Langsung ke konten utama

EoIP + IPSec pada RouterBoard dengan HW Encryption

Tunnel merupakan salah satu alternatif media untuk menghubungkan dua atau lebih site, terutama jika jarak antar titik cukup jauh. Dengan menumpang pada jaringan public (internet) maka jarak bukan menjadi halangan lagi sehingga tunnel bisa menjadi solusi yang mudah dan murah jika dibandingkan dengan membangun media fisik.
Pada versi RouterOS yang baru fitur Tunnel seperti EoIP, IPTunnel (IPIP) dan GRE Tunnel sudah ditambahkan sebuah parameter untuk mengaktifkan IPSec. Dengan demikian kita bisa membangun sebuah link Tunnel yang lebih secure dengan IPSec secara lebih lebih mudah dibanding sebelumnya.
Permasalahan yang sering muncul, dengan mengaktifkan IPSec beban kerja CPU akan lebih berat, sebab akan ditambah proses enkripsi untuk pengamanan data. Pada Router dengan spesifikasi processor yang tinggi mungkin tidak menjadi masalah, namun untuk Router dengan processor kecil hal ini akan sangat memberatkan. Oleh karena itu, Mikrotik mengeluarkan produk RouterBoard yang di dalamnya terdapat Hardware (HW) Encryption.
Adapun produk RouterBoard (RB) yang sudah support HW Encryption adalah :
  • hEX v3 (RB750Gr3)
  • Cloud Core Router (CCR) Series
  • RB1100AHx2
  • RB1000
  • RB850Gx2 (produksi mulai 2016, dengan serial number yang dimulai dengan angka 5)
Fungsi dari HW Encryption ini adalah untuk membantu mempercepat proses enkripsi di dalam CPU. Walaupun letaknya berada dalam CPU, namun HW Encryption merupakan hardware fisik terpisah yang berfungsi menghandle enkripsi saat IPSec aktif. HW Encryption akan aktif secara otomatis hanya jika kita menggunakan algoritma enkripsi  AES-CBC dan sha1/sha256. Jika selain algoritma tersebut maka akan di-handle oleh software / CPU.
Kita akan melakukan sebuah LAB sederhana untuk mengetahui perbedaan EoIP + IPSec jika diimplementasikan pada RB750Gr3 (hEX) yang mempunyai HW Encryption  dan RB450G yang tidak memiliki HW Encryption. Setelah EoIP + IPSec terbentuk, antara kedua router akan dilakukan bandwith test dengan melewatkan traffic sebesar 50Mbps melalui EoIP

[Lab1] EoIP + IPSec pada RB750Gr3 & RB450G
Untuk pengetesan pertama kita akan membangun link EoIP antara RB750Gr3 & RB450G. RB450G tidak memiliki fitur HW Encryption. Topologi yang dibangun sama dengan gambar berikut :



Untuk konfigurasi kedua router seperti berikut:

#RB750Gr3 (HEX)

/interface eoip
add allow-fast-path=no ipsec-secret=test1 !keepalive local-address=10.11.11.1 name=eoip-tunnel1 remote-address=10.11.11.254 tunnel-id=10

Secara garis besar konfigurasi EoIP masih sama dengan RoS versi sebelumnya, hanya saja terdapat tambahan parameter ipsec-secret untuk pengatifan IPSec secara otomatis. Selanjutnya pasang IP Address pada interface yang digunakan

/ip address
add address=10.11.11.1/24 interface=ether2 network=10.11.11.0
add address=10.5.5.1 interface=eoip-tunnel1 network=10.5.5.2
add address=172.31.100.1/24 interface=ether3-LAN network=172.31.100.0

Tambahkan static route agar antar client (btest) bisa berkomunikasi melalui jalur EoIP

/ip route
add distance=1 dst-address=172.31.101.0/24 gateway=10.5.5.2

#RB450G Lakukan konfigurasi yang hampir sama pada RB450G, detailnya sebagai berikut :

/interface eoip
add allow-fast-path=no ipsec-secret=test1 !keepalive local-address=10.11.11.254 name=eoip-tunnel1 remote-address=10.11.11.1 tunnel-id=10

/ip address
add address=10.5.5.2 interface=eoip-tunnel1 network=10.5.5.1
add address=10.11.11.254/24 interface=ether2 network=10.11.11.0
add address=172.31.101.1/24 interface=ether3-LAN network=172.31.101.0

/ip route
add distance=1 dst-address=172.31.100.0/24 gateway=10.5.5.1

Pengujian

Selanjutnya kita lakukan bandwith test dengan perangkat Btest yang tersambung di Ether3-LAN masing-masing router.




Hasilnya dari pengetesan 50Mbps dengan topologi diatas hanya mampu melewatkan bandwidth sekitar 25Mbps. Jika dilihat dari CPU Load, RB450G mencapai 100% dan RB750Gr3 hanya berkisar diangka 10%-15%.

Apabila kita lihat juga pada '/tools profile' di RB450G maka proses yang menggunakan resource CPU paling besar adalah encrypting.



[Lab 2] IP Tunnel RB750Gr3 & RB750Gr3

Untuk pengetesan yang kedua kita akan menggunakan RB750Gr3 di kedua sisi. Topologinya tidak ada perubahan dengan topologi Lab 1. Hanya saja yang sebelumnya di satu sisi menggunakan RB450G sekarang kita akan menggunakan RB750Gr3.


