Step By Step :
1.1 Configure VPN Endpoint
Tabel dibawah ini menunjukan parameter yang digunakan untuk membangun konektivitas VPN IPSec dengan Business Partner. Jadi sebelum kita lanjut ke konfigurasi, kita define dlu nih paramater ditabel ini untuk mempermudah konfigurasi :
Untuk
membangun koneksi IPSec VPN Tunnel dengan perangkat 3rd Party, perlu dilakukan
konfigurasi VPN Topology untuk mendefinisikan IPsec Peer serta Network segment
yang akan di mapping pada VPN Tunnel.
Berikut adalah
step-by-step untuk konfigurasi VPN Endpoint :
1. Pada menu device à VPN à Add VPN à Firepower Threat Defense
Device
Lalu akan
muncul jendela sebagai berikut
Picture 1 Adding VPN
2. Klik tombol add
Muncul jendela berikut
Picture 2 Add Endpoint A
Lalu isikan parameter
Device : (pilih ftd yang sudah join
ke FMC)
Interface : outside
IP Address : (IP WAN outside)
Connection Type : Bidirectional
Protected Network : (add, masukan
segmen ip inside yang akan dipilih untuk koneksi VPN)
3. Klik tombol add
Muncul jendela berikut
Lalu isikan parameter
Device : (pilih external (jika peer
menggunakan device lain)
Device name : nama device (PaloAlto,
Checkpoint, dll)
IP Address : (IP WAN peer)
Protected Network : (add, masukan segmen ip inside peer yang akan dipilih untuk koneksi VPN)
1.3 Konfigure IKE
Lakukan konfigurasi IKEv1 / IKEv2
dengan menentukan IKE Policy beserta Authentication Type yang digunakan untuk
membangun koneksi dengan VPN Peers.
IKE Policy diperlukan untuk mendefiniskan parameter yang digunakan pada fase negosiasi antar VPN Peer seperti Encryption, Hash, DH-Group & Lifetime. Parameter-parameter tersebut harus sesuai antar VPN Peers.
Picture 5 IKE Policy
1.4 Configuration IKE Transform Set & Crypto Map
IKEv1 Transform set adalah kombinasi protokol keamanan dan algoritma yang menentukan cara Cisco FTD melindungi data. Selama negosiasi IPSec Security Associations (SA), VPN Peer harus mengidentifikasi transform-set atau proposal yang sama untuk kedua peer. Cisco FTD kemudian menerapkan transform-set atau proposal yang cocok untuk mambangun SA yang melindungi aliran data dalam access-list untuk crypto-map tersebut.
Picture 7 IKEv1 IPSec Proposal