SlideShare a Scribd company logo

Vpn gw2gw

HARRY CHAN PUTRA
HARRY CHAN PUTRA

jardiknas

Education
1 of 8
Download to read offline
INSTALASI VPN GATEWAY 2 GATEWAY (Dengan freeswan && shorewall ):: Quick Edition Mirrored form : http://irvan.or.id/tutorial.php?act=view&id=5 Oleh: Z3r0byt3 http://irvan.or.id http://echo.or.id irv@irvan.or.id
http://echo<dot>or<dot>id<slash>paper *editor : No preface Instalasi vpn menggunakan freeswan versi 2.06 untuk koneksi gateway to gateway Catatan: Konfigurasi ini dilakukan pada kedua mesin yang bertindak sebagai gateway untuk masing-masing jaringan Kondisi awal, kita memiliki 2 buah mesin yaitu: - Server A : - memiliki: - ip publik = 202.155.138.101 - netmask = 255.255.255.240 - ip router = 202.155.138.240 - ip lokal = 172.16.0.49 - netmask = 255.255.252.0 - Server B : - memiliki: - ip publik = 202.155.100.100 - netmask = 255.255.255.240 - ip router = 202.155.100.101 - ip lokal = 192.168.1.130 - netmask = 255.255.255.0 - Paket Tcpdump terinstall pada masing-masing mesin Konfigurasi umum untuk Server A dan Server B 1. Mesin linux lengkap dengan iptables, shorewall dan source code kernel 2. Pindah direktori ke direktori /var/tmp #cd /var/tmp 3. ekstrak file freeswan-2.06.tar.gz #tar -zxvf secure-linux/source/freeswan-2.06.tar.gz 4. pindah ke direktori freeswan-2.06 #cd freeswan-2.06 5. edit file Makefile.inc
http://echo<dot>or<dot>id<slash>paper #vi Makefile.inc 6. Ubah baris berikut: INC_USRLOCAL=/usr/local menjadi INC_USRLOCAL=/usr dan baris berikut: INC_MANDIR=man Menjadi: INC_MANDIR=share/man 7. Patch kembali kernel dengan freeswan #make kpatch 8. konfigurasi ulang kernel dan kompile dengan mengaktifkan modul IPSEC/Freeswan #cd /usr/src/linux #make menuconfig aktifkan modul IPSEC/Freeswan, kemudian simpan konfigurasi dan keluar #make dep clean bzImage #cp arch/i368/boot/bzImage /boot/vmlinuz-2.4.26 #cp System.map /boot/System.map-2.4.26 #lilo 9. Reboot mesin #reboot 10. Pindah ke direktori freeswan #cd /var/tmp/freeswan-2.06
http://echo<dot>or<dot>id<slash>paper 11. Compile dan install freeswan #make program #make install 12. pindah direktori kerja menjadi /root #cd /root Pada server A 13. Buat 2 buah rsa key yang akan di gunakan untuk kedua mesin (key ini hanya di generate pada satu buah mesin) #ipsec rsasigkey --verbose 2192 > left-key #ipsec rsasigkey --verbose 2192 > right-key 14. Copy file left-key menjadi file ipsec.secrets #cp left-key /etc/ipsec.secrets 15. Edit file /etc/ipsec.secrets, tambahkan parameter berikut: 202.155.138.101 202.155.100.100: RSA { #pada baris awal } #pada baris akhir *catatan: ip tersebut merupakan ip publik kedua mesin. *catatan: ip tersebut merupakan ip publik kedua mesin. 16. dengan menggunakan sftp atau scp copy file right-key ke server B Pada server B 17. Copy file right-key menjadi file ipsec.secrets #cp right-key /etc/ipsec.secrets 18. Edit file /etc/ipsec.secrets, tambahkan parameter berikut: 202.155.138.101 202.155.100.100: RSA { #pada baris awal } #pada baris akhir *catatan: ip tersebut merupakan ip publik kedua mesin.
http://echo<dot>or<dot>id<slash>paper Pada Kedua mesin, server A dan server B 19. Edit file /etc/ipsec.conf, kemudian isi dengan konfigurasi berikut: config setup interfaces="ipsec0=eth0" klipsdebug=none conn block auto=ignore conn private auto=ignore conn private-or-clear auto=ignore conn clear-or-private auto=ignore conn clear auto=ignore conn packetdefault auto=ignore conn a-b left=202.155.138.101 leftsubnet=172.16.0.0/22 leftnexthop=202.155.138.240 right=202.155.100.100 rightsubnet=192.168.1.0/24 rightnexthop=202.155.100.101 keyingtries=0 auth=esp authby=rsasig leftrsasigkey=0sAQNZYi1vkyiJN.......(dipotong, karena terlalu panjang) rightrsasigkey=0sAQOoYLTSZRvx.......(dipotong, karena terlalu panjang) auto=start *Catatan:
