IPSEC VPN Site to Site Mikrotik

Posted: April 13, 2011 in MikroTik, Networking

Bro n Sista,

Indahnya berbagi, kali ini mw shared aja dan bermaksud agar tidak lupa jg. Simulasi IPSEC VPN Site to Site Mikrotik.
Berikut konfigurasinya, yang gue capture yang penting2 aja ya..
Berikut network diagramnya, untuk routingnya gue pake OSPF…

Power By Wiwid


Router Lab_1
1. Buat interface tunnel dulu, protokol yang dipakai ipip (kl ga salah protokol ini open standar ya, jadi bisa dg Cisco jg)

/interface ipip add local-address=10.8.8.2200 name=ipip1remote-address=10.8.8.231


2. Set ip address WAN, LAN, dan IP B2B IPIP Tunnelnya. Simulasi ip WAN nya pakai ip private ya,, jadi jangan bingung

/ip address
add address=10.8.8.220/24 interface=ether5 —-> (WAN)
add address=192.168.20.1/24 interface=ether4 —-> (LAN)
add address=172.16.123.1/24 interface=ipip1 –> (Tunnel)

3. Konfigurasi IPSEC,

/ip ipsec policy
add action=encrypt dst-address=10.8.8.220/32:any ipsec-protocols=esp level=require proposal=default protocol=all
sa-dst-address=10.8.8.220 sa-src-address=10.8.8.232 src-address=10.8.8.232/32:any tunnel=yes

/ip ipsec peer
add address=10.8.8.220/32:500 auth-method=pre-shared-key dh-group=modp1024 enc-algorithm=3des
hash-algorithm=md5 nat-traversal=yes proposal-check=obey secret=test123 send-initial-contact=yes

4. Aktifkan, routing OSPF nya

/routing ospf instance
add redistribute-connected=as-type-1 router-id=172.16.123.2

/routing ospf area
add area-id=0.0.0.255 instance=ospf1 name=area1
</strong

/routing ospf network
add area=area1 comment=”” disabled=no network=172.16.123.0/24

Untuk network ip,, cukup network ip tunnelnya aja –> interface ipip

Router Lab_2
1. Create Interface tunnel

/interface ipip
add local-address=10.8.8.220 name=ipip1 remote-address=10.8.8.232

2. Konfigurasi IP Addres router
/ip address
add address=10.8.8.220/24 interface=ether5 –> WAN
add address=192.168.20.1/24 interface=ether4 –> LAN
add address=172.16.123.1/24 interface=ipip1 –> Tunnel

3. Konfigurasi IPSEC,

/ip ipsec policy
add action=encrypt dst-address=10.8.8.232/32:any ipsec-protocols=esp level=require proposal=default protocol=all
sa-dst-address=10.8.8.232 sa-src-address=10.8.8.220 src-address=10.8.8.220/32:any tunnel=yes

/ip ipsec peer
add address=10.8.8.232/32:500 auth-method=pre-shared-key dh-group=modp1024 enc-algorithm=3des
hash-algorithm=md5 nat-traversal=yes proposal-check=obey secret=test123 send-initial-contact=yes

4. Konfigurasi Routing OSPF

/routing ospf instance
add redistribute-connected=as-type-1 router-id=172.16.123.2
/routing ospf area add area-id=0.0.0.255 instance=ospf1 name=area1

/routing ospf network add area=area1network=172.16.123.0/24

Jika konfigurasi kedua router sudah,, cek neighbor ospf dan ipsec SA’s nya

[admin@Lab1] /ip ipsec peer> /routing ospf neighbor pr
0 instance=ospf1 router-id=172.16.123.2 address=172.16.123.2 interface=ipip1 priority=1 dr-address=172.16.123.2 backup-dr-address=172.16.123.1 state=”Full”
state-changes=4 ls-retransmits=0 ls-requests=0 db-summaries=0 adjacency=1h17m40s

[admin@Lab1] /ip ipsec> installed-sa print
Flags: A – AH, E – ESP, P – pfs
0 E spi=0x83C42A6 src-address=10.8.8.220 dst-address=10.8.8.232 auth-algorithm=sha1 enc-algorithm=3des replay=4 state=mature
auth-key=”108f058577f1b6107b590763b54b9e85d3c14e86″ enc-key=”c74743412d19240f71aaddf817ff1e35fe1870ca601890d0″ addtime=apr/14/2011 08:59:31
add-lifetime=24m/30m usetime=apr/14/2011 08:59:35 use-lifetime=0s/0s current-bytes=9536 lifebytes=0/0

1 E spi=0xB12819E src-address=10.8.8.232 dst-address=10.8.8.220 auth-algorithm=sha1 enc-algorithm=3des replay=4 state=mature
auth-key=”1cfebaa94469d4adaf8f3f04569d1bf63ad3b990″ enc-key=”642bae95e59d17dac7216e926a9c5a17d89695cc6de8a8be” addtime=apr/14/2011 08:59:31
add-lifetime=24m/30m usetime=apr/14/2011 08:59:34 use-lifetime=0s/0s current-bytes=9636 lifebytes=0/0

