VPN Overview


Mikrotik support beberapa metode seperti PPTP,L2TP,SSTP dan OpenVPN.Dengan adanya beberapa opsii ini,kita perlu memilih tipe VPN yang cocol untuk jaringan kita.Secara umum semua type tersebut memiliki fungsi yang sama,yang membedakan adalah autentikasi dan enkripsi yang digunakan.Berikut penjelasan masing masing dari VPN yang ada pada mikrotik.Tetapi yang kita bahas pada kali ini adahal metode VPN dengan IPIP,EOiP,PPTPP L2TP,SSTP, dan PPPoE.Untuk open VPN saya tidak akan membahas karena tidak termasuk materi MTCRE (Mikrotik Certified Routing Engineer).

IPIP 

IPIP tunneling adalah protokol sederhana yang merangkum paket-paket IP dalam IP untuk membuat sebuah terowongan di antara dua router.Antarmuka terowongan IPIP muncul sebagai antarmuka di bawah daftar antarmuka.Banyak router, termasuk Cisco dan Linux, mendukung protokol ini.Protokol ini memungkinkan jaringa ganda.Implementasi IPIP di mikrotik berdasarkan RFC 2003.

Beberapa kemungkinan jika kita menanmbahkan tunneling IP :

  1. untuk menggali intranet melalui internet
  2. untuk menggunakannya sebagai pengganti perutean sumber
  3. maksimum jumlah tunnel yang bisa dibuat oleh IPIP tunnel adalah 65535
  4. kelemahannya IPIP Tunneling diperlukan source routing
  5. kelemahannya tidak bisa digunakan untuk bridging network


Berikut topologi yang kita gunakan


Contoh kasus diatas adalah ada 2 isp yang masing-masing client tersebut ingin mengirim paket berupa ping melewati IPIP tunnel.Berikut konfigurasinya :

Karena saya menggunakan emulator GNS3 semua harus di set manual di masing- masing interface.

konfigurasikan ip  address di masing-masing interface.Karena saya menggunakan emulator GNS3 semua harus di set manual
kongigurasi IP address di INTERNET


konfigurasi IP address di ISP-A


konfigurasi IP address di ISP-B


Selanjutnya kita membuat jalur tunnel di masing-masing ISP



konfigurasi diatas untuk membuat interface baru yaitu IPIP.Kemudian kita diharuskan mengisi parameter lokal address dan remote address, yang mana isinya merupakan IP router itu sendiri dan router lawan.Selanjutnya setelah kita berhasil membuat interface ipip,maka kita harus menambahkan ip address pada interface tersebut.



Kita sudah berhasil membuat koneksi ipip.Namun client di masing-masing ISP belum bisa terkoneksi,karena ipip tunnel tidak bisa di bridge,maka koneksikan melewati jalur routing).



konfigurasi diatas untuk membuat jalur rute antar client ISP-A dan ISP-B.Kemudian kita diharuskan mengisi parameter distance, gateway,dan dst-address.Yang mana isi dari gateway yang pertama kita buat :ip address router di masing-masing ISP dari internet, dst-address : ip network ISP-lawan, dan gateway yang kedua kita buat :ip tunel ISP lawan.Setelah kita tinggal melakukan pengujian pada client di masing-masing ISP dengan traceroute.



Masiing-masing client ISP dapat berkomunikasi melewati IPIP tunnel.

EoIP

EoIP (Ethernet over IP) tunneling adalah  protokol mikrotik RouterOS yang menciptakan terowongan Ethernet antara dua router di atas koneksi IP.Terowongan EoIP dapat berjalan di atas terowongan IPIP, terowongan PPTP atau koneksi lain mampu mengankut IP.Ketika fungsi bridging dari router diaktifkan, semua lalu lintas ethernet (semua protokol ethernet ) akan dijembatani seolah olah ada di mana antarmuka ethernet fisil dan kabel antara dua router (dengan bridging diaktifkan).Protokol ini memungkinkan skema jaringan ganda.

