Ada beberapa cara membangun koneksi VPN, antara lain (yg populer):PPTP
-http://poptop.sourceforge.net/L2TP over IPSec -http://l2tpd.snapgear.org/IPSec
-http://openswan.org SSL -http://openvpn.org Aku akan coba jelaskan satu per satu cara
membuatnya:1. PPTPDownload & install source / install dr RPMHal selanjutnya, edit file
/etc/pptp.confoption /etc/ppp/options.pptpdlocalip [IP_interface_lokal_yg_konek_ke_LAN]remoteip
[range_IP_buatan_utk_alokasi_client_contoh:192.168.0.101-103]Edit file
/etc/ppp/options.pptpdlocknopcompnoauthdebugdefaultroutename pptpdproxyarpasyncmap
0refuse-chaprefuse-mschaprequire-mschap-v2require-mppelcp-echo-failure 30lcp-echo-interval
5ipcp-accept-localipcp-accept-remoteallow-ip [ip_remote_yg_boleh mengakses]ms-dns
[dns_server_lokal_network_yg_diakses]ms-wins
[wins_server_lokal_network_yg_diakses]proxyarpdebugdumplocknobsdcomplogfile /var/log/pptp.log
Buka Firewall untuk TCP port 1723 dan PROTO GRE-A INPUT -i eth0 -p tcp –dport 1723 -j ACCEPT-A
INPUT -p gre -j ACCEPTBerdasarkan artikel yang aku baca, gunakan authentikasi EAP-TLS
(pengganti MSCHAP2), katanya ini yg lebih baik … tp belum sempet ditest apakah PPTP Client yg
standard di Windows en Mac OS X support.2. IPSECIPSec di Linux sebenarnya dipelopori oleh
software Free SWAN, namun Free SWAN sudah tidak diteruskan lagi oleh pengembangnya, tapi versi
2.06 cukup handal bisa dipasang di kernel 2.4 dan 2.6. Ada 2 group yg meneruskan development
dari Free SWAN :Open SWAN -http://openswan.org Strong SWAN -http://strongswan.org Open SWAN
lebih populer dari Strong SWAN, dan berdasarkan pengalaman pribadi …
Open SWAN lebih fleksibel dibanding Strong SWAN, ada beberapa arsitektur VPN yang sedikit
lebih rumit dikonfigurasi di Strong SWAN. Kelebihan lainnya, Open SWAN sudah dibikin RPM nya
utk Fedora .. hehehehehee Cara nginstall :Download n Install dari Source atau Install dari RPM
(yum)edit /etc/ipsec.confversion 2.0config
setupinterfaces=%defaultrouteklipsdebug=noneplutodebug=nonenat_traversal=yes—> baris version
ini perlu ada dan sesuai dengan versi freeswan yang digunakan.—> nat_traversal utk memungkinkan
koneksi dari IP Private (NAT)Tambahkan di ipsec.confconn
vpn-ipsecauthby=secretpfs=noleft=[ip_client/format_laen_contoh_%any]right=[ip_interface_yg_dikonek_oleh_client/format_laen]rightsubnet=[network_address_network_lokal]/[subnet_contoh_24]auto=addkeyingtries=0—->
right atau left boleh dibolak-balik, rightsubnet tidak perlu ditulis kalo konfigurasi VPN yang
dilakukan adalah HOST-to-HOST, rightsubnet hanya diperlukan untuk HOST-to-NETWORK.—->
authby=secret, kl mau otentikasi dengan Pre-Shared Key (semacam password). Bisa juga dengan
Certificate … authby=rsasig Buat file /etc/ipsec.secrets untuk menyimpan presharedkey atau
certificate Contoh:: PSK “[ketik_di_sini_utk_passwordnya]”: RSA {# RSA 2192 bits
terowongan.1rstwap.com Tue Aug 2 18:56:23 2005# for signatures only, UNSAFE FOR
ENCRYPTION#pubkey=0s AQ…… Modulus: 0xa0……..