http://echo<dot>or<dot>id<slash>paper - leftrsasigkey= diambil dari file /etc/ipsec.secrets pada server A pada bagian pubkey= - righttrsasigkey= diambil dari file /etc/ipsec.secrets pada server B pada bagian pubkey= 20. Edit file /etc/shorewall/tunnels #vi /etc/shorewall/tunnels kemudian isi dengan parameter berikut: Untuk server A ipsec net 202.155.100.100 Untuk server B ipsec net 202.155.138.101 21. Edit file /etc/shorewall/zones #vi /etc/shorewall/zones kemudian isi dengan parameter berikut: Pada Server A dan Server B vpn VPN VPN Euuuyyyyy 22. Edit file /etc/shorewallinterface #vi /etc/shorewall/interfaces kemudian isi dengan parameter berikut: Pada Server A dan Server B vpn ipsec0 23. Edit file /etc/shorewall/hosts # vi /etc/shorewall/hosts kemudian isi dengan parameter berikut: Pada Server A vpn eth0:192.18.1.0/24
http://echo<dot>or<dot>id<slash>paper Pada Server B vpn eth0:172.16.0.0/22 24. Edit file /etc/shorewall/masq #vi /etc/shorewall/masq kemudian isi ubah parameter yang ada menjadi: Pada Server A eth0:!192.168.1.0/24 172.16.0.0/22 Pada Server B eth0:!172.16.0.0/22 192.168.1.0/24 25. Edit file /etc/shorewall/policy #vi /etc/shorewall/policy kemudian isi dengan parameter berikut: Pada Server A dan Server B loc vpn ACCEPT vpn loc ACCEPT 26. Restart service shorewall pada kedua server #/etc/init.d/shorewall restart 27. Jalankan ipsec pada kedua server #/etc/init.d/ipsec start 28. Lihat log pada file /var/log/secure #tail -f /var/log/secure Jika hasil log menunjukan hasil seperti di bawah: ipsec__plutorun: Starting Pluto subsystem... pluto[14479]: Starting Pluto (FreeS/WAN Version 2.06 PLUTO_USES_KEYRR) pluto[14479]: Using KLIPS IPsec interface code pluto[14479]: added connection description "servera-serverb" pluto[14479]: listening for IKE messages pluto[14479]: adding interface ipsec0/eth0 202.155.100.100 pluto[14479]: loading secrets from "/etc/ipsec.secrets" pluto[14479]: "a-b" #1: initiating Main Mode
http://echo<dot>or<dot>id<slash>paper pluto[14479]: "a-b" #1: ISAKMP SA established pluto[14479]: "a-b" #2: initiating Quick Mode RSASIG+ENCRYPT+PFS+UP {using isakmp#1} pluto[14479]: "a-b" #2: sent QI2, IPsec SA established {ESP=>0x2dfcd977 <0xada21f1a} pluto[14479]: "a-b" #3: responding to Main Mode pluto[14479]: "a-b" #3: sent MR3, ISAKMP SA established pluto[14479]: "a-b" #3: retransmitting in response to duplicate packet; already STATE_MAIN_R3 pluto[14479]: "a-b" #4: responding to Quick Mode maka koneksi vpn telah berhasil, dan tinggal melakukan pengetesan serta sniffing paket untuk pembuktian. jika hasil output log tidak seperti di atas, maka terjadi kesalahan pada konfigurasi ipsec atau pun kernel. lihat error message dan perbaiki kembali konfigurasi tersebut. 29. Jalankan tcpdump pada server B #tcpdump -n -i eth0 30. Lakukan ping dari salah satu ip di jaringan lokal B (192.168.1.14) ke salah satu ip jaringan lokal A (172.16.0.3) #ping 172.16.0.3 31. Lihat output dari tcpdump pada server Jika hasil output tcpdump pada server B seperti di bawah: 14:39:28.504834 IP 202.155.100.100 > 202.155.138.101: ESP(spi=0x2dfcd978,seq=0x36c) 14:39:29.644717 IP 202.155.138.101 > 202.155.100.100: ESP(spi=0xada21f1b,seq=0x38e) 14:39:29.645521 IP 202.155.100.100 > 202.155.138.101: ESP(spi=0x2dfcd978,seq=0x36d) maka koneksi vpn telah benar-benar berhasil.

