Skip to main content

[Juniper SRX] Implementasi Policy Based Site-to-Site VPN

Masih ingin membahas terkait implementasi vpn di juniper, kali ini mengenai bagaimana konfigurasi policy based vpn, pada tulisan ini saya tidak memulai dari awal, melainkan melanjutkan tulisan sebelumnya, anda bisa cek disini

Beberapa catatan terkait policy based vpn dalam hal configurasinya adalah anda tidak membuat interface tunnel atau dikenal dengan interface st, maka routing ke arah lawan tidak perlu dibuat atau dilewatin ke arah interface st tersebut, nah untuk meng-apply konfigurasi vpn yang anda buat itu di set security policy yang anda buat, yaitu yang ke arah site vpn lawan. Mari kita lihat konfigurasi lengkapnya:

##RouteCloud-HQ

Set Interface

Set Route

Set Zone

Interface/zone outbound or yang ke arah site remote anda perlu meng-enable service IKE nya, sama untuk testing koneksi anda bisa aktifin service ping pada interface atau zone tersebut.

Set IKE Fase 1

seperti biasa ada 3 yang diset untuk konfigurasi ike phase 1 yaitu ike proposal, ike policy sama ike gateway.  pastikan shared key yang anda set harus sama antara site HQ dan site remote.

Set IPSec Fase 2

Untuk IPSec fase 2 ada 3 bagian yang anda konfigurasi yaitu  ipsec proposal, ipsec policy, dan ipsec vpn.

Apply VPN di Security Policy:

Pastikan vpn policy nya berada di posisi paling atas, jika tidak peernya tidak akan up. kemudian trafic yang match dan dengan vpn policy tersebut akan di enkrispi nantinya, jika trafic tersebut gk match, maka next policy akan digunakan, dalam hal ini policy permit-any yang saya set diatas.

#Branch 1

Set Interface

Set route

Set Zone

Set IKE Fase 1:

Set IPSec Fase 2

Set Policy

Testing dan Verifikasi:

Lakukan test ping ke arah lawan dari ip client, misal dari client Branch1 ke arah HQ:

Untuk melihat status vpn apakah sudah up atau belum anda bisa pake ikuti langkah berikut:

Oke cukup simple ya, 🙂

Jika ada pertanyaan, silahkan komen dibawah,

Keep update ya 🙂

 

Trainer, Nework & Security Engineer

Bunyamin

Trainer, Nework & Security Engineer

  • Rizky Faturahman

    sangat membantu. boleh join?

    • bunyamin

      terima kasih mas udah mampir di blog routecloud. btw join apa nih mas? hehe

  • Mohamad Sofyan KP

    Mas Bunyamin, terima kasih share info vpn buat juniper. Kebeneran lagi implementasi buat konekin DC to DRC dengan case segmen lan yang sama (ada 3 segmen lan / vlan yang dilewati), service/jalur DC to DRC pakai service metro-e. Apakah ada solusi lain dari menggunakan site to site vpn ini?

    • bunyamin

      Halo mas sofyan, terima kasih juga sudah mampir di blog routecloud 🙂
      Terkait rencna mas koneksin DC to DRC, apakah segmen yang yang dimaksud adalah masing2 di site DC dan DRC memiliki segmen yang sama? jika demikin saya sarankan menggunakan NAT 2x (NAT innbound dan outbound). Untuk refrensi nya bisa cek tulisan ini https://www.routecloud.net/blog/junos-security-dual-nat-design-juniper-srx/