Home

Configuring Dynamic IPsec Point-to-Point VTI

Leave a comment

Introduction

For static VTI config, can be seen here

The problem with MOST of static tunneling (whether it GRE or VTI) is the administrative burden as number of the branchs grows

So, why not we create a dynamic one…a dynamic VTI Tunnel, like DMVPN…a hub-and-spoke topology

spoke router still use static VTI, but hub dont have to

Prerequisite for learning:

  • VPN Knowledge and Configuration
  • IKE phase 1 and phase 2

—————————————-

The Design

Untuk initial config-nya, pasang aja default static route dari R1,R2,R3 ke R4-Internet…di Internet pasang static route ke masing2 cabang

——————————————————–

The Configuration

Sebenernya yang aga berubah cuma di HUB nya aja (R1-HQ), di branch/spoke-nya pake normal Static VTI biasa

Settingannya standar IKEv1 site-to-site VPN kok…bikin key, policy, profile, dll…

On the Hub (R1-HQ)

Kita create “gantungan kunci”…dimana ada 2 kunci disana…masing2 buat R2 dan R2

Trus kita bikin SA (security association-nya, phase 1) untuk negosiasi sama branch mau pake enkripsi apa, hashing apa, key model apa…

(hash nya pake “sha”…ga ada di sana karena memang default, untuk ngeliat policy default-nya coba ketik “show crypto isakmp policy“)

Trus kita bikin profile…klo mau VPN-an pake “gantungan kunci” yang mana, ke site mana, pake interface apa

(virtual-template 1 nanti kita bikin dibawah)

Trus bikin phase 2-nya, ipsec transform-nya…kita pengen traffic kita di encapsulasi pake esp dengan enkripsi aes (esp-aes) plus key exchange-nya pake esp-sha-hmac biar secure

Masuking itu ipsec transform-nya ke profile…

Pfs = perfect forward secrecy….pake metode diffie-hellman group 5 (1500 bit) untuk ensure key/kunci yang dipake untuk VPN ga akan dipake 2x, jadi klo mau koneksi ulang..bikin lagi key nya (biar ga bisa di duplikat)

Trus bikin interface virtual-template, INILAH YANG MEMBEDAKAN STATIC VTI DAN DYNAMIC VTI

Di hub…kita ga pake interface tunnel…tp pake interface virtual-template

Configurasi di R2 dan R3

Pake STATIC VTI, sama aja

—————————————

Verification

Contoh gw ping dari ip 2.2.2.2 yang ada di Branch1 (R2-BR1)

Success, now lets see VPN session-nya

Yup….up and active

Ini bisa pake IKEv2 ga? Bisa…

—————————————————

References:

http://www.certvideos.com/configuring-dynamic-point-to-point-ipsec-vti-tunnels/

http://www.internet-computer-security.com/VPN-Guide/PFS.html

IPSec Site2Site with VTI (Virtual Tunnel Interface)

Leave a comment

Kemaren kita bahas tentang salah satu varian Cisco VPN, yaitu DMVPN

Sekarang kita bahas tentang varian lainnya, yaitu VTI (Virtual Tunnel Interface)

Pre-requisite:

  • GRE (knowledge about DMVPN dan Secure DMVPN much preferred)

———————————————————————

Why VTI?

Kelemahan dari DMVPN adalah dalam pemakaian tunnel-nya, klo kita mau konek ke branch, kita pointing ke IP tunnel-nya (tul gak?!?), bikin IP baru lagi dong (taro di tunnel), dan yang pasti management IP lebih berat lagi dong, belum lagi ga terlalu “routable” itu IP di tunnel (fungsi IP tunnel-nya itu kan buat konekin tunnel satu ke yang lain…itu tok)

Nah, kelemahan ini yang VTI eliminasi, di interface tunnel ga perlu ada IP, pointing tunnel-nya ke IP “beneran” (biasa ke loopback)

Kok bisa? Lets take a look at the network diagram and configuration below

Take a look at “int tunnel 1” with no ip address and replaced by “ip unnumbered loopback 1” command alias R1 akan pointing IP Address tunnel-nya ke loopback

Untuk maksud “tunnel mode ipsec ipv4” dan “tunnel protection ipsec profile [nama]” sudah dijelaskan di Secure DMVPN (artinya lu harus setting sendiri profile-nya…liat aja caranya di link yang gw kasih)

Untuk routing bisa sendirilah…gw pake default route aja

Lets verify is VTI tunnel kita dapet IP apa engga

Take a look at IP address Tunnel1…IP-nya adalah 1.1.1.1, method TFTP…artinya VTI Tunnel kita dapet IP

Lets ping to the R3 tunnel (which is 3.3.3.3)

Done…

——————————————————-

Bonus…

Advantages of VTI

Karena kita pake interface “beneran” (yang IP-nya routable), berarti kita juga bisa taro QoS di VTI

Contohnya…klo ada traffic make IP loopback untuk koneksi normal kita kasi precedence 4 (semakin tinggi nilai semakin di prioritaskan), sedangkan klo ada traffic make IP looback buat VPN-an kita kasi precedence 2 (that’s great!!!)

Nyok kita liat…

Bikin Klasifikasi Traffic (Class-map) dulu …untuk misahin traffic biasa (FastEth-Class) dan traffic VTI (VTI-Class)

Trus bikin Policy untuk masing2 traffic (Policy-map), lalu taro de di interface tunnel dengan service policy output [nama policy-map] seperti yang kita lihat dibawah ini

Nah, klo trafficnya pake VTI Tunnel (buat ke branch misalkan), nanti akan di kasi prioritas rendah (precedence 2), sisanya normal

Untuk lebih jelas tentang Traffic Classification, Traffic Policing, dan Traffic Shaping bisa dilihat disini

Verifikasi:

———————————————

References:

VPN Differences @Ciscozine.com – http://www.ciscozine.com/ipsec-vpn-ezvpn-gre-dmvpn-vti-getvpn/

Comparing VPN @Firewall.cx – http://www.firewall.cx/cisco-technical-knowledgebase/cisco-services-tech/945-cisco-comparing-vpn-technologies.html

Advantages using VTI by Paul Stewart #26009 (Security) – http://www.packetu.com/2012/05/01/avantages-of-using-svti-based-vpns/

Advantages using VTI @Cisco Support Forum – https://supportforums.cisco.com/blog/149426/advantages-vti-configuration-ipsec-tunnels

IPSec WAN Design Review @Cisco whitepaper – http://www.cisco.com/application/pdf/en/us/guest/netsol/ns171/c649/ccmigration_09186a008074f22f.pdf