Recommended

whatsoever, hardening linux webserver in 60 minutes
whatsoever, hardening linux webserver in 60 minuteswhatsoever, hardening linux webserver in 60 minutes
whatsoever, hardening linux webserver in 60 minutes
idsecconf
 
Uso de la Programación para la Seguridad en Redes (a.k.a. Sockets y Shellcoding)
Uso de la Programación para la Seguridad en Redes (a.k.a. Sockets y Shellcoding)Uso de la Programación para la Seguridad en Redes (a.k.a. Sockets y Shellcoding)
Uso de la Programación para la Seguridad en Redes (a.k.a. Sockets y Shellcoding)
Pedro Valera
 
Tutorial step by_step_setting_mikrotik
Tutorial step by_step_setting_mikrotikTutorial step by_step_setting_mikrotik
Tutorial step by_step_setting_mikrotik
HARRY CHAN PUTRA
 
Banquet 09
Banquet 09Banquet 09
Banquet 09
Koubei UED
 
Capture cacti
Capture cactiCapture cacti
Capture cacti
HARRY CHAN PUTRA
 
Topology
TopologyTopology
Topology
HARRY CHAN PUTRA
 
Squid proxy
Squid proxySquid proxy
Squid proxy
HARRY CHAN PUTRA
 
Delay pool on_proxy_squid
Delay pool on_proxy_squidDelay pool on_proxy_squid
Delay pool on_proxy_squid
HARRY CHAN PUTRA
 

Recommended

whatsoever, hardening linux webserver in 60 minutes
whatsoever, hardening linux webserver in 60 minuteswhatsoever, hardening linux webserver in 60 minutes
whatsoever, hardening linux webserver in 60 minutes
idsecconf
 
Uso de la Programación para la Seguridad en Redes (a.k.a. Sockets y Shellcoding)
Uso de la Programación para la Seguridad en Redes (a.k.a. Sockets y Shellcoding)Uso de la Programación para la Seguridad en Redes (a.k.a. Sockets y Shellcoding)
Uso de la Programación para la Seguridad en Redes (a.k.a. Sockets y Shellcoding)
Pedro Valera
 
Tutorial step by_step_setting_mikrotik
Tutorial step by_step_setting_mikrotikTutorial step by_step_setting_mikrotik
Tutorial step by_step_setting_mikrotik
HARRY CHAN PUTRA
 
Banquet 09
Banquet 09Banquet 09
Banquet 09
Koubei UED
 
Capture cacti
Capture cactiCapture cacti
Capture cacti
HARRY CHAN PUTRA
 
Topology
TopologyTopology
Topology
HARRY CHAN PUTRA
 
Squid proxy
Squid proxySquid proxy
Squid proxy
HARRY CHAN PUTRA
 
Delay pool on_proxy_squid
Delay pool on_proxy_squidDelay pool on_proxy_squid
Delay pool on_proxy_squid
HARRY CHAN PUTRA
 
Squid
SquidSquid
Squid
HARRY CHAN PUTRA
 
Artikelserver
ArtikelserverArtikelserver
Artikelserver
HARRY CHAN PUTRA
 
Olivevme110usermanualid
Olivevme110usermanualidOlivevme110usermanualid
Olivevme110usermanualid
HARRY CHAN PUTRA
 
Instalasi depdiknux
Instalasi depdiknuxInstalasi depdiknux
Instalasi depdiknux
HARRY CHAN PUTRA
 
Command show pada metro eth
Command show pada metro ethCommand show pada metro eth
Command show pada metro eth
HARRY CHAN PUTRA
 
Proxy server remote_box
Proxy server remote_boxProxy server remote_box
Proxy server remote_box
HARRY CHAN PUTRA
 