Kita juga akan menambahkan IPSec di link tersebut. Untuk konfigurasi di kedua router seperti berikut:

#RB750Gr3 (HEX) - A

/interface eoip
add allow-fast-path=no ipsec-secret=test2 !keepalive local-address=10.11.11.1 name=eoip-tunnel1 remote-address=10.11.11.254 tunnel-id=10

/ip address
add address=10.11.11.1/24 interface=ether2 network=10.11.11.0
add address=10.5.5.1 interface=eoip-tunnel1 network=10.5.5.2
add address=172.31.100.1/24 interface=ether3-LAN network=172.31.100.0

/ip route
add distance=1 dst-address=172.31.101.0/24 gateway=10.5.5.2

#RB750Gr3 (HEX) - B

/interface eoip
add allow-fast-path=no ipsec-secret=test2 !keepalive local-address=10.11.11.254 name=eoip-tunnel1 remote-address=10.11.11.1 tunnel-id=10

/ip address
add address=10.5.5.2 interface=eoip-tunnel1 network=10.5.5.1
add address=10.11.11.254/24 interface=ether2 network=10.11.11.0
add address=172.31.101.1/24 interface=ether3-LAN network=172.31.101.0

/ip route
add distance=1 dst-address=172.31.100.0/24 gateway=10.5.5.1
Dan setelah dilakukan pengetesan hasilnya seperti berikut:


RB750Gr3 (HEX) - Sisi A


RB750Gr3 - Sisi B

Hasil yang didapatkan untuk pengetesan diatas maka trafik yang dilewatkan bisa maksimal dan pada masing-masing perangkat CPU Load juga cukup rendah di kisaran 15%-20%. Hal ini karena RB750Gr3 (HEX) sudah memiliki HW Encryption sehingga CPU tidak terbebani lagi untuk proses enkripsi.

Pada RB750Gr3 jika dilihat di '/tools profile' tidak terdapat proses enkripsi dan proses lain yang terdeteksi. Ada kemungkinan ini disebabkan karena penggunaan processor baru, yakni MediaTek.

 

Namun, karena pada RB750Gr3 menggunakan prosesor Dual-Core dengan 4 Threads, kita bisa melihat proses dari Enkripsi tersebut dihandle pada thread prosesor yang keberapa. Caranya pilih menu 'System -> Resource -> IRQ', maka disitu akan terlihat proses enkripsi

SUMBER : DISINI 

Komentar

Posting Komentar

Postingan populer dari blog ini

Cara Membuat Bootable CD/DVD Windows XP Dari File .iso

Kali ini saya akan sedikit share cara membuat Bootable CD/DVD Windows XP. dari pada beli copy'an CD yang bajakan lebih baik bikin sendiri dengan file original Windows XP sp3 langkah awal pembuatan Bootable CD/DVD Windows XP sobat mesti download dulu file .iso windows XP sp3 original nya. Download: Windows XP sp3 Original.iso berikutnya download software nero untuk pembakaran CD/DVD Download: Nero 6 Ultra Edition Full Edition [Lebih Ringan] Cara Membuat Bootable CD/DVD Windows XP Dari File .iso Dengan Nero 6 Ultra Edition Setelah kedua file di download extract Windows XP di data master, nanti yang akan di burning file windows xp.iso yang berada di file .rar .. Perlengkapan - Komputer / Laptop yang sudah di lengkapi CDroom atau DVDroom Cara Burning 1. Install Nero 6 Ultra Edition 2. Masukan CD/DVD Blank [Yang masih kosong] 3. Jalankan program tersebut, pilih menu Nero Express 4. Kemudian pilih Disc Image or Saved Project 5. Browser dan cari file .
1 komentar
Baca selengkapnya

Dasar Desain Grafis (Unsur-unsur Desain Grafis)

Kompetensi Dasar  3.1 Mendiskusikan unsur-unsur tata letak berupa garis, ilustrasi, tipografi, warna, gelap-terang, tekstur, dan ruang 4.1 Menempatkan unsur-unsur tata letak berupa garis, ilustrasi, tipografi, warna, gelap-terang, tekstur, dan ruang Materi Pokok Memahami unsur-unsur tata letak berupa garis, ilustrasi, tipografi, warna, gelap-terang, tekstur, dan ruang Pengertian  Grafis Dalam Bahasa Inggris disebut  Graphic  diartikan sebagai goresan yang berupa titik-titik atau garis yang berhubungan dengan kegiatan cetak-mencetak (Freddy Adiono Basuki, 2000). Desain Menurut Atisah Sipahelut (1991) diartikan sebagai bentuk rumusan dan suatu proses pemikiran. Rumusan atau proses pemikiran yang dituangkan dalam wujud gambar tersebut merupakan pengalihan gagasan kongkrit isi pemikiran untuk mengalihkan gagasan dalam wujud gambar. Dalam proses mendesain ini seorang desainer dapat mempergunakan perlatan manual seperti kuas atau
2 komentar
Baca selengkapnya

Protected Bootloader

Di Mikrotik terdapat sebuah fitur yang berfungsi untuk melakukan proteksi terhadap akses ke system router terutama berkaitan dengan penggunaan tombol reset. Fitur tersebut adalah " Protected RouterBOOT ". Ketika fitur ini diaktifkan maka beberapa fungsi tidak dapat dilakukan sebagaimana defaultnya yaitu tombol reset dan juga reset pin-hole. Dan akses router dari console juga akan ter-disabled. Jika ingin melakukan perubahan konfigurasi untuk melakukan perubahan boot mode atau RouterBOOT maka hanya bisa dilakukan melalui RouterOS (remote via winbox). Fitur ini secara default tidak ditambahakan langsung ke system sehingga kita harus melakukan instalasi paketnya secara manual. Untuk mengaktifkannya firmware dari router harus diatas v3.24 dan tidak bisa digunakan dibawah versi tersebut. Untuk saat ini hanya terdapat di beberapa jenis arsitektur routerboard yaitu SMIPS, MIPSBE, TILE. Paket " Protected RouterBOOT " bisa di-download di link berikut: SMIPS
Posting Komentar
Baca selengkapnya