Perubahan gaya bekerja, seperti beberapa perusahaan yang mendukung full-time remote worker, yaitu pekerja yang menggantikan jam bekerja di kantor dengan bekerja dengan PC (personal computer) di rumahnya, menyebabkan permintaan atas teknologi remote access semakin meningkat.
VPN
Protokol VPN (Virtual Private Network) merupakan alternatif solusi untuk masalah di atas.VPN merupakan sebuah teknologi komunikasi yang memungkinkan adanya koneksi dari dan ke jaringan public serta menggunakan jaringan tersebut layaknya jaringan lokal dan juga bahkan bergabung dengan jaringan lokal itu sendiri. Dengan menggunakan jaringan publik ini maka user dapat mengakses fitur-fitur yang ada di dalam jaringan lokalnya, mendapat hak dan pengaturan yang sama bagaikan secara fisik kita berada di tempat dimana jaringan local itu berada.
SSL
Secure Socket Layer (SSL) adalah protokol keamanan yang didesain untuk dijalankan pada TCP/IP. SSL adalah protokol keamanan yang sering digunakan pada hampir semua transaksi aman pada internet. SSL mengubah suatu protokol transport seperti TCP menjadi sebuah saluran komunikasi aman yang cocok untuk transaksi yang sensitif seperti Paypal, Internet Banking, dan lain-lain. Keamanan dijamin dengan menggunakan kombinasi dari kiptografi kunci publik dan kriptografi kunci simetri bersamaan dengan sebuah infrastruktur sertifikat. Sebuah sertifikat adalah sebuah kumpulan data identifikasi dalam format yang telah distandardisasi. Data tersebut digunakan dalam proses verifikasi identitas dari sebuah entitas (contohnya sebuah web server) pada internet.
SSL-VPN
Ketika organisasi memiliki ratusan atau bahkan ribuan user remote, atau ketika organisasi tidak dapat mengontrol desktop user (seperti partner bisnis) karena untuk menginstall perangkat lunak pada PC user remote sangatlah mahal, maka akan sangat sulit untuk dikelola dan tidak praktis. Karena itulah, maka muncul jenis VPN baru, yaitu VPN dengan SSL. SSL VPN menggunakan protokol SSL, yang merupakan bagian dari semua web browser standar untuk menyediakan transmisi data yang aman melalui internet, dan bukan perangkat lunak individual pada client. Karena SSL VPN hanya membutuhkan sebuah web browser dan koneksi internet, maka menjadi solusi remote access yang sangat fleksibel.
Cukup Intronya, sekarang kembali ke topik ya.
Skenario :
Si remote user kan orangnya sibuk banget nih, dengan mobilitas tinggi. suka berpindah-pindah orangnya. meeting sana meeting sini, Dia pengen bisa untuk mengakses server maupun jaringan lokal di perusahaannya dari luar kantor, agar dia tetep bisa kerja walaupun dia berada di luar kantor bahkan saat dia ada di luar negeri.
Topologinya :
P.O.C alias Piye Om Carane a.k.a Proof Of Concept :
1. Setting Firewall Address
2. Setting User dan Group (Remote User)
3. Konfigurasi SSL-VPN
4. Setting Firewall Policy
5. SSL-VPN Web Mode
6. SSL-VPN Tunnel Mode
Sekarang kita mulai konfigurasinya : Login ke device Fortigate terlebih dahulu.
1. Setting Firewall Address
Disini kita akan mendefinisikan address/alamat yang akan diakses oleh si remote user. yaitu alamat jaringan lokal dan alamat jaringan server. sesuai topologi diatas, yaitu jaringan yang ada di dalam vpn_access_network. Di menu panel, pilih Firewall Objects > Address > Addresses > Create New
Kita buat untuk jaringan 192.168.10.0/27 terlebih dahulu, saya beri nama server10,
Klo udah, klik OK. next.. kita buat firewall address untuk jaringan lokal 192.168.11.0/24 , saya beri nama jaringan_lokal
klik OK. next.. karena network yang akan dituju ada lebih dari satu, saya akan membuat group untuk memudahkan dalam mendefinisikan alamat yang dituju si remote user.
Pilih Firewall Objects > Address > Groups > Create New
Buat group baru, saya akan memberi nama group itu dengan nama VPN_Access_Network dan masukan server10 dan jaringan_lokal sebagai anggotanya.
Setelah selesai, Klik OK. Nantinya alamat ini akan digunakan untuk konfigurasi selanjutnya.
2. Setting User dan Group (Remote User)
Selanjutnya kita akan mendefinisikan user dan user group untuk si remote user ini.
Arahkan ke menu User & Device > User Definition > Create New
Lalu ikuti step by stepnya sesuai gambar dibawah ini :
Setelah itu, kita buat user groupnya : User & Device > User Groups > Create New
Saya beri nama groupnya dengan nama sslvpn_user dan memasukan haniv ke dalam member
Sekarang kita mulai konfigurasinya : Login ke device Fortigate terlebih dahulu.