11 mac address table characteristic configuration
11 mac address table characteristic configuration11 mac address table characteristic configuration
11 mac address table characteristic configuration
HARRY CHAN PUTRA
 
Modul 10 vicon
Modul 10 viconModul 10 vicon
Modul 10 vicon
HARRY CHAN PUTRA
 
Zxdsl 9210 guide
Zxdsl 9210 guideZxdsl 9210 guide
Zxdsl 9210 guide
HARRY CHAN PUTRA
 
Ppt sustentabilidade
Ppt sustentabilidadePpt sustentabilidade
Ppt sustentabilidade
jars99
 
Diário Oficial 01/05/2013
Diário Oficial 01/05/2013Diário Oficial 01/05/2013
Diário Oficial 01/05/2013
prefeituraguaruja
 
Guiomar corral memoriatesi_2009_07_13.pdf.txt;jsessionid=49bfb8b510baef6cc9ec...
Guiomar corral memoriatesi_2009_07_13.pdf.txt;jsessionid=49bfb8b510baef6cc9ec...Guiomar corral memoriatesi_2009_07_13.pdf.txt;jsessionid=49bfb8b510baef6cc9ec...
Guiomar corral memoriatesi_2009_07_13.pdf.txt;jsessionid=49bfb8b510baef6cc9ec...
Hai Nguyen
 
2016 manual de plataforma pge
2016 manual de plataforma pge2016 manual de plataforma pge
2016 manual de plataforma pge
William Rodriguez Benitez
 
Raquel t della_mea_schnorr_2011
Raquel t della_mea_schnorr_2011Raquel t della_mea_schnorr_2011
Raquel t della_mea_schnorr_2011
Rafael Silva Faria Lamas
 
Boletim pedrmr janiero 2013
Boletim pedrmr janiero 2013Boletim pedrmr janiero 2013
Boletim pedrmr janiero 2013
Folha de Pernambuco
 
El parque y sus alrededores version imprimir
El parque y sus alrededores version imprimirEl parque y sus alrededores version imprimir
El parque y sus alrededores version imprimir
Jose Antonio
 
Tecnologia - Uma Ferramenta Pedagógica Necessária
Tecnologia - Uma Ferramenta Pedagógica NecessáriaTecnologia - Uma Ferramenta Pedagógica Necessária
Tecnologia - Uma Ferramenta Pedagógica Necessária
silHelio
 
R hcap22
R hcap22R hcap22
R hcap22
Mauricio F. Oliveira
 
Tabelas pesquisa comércio eletrônico fecomércio
Tabelas pesquisa comércio eletrônico fecomércioTabelas pesquisa comércio eletrônico fecomércio
Tabelas pesquisa comércio eletrônico fecomércio
Folha de Pernambuco
 
망고100 보드로 놀아보자 16
망고100 보드로 놀아보자 16망고100 보드로 놀아보자 16
망고100 보드로 놀아보자 16
종인 전
 
Programació de sockets amb C++
Programació de sockets amb C++Programació de sockets amb C++
Programació de sockets amb C++
Xavier Sala Pujolar
 
张宴NGINX
张宴NGINX张宴NGINX
张宴NGINX
wensheng wei
 

More Related Content

Viewers also liked

11 mac address table characteristic configuration
11 mac address table characteristic configuration11 mac address table characteristic configuration
11 mac address table characteristic configuration
HARRY CHAN PUTRA
 
Guiomar corral memoriatesi_2009_07_13.pdf.txt;jsessionid=49bfb8b510baef6cc9ec...
Guiomar corral memoriatesi_2009_07_13.pdf.txt;jsessionid=49bfb8b510baef6cc9ec...Guiomar corral memoriatesi_2009_07_13.pdf.txt;jsessionid=49bfb8b510baef6cc9ec...
Guiomar corral memoriatesi_2009_07_13.pdf.txt;jsessionid=49bfb8b510baef6cc9ec...
Hai Nguyen
 
Tecnologia - Uma Ferramenta Pedagógica Necessária
Tecnologia - Uma Ferramenta Pedagógica NecessáriaTecnologia - Uma Ferramenta Pedagógica Necessária
Tecnologia - Uma Ferramenta Pedagógica Necessária
silHelio
 
Tabelas pesquisa comércio eletrônico fecomércio
Tabelas pesquisa comércio eletrônico fecomércioTabelas pesquisa comércio eletrônico fecomércio
Tabelas pesquisa comércio eletrônico fecomércio
Folha de Pernambuco
 