Beberapa kemungkinan jika kita menambahkan tunneling EoIP :

  1. kemungkinan untuk menjembatani LAN melalui internet
  2. kemungkinan untuk menjembatani LAN melalui terowongan terenkripsi
  3. kemungkinan untuk menjembatani LAN melalui jaringan nirkabel 802.11b ad-hoc
  4. maksimum EoIP yang bisa di buat adalah 65535
  5. kelemahan EoIP tidak menyediakan enkripsi data, sehingga  pada saat pengiriman data kemungkinan data tersebut masih bisa di ketahui oleh beberapa tangan Hacker.
Beberapa hal yang harus diperhatikan ketika membuat EoIP tunnel :
  1. Pastikan EoIP tunnel yang anda buat memiliki mac address yang tidak boleh sama di kedua sisi
  2. Pastikan bisa saling berkomunikasi dengan remote address dengan melakukan ping, sebelum membuat tunnel
  3. Pastikan Tunnel ID pada kedua sisi EoIP Tunnel memiliki ID yang sama,yang berfungsi untuk memisahkan sebuah tunnel dengan tunnel yang lain

Protokol EoIP mengenkapsulasi bingkai ethernet dalam paket GRE RFC1701 (IP protocol number 47) seperti PPTP dan mengirimnya ke sisi remote dari terowongan EoIP

Berikut topologi yang kita gunakan
contoh kasus diatas adalah ada isp yang terkoneksi internet yang mana masing-masing isp mempunyai client.Masing-masing client tersebut ingin mengirim paket ping melewati EoIP tunnel.Berikut konfigurasinya :

Konfigurasi di INTERNET agar masing masing ISP mendapatkan  akses internet.



setelah konfigurasi di internet konfigurasikan di ISP-A agar terhubung ke internet dan konfigurasikan ip satu network di sisi client ISP-A.


setelah itu konfigurasikan juga di ISP-B agar sama sama terhubung ke internet dan konfigurasikan ip satun network di sisi client ISP-B


pastikan masing masing ISP bisa ping ke internet

setelah itu kita konfigurasi EoIP tunnel di masing masing ISP.
konfigurasi diatas dilakukan di masing-masing ISP,untuk membuat interface tunnel.Pada paremeter 
yang paling penting di isi adalah "remote address" dan "tunnel id".Untuk remote address isikan ip public ISP lawan.Kemudian tunnel id pada masing masing ISP harus sama.Jika EoIP sudah berjalan dan muncul flag "R",selanjutnya kita buat bridge di masing-masing ISP, yang nanti akan menjembantani transmisi data jaringan yang akan melewati EoIP.
setelah itu lakukan pengujian dengan ping dari client ISP-B ke client ISP-A atau sebaliknya.

PPTP

PPTP adalah terowongan aman untuk mengangkur lalu lintas IP menggunakan PPP.PPTP merangkum PPP dalam garis virtual yang berjalan di atas IP.PPTP menggabungkan PPP dan MPE (Microsoft Point to Point Encryption) untuk membuat tautuan ternkripsi.tujuan dari protokol ini adalah untuk membuat koneksi aman yang dikelola dengan baik antara router serta antar router dan klien PPTP (klien tersidia hampir di semua OS termasuk windows).Multilink PPP (MP) didukung untuk menyediakan MRRU (kemampuan untuk mengirimkan paket 1500, lebih besar berukuran penuh dan menjembatani tautan PPP menggunakan Bridge control protocol BCP yang memungkinkan pengiriman frame ethernet mentah melalui tautan PPP.Dengan cara ini dimungkinkan untuk mengatur bridging  tanpa EoIP.Jembatan harus memiliki alamat MAC yang yang ditetapkan secara administratif atau antarmuka yang menyerupai ethernet di dalamny, karena tautan PPP tidak memiliki alamat MAC.PPTP termasuk otentikasi dan akuntasi PPP untuk setiap koneksi PPTP.Otentikasi penuh dan perhitungan setiap koneksi dapat dilakukan melalui klien RADIUS atau secara lokal.Enkripsi MPPE sudah didukung 128bit RC 4.Lalu lintas PPTP menggunakan port TCP 1723 dan protokol IP GRE (Generic Routing Encapsulation, ID protokol IP 47), sebagaimana  ditetapkan oleh Internet Assigned Numbers Authority (IANA).PPTP dapat digunakan dengan sebagian besar firewall dan router dengan memungkinkan trafik yang ditujukan untuk port TCP 1723 dan protokol  dan protokol 47 lalu lintas yang akan diarahkan melalui firewall atau router.Koneksi PPTP munkin terbatas atau tidak mungkin untuk setup melalui koneksi masquereded /NAT IP.Silahkan lihat tautan Microsoft dan RFC yang tercantum di bawah untuk informasi lebih lanjut.Jika kita monitoring, traffick yang melewati tunnel PPTP akan mengalami overhead ? 7%.