Sekarang yang ditunggu, ping IP PC dari Router Lab_1

[admin@Lab1] /ip ipsec> /ping 192.168.10.2 size=1500 count=5
192.168.10.2 1500 byte ping: ttl=127 time=9 ms
192.168.10.2 1500 byte ping: ttl=127 time=9 ms
192.168.10.2 1500 byte ping: ttl=127 time=9 ms
192.168.10.2 1500 byte ping: ttl=127 time=10 ms
192.168.10.2 1500 byte ping: ttl=127 time=8 ms
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 8/9.0/10 ms

Jika via traceroute

[admin@Lab1] /ip ipsec> /tool traceroute 192.168.10.2
ADDRESS STATUS
1 172.16.123.2 2ms 3ms 2ms
2 192.168.10.2 7ms 2ms 2ms

Advertisements
Comments
  1. Yongki says:

    klo saya punya IP Public, dimana saya mengisi IP Public tersebut?
    apa 10.8.8.220 di ganti dengan IP Public?

    lalu maksud dari local address dan remote address apa?

    lalu kegunaan kita memberikan interface ipip1 sebagai tunnel buat apa?

    kenapa pada saat kita memberikan ip address 10.8.8.220 bersubnet mask 24,tapi pada saat mengisi ipsec peer 10.8.8.220 subnet masknya menjadi 32? Bagaimana kalau tidak mengisi subnet masknya?

    • Wiwid says:

      Ga masalah mas.. pake ip public pun gpp.
      ip public untuk WAN nya. local address adalah ip router itu sendiri, dan remote-address ip router lawan.
      create ipip1 tunnel, menurut saya karena ipsec perlu protocol carrier. Beda halnya dengan eoip-tunnel, dia bisa berdiri sendiri
      mengenai ip 10.8.8.220/24 kenapa ko bisa menjadi /32, karena ketika di konfigurasi ipsec policy, yang ditulis hanya ip itu sendiri
      otomatis /32. Sama halnya jika policy itu ditulis 192.16.20.2 sama halnya 192.168.20.2/32. Karena /32 itu ga ditulis maupun ditulis sama aja…

      Kurang lebih spt itu

  2. Yongki says:

    apa bisa local address ditulis ip private mikrotik itu sendiri dan remote address di tulis ip private mikrotik yang di tuju?

    lalu IP 172.16.123.1/24 seperti contoh pada interface ipip1 digunakan untuk apa?

    sedangkan untuk ipip1 yang digunakan tunnel apa menggunakan ip public?

    apa IPSec proposal tidak perlu di ubah configurasinya?

    sedangkan fungsi secret pada ip peer untuk apa? dan apa boleh saya kosongi?

    Thx sudah di reply postingan saya..

    • Wiwid says:

      Gini mas,,

      ip wan itu ga masalah mas,,bisa ip public atau ip private,,
      karena ini saya pake dijaringan internal,, maka IP WAN nya cukup pake ip private saja,, kebtulan ip private nya jg bisa akses internet..
      Kl mas ada kantor cabang,, ya pake ip public…

      kl ip 172.16.123.1/24 itu buat IP B2B (Back to back) tunnel aja,, buat testing tunnel apakah sdh link apa belum..

      ipsec proposal bisa dirubah2 jg,, sesuai kebutuhan aja..
      kl secret,, justru ini pentingnya sbg autentikasi karena ipsec itu sendiri mengandalkan autentikasi yg terenkapsulasi.

      kurang lebih spt itu mas
      CMIIW

  3. Yongki says:

    misal : IP Public = 64.128.26.224/28
    GW = 64.128.26.225/28
    64.128.26.225-238/28

    apa benar settingan saya seperti ini?

    Mikrotik Kota A :

    / interface ipip add local-address=64.128.26.225 name=Tunnel1 remote-address=64.128.26.226

    / ip address
    add address=64.128.26.225/28 interface=ether1 – WAN
    add address=10.10.8.11/22 interface=ether2 – LAN
    add address=10.10.8.10/22 interface=Tunnel1

    / routing rip neighbor
    add address=64.128.26.226

    / routing rip network

    add address=10.10.8.0/22
    add address=64.128.26.224/28

    / ip ipsec proposal
    add name=”IPSec” auth-algorithms=md5 enc-algorithms=3des lifetime=30m pfs-group=modp1024 disabled=no

    / ip ipsec peer
    add address=64.128.26.225/32:500 secret=”ipsec” generate-policy=no exchange-mode=main send-initial-contact=yes \
    proposal-check=obey hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 disabled=no