Viewers also liked (19)

Squid
SquidSquid
Squid
 
Artikelserver
ArtikelserverArtikelserver
Artikelserver
 
Olivevme110usermanualid
Olivevme110usermanualidOlivevme110usermanualid
Olivevme110usermanualid
 
Instalasi depdiknux
Instalasi depdiknuxInstalasi depdiknux
Instalasi depdiknux
 
Command show pada metro eth
Command show pada metro ethCommand show pada metro eth
Command show pada metro eth
 
Proxy server remote_box
Proxy server remote_boxProxy server remote_box
Proxy server remote_box
 
11 mac address table characteristic configuration
11 mac address table characteristic configuration11 mac address table characteristic configuration
11 mac address table characteristic configuration
 
Modul 10 vicon
Modul 10 viconModul 10 vicon
Modul 10 vicon
 
Zxdsl 9210 guide
Zxdsl 9210 guideZxdsl 9210 guide
Zxdsl 9210 guide
 
Ppt sustentabilidade
Ppt sustentabilidadePpt sustentabilidade
Ppt sustentabilidade
 
Diário Oficial 01/05/2013
Diário Oficial 01/05/2013Diário Oficial 01/05/2013
Diário Oficial 01/05/2013
 
Guiomar corral memoriatesi_2009_07_13.pdf.txt;jsessionid=49bfb8b510baef6cc9ec...
Guiomar corral memoriatesi_2009_07_13.pdf.txt;jsessionid=49bfb8b510baef6cc9ec...Guiomar corral memoriatesi_2009_07_13.pdf.txt;jsessionid=49bfb8b510baef6cc9ec...
Guiomar corral memoriatesi_2009_07_13.pdf.txt;jsessionid=49bfb8b510baef6cc9ec...
 
2016 manual de plataforma pge
2016 manual de plataforma pge2016 manual de plataforma pge
2016 manual de plataforma pge
 
Raquel t della_mea_schnorr_2011
Raquel t della_mea_schnorr_2011Raquel t della_mea_schnorr_2011
Raquel t della_mea_schnorr_2011
 
Boletim pedrmr janiero 2013
Boletim pedrmr janiero 2013Boletim pedrmr janiero 2013
Boletim pedrmr janiero 2013
 
El parque y sus alrededores version imprimir
El parque y sus alrededores version imprimirEl parque y sus alrededores version imprimir
El parque y sus alrededores version imprimir
 
Tecnologia - Uma Ferramenta Pedagógica Necessária
Tecnologia - Uma Ferramenta Pedagógica NecessáriaTecnologia - Uma Ferramenta Pedagógica Necessária
Tecnologia - Uma Ferramenta Pedagógica Necessária
 
R hcap22
R hcap22R hcap22
R hcap22
 
Tabelas pesquisa comércio eletrônico fecomércio
Tabelas pesquisa comércio eletrônico fecomércioTabelas pesquisa comércio eletrônico fecomércio
Tabelas pesquisa comércio eletrônico fecomércio
 

Similar to Vpn gw2gw

망고100 보드로 놀아보자 16
망고100 보드로 놀아보자 16망고100 보드로 놀아보자 16
망고100 보드로 놀아보자 16
종인 전
 
Conf basica switch-p1
Conf basica switch-p1Conf basica switch-p1
Conf basica switch-p1
1 2d
 

Similar to Vpn gw2gw (10)

망고100 보드로 놀아보자 16
망고100 보드로 놀아보자 16망고100 보드로 놀아보자 16
망고100 보드로 놀아보자 16
 
Programació de sockets amb C++
Programació de sockets amb C++Programació de sockets amb C++
Programació de sockets amb C++
 
张宴NGINX
张宴NGINX张宴NGINX
张宴NGINX
 
Symm basics
Symm basicsSymm basics
Symm basics
 
Inteldm
InteldmInteldm
Inteldm
 
Clase5_Python-CTIC
Clase5_Python-CTICClase5_Python-CTIC
Clase5_Python-CTIC
 
Fundamental know-how of Linux tech
Fundamental know-how of Linux techFundamental know-how of Linux tech
Fundamental know-how of Linux tech
 
20100925 sola-android
20100925 sola-android20100925 sola-android
20100925 sola-android
 
