IPSec Tunnel
IPSec (Internet Protocol Security) Tunnel adalah sebuah metode yang digunakan untuk membangun sebuah koneksi aman (secure connection) antara dua atau lebih titik dalam jaringan yang terpisah secara fisik. IPSec Tunnel menyediakan cara untuk mengenkripsi data yang dikirimkan antara titik-titik tersebut, sehingga data tidak dapat dibaca oleh pihak yang tidak berwenang meskipun data tersebut ditangkap di tengah perjalanan.
Konfigurasi IPSec Tunnel di Palo Alto Firewall
- Tunnel Interface
Buat interface tunnel dari menu Network > Interfaces > Tunnel. Atur nomor interface tunnel-nya. Atur juga Virtual Router dan Security Zone.
Buat zone nya jika belum ada.
- IKE Crypto Profile
Buat profile IKE Crypto melalui Network > Network Profiles > IKE Crypto. Nantinya, profile pada peer (site2) harus sama dengan yang dibuat di site1.
- IKE Gateway
Kemudian atur IKE Gateway menggunakan profile yang kita buat pada IKE Crypto Profile. Atur melalui Network > Network Profiles > IKE Gateways. Untuk version kita gunakan IKEv2 prefered mode. Nanti pada peer juga harus sama. Pre-shared Key pada peer juga harus sama.
Pada IKE Crypto Profile, pilih profile yang sebelumnya sudah kita buat.
- IPSec Crypto Profile
Atur melalui Network > Network Profiles > IPSec Crypto. Pada peer nantinya juga harus sama.
- IPSec Tunnels
Gunakan IKE Gateway dan IPSec Crypto Profile yang sebelumnya kita buat. Atur melalui Network > IPSec Tunnels.
Atur juga Proxy IDs yang mendefinisikan network yang akan di allow melalui tunnel ini. Kita bisa berikan saja 0.0.0.0/0 untuk network nya agar allow semua network lokal kita.
- Static Routes
Atur default route ke arah lokal network yang berada di site2 (20.20.20.0/24) agar melalui tunnel.
- Allow Protocol IKE dan IPSec
Atur melalui Policies > Security.
- Allow Local Network ke Tunnel dan sebaliknya
Atur melalui Policies > Security.
Lakukan konfigurasi yang serupa pada site2. Jika site1 dan site2 sudah dilakukan konfigurasi, selanjutnya kita bisa lakukan tes dan checking apakah tunnel berhasil dibuat.
- Tes Tunnel
Kita bisa melakukan initiate tunnel secara manual melalui terminal. Remote ke Palo Alto dan masukkan perintah dibawah ini:
$ test vpn ike-sa
$ test vpn ipsec-sa
Kemudian periksa pada bagian Network > IPSec Tunnels. Jika indikator pada status berwarna hijau, maka tunnel berhasil dibuat.