Berikut topologi yang kita gunakan

Contoh kasus diatas adalah ada isp yang terkoneksi internet yang mana masing-masing isp mempunyai client.Masing-masing client tersebut ingin mengirim paket ping melewati PPTP Server dan PPTP Client.Berikut konfigurasinya:

Pertama asumsikan masing-masing isp sudah terkoneksi internet dan sudah di set ip di masing-masing interface..Untuk mengoneksikan internet di GNS 3, bisa dilihat di penjelasan tunnel sebelumnya.Setelah itu kita konfigurasikan pptp nya.


Konfigurasi diatas kita gunakan untuk menentukan secret pada tunnel yang akan kita buat.Seperti ip,username,password, dan service.kemudian kita perlu mengaktifkan pptp Servernya agar ISP-B bisa terhubung lewat pptp Server.Local address adalah alamat IP yang kaan terpasang pada router ISP A setelah link pptp terbentuk.Remote Address adalah alamat IP yang akan diberikan ke pptp client setelah link terbentuk.


Setelah kita menghidupkan pptp server di ISP-A,kita tinggal dial out dari ISP-B untuk menjalankan tunnel pptpnya.

Untuk Connect To :di isi IP 10.10.10.2 yang mana itu ip public dari pptp server.
Setelah itu kita dapat melakukan apakah koneksi pptp kita sudah berjalan atau belum


Perhatikan interface baru muncul pada gambar diatas yaitu interface pptp out 1.Pada ISP-A juga akan muncul interface baru.Selanjutnya kita coba melakukan ping antar koneksi pptp dari masing-masing router ISP.


Koneksi VPN antar router sudah terbentuk, akan tetapi antar jaringan local belum bisa saling berkomunikasi.Agar antar jaringan local bisa berkomunikasi,kita perlu menambahkan routing static dengan konfigurasi 

dst-address   :jaringan local router lawan
gateway         :IP PPTP Tunnel pada kedua router



Sampai disini konfigurasi pptp tunnel kita sudah selesai, untuk pengujian terakhir kita dapat memanfaatkan tool traceroute pada PC untuk mengatahui apakah pengiriman paket ping akan melewati jalur tunnel pptp.



SSTP

SSTP (Secure Socket Tunneling Protocol) sebuah vpn dengna metode SSTP diperlukan sertifikat SSL di masing-masing perangkat, kecuali keduanya meggunakan ROuter OS.Komunikasi SSTP menggunakan TCP port 443 (SSL), sama hal nya seperti website yang secure (https).SSTP mengangkut terowongan PPP melalui saluran TLS.Penggunaan TLS melalui port TCP 443 memungkinkan SSTP untuk melewati hampir semua firewall dan server proxy.

Berikut mekanisme koneksi jaringan SSTP



  1. Koneksi TCP dibuat dari klien ke server secara default pada port 443.
  2. SSL memvalidasi sertifikat server, jika sertifikat koneksi yang valid didirikan koneksi akan        hancur.
  3. klien mengirimkan paket kontrol SSTP dala, sesi HTTPS yang menetapkan mesin negara SSTP di kedua sisi.
  4. negosiasi PPP atas SSTP.Klien mengautentikasi ke server dan mengikat alamat IP ke antarmuka SSTP.
  5. terowongan SSTP sekarang didirikan dan enkapsulasi paket dapat dimulai

Untuk menyiapkan terowongan SSTP yang aman, diperlukan sertifikat.DI server, otentikasi hanya dilakukan oleh nama pengguna dan kata sandi, tetapi pada klien-server diautentikasi menggunakan sertifikat server.Ini juga digunakan oleh klien untuk cryotographically mengikat SSL dan otentikasi PPP, yang berarti - klien mengirimkan nilai khusus melalui koneksi SSTP ke server, nilai ini berasal dari data kunci yang dihasilkan selama otentikasi PPP dan sertifikat server, ini memungkinkan server untuk memerikasa apakah kedua saluran aman.Jika klien SSTP adalah PC Windows, maka untuk menyiapkan terowongan SSTP aman saat menggunakan sertifikat yang ditandatangani sendiri adalah dengan mengimpor sertifikat "server" di server SSTP dan pada PC Windows menambahkan sertifikat CA di akat terpercaya.Sayangnya belum semua OS support VPN dengan metode SSTP.Traffick yang melewati tunnel SSTP akan mengalami overhead ? 12%