FISL11 2010 - Automação de Datacenters
FISL11 2010 - Automação de DatacentersFISL11 2010 - Automação de Datacenters
FISL11 2010 - Automação de Datacenters
 
Conf basica switch-p1
Conf basica switch-p1Conf basica switch-p1
Conf basica switch-p1
 

More from HARRY CHAN PUTRA

07 VLAN Principle and Configuration.pdf
07 VLAN Principle and Configuration.pdf07 VLAN Principle and Configuration.pdf
07 VLAN Principle and Configuration.pdf
HARRY CHAN PUTRA
 
12 link aggregation configuration
12 link aggregation configuration12 link aggregation configuration
12 link aggregation configuration
HARRY CHAN PUTRA
 
05 interface appended characteristic configuration
05 interface appended characteristic configuration05 interface appended characteristic configuration
05 interface appended characteristic configuration
HARRY CHAN PUTRA
 
Bdcom s2508 b hardware installation manual
Bdcom s2508 b hardware installation manualBdcom s2508 b hardware installation manual
Bdcom s2508 b hardware installation manual
HARRY CHAN PUTRA
 
Hacom%20pf sense%20quick start%20guide
Hacom%20pf sense%20quick start%20guideHacom%20pf sense%20quick start%20guide
Hacom%20pf sense%20quick start%20guide
HARRY CHAN PUTRA
 

More from HARRY CHAN PUTRA (20)

07 VLAN Principle and Configuration.pdf
07 VLAN Principle and Configuration.pdf07 VLAN Principle and Configuration.pdf
07 VLAN Principle and Configuration.pdf
 
12 link aggregation configuration
12 link aggregation configuration12 link aggregation configuration
12 link aggregation configuration
 
05 interface appended characteristic configuration
05 interface appended characteristic configuration05 interface appended characteristic configuration
05 interface appended characteristic configuration
 
Bdcom s2508 b hardware installation manual
Bdcom s2508 b hardware installation manualBdcom s2508 b hardware installation manual
Bdcom s2508 b hardware installation manual
 
Mplsvpn seminar
Mplsvpn seminarMplsvpn seminar
Mplsvpn seminar
 
Firewall ip filter
Firewall ip filterFirewall ip filter
Firewall ip filter
 
9210 commissioning manual
9210 commissioning manual9210 commissioning manual
9210 commissioning manual
 
Bsd routers
Bsd routersBsd routers
Bsd routers
 
Hacom%20pf sense%20quick start%20guide
Hacom%20pf sense%20quick start%20guideHacom%20pf sense%20quick start%20guide
Hacom%20pf sense%20quick start%20guide
 
Pfsense%20%20note
Pfsense%20%20notePfsense%20%20note
Pfsense%20%20note
 
66 pf sensetutorial
66 pf sensetutorial66 pf sensetutorial
66 pf sensetutorial
 
Modul 1-instalasi
Modul 1-instalasiModul 1-instalasi
Modul 1-instalasi
 
Modul 1-instalasi
Modul 1-instalasiModul 1-instalasi
Modul 1-instalasi
 
Modul 0-pengantar
Modul 0-pengantarModul 0-pengantar
Modul 0-pengantar
 
Modul 0-pengantar
Modul 0-pengantarModul 0-pengantar
Modul 0-pengantar
 
Slimsinserver2go
Slimsinserver2goSlimsinserver2go
Slimsinserver2go
 
Modul 9 pengelolaan_infra
Modul 9 pengelolaan_infraModul 9 pengelolaan_infra
Modul 9 pengelolaan_infra
 
Modul 8 vo_ip
Modul 8 vo_ipModul 8 vo_ip
Modul 8 vo_ip
 
Modul 7 infrastruktur
Modul 7 infrastrukturModul 7 infrastruktur
Modul 7 infrastruktur
 
