[TUTORIAL] Cyberoam Firewall - Konfigurasi Failover IPsec VPN Site-to-Site Preshared Key

Cyberoam Firewall: How to configure an IPsec VPN failover with multiple connections.

Catatan ini adalah lanjutan dari konfigurasi IPsec VPN Site-to-Site preshared key di perangkat Sophos XG Firewall & Cyberoam Firewall. Bagaimana cara membuat konfigurasi Cyberoam Firewall IPsec VPN Site-to-Site Failover Group agar tercipta redundancy, ketika salah satu koneksi IPsec VPN yang putus, maka akan langsung di backup oleh koneksi lainnya. Site Jakarta sebagai Head Office menggunakan dua koneksi internet sedangkan site Batam sebagai Branch Office hanya menggunakan satu koneksi internet saja.

Berikut Topologi & Skenarionya


Failover IPsec VPN Network Diagram - ITSTAFF.web.id

LocationJAKARTAPALEMBANG
SiteHead OfficeBranch Office
Device NameSophos XG 210Cyberoam CR50ia
Device FirmwareSFOS 17.5.15 MR-15
SFOS 18.5.4 MR4-Build418
10.6.6 MR-3-Build305
Device IP192.168.101.254192.168.231.254
LAN Subnet192.168.101.0/24192.168.231.0/24
LAN PortPort6PortF
WAN 1 BandwidthDedicated 30 MbpsShared 100 Mbps
WAN 1 IP103.138.40.11Dynamic IP Public
WAN 1 PortPort1PortA
WAN 2 BandwidthDedicated 20 Mbps-
WAN 2 IP114.150.90.91-
WAN 2 PortPort2-
IPsec Connection TypeSite-to-SiteSite-to-Site
IPsec Gateway TypeRespond onlyInitiate the connection
IPsec PolicyDefaultHeadOfficeDefaultBranchOffice
IPsec Authentication TypePreshared keyPreshared key

Oke lah kalau begitu, tanpa basa-basi lagi, langsung saja mari kita mulai konfigurasi...

1. Membuat Koneksi IPsec VPN Site-to-Site

1.1. Pertama kalian harus membuat dua koneksi IPsec VPN antar site dengan mengikuti panduan ini, cara konfigurasi IPsec VPN Site-to-Site Preshared Key Sophos XG Firewall & Cyberoam Firewall dengan detail IPsec connections name sebagai berikut;

  • XG210-JAKARTA
    • VPN_BTM1
      Description WAN1
    • VPN_BTM2
      Description WAN2
  • CR50IA-BATAM
    • VPN_JKT1
      Description to_JAKARTA-WAN1
    • VPN_JKT2
      Description to_JAKARTA-WAN2

2. Konfigurasi Failover Group di CR50IA-BATAM

2.1. Login ke Cyberoam CR50ia Firewall, klik VPN IPSecFailover GroupAdd

  • Name *: HLID
  • Select connection(s) ⇒ Available connections: checked
    • VPN_JKT1
    • VPN_JKT2
  • Mail notification: Checked
  • Failover Condition
    • Not able to Connect*: PING
    • Not able to Connect: Select (default)
  • Save

ATTENTION
Pastikan service Ping sudah aktif di XG210-JAKARTA, lihat di menu SYSTEM AdministrationDevice access, Network services: Ping/Ping6 checked.

2.2. Setelah membuat konfigurasi Failover Group di CR50IA-BATAM, sekarang cek statusnya di VPNIPSecConnection

Untuk mengaktifkan failover, pertama matikan kedua konfigurasi IPsec connections VPN_JKT1 dan VPN_JKT2 ⇒ klik icon Status 'Active' berwarna hijau, tunggu sampai icon berubah menjadi warna merah. Langkah selanjutnya adalah mengaktifkan Failover Group, klik Failover Group dan klik icon berwarna merah di Status 'HLID', tunggu sampai icon berwarna hijau, seperti gambar dibawah ini.

Status Failover Group - ITSTAFF.web.id

Jika sudah, sekarang lihat konfigurasi IPsec connections, klik Connection dan akan terbentuk Group name JKT dengan VPN_JKT1 dan VPN_JKT2 akan berubah menjadi (Active), dengan VPN_JKT1 berwarna hijau (Primary) dan VPN_JKT2 berwarna merah (Backup).

Failover Active IPsec VPN - ITSTAFF.web.id

3. Pengujian Failover IPsec VPN Connections

Untuk pengetesan failover, saya matikan modem internet WAN1 di site Jakarta. Lalu koneksi IPsec VPN akan pindah ke VPN_JKT2 dan ketika modem internet saya nyalakan kembali, tunggu sampai koneksi normal, maka IPsec VPN akan kembali ke VPN_JKT1.

Selanjutnya ketika konfigurasi failover group sudah berhasil dan bekerja, sekarang coba test koneksi atau ping dari perangkat di bawah firewall, misal dari komputer lokal di masing-masing site Jakarta maupun Batam untuk memastikan koneksi IPsec VPN Site-to-Site ini berjalan normal. Jika masih Request time out, silahkan cek Rules and Polices Firewall (LAN to VPN & VPN to LAN).

Itu saja yang saya lakukan dalam membuat koneksi Failover IPsec VPN Site-to-Site Preshared Key di Sophos XG210 & Cyberoam CR50ia, konfigurasi di atas bisa juga diterapkan pada Sophos XG Firewall Series maupun Cyberoam Firewall Series. Semoga catatan ini bisa berguna untuk saya dan kalian yang membacanya.