Catatan ini adalah lanjutan dari konfigurasi IPsec VPN Site-to-Site preshared key di perangkat Sophos XG Firewall & Cyberoam Firewall. Bagaimana cara membuat konfigurasi Cyberoam Firewall IPsec VPN Site-to-Site Failover Group agar tercipta redundancy, ketika salah satu koneksi IPsec VPN yang putus, maka akan langsung di backup oleh koneksi lainnya. Site Jakarta sebagai Head Office menggunakan dua koneksi internet sedangkan site Batam sebagai Branch Office hanya menggunakan satu koneksi internet saja.
Berikut Topologi & Skenarionya
Location | JAKARTA | PALEMBANG |
---|---|---|
Site | Head Office | Branch Office |
Device Name | Sophos XG 210 | Cyberoam CR50ia |
Device Firmware | SFOS 18.5.4 MR4-Build418 | 10.6.6 MR-3-Build305 |
Device IP | 192.168.101.254 | 192.168.231.254 |
LAN Subnet | 192.168.101.0/24 | 192.168.231.0/24 |
LAN Port | Port6 | PortF |
WAN 1 Bandwidth | Dedicated 30 Mbps | Shared 100 Mbps |
WAN 1 IP | 103.138.40.11 | Dynamic IP Public |
WAN 1 Port | Port1 | PortA |
WAN 2 Bandwidth | Dedicated 20 Mbps | - |
WAN 2 IP | 114.150.90.91 | - |
WAN 2 Port | Port2 | - |
IPsec Connection Type | Site-to-Site | Site-to-Site |
IPsec Gateway Type | Respond only | Initiate the connection |
IPsec Policy | DefaultHeadOffice | DefaultBranchOffice |
IPsec Authentication Type | Preshared key | Preshared key |
Oke lah kalau begitu, tanpa basa-basi lagi, langsung saja mari kita mulai konfigurasi...
1. Membuat Koneksi IPsec VPN Site-to-Site
1.1. Pertama kalian harus membuat dua koneksi IPsec VPN antar site dengan mengikuti panduan ini, cara konfigurasi IPsec VPN Site-to-Site Preshared Key Sophos XG Firewall & Cyberoam Firewall dengan detail IPsec connections name sebagai berikut;
- XG210-JAKARTA
- VPN_BTM1
Description WAN1 - VPN_BTM2
Description WAN2 - CR50IA-BATAM
- VPN_JKT1
Description to_JAKARTA-WAN1 - VPN_JKT2
Description to_JAKARTA-WAN2
2. Konfigurasi Failover Group di CR50IA-BATAM
2.1. Login ke Cyberoam CR50ia Firewall, klik VPN ⇒ IPSec ⇒ Failover Group ⇒ Add
- Name *: HLID
- Select connection(s) ⇒ Available connections: checked
- VPN_JKT1
- VPN_JKT2
- Mail notification: Checked
- Failover Condition
- Not able to Connect*: PING
- Not able to Connect: Select (default)
- ⇒ Save
Pastikan service Ping sudah aktif di XG210-JAKARTA, lihat di menu SYSTEM Administration ⇒ Device access, Network services: Ping/Ping6 checked.
2.2. Setelah membuat konfigurasi Failover Group di CR50IA-BATAM, sekarang cek statusnya di VPN ⇒ IPSec ⇒ Connection
Untuk mengaktifkan failover, pertama matikan kedua konfigurasi IPsec connections VPN_JKT1 dan VPN_JKT2 ⇒ klik icon Status 'Active' berwarna hijau, tunggu sampai icon berubah menjadi warna merah. Langkah selanjutnya adalah mengaktifkan Failover Group, klik Failover Group dan klik icon berwarna merah di Status 'HLID', tunggu sampai icon berwarna hijau, seperti gambar dibawah ini.
Jika sudah, sekarang lihat konfigurasi IPsec connections, klik Connection dan akan terbentuk Group name JKT dengan VPN_JKT1 dan VPN_JKT2 akan berubah menjadi (Active), dengan VPN_JKT1 berwarna hijau (Primary) dan VPN_JKT2 berwarna merah (Backup).
3. Pengujian Failover IPsec VPN Connections
Untuk pengetesan failover, saya matikan modem internet WAN1 di site Jakarta. Lalu koneksi IPsec VPN akan pindah ke VPN_JKT2 dan ketika modem internet saya nyalakan kembali, tunggu sampai koneksi normal, maka IPsec VPN akan kembali ke VPN_JKT1.
Selanjutnya ketika konfigurasi failover group sudah berhasil dan bekerja, sekarang coba test koneksi atau ping dari perangkat di bawah firewall, misal dari komputer lokal di masing-masing site Jakarta maupun Batam untuk memastikan koneksi IPsec VPN Site-to-Site ini berjalan normal. Jika masih Request time out, silahkan cek Rules and Polices Firewall (LAN to VPN & VPN to LAN).
Itu saja yang saya lakukan dalam membuat koneksi Failover IPsec VPN Site-to-Site Preshared Key di Sophos XG210 & Cyberoam CR50ia, konfigurasi di atas bisa juga diterapkan pada Sophos XG Firewall Series maupun Cyberoam Firewall Series. Semoga catatan ini bisa berguna untuk saya dan kalian yang membacanya.