Berikut topologi yang kita gunakan



Contoh kasus diatas adalah ada isp yang terkoneksi internet yang mana masing-masing isp mempunyai client.Masing-masing client tersebut ingin mengirim paket ping melewati SSTP server dan SSTP client.Berikut konfigurasinya

Pertama asumsikan masing-masing ISP mendapat koneksi internet.Untuk konfigurasi internet di GNS 3 bisa dilihat di konfigurasi tunnel sebelumnya.Selanjutnya kita akan melakukan konfigurasi pada masing-masing ISP.


Sebenarnya konfigurasi nya hampir sama dengan PPTP Tunnel hanya ada sedikit perubahan di service nya, yang semula PPTP menjadi SSTP.Setelah itu hidupkan SSTP server di ISP-A, agar SSTP client di ISP-B bisa terhubung.


Setalah itu konfigurasikan ISP-B sebagai SSTP client.

Koneksi VPN antar ISP sudah terbentuk, tetapi koneksi antar jaringan local ISP belum bisa terkoneksi.Agar antar jaringan local ISP bisa terkoneksi, kita perlu menambahkan routing static di masing-masing router ISP.



untuk pengujian terakhir kita dapat memanfaatkan tool traceroute pada PC untuk mengatahui apakah  jaringan local masing masing ISP bisa berkomunikasi.




L2TP

L2TP adalah protokol terowongan aman untuk mengangkut lalu lintas IP menggunakan PPP.L2TP merangkum PPP dalam garis virtual yang berjalan di atas IP, frame relay dan protokol lainya (yang saat ini tidak didukung oleh mikrotik RouterOS).L2TP menggabungkan PPP dan MPPE (Microsoft Point to Point Encryption) untuk membuat tautan terenkripsi.Tujuan dari protokol ini adalah memungkinkan layer 2 dan PPP endpoints untuk berada di perangkat yang berbeda yang terhubung dengan jaringan packet-switched.Dengan L2TP,pengguna memiliki koneksi layer 2 ke konsentrator akses-LAC (misalnya bank modem, ADSL, DSLAM,dll.)Konsentrator kemudian menyambungkan frame PPP individual ke network Access Server - NAS.Ini memungkingkan pemrosesan paket PPP yang sebenarnya untuk dipisahkan dari perhentian rangkaian di layer 2.Dari perspektif pengguna, tidak ada perbedaan fungsional antara memiliki rangkaian L2 berakhir dengan NAS secara langsung atau menggunakan L2TPUntuk komunikasi L2TP menggunakan UDP port 1701.Untuk keamanan yang lebih baik,L2TP dikombinasikan dengan IPSec, menjadi L2TP/IPSec.Dari segi enkripsi pada L2TP/IPSec memiliki tingkat sekuritas lebih tinggi dari pada PPTP yang menggunakan MPPe.traffick yang melewati tunnel L2TP akan mengalami overhead ? 12%.

Berikut topologi yang kita gunakan

Contoh kasus diatas adalah ada isp yang terkoneksi internet yang mana masing-masing isp mempunyai client.Masing-masing client tersebut ingin mengirim paket ping melewati L2TP server dan L2TP client.Berikut konfigurasinya :



Pertama asumsikan masing-masing ISP mendapat koneksi internet.Untuk konfigurasi internet di GNS 3 bisa dilihat di konfigurasi tunnel sebelumnya.Selanjutnya kita akan melakukan konfigurasi pada masing-masing ISP.Selanjutnya kita konfigurasi l2tp server di ISP-A dan client di ISP-B.


Pada konfigurasi diatas hampir sama dengan konfigurasi vpn sebelumnya hanya berbeda service nya saja.Setelah itu konfigurasikan l2tp client di ISP-B.


