Introduction

For static VTI config, can be seen here

The problem with MOST of static tunneling (whether it GRE or VTI) is the administrative burden as number of the branchs grows

So, why not we create a dynamic one…a dynamic VTI Tunnel, like DMVPN…a hub-and-spoke topology

spoke router still use static VTI, but hub dont have to

Prerequisite for learning:

  • VPN Knowledge and Configuration
  • IKE phase 1 and phase 2

—————————————-

The Design

Untuk initial config-nya, pasang aja default static route dari R1,R2,R3 ke R4-Internet…di Internet pasang static route ke masing2 cabang

——————————————————–

The Configuration

Sebenernya yang aga berubah cuma di HUB nya aja (R1-HQ), di branch/spoke-nya pake normal Static VTI biasa

Settingannya standar IKEv1 site-to-site VPN kok…bikin key, policy, profile, dll…

On the Hub (R1-HQ)

Kita create “gantungan kunci”…dimana ada 2 kunci disana…masing2 buat R2 dan R2

Trus kita bikin SA (security association-nya, phase 1) untuk negosiasi sama branch mau pake enkripsi apa, hashing apa, key model apa…

(hash nya pake “sha”…ga ada di sana karena memang default, untuk ngeliat policy default-nya coba ketik “show crypto isakmp policy“)

Trus kita bikin profile…klo mau VPN-an pake “gantungan kunci” yang mana, ke site mana, pake interface apa

(virtual-template 1 nanti kita bikin dibawah)

Trus bikin phase 2-nya, ipsec transform-nya…kita pengen traffic kita di encapsulasi pake esp dengan enkripsi aes (esp-aes) plus key exchange-nya pake esp-sha-hmac biar secure

Masuking itu ipsec transform-nya ke profile…

Pfs = perfect forward secrecy….pake metode diffie-hellman group 5 (1500 bit) untuk ensure key/kunci yang dipake untuk VPN ga akan dipake 2x, jadi klo mau koneksi ulang..bikin lagi key nya (biar ga bisa di duplikat)

Trus bikin interface virtual-template, INILAH YANG MEMBEDAKAN STATIC VTI DAN DYNAMIC VTI

Di hub…kita ga pake interface tunnel…tp pake interface virtual-template

Configurasi di R2 dan R3

Pake STATIC VTI, sama aja

—————————————

Verification

Contoh gw ping dari ip 2.2.2.2 yang ada di Branch1 (R2-BR1)

Success, now lets see VPN session-nya

Yup….up and active

Ini bisa pake IKEv2 ga? Bisa…

—————————————————

References:

http://www.certvideos.com/configuring-dynamic-point-to-point-ipsec-vti-tunnels/

http://www.internet-computer-security.com/VPN-Guide/PFS.html

Advertisements