    / ip ipsec policy
    add src-address=64.128.26.225/32:any dst-address=64.128.26.226/32:any protocol=all action=encrypt level=require \
    ipsec-protocols=esp tunnel=no sa-src-address=64.128.26.225 sa-dst-address=64.128.26.226 \
    proposal=IPSec manual-sa=none disabled=no

    Mikrotik Kota B :

    / interface ipip add local-address=64.128.26.226 name=Tunnel1 remote-address=64.128.26.225

    / ip address
    add address=64.128.26.226/28 interface=ether1 – WAN
    add address=10.10.1.11/22 interface=ether2 – LAN
    add address=10.10.1.10/22 interface=Tunnel1

    / routing rip neighbor
    add address=64.128.26.225

    / routing rip network

    add address=10.10.1.0/22
    add address=64.128.26.224/28

    / ip ipsec proposal
    add name=”IPSec” auth-algorithms=md5 enc-algorithms=3des lifetime=30m pfs-group=modp1024 disabled=no

    / ip ipsec peer
    add address=64.128.26.226/32:500 secret=”ipsec” generate-policy=no exchange-mode=main send-initial-contact=yes \
    proposal-check=obey hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 disabled=no

    / ip ipsec policy
    add src-address=64.128.26.226/32:any dst-address=64.128.26.225/32:any protocol=all action=encrypt level=require \
    ipsec-protocols=esp tunnel=no sa-src-address=64.128.26.226 sa-dst-address=64.128.26.225 \
    proposal=IPSec manual-sa=none disabled=no

    Mohon bimbingannya, klo ada koreksi tolong di koreksi. agar saya lebih mengerti kesalahan saya..

    Btw, IP Address yang di router lab 2 apa ndak salah? berbeda sama yang di gambarnya..

  4. Wiwid says:

    Mas coba ping antar tunnel ipip1 nya dulu
    itu ip tunnel ga perlu ip existing, tapi ip sembarang aja..
    bisa ga ping ip tunnelnya…kl bisa tunneling berati sdh jalan

    tinggal create interface RIPnya..
    tadi saya liat belum ada,,,interface RIP nya ga perlu ALL, tapi cukup interface tunnelnya aja..

  5. colleng says:

    apakah mtode ini bisa digunakan sebagai tuneling… seumpama… kita mempunyai 2 router mikrotik tetapi berbeda lokasi…. satu di jakarta dan satu di palu…
    Wan jakarta menggunakan BW 16MB (Fo)
    sedangkan WAN di palu menngunakan speedy 3 MB…

    apakah sy bisa mentunel BW yg jakarta ke palu…
    dgn asumsi kita mendapat mengambil BW 3MB dari router jakarta untuk di gunakan berinternet di palu..

    Thanks

    • Wiwid says:

      Bisa Om,

      paling mudah pake EOIP TUnnel dg kombinasi mode bridge ya.
      Tapi manage ip LAN (satu network)nya berasal router jakarta. Dan jika dicek dari user palu dari situs http://www.whatismyipaddress.com maka, yang muncul adalah IP ISP nya Jakarta.
      Jika beda network ya pakai, ipsec atau ipip

      semoga bermanfaat
      Thx
      Wiwid

  6. colleng says:

    ada sampel untuk IPIP bro… mohon pencerahannya… udah ubrek kiri kanan tp belum bisa2 jg nih…

  7. Fauji Sandi says:

    apakah sebelum tunneling antara kedua router harus routing terlebih dahulu supaya konektifitas antar 2 router dan client bisa terkoneksi dengan baik?

    • Wiwid says:

      Mas Fauji,

      Intinya kedua router harus bisa ping. Jika kedua router melewati cloud internet, harus pake ip public.
      Tapi kl kedua router tersebut masih berada dalam satu area internal, ip private sdh cukup…

      thx
      Wiwid

  8. agyus says:

    Bagus bnget tutorialnya Mas Wiwid.
    di tunggu tutor versi plus gambarnya dehh…

  9. ngurah asri says:

    bozz, jika memakai 4 mikrotik router dgn settingan spt diatas bisa diterapkan?…mohon pencerahannya…

  10. ngurah asri says:

    sudah bisa ping antar ipip, trus share file kenapa ga bisa ya?…apa di mikrotik perlu di setup port utk file sharing…

  11. Anto says:

    Salam kenal mas Wiwid, aku dah coba terapkan tuts yg di atas, tapi kenapa SA nya gak muncul ya? kalau ping antar tunnel bisa… ospf jg lancar… knapa ya? trims

  12. anto says:

    hmmmm… kayaknya bgt mas, karena kalau merujuk dari tutorialnya mikrotik, seharusnya peer itu bukannya di isi IP publicnya router satunya / router lawan. tp saya coba aplikasikan kok masih tetep g bisa… mungkin ada masukan dari mas wiwid. trims.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s