by: CITRAWEB SOLUSI TEKNOLOGI, PT
Aturan | Tentang Kami | Kontak Kami

Artikel

PPP Tunnel Bridging Mode Secure

Jum'at, 28 Oktober 2022, 14:50:17 WIB
Kategori: VPN

Interkoneksi antar site pada suatu jaringan menjadi kebutuhan penting saat memiliki beberapa kantor cabang. Terdapat banyak cara yang bisa digunakan untuk menghubungkan kedua site seperti VPN dan Tunneling. Yang paling membedakan adalah dari jenis topologi dan security yang ingin diterapkan. 
Banyak  perusahaan pusat dan perusahaan cabang ingin menghubungkan atau membangun interkoneksi antar kantor pusat dengan kantor cabang. Pada dasarnya, interkoneksi antar site biasanya menggunakan mode routing karena kedua site menggunakan network yang berbeda. 
Lalu bagaimana jika jaringan antar site ingin menggunakan network yang sama ??
Salah satu solusi yang paling mudah adalah dengan menggunakan EOIP. Karena saat menggunakan EOIP, koneksi yang terbentuk seperti ethernet-like dan bisa di bridging.  
Akan tetapi terdapat kelemahan saat menggunakan eoip, yaitu tidak terdapat enkripsi atau pengamanan data. Keamanan suatu link tentunya akan menjadi sangat penting saat menerapkan tunnel atau vpn. Karena data yang dilewatkan melalui internet akan menjadi sangat rentan dan tidak bisa dipercaya. Sehingga perlu adanya enkripsi di interkoneksi tersebut.

Dalam artikel kali ini, kami coba membahas bagaimana bridging kedua site dengan agar lebih secure. Yaitu dengan mengkombinasikan beberapa fitur agar bridging bisa berjalan dengan baik. Seperti yang diketahui, untuk menerapkan bridging pada mikrotik hanya bisa di interface ethernet-like seperti EOIP. Bridging tidak support ke interface vpn seperti PPTP, SSTP, dll. Berikut beberapa cara yang bisa digunakan untuk menghubungkan kedua site dengan aman :

1. EOIP Over IPSEC
2. PPTP BCP atau SSTP BCP
3. EOIP Over SSTP atau EOIP Over PPTP

Dari cara tersebut, kita akan bahas satu persatu untuk mengetahui keuntungan dan kekurangan yang dimiliki. Berikut penjelasan detailnya :

EOIP Over IPSEC

EOIP atau ethernet over ip adalah protokol di dalam  Mikrotik RouterOS yang berfungsi untuk membangun sebuah Network Tunnel antar MikroTik router di atas sebuah koneksi TCP/IP. EOIP sendiri adalah protokol proprietary MikroTik yang berarti hanya bisa bekerja di sesama perangkat mikrotik. 
Untuk bisa menerapkan eoip pada jaringan, kita akan membutuhkan IP Public dari kedua site, dan menentukan tunnel ID. Untuk lebih lanjut bisa cek artikel https://citraweb.com/artikel/233/

Saat link eoip sudah terbentuk, standarnya tidak terdapat enkripsi pada jalur tersebut. Agar lebih aman, kita bisa kombinasikan dengan fitur lain seperti IPSec. IPsec adalah  sebuah protokol yang digunakan untuk mengamankan transmisi datagram dalam sebuah internetwork berbasis TCP/IP.

Untuk menambahkan security ipsec pada eoip, yaitu bisa dengan menggunakan IPSec secret yang sudah tersedia pada EOIP. Berikut contoh konfigurasinya : 
 

Pastikan IPsec Secret terpasang di kedua sisi router, dan menggunakan secret yang sama. Setelah eoip ipsec terbentuk, kita cukup tambahkan interface eoip kedalam bridge agar kedua site menggunakan network yang sama. Detail konfigurasi bridging eoip ipsec sebagai berikut : 

Jangan lupa untuk mebridging EoIP  dengan interface yang menuju ke jaringan lokal di masing-masing router. Agar kedua jaringan lokal di kedua site menggunakan network atau segment yang sama. 
Secara default, karena sudah menggunakan ipsec secret, maka router akan membuat enkripsi untuk interkoneksi jaringan eoip tersebut. Cara pengecekannya bisa dilihat pada menu IP>IPSec>Active Peers. Akan terdapat informasi mengenai link yang sudah terbentuk menggunakan EOIP

Protocol yang digunakan untuk enkripsi adalah ESP atau Encapsulating Security Payload. Bisa dicek di IPSec > Policy 