Koneksi VPN antar ISP sudah terbentuk, tetapi koneksi antar jaringan local ISP belum bisa terkoneksi.Agar antar jaringan local ISP bisa terkoneksi, kita perlu menambahkan routing static di masing-masing router ISP


Seperti biasa untuk pengujian terakhir kita dapat memanfaatkan tool traceroute pada PC untuk mengatahui apakah  jaringan local masing masing ISP bisa berkomunikasi.



PPPoE

PPPoE ( Point to Point Protocol over ethernet) menyediakan manajemen pengguna yang ekstensif,manajemen jaringan dan manfaat akuntasi untuk ISP dan administrator jaringan.Saat ini PPoE digunakan terutama oleh ISP untuk mengontrol koneksi klien untuk xDSL dan modem kabel serta jaringan Ethernet biasa.PPoE adalah Perpangjan dari Point to Point Protocol (PPP) standar.Perbedaan antara keduanya dinyatakan dalam metode transportasi  PPPoE yang menggunakan Ethernet bukan modem serial.Secara umum PPPoE digunakan untuk membagikan alamat IP kepada klien berdasarkan otentikasi  berdasarkan nama pengguna dan juga diperlukan oleh workstation sebgai lawan dari otentikasi workstation dimana alamat IP statis atau DHCP digunakan.Klien dan server PPPoE bekerja di atas antarmuka tingkat ethernet layer 2 pada router - nirkabel 802.11 (Aironet, Cisco, WaveLan, Prism,Atheros), 10/100/1000 Mbit/s Ethernet ,RadioLan dan  EoIP (Ethernet over IP).

Beberapa fitur yang terdapat pada PPPoE :

  1.     1.Dukungan server dan klien PPPoE,
  2.     2.PPP Multilink (MLPPP)
  3.     3.MLPPP melalui tautan tunggal (kemampuan untuk mengirim frame berukuran penuh.
  4.     4.Dukungan BCP (Bridge Control Protocol) memungkinakn pengiriman frame ethernet mentah melalui tautan PPP
  5.     5.Enkripsi MPPE 128bit RSA
  6.     6.Otentikasi pap, chap, mschap v1/v2
  7.     7.Dukungan RADIUS untuk otentikasi dan akuntasi klien 

Koneksi yang didukungMikrotik RouterOS PPPoE client ke server PPPoE (acces concentrator) Server Mikrotik RouterOS (akses konsentrator) ke beberapa klien PPPoE (klien tersedia hampir semua sistem operasi dan sebagian besar router).

Spesifikasi

  1. Paket yang dibutuhkan:PPP 
  2. Licensi level 1 (terbatas pada 1 antarmuka), level 3 (terbatas hingga 200 antarmuka), level 4 (terbatas hingga 200 antarmuka), level 5 (terbatas hingga 500 antarmuka), level 6 (tidak terbatas) 
  3. Level submenu/antarmuka pppoe server /antarmuka pppoe client 
  4. Standar dan teknologi :PPPoE RFC 2516.Penggunaan perangkat keras :Server PPPoe 
  5. Penggunaan perangkat keras : Server PPPoE mungking memerlukan RAM tambahan (menggunakan sekitar 9KiB plus ekstra 10 KiB unutk antrean kaet,jika pembatasan laju data digunakan)untuk setiap koneksi dan daya CPU maksimal 65535 koneksi yang didukung.
Berikut topologi yang kita gunakan

Kita asumsikan Client sudah mendapat koneksi internet dari ISP.Setelah itu kita berikan sebuah keamanan denganPPPoE.Di PPPoE ini ada dua yaitu PPPoE Server dan PPPoE Client, sebenarnya PPPoE ini berfungsi encapsulating PPP frame dalam Ethernet frame.Dengan contoh kasus diatas, dimana ISP sebagai PPPoE server dan Client menjadi PPPoE Client.

Kita asumsikan client sudah mendapatkan access internet dari ISP.Sekarang kita amankan menggunakan tunnel pppoe.Yang menjadi pppoe server adalah ISP sedangkan pppoe client adalah client itu sendiri.

 

Konfigurasi diatas berguna untuk membuat user pppoe client dan mengaktifkan pppoe server di ISP.


Setelah itu berpindah ke client.Di sisi client kita konfigurasi pppoe dengan memaksukkan user yang tadi dibuat di pppoe server.Sekerang kita lihat di table interface ISP apakah sudah berjalan tunnel pppoe nya.