Introduction
For static VTI config, can be seen here
The problem with MOST of static tunneling (whether it GRE or VTI) is the administrative burden as number of the branchs grows
So, why not we create a dynamic one…a dynamic VTI Tunnel, like DMVPN…a hub-and-spoke topology
spoke router still use static VTI, but hub dont have to
Prerequisite for learning:
- VPN Knowledge and Configuration
- IKE phase 1 and phase 2
—————————————-
The Design
Untuk initial config-nya, pasang aja default static route dari R1,R2,R3 ke R4-Internet…di Internet pasang static route ke masing2 cabang
——————————————————–
The Configuration
Sebenernya yang aga berubah cuma di HUB nya aja (R1-HQ), di branch/spoke-nya pake normal Static VTI biasa
Settingannya standar IKEv1 site-to-site VPN kok…bikin key, policy, profile, dll…
On the Hub (R1-HQ)
Kita create “gantungan kunci”…dimana ada 2 kunci disana…masing2 buat R2 dan R2
Trus kita bikin SA (security association-nya, phase 1) untuk negosiasi sama branch mau pake enkripsi apa, hashing apa, key model apa…
(hash nya pake “sha”…ga ada di sana karena memang default, untuk ngeliat policy default-nya coba ketik “show crypto isakmp policy“)
Trus kita bikin profile…klo mau VPN-an pake “gantungan kunci” yang mana, ke site mana, pake interface apa
(virtual-template 1 nanti kita bikin dibawah)
Trus bikin phase 2-nya, ipsec transform-nya…kita pengen traffic kita di encapsulasi pake esp dengan enkripsi aes (esp-aes) plus key exchange-nya pake esp-sha-hmac biar secure
Masuking itu ipsec transform-nya ke profile…
Pfs = perfect forward secrecy….pake metode diffie-hellman group 5 (1500 bit) untuk ensure key/kunci yang dipake untuk VPN ga akan dipake 2x, jadi klo mau koneksi ulang..bikin lagi key nya (biar ga bisa di duplikat)
Trus bikin interface virtual-template, INILAH YANG MEMBEDAKAN STATIC VTI DAN DYNAMIC VTI
Di hub…kita ga pake interface tunnel…tp pake interface virtual-template
Configurasi di R2 dan R3
Pake STATIC VTI, sama aja
—————————————
Verification
Contoh gw ping dari ip 2.2.2.2 yang ada di Branch1 (R2-BR1)
Success, now lets see VPN session-nya
Yup….up and active
Ini bisa pake IKEv2 ga? Bisa…
—————————————————
References:
http://www.certvideos.com/configuring-dynamic-point-to-point-ipsec-vti-tunnels/
http://www.internet-computer-security.com/VPN-Guide/PFS.html
Miftah Rahman (Go)-Blog 
Leave a Reply