Wireless
WirelessWireless
Wireless
 

Vpn gw2gw

  • 1. INSTALASI VPN GATEWAY 2 GATEWAY (Dengan freeswan && shorewall ):: Quick Edition Mirrored form : http://irvan.or.id/tutorial.php?act=view&id=5 Oleh: Z3r0byt3 http://irvan.or.id http://echo.or.id irv@irvan.or.id
  • 2. http://echo<dot>or<dot>id<slash>paper *editor : No preface Instalasi vpn menggunakan freeswan versi 2.06 untuk koneksi gateway to gateway Catatan: Konfigurasi ini dilakukan pada kedua mesin yang bertindak sebagai gateway untuk masing-masing jaringan Kondisi awal, kita memiliki 2 buah mesin yaitu: - Server A : - memiliki: - ip publik = 202.155.138.101 - netmask = 255.255.255.240 - ip router = 202.155.138.240 - ip lokal = 172.16.0.49 - netmask = 255.255.252.0 - Server B : - memiliki: - ip publik = 202.155.100.100 - netmask = 255.255.255.240 - ip router = 202.155.100.101 - ip lokal = 192.168.1.130 - netmask = 255.255.255.0 - Paket Tcpdump terinstall pada masing-masing mesin Konfigurasi umum untuk Server A dan Server B 1. Mesin linux lengkap dengan iptables, shorewall dan source code kernel 2. Pindah direktori ke direktori /var/tmp #cd /var/tmp 3. ekstrak file freeswan-2.06.tar.gz #tar -zxvf secure-linux/source/freeswan-2.06.tar.gz 4. pindah ke direktori freeswan-2.06 #cd freeswan-2.06 5. edit file Makefile.inc
  • 3. http://echo<dot>or<dot>id<slash>paper #vi Makefile.inc 6. Ubah baris berikut: INC_USRLOCAL=/usr/local menjadi INC_USRLOCAL=/usr dan baris berikut: INC_MANDIR=man Menjadi: INC_MANDIR=share/man 7. Patch kembali kernel dengan freeswan #make kpatch 8. konfigurasi ulang kernel dan kompile dengan mengaktifkan modul IPSEC/Freeswan #cd /usr/src/linux #make menuconfig aktifkan modul IPSEC/Freeswan, kemudian simpan konfigurasi dan keluar #make dep clean bzImage #cp arch/i368/boot/bzImage /boot/vmlinuz-2.4.26 #cp System.map /boot/System.map-2.4.26 #lilo 9. Reboot mesin #reboot 10. Pindah ke direktori freeswan #cd /var/tmp/freeswan-2.06
  • 4. http://echo<dot>or<dot>id<slash>paper 11. Compile dan install freeswan #make program #make install 12. pindah direktori kerja menjadi /root #cd /root Pada server A 13. Buat 2 buah rsa key yang akan di gunakan untuk kedua mesin (key ini hanya di generate pada satu buah mesin) #ipsec rsasigkey --verbose 2192 > left-key #ipsec rsasigkey --verbose 2192 > right-key 14. Copy file left-key menjadi file ipsec.secrets #cp left-key /etc/ipsec.secrets 15. Edit file /etc/ipsec.secrets, tambahkan parameter berikut: 202.155.138.101 202.155.100.100: RSA { #pada baris awal } #pada baris akhir *catatan: ip tersebut merupakan ip publik kedua mesin. *catatan: ip tersebut merupakan ip publik kedua mesin. 16. dengan menggunakan sftp atau scp copy file right-key ke server B Pada server B 17. Copy file right-key menjadi file ipsec.secrets #cp right-key /etc/ipsec.secrets 18. Edit file /etc/ipsec.secrets, tambahkan parameter berikut: 202.155.138.101 202.155.100.100: RSA { #pada baris awal } #pada baris akhir *catatan: ip tersebut merupakan ip publik kedua mesin.
  • 5. http://echo<dot>or<dot>id<slash>paper Pada Kedua mesin, server A dan server B 19. Edit file /etc/ipsec.conf, kemudian isi dengan konfigurasi berikut: config setup interfaces="ipsec0=eth0" klipsdebug=none conn block auto=ignore conn private auto=ignore conn private-or-clear auto=ignore conn clear-or-private auto=ignore conn clear auto=ignore conn packetdefault auto=ignore conn a-b left=202.155.138.101 leftsubnet=172.16.0.0/22 leftnexthop=202.155.138.240 right=202.155.100.100 rightsubnet=192.168.1.0/24 rightnexthop=202.155.100.101 keyingtries=0 auth=esp authby=rsasig leftrsasigkey=0sAQNZYi1vkyiJN.......(dipotong, karena terlalu panjang) rightrsasigkey=0sAQOoYLTSZRvx.......(dipotong, karena terlalu panjang) auto=start *Catatan:
