UnlabelledKonfigurasi VPN IPSEC in Firepower

Konfigurasi VPN IPSEC in Firepower


Step By Step :

1.1 Configure VPN Endpoint


Tabel dibawah ini menunjukan parameter yang digunakan untuk membangun konektivitas VPN IPSec dengan Business Partner. Jadi sebelum kita lanjut ke konfigurasi, kita define dlu nih paramater ditabel ini untuk mempermudah konfigurasi :


 1.2 Configure VPN Endpoint

Untuk membangun koneksi IPSec VPN Tunnel dengan perangkat 3rd Party, perlu dilakukan konfigurasi VPN Topology untuk mendefinisikan IPsec Peer serta Network segment yang akan di mapping pada VPN Tunnel.

Berikut adalah step-by-step untuk konfigurasi VPN Endpoint :

1.    Pada menu device à VPN à Add VPN à Firepower Threat Defense Device

Lalu akan muncul jendela sebagai berikut

Picture 1 Adding VPN 

2.    Klik tombol add  pada Node A :

Muncul jendela berikut

Picture 2 Add Endpoint A

Lalu isikan parameter

Device : (pilih ftd yang sudah join ke FMC)

Interface : outside

IP Address : (IP WAN outside)

Connection Type : Bidirectional

Protected Network : (add, masukan segmen ip inside yang akan dipilih untuk koneksi VPN)

3.    Klik tombol add  pada Node B :

Muncul jendela berikut

   

Picture 3 Add Endpoint B

Lalu isikan parameter

Device : (pilih external (jika peer menggunakan device lain)

Device name : nama device (PaloAlto, Checkpoint, dll)

IP Address : (IP WAN peer)

Protected Network : (add, masukan segmen ip inside peer yang akan dipilih untuk koneksi VPN)

1.3 Konfigure IKE

Lakukan konfigurasi IKEv1 / IKEv2 dengan menentukan IKE Policy beserta Authentication Type yang digunakan untuk membangun koneksi dengan VPN Peers.

 

Picture 4 Konfigurasi IKE

 

IKE Policy diperlukan untuk mendefiniskan parameter yang digunakan pada fase negosiasi antar VPN Peer seperti Encryption, Hash, DH-Group & Lifetime. Parameter-parameter tersebut harus sesuai antar VPN Peers.

Picture 5 IKE Policy


1.4 Configuration IKE Transform Set & Crypto Map

IKEv1 Transform set adalah kombinasi protokol keamanan dan algoritma yang menentukan cara Cisco FTD melindungi data. Selama negosiasi IPSec Security Associations (SA), VPN Peer harus mengidentifikasi transform-set atau proposal yang sama untuk kedua peer. Cisco FTD kemudian menerapkan transform-set atau proposal yang cocok untuk mambangun SA yang melindungi aliran data dalam access-list untuk crypto-map tersebut.

Picture 6 IPSec Transform-set

Picture 7 IKEv1 IPSec Proposal

Posted by :
Add Comment

Langganan: Posting Komentar (Atom)