1. Setting Firewall Address
Disini kita akan mendefinisikan address/alamat yang akan diakses oleh si remote user. yaitu alamat jaringan lokal dan alamat jaringan server. sesuai topologi diatas, yaitu jaringan yang ada di dalam vpn_access_network. Di menu panel, pilih Firewall Objects > Address > Addresses > Create New
Kita buat untuk jaringan 192.168.10.0/27 terlebih dahulu, saya beri nama server10,
Klo udah, klik OK. next.. kita buat firewall address untuk jaringan lokal 192.168.11.0/24 , saya beri nama jaringan_lokal
klik OK. next.. karena network yang akan dituju ada lebih dari satu, saya akan membuat group untuk memudahkan dalam mendefinisikan alamat yang dituju si remote user.
Pilih Firewall Objects > Address > Groups > Create New
Buat group baru, saya akan memberi nama group itu dengan nama VPN_Access_Network dan masukan server10 dan jaringan_lokal sebagai anggotanya.
Setelah selesai, Klik OK. Nantinya alamat ini akan digunakan untuk konfigurasi selanjutnya.
2. Setting User dan Group (Remote User)
Selanjutnya kita akan mendefinisikan user dan user group untuk si remote user ini.
Arahkan ke menu User & Device > User Definition > Create New
Lalu ikuti step by stepnya sesuai gambar dibawah ini :
Saya beri nama groupnya dengan nama sslvpn_user dan memasukan haniv ke dalam member
3. Konfigurasi SSL-VPN
Firewall address sudah didefinisikan, usernya pun sudah dibuat juga. Sekarang saatnya mengkonfigurasikan SSL-VPN pada Fortigate. Klik Menu VPN > SSL > Portal
Atur konfigurasinya seperti ini :
*IP Pools : untuk merubah range IP yang diberikan untuk remote user, bisa dikonfigurasi pada :
Firewall Object > Addresses > SSLVPN_TUNNEL_ADDR1
di pengaturan saya, IP pool nya saya buat seperti ini
*Untuk membuat bookmark (shorcut ke server) klik Create New pada menu yg ada dibawah opsi Include Bookmark
Setelah OK. Klik Apply.
Firewall address sudah didefinisikan, usernya pun sudah dibuat juga. Sekarang saatnya mengkonfigurasikan SSL-VPN pada Fortigate. Klik Menu VPN > SSL > Portal
Atur konfigurasinya seperti ini :
*IP Pools : untuk merubah range IP yang diberikan untuk remote user, bisa dikonfigurasi pada :
Firewall Object > Addresses > SSLVPN_TUNNEL_ADDR1
di pengaturan saya, IP pool nya saya buat seperti ini
Setelah OK. Klik Apply.
4. Setting Firewall Policy
Next, kita atur policynya. set rule firewall policy di Fortigateya. Arahkan navigasi menu ke :
Policy > Policy > Policy > Create New
Buat policy seperti dibawah ini :
kalau pengaturan diatas sudah selesai jangan di OK dulu. selanjutnya masih ada settingan lagi dibawahnya untuk SSL-VPN Authentication Rules , Klik Create New . dan isi seperti ini :
Setelah semua selesai. Klik OK. dan OK lagi.
Next, kita atur policynya. set rule firewall policy di Fortigateya. Arahkan navigasi menu ke :
Policy > Policy > Policy > Create New
Buat policy seperti dibawah ini :
kalau pengaturan diatas sudah selesai jangan di OK dulu. selanjutnya masih ada settingan lagi dibawahnya untuk SSL-VPN Authentication Rules , Klik Create New . dan isi seperti ini :
Setelah semua selesai. Klik OK. dan OK lagi.
5. SSL-VPN Web Mode
Semua konfigurasi sudah selesai. sekarang saatnya testing. Untuk melakukan koneksi VPN agar bisa terkoneksi dengan jaringan lokal dari dunia luar, kita bisa menggunakan Portal yang telah disetting sebelumnya melalui web mode. Buka tab baru pada browser, ketik di url dengan alamat IP Publik Fortigate anda, dengan port 10443. contoh : https://219.75.69.122:10443/remote/login , kemudian masukan user dan password yang sudah dibuat sebelumnya pada step 2.
Setelah login sukses, akan muncul tampilan seperti ini.
Nah, pada tahap ini. kita sudah sukses terhubung dengan portal SSL-VPN yang kita buat, tapi masih belum terkoneksi dengan jaringan lokal. Sebelum menggunakan SSL-VPN Tunnelnya saya akan cek terlebih dahulu IP saya.
IP diatas masih IP dari Provider internet saya, yaitu 192.168.43.105 , saya juga akan cek routing tablenya.
Saya akan coba PING ke IP server, misal ke 192.168.10.9
dan memang belum bisa terhubung. :(
Semua konfigurasi sudah selesai. sekarang saatnya testing. Untuk melakukan koneksi VPN agar bisa terkoneksi dengan jaringan lokal dari dunia luar, kita bisa menggunakan Portal yang telah disetting sebelumnya melalui web mode. Buka tab baru pada browser, ketik di url dengan alamat IP Publik Fortigate anda, dengan port 10443. contoh : https://219.75.69.122:10443/remote/login , kemudian masukan user dan password yang sudah dibuat sebelumnya pada step 2.
