG 210 Mikrotik RB450Gx4
Device IP 192.168.101.254 192.168.241.254
LAN Subnet 192.168.101.0/24 192.168.241.0/24
LAN Port Port6 Eth5
WAN Bandwidth Dedicated 30 Mbps Dedicated 5 Mbps
WAN IP 103.138.40.11 204.240.60.41
WAN Port Port1 Eth1
IPsec Connection Type Site-to-Site Site-to-Site
IPsec Gateway Type Respond only Initiate the connection
IPsec Policy IKEv2 IKEv2ForXG
IPsec Authentication Type Preshared key Preshared key

Oke lah kalau begitu, tanpa basa-basi lagi, langsung saja mari kita mulai konfigurasi.

1. Konfigurasi XG210-JAKARTA

  • Login ke Sophos XG 210 Firewall, lalu tambahkan LAN Subnet Jakarta dan Palembang, klik SYSTEM Host and services ⇒ IP host ⇒ Add
    • Local LAN (Jakarta Subnet)

      IP host Jakarta - ITSTAFF.web.id

    • Remote LAN (Medan Subnet)

      IP host Medan - ITSTAFF.web.id

    • ⇒ Save


  • Buat IPsec VPN connection, klik CONFIGURE VPN ⇒ IPsec connections ⇒ Add
    • General settings
      • Name: VPN_MEDAN
      • Description: via WANP1
      • IP version: IPv4
      • Connection type: Site-to-Site
      • Gateway type: Respond only
      • Active on save: checked
      • Create firewall rule: unchecked
    • Encryption
      • Policy: IKEv2
      • Authentication type: Preshared key
        • Preshared key: IPSecJktTOMdn098765
        • Repeat preshared key: IPSecJktTOMdn098765
    • Gateway settings
      • Local gateway
        • Listening interface: Port1 (WANP1)
        • Local ID type: Select local ID (default)
        • Local subnet ⇒ Add new item: 101.168.192_JKT
      • Remote gateway
        • Gateway address: 204.240.60.41
        • Remote ID type: Select remote ID (default)
        • Remote subnet ⇒ Add new item: 241.168.192_MDN
      • Network Address Translation (NAT): unchecked
    • Advanced
      • User authentication mode: None
    • ⇒ Save


  • Setelah itu, buat dua firewall rules IPsec VPN traffic, klik PROTECT Firewall (v17) / Rules and policies (v18) ⇒ + Add firewall rule ⇒ User/network rule
    • Rule name *: LAN_VPN_MEDAN
    • Action: Accept
    • Rule position: Top
    • Rule group: LAN to VPN
    • Source
      • Source zones * ⇒ Add new item: LAN
      • Source networks and devices * ⇒ Add new item: 101.168.192_JKT
      • During scheduled time: All the time
    • Destination & services
      • Destination zones * ⇒ Add new item: VPN
      • Destination networks * ⇒ Add new item: 241.168.192_BTM
      • Services *: Any
    • Identity (v17)
      • Match known users: unchecked
    • Web malware and content scanning (v17) / Security features (v18)
      • None and Unchecked All
    • Advanced (v17) / Other security features (v18)
      • None and Unchecked All
    • Log traffic
      • Log firewall traffic: checked
    • ⇒ Save

      Buat lagi satu firewall rule  
    • Rule name *: VPN_LAN_MEDAN
    • Action: Accept
    • Rule position: Top
    • Rule group: VPN to LAN
    • Source
      • Source zones * ⇒ Add new item: VPN
      • Source networks and devices * ⇒ Add new item: 241.168.192_BTM
      • During scheduled time: All the time
    • Destination & services
      • Destination zones * ⇒ Add new item: LAN
      • Destination networks * ⇒ Add new item: 101.168.192_JKT
      • Services *: Any
    • Identity (v17)
      • Match known users: unchecked
    • Web malware and content scanning (v17) / Security features (v18)
      • None and Unchecked All
    • Advanced (v17) / Other security features (v18)
      • None and Unchecked All
    • Log traffic
      • Log firewall traffic: checked
    • ⇒ Save