Dengan menggunakan EOIP + Ipsec ini maka interkoneksi antar site akan lebih secure. Defaultnya, saat menerapkan IPSec Secret pada EOIP maka menggunakan mode ESP Transport mode dengan autentikasi SHA1 dan encryption AES 128 CBC. Yang pastinya akan terdapat tambahan header yang besar yaitu IP Header + EOIP + ESP Header + Payload Data + ESP Trailer + ESP Authentication Data. 
Keuntungannya, beberapa perangkat Mikrotik juga sudah support dengan HW Encryption untuk mempercepat proses enkripsi IPSec pada CPU. Detail penjelasannya ada pada artikel berikut https://citraweb.com/artikel/233/

PPTP / SSTP BCP

perlu di ketahui, saat menggunakan pptp atau sstp kita akan menggunakan metode routing. PPTP dan sstp tidak bisa di bridging, solusinya agar bisa di bridging kita harus menggunakan BCP atau bridge control protocol. Cara konfigurasinya adalah sebagai berikut : 
- Contoh konfig sstp bcp 
Masuk ke menu PPP dan menu profile dan tambahkan nama user dan pilih bridgenya

didalam sstp profile tersebut kita harus memasukkan bridge yang telah kita buat sebelumnya
kemudian kita membuat secret password untuk user sstp, 

setelah itu kita jalankan service SSTP server dengan mengklik ppp => sstp server

Konfigurasi di sisi cabang(Site-2)

Pertama kita harus membuat proflie yang kita ingin ,tak lupa kita harus menambahkan bridge juga.

kemudian untuk konek ke pusat kita bisa ke menu PPP => sstp client

Apabila konfigurasi sstp bcp sudah benar, maka akan terdapat interface sstp pada bridge port secara otomatis

Jika anda ingin menggunakan pptp bcp, anda bisa mempelajari pada artikel berikut ini :https://citraweb.com/artikel/97/

 

EOIP over PPTP

Opsi lain untuk interkoneksi antar kedua sisi adalah dengan EOIP over PPTP dimana data akan dilewatkan eoip dimana eoip tersebut dilewatkan PPTP. Untuk melakukan konfigurasi EOIP over PPTP pastikan service pptp diantara kedua sisi sudah terbentuk terlebih dahulu.Jika ingin mengetahui konfigurasi PPTP anda bisa mempelajari dari artikel https://citraweb.com/artikel/43/

Setelah service PPTP kedua sisi terbentuk selanjutnya konfigurasi EOIP untuk kedua sisi

klik interface => EOIP tunnel => klik tanda +

Head office

Branch office

Pastikan untuk memasukkan local addres dan remote addres dari kedua sisi router.Dimana local address dan remote addres tersebut didapatkan dari service PPTP yang suda terbentuk sebelumnya.

Setelah itu anda bisa menambahkan bridge dengan port eoip dan ether lan

Kelemahan dari service eoip over ptpp ini adalah penggunaan mtunya karena  jika menggunakan eoip over ptpp data yang sebelumnya hanya melalui vpn ptpp akan dilewatkan eoip dimana eoip tersebut di lewatkan ptpp.Sehingga  dari max MTU 1500 menjadi 1408(max-mtu - overhead PPTP - overhead EOIP)

EOIP over SSTP

Selain eoip bisa di lewatkan pptp, eoip juga bisa di melewatkan vpn sstp. sehingga koneksi yang terbentuk akan lebih secure. Untuk menjalankan service eoip over sstp sebelumnya harus di pastikan service sstp dikedua sisi sudah terbentuk. Sehingga kita tinggal menambahkan service eoip saja ke dalam sstp. Bagi teman-teman yang ingin mempelajarikonfigurasi sstp bisa cek di artikel https://citraweb.com/artikel/137/

Perlu menjadi catatan jika kedua sisi menggunakan router Mikrotik anda tidak perlu menambahkan cerificate untuk kedua sisi router.

setelah SSTP sudah terbentuk di kedua sisi selanjutnya kita harus menambahkan service eoip di dalam sstp tersebut

klik interface => EOIP tunnel => klik tanda +

Head office

Branch office

Pastikan untuk local addres dan remote addres sudah sesuai. Dimana local address dan remote addres tersebut berasal dari sstp yang sudah terbentuk sebelumnya.

setelah itu anda bisa menambahkan bridge dengan port eoip dan ether lokal anda

Perlu menjadi catatan jika menggunakan eoip over sstp yang semula MTUnya adalah 1500 akan berkurang menjadi 1408 karena paket yang sebelumnya hanya dilewatkan dari service sstp akan dilewatkan dari eoip yang dimana eoip akan menambahkan header yang menyebabkan pengurangan pada MTUnya.

 

Artikel dibuat pada 28 Oktober 2022

 

 




Kembali ke :
Halaman Artikel | Kategori VPN