Friday, 10 March 2017

L2TP + IPsec Mikrotik

Assalamualaikum,

Pada kali ini, kembali saya akan sharing mengenai materi tunneling. Tunneling kali ini yaitu mengenai L2TP yang dipadukan dengan IPsec. Sebelumnya, saya sudah membahas mengenati tunneling PPTP. L2TP sendiri, merupakan pengembangan dari tunneling PPTP dimana pada L2TP ada penambahan yaitu L2F.


Untuk enkripsi dan protocol yang digunakan pada L2TP sama dengan PPTP, yang membedakan hanya untuk berkomunikasi, L2TP menggunakan hubungan UDP dengan port 1701.

Seperti yang kita ketahui sebelumnya, untuk keamanan sendiri pada L2TP dan pada PPTP tidak begitu kuat, dalam artian dapat dengan mudah di jebol oleh orang yang tidak bertanggung jawab. Oleh karena itu, sekarang kita akan memadukan L2TP dengan IPsec. Oke langsung saja, kita menuju ke TKP..

Topologi

Konfigurasi

Pada kali ini, topologi yang akan kita gunakan tidak jauh berbeda dengan topologi lab PPTP yang sebelumnya, sekarang lagi ga lupa hehehe. Untuk konfigurasi anda dapat menggunakan project yang sebelumnya sudah di buat pada lab PPTP. Atau mungkin yang sebelumnya belum melakukan konfigurasi, dapat mengunjungi artikel LAB PPTP. Yang perlu dilakukan hanyalah disable service yang ada pada R3.
[admin@R3] > interface pptp-server server set enabled=no
Selanjutnya, kita akan melakukan konfigurasi L2TP. Masih sama seperti sebelumnya, R3 akan menjadi server lagi.
[admin@R3] > /interface l2tp-server server
set enabled=yes use-ipsec=yes ipsec-secret=idn
Berdasarkan konfigurasi diatas, kita akan menggunakan IPsec. Dalam penggunaan IPsec, kita berikan secret untuk IPsec tersebut. Jika sudah, konfigurasikan PPP Secret.
[admin@R3] > /ppp secret
add local-address=100.100.100.1 name=idn password=idn remote-address=100.100.100.2 routes=192.168.2.0/24 service=l2tp
Berdasarkan konfigurasi diatas, kita akan membuat autentikasi yang nantinya akan digunakan oleh L2TP Client. Dalam penggunaannya, L2TP akan membentuk pseudowire, oleh karena itu konfigurasikan local address dan juga remote address agar nantinya, apabila kedua router tersebut ingin saling berkomunikasi, dapat menggunakan address yang sudah dikonfigurasikan tersebut.

Lalu untuk routes, kita melakukan konfigurasi agar secara otomatis menambahkan jalur untuk menuju ke network yang sudah di definisikan tersebut. Jadi nantinya akan ada routing yang ditambahkan secara otomatis apabila kedua router sudah saling berhubungan menggunakan L2TP.

Lalu ada juga service. Pada service tersebut, kita mendefinisikan untuk tunnel apa PPP tersebut dibuat. Jika sudah, konfigurasikan pada R4 agar menjadi L2TP Client dari R3.
[admin@R4] > /interface l2tp-client
add connect-to=13.13.13.3 disabled=no ipsec-secret=idn name=l2tp-out1 password=idn use-ipsec=yes user=idn
Berdasarkan konfigurasi diatas, kita mendefinisikan server dari L2TP server yang ada. Setelah itu, dikarenakan tadinya kita melakukan konfigurasi ipsec pada pembuatan L2TP Server, maka definisikan pada L2TP Client agar menggunakan IPsec juga. Jangan lupa untuk memasukkan IPsec secret yang tadi sudah kita buat di R3. Jika sudah,  konfigurasikan proposal IPsec.
[admin@R3] > /ip ipsec proposal
add enc-algorithms=3des,aes-128-cbc name=proposal1
[admin@R4] > /ip ipsec proposal
add enc-algorithms=3des,aes-128-cbc name=proposal1
Berdasarkan konfigurasi diatas, kita menambahkan algoritma yang nantinya akan digunakan pada IPsec tersebut. Lalu kon/figurasi IPsec Policy.
[admin@R3] > /ip ipsec policy
add dst-address=24.24.24.4/32 sa-dst-address=100.100.100.2 sa-src-address=100.100.100.1 src-address=13.13.13.3/32 tunnel=yes
[admin@R4] > /ip ipsec policy
add dst-address=13.13.13.3/32 sa-dst-address=100.100.100.1 sa-src-address=100.100.100.2 src-address=24.24.24.4/32 tunnel=yes
Berdasarkan konfigurasi diatas, kita melakukan konfigurasi agar nantinya, ip sec dibuat untuk address yang telah di definisikan tadi. Selain itu juga kita akan menggunakan IPsec tunnel untuk dikombinasikan dengan L2TP. Jika sudah, konfigurasi IPsec peer.
[admin@R3] > /ip ipsec peer
add address=100.100.100.2/32 secret=idn
[admin@R4] > /ip ipsec peer
add address=100.100.100.1/32 secret=idn
Pada konfigurasi tersebut, kita mendefinisikan router mana yang akan berhubungan menggunakan IPsec dengan kita. Selain itu juga ada secret yang berguna sebagai autentikasi apabila ingin berhubungan. Jika sudah, tambahkan firewall nat agar nantinya client 1 dan client 2 dapat berhubungan satu sama lainnya.
[admin@R4] > /ip firewall nat
add action=masquerade chain=srcnat out-interface=l2tp-out1
Lalu lakukan verifikasi.
[admin@Client2] > ping 192.168.1.3
  SEQ HOST                        SIZE TTL TIME  STATUS 
    0 192.168.1.3                  56     63    3ms 
    1 192.168.1.3                  56     63    3ms 
    sent=2 received=2 packet-loss=0% min-rtt=3ms avg-rtt=3ms max-rtt=3ms 
Maka akan berhasil. Coba lakukan traceroute untuk mengetahui jalur yang digunakan.

 

Maka akan terlihat bahwa ketika client 2 melakukan ping dan traceroute ke R3, maka akan langsung menuju R3.

Share this