2. Konfigurasi RB450GX4-MEDAN

  • Login ke Mikrotik RB450Gx4, disini saya menggunakan Winbox
    • Pertama adalah membuat IPsec profile, dimana saya mengikuti parameter IPsec profile IKEv2 di Sophos XG 210, klik IPIPsecProfiles + Add

      IPsec Profile Mikrotik - ITSTAFF.web.id
       Apply & OK


    • Lalu buat IPsec proposals, masih di IPsecProposals ⇒ + Add

      IPsec Proposal Mikrotik - ITSTAFF.web.id
       Apply & OK


  • Setelah membuat IPsec profile dan proposals, selanjutnya adalah membuat IPsec VPN Connection 'Peers dan Identities'.
    • Masih di IPsec ⇒ Peers ⇒ + Add

      IPsec Peer Mikrotik - ITSTAFF.web.id
       Apply & OK


    • Selanjutnya membuat Identities menggunakan preshared key, masih di IPsec ⇒ Identities ⇒ + Add

      IPsec Identities Mikrotik - ITSTAFF.web.id
       Apply & OK


  • Selanjutnya, buat Policy Firewall Rules IPsec VPN traffic.
    • Masih di IPsec ⇒ Policy ⇒ + Add

      IPsec Policy 1 Mikrotik - ITSTAFF.web.id

      IPsec Policy 2 Mikrotik - ITSTAFF.web.id
       Apply & OK


    • Lanjut ke IP Routes ⇒ + Add

      IP Routes Mikrotik - ITSTAFF.web.id
       Apply & OK

Setelah mengkonfigurasi kedua sisi Firewall, sekarang cek Status koneksi IPsec VPN Connection yang barusan dibuat di XG210-JAKARATA dan RB450GX4-MEDAN.

  • Status XG210-JAKARTA, klik CONFIGURE VPN ⇒ IPsec connections

    Status IPsec Sophos - ITSTAFF.web.id

  • Status RB450GX4-MEDAN, klik IP ⇒ IPsec ⇒ Active Peers

    Status IPsec Mikrotik - ITSTAFF.web.id


Jika Status di XG210-JAKARTA Active dan Connection sudah berwarna hijau serta di RB450GX4-MEDAN sudah established, sekarang coba test ping dari perangkat di belakang Firewall, misal di PC Desktop lokal di Jakarta maupun Medan untuk memastikan koneksi IPsec VPN Site-to-Site ini berjalan normal. Jika masih Request time out, silahkan cek Rules and Policies Firewall (LAN to VPN dan VPN to LAN) di Sophos XG 210 dan cek Firewall NAT atau IP Routes di Mikrotik RB450Gx4.

Itu saja yang perlu dilakukan untuk membuat koneksi IPsec VPN menggunakan preshared key dengan IKEv2 pada perangkat Sophos XG210 dan Mikrotik RB450Gx4, konfigurasi di atas bisa juga diterapkan pada Sophos XG Firewall Series maupun Mikrotik Series. Semoga catatan ini bisa berguna untuk saya dan yang membacanya.

MIKROTIK NOTE
1. Fitur IKEv2 pada IPsec bisa berjalan dari versi RouterOS v6.38.1.
2. Supaya Site-to-Site IPsec ini dapat terbentuk maka pastikan Anda tidak melakukan filtering terhadap protocol UDP Port 500 dan port 4500.
3. Ketika Anda mengaktifkan Fasttrack, maka IPsec masih tidak bisa berjalan. Untuk detail solusinya Anda bisa kunjungi halaman wiki.mikrotik.com

whydnet-aboutITSTAFF.web.id
learning by doing!

[ADS] Bottom Ads

© 2020 - . All Rights Reserved.