Setelah login sukses, akan muncul tampilan seperti ini.
Nah, pada tahap ini. kita sudah sukses terhubung dengan portal SSL-VPN yang kita buat, tapi masih belum terkoneksi dengan jaringan lokal. Sebelum menggunakan SSL-VPN Tunnelnya saya akan cek terlebih dahulu IP saya.
IP diatas masih IP dari Provider internet saya, yaitu 192.168.43.105 , saya juga akan cek routing tablenya.
Saya akan coba PING ke IP server, misal ke 192.168.10.9
dan memang belum bisa terhubung. :(
6. SSL-VPN Tunnel Mode
Tahap terakhir nih, kita coba untuk melakukan koneksi ke jaringan lokal. Aktifkan SSL-VPN Tunnelnya.
Pada panel Tunnel Mode , Klik Connect pada menu ini :
setelah berhasil konek dengan SSL-VPN Tunnel, maka statusnya akan seperti ini
Cek IP lagi
Saya sudah mendapatkan IP yang sebelumnya sudah saya setting pada Firewall Object > Addresses > SSLVPN_TUNNEL_ADDR1
Cek Routing Tablenya sekarang
Udah ada tambahan di routing tablenya. Nah, kita coba lakukan tes ping ke jaringan server10 dengan IP 192.168.10.9
Dan berhasil, saya sudah bisa ping ke IP jaringan server10 (jaringan privat) dari luar.
Kalau diatas kan saya melakukan koneksi SSL-VPN melalui Web Portal untuk authentikasinya. Di Fortigate terdapat Antivirus Free dari Fortinet yang bernama Forticlient yang terdapat fitur koneksi VPN nya. Akan saya tes juga.
Sudah bisa Connected !
untuk akses aplikasi internal pun sudah bisa.
Pvvvvfft... akhirnya bisa juga. Okelah. Sekian dulu yak.
Daftar Pustaka :
Stiawan Deris. Mengenal Protokol Sistem Keamanan.
The FortiGate Cookbook 5.0.4
Tahap terakhir nih, kita coba untuk melakukan koneksi ke jaringan lokal. Aktifkan SSL-VPN Tunnelnya.
Pada panel Tunnel Mode , Klik Connect pada menu ini :
setelah berhasil konek dengan SSL-VPN Tunnel, maka statusnya akan seperti ini
Cek IP lagi
Saya sudah mendapatkan IP yang sebelumnya sudah saya setting pada Firewall Object > Addresses > SSLVPN_TUNNEL_ADDR1
Cek Routing Tablenya sekarang
Udah ada tambahan di routing tablenya. Nah, kita coba lakukan tes ping ke jaringan server10 dengan IP 192.168.10.9
Dan berhasil, saya sudah bisa ping ke IP jaringan server10 (jaringan privat) dari luar.
Kalau diatas kan saya melakukan koneksi SSL-VPN melalui Web Portal untuk authentikasinya. Di Fortigate terdapat Antivirus Free dari Fortinet yang bernama Forticlient yang terdapat fitur koneksi VPN nya. Akan saya tes juga.
Sudah bisa Connected !
untuk akses aplikasi internal pun sudah bisa.
Pvvvvfft... akhirnya bisa juga. Okelah. Sekian dulu yak.
Daftar Pustaka :
Stiawan Deris. Mengenal Protokol Sistem Keamanan.
The FortiGate Cookbook 5.0.4
7 komentar
Tulis komentarArtikel yang bagus n sangat menolong, btw kalau di Astaro security gateway cara nya gmn ya? apa ada tutorial simple seperti ini, mohon share nya
ReplyThanks
wah, belom pernah pegang Astaro security gateway bro
ReplySangat membantu sekali ilmu dari artikel ini
ReplyTerima kasih Kang / Matur Sembah Nuwun
Min, Mau tanya ini untuk portnya dari mana ya kita tahu kalau portnya 10443 ?
ReplyMohon bantuanyya
Thanks
itu port kita yang tentuin bro. mau pake port berapa.
Replymin..kalo sebaliknya piye, saya mau ping dari server internal..ke pc yang menggunakan fortinetclient!! dari ip 192.168.11.6 ke 10.212.134.200
Replymin, klu masa sertifikat keamanannya habis masa berlaku nya, untuk memperbarui nya dari mana? mohon bantuan nya, atau penjelasannya, krn baru pegang fortigate...
Reply- Kritik dan saran sangat saya nantikan untuk kemajuan blog ini.
- Silakan report, jika ada link yang mati.
- Mohon untuk berkomentar sesuai dengan tema postingan.
- Dilarang berkomentar yang mencantumkan LINK AKTIF.
ConversionConversion EmoticonEmoticon