  • 6. http://echo<dot>or<dot>id<slash>paper - leftrsasigkey= diambil dari file /etc/ipsec.secrets pada server A pada bagian pubkey= - righttrsasigkey= diambil dari file /etc/ipsec.secrets pada server B pada bagian pubkey= 20. Edit file /etc/shorewall/tunnels #vi /etc/shorewall/tunnels kemudian isi dengan parameter berikut: Untuk server A ipsec net 202.155.100.100 Untuk server B ipsec net 202.155.138.101 21. Edit file /etc/shorewall/zones #vi /etc/shorewall/zones kemudian isi dengan parameter berikut: Pada Server A dan Server B vpn VPN VPN Euuuyyyyy 22. Edit file /etc/shorewallinterface #vi /etc/shorewall/interfaces kemudian isi dengan parameter berikut: Pada Server A dan Server B vpn ipsec0 23. Edit file /etc/shorewall/hosts # vi /etc/shorewall/hosts kemudian isi dengan parameter berikut: Pada Server A vpn eth0:192.18.1.0/24
  • 7. http://echo<dot>or<dot>id<slash>paper Pada Server B vpn eth0:172.16.0.0/22 24. Edit file /etc/shorewall/masq #vi /etc/shorewall/masq kemudian isi ubah parameter yang ada menjadi: Pada Server A eth0:!192.168.1.0/24 172.16.0.0/22 Pada Server B eth0:!172.16.0.0/22 192.168.1.0/24 25. Edit file /etc/shorewall/policy #vi /etc/shorewall/policy kemudian isi dengan parameter berikut: Pada Server A dan Server B loc vpn ACCEPT vpn loc ACCEPT 26. Restart service shorewall pada kedua server #/etc/init.d/shorewall restart 27. Jalankan ipsec pada kedua server #/etc/init.d/ipsec start 28. Lihat log pada file /var/log/secure #tail -f /var/log/secure Jika hasil log menunjukan hasil seperti di bawah: ipsec__plutorun: Starting Pluto subsystem... pluto[14479]: Starting Pluto (FreeS/WAN Version 2.06 PLUTO_USES_KEYRR) pluto[14479]: Using KLIPS IPsec interface code pluto[14479]: added connection description "servera-serverb" pluto[14479]: listening for IKE messages pluto[14479]: adding interface ipsec0/eth0 202.155.100.100 pluto[14479]: loading secrets from "/etc/ipsec.secrets" pluto[14479]: "a-b" #1: initiating Main Mode
  • 8. http://echo<dot>or<dot>id<slash>paper pluto[14479]: "a-b" #1: ISAKMP SA established pluto[14479]: "a-b" #2: initiating Quick Mode RSASIG+ENCRYPT+PFS+UP {using isakmp#1} pluto[14479]: "a-b" #2: sent QI2, IPsec SA established {ESP=>0x2dfcd977 <0xada21f1a} pluto[14479]: "a-b" #3: responding to Main Mode pluto[14479]: "a-b" #3: sent MR3, ISAKMP SA established pluto[14479]: "a-b" #3: retransmitting in response to duplicate packet; already STATE_MAIN_R3 pluto[14479]: "a-b" #4: responding to Quick Mode maka koneksi vpn telah berhasil, dan tinggal melakukan pengetesan serta sniffing paket untuk pembuktian. jika hasil output log tidak seperti di atas, maka terjadi kesalahan pada konfigurasi ipsec atau pun kernel. lihat error message dan perbaiki kembali konfigurasi tersebut. 29. Jalankan tcpdump pada server B #tcpdump -n -i eth0 30. Lakukan ping dari salah satu ip di jaringan lokal B (192.168.1.14) ke salah satu ip jaringan lokal A (172.16.0.3) #ping 172.16.0.3 31. Lihat output dari tcpdump pada server Jika hasil output tcpdump pada server B seperti di bawah: 14:39:28.504834 IP 202.155.100.100 > 202.155.138.101: ESP(spi=0x2dfcd978,seq=0x36c) 14:39:29.644717 IP 202.155.138.101 > 202.155.100.100: ESP(spi=0xada21f1b,seq=0x38e) 14:39:29.645521 IP 202.155.100.100 > 202.155.138.101: ESP(spi=0x2dfcd978,seq=0x36d) maka koneksi vpn telah benar-benar berhasil.