Public Exponent: 0x03# everything after this point is secret Private Exponent:
0x1a….}[ip_client] [ip_server]: PSK “[ketik_di_sini_utk_passwordnya]”Buka Firewall untuk UDP
port 500 dan PROTO ESPContoh:-A INPUT -i eth0 -p udp –dport 500 -j ACCEPT-A INPUT -p esp -j
ACCEPT3. L2TP via IPSec Sayang banget, proyek pengembangan server L2TP utk Linux juga sudah
berhenti, tp masih ada yg bikin mirrornya …http://l2tpd.snapgear.org Pertama kita perlu
install dulu IPSEC nya, dan pasang konfigurasi seperti ini :Untuk Client Win98/XP yg belum
update SP2/Mac OS Xconn
vpn-l2tp-ipsecauthby=secretpfs=noleft=[ip_client/format_laen_contoh_%any]leftprotoport=17/0right=[ip_interface_yg_dikonek_oleh_client/format_laen]rightprotoport=17/1701rightsubnet=[network_address_network_lokal]/[subnet_contoh_24]auto=addkeyingtries=0Untuk
Client XP SP2conn
vpn-l2tp-ipsecauthby=secretpfs=noleft=[ip_client/format_laen_contoh_%any]leftprotoport=17/1701right=[ip_interface_yg_dikonek_oleh_client/format_laen]rightprotoport=17/1701rightsubnet=[network_address_network_lokal]/[subnet_contoh_24]auto=addkeyingtries=0—>
Perhatikan baris lefprotoport dan rightprotoport. Itu yg membedakan dengan konfigurasi IPSEC
(tanpa L2TP dan L2TP utk XP/Mac OSX dengan L2TP utk XP SP2). Install L2TPDEdit file
/etc/l2tpd/l2tpd.conf[global]port = 1701[lns default]ip range =
[alokasi_range_ip_utk_client_contoh:_192.168.2.1-192.168.2.100]local ip =
[ip_lokal_utk_konek_ke_LAN]require chap = yesrefuse pap = yesrequire authentication = yesname =
[nama_VPN_bebas]ppp debug = yespppoptfile = /etc/ppp/options.l2tpdlength bit = yes Edit / Bikin
file /etc/ppp/options.l2tpdms-dns [dns_server_di_LAN]ms-wins
[wins_server_di_LAN]require-mschap-v2ipcp-accept-localipcp-accept-remoteauthcrtsctsidle 1800mtu
1400mru 1400nodefaultroutenodetachdebuglockconnect-delay 5000dumplogfd 2logfile
/var/log/l2tpd.logallow-ip [ip_client_yg_boleh_pake_l2tp]Sekarang tinggal buka Firewall nya,
TCP port 1701 dan UDP port 500 dan PROTO ESP.
Contoh:-A INPUT -i eth0 -p tcp –dport 1701 -j ACCEPT-A INPUT -i eth0 -p udp –dport 500 -j
ACCEPT-A INPUT -p esp -j ACCEPT4. Open VPN (SSL)Download source nya
darihttp://openvpn.org(mending dari source aja, krn dilengkapin ama script2 buat generate
certificatenya, biar gampang)Setelah kelar make dan make install, masuk ke direktori source
“easy-rsa”, jalankan :export D=/etc/openvpnexport KEY_CONFIG=$D/openssl.cnfexport
KEY_DIR=$D/keysexport KEY_SIZE=1024export KEY_COUNTRY=IDexport KEY_PROVINCE=”DKI Jakarta”export
KEY_CITY=”Jakarta Selatan”export KEY_ORG=”[nama_pt]”export
KEY_EMAIL=”dicky.wahyu@gmail.com”export
KEY_COMMON=”[namalengkap/FQDN_host_yg_dipasangin_vpn]”Copy openssl.cnf dr dir easy-rsa ke
/etc/openvpn Setelah itu jalankan script “./clean-all” dr direktori “easy-rsa”Jalankan
“./build-ca”Jalankan “./build-key-server server”Jalankan “./build-key client” dan teruskan
jalankan “./build-key client2″ dst, tergantung jumlah client yg dibolehkan mengakses. Jalankan
“./build-dh”, waktu menjalankan perintah ini, bisa sangat lama sekali … tergantung komputer
dan panjang byte dr key (ada di vars)Kl udah semua, skrg musti bikin
/etc/openvpn/server.confport [tcp/udp_port_utk_tunnel_contoh:1234]proto [udp/tcp]ca
/etc/openvpn/keys/ca.crtcert /etc/openvpn/keys/server.crtkey /etc/openvpn/keys/server.keydh
/etc/openvpn/keys/dh1024.pemserver
[network&subnet_utk_alokasi_ip_address_utk_client_contoh:192.168.0.0_255.255.255.0]user
nobodygroup nobodypersist-keypersist-tunstatus openvpn-status.logverb 2dev tunpush
“[routing_IP_LAN_yang_akan_dipasang_di_client_contoh:_route_202.155.0.0_255.255.255.0]”keepalive
10 120comp-lzo Di sisi client, perlu meng-copy file “ca.crt”, “client.key”, “client.crt” yang
sudah digenerate tadi. Ada beberapa catatan tentang Openvpn ini:Openvpn ini agak memiliki
kelemahan untuk tunneling bandwidth besar, sepertinya overhead untuk enkripsinya sangat besar
sekali, yg menyebabkan beberapa point berikutnya.
Usahakan sebisa mungkin untuk menggunakan LZO (untuk kompresi data)Gunakan UDP (jangan TCP,
krn biasanya TCP akan bermasalah dengan Queue Data apalagi kl tanpa LZO)Saat melewatkan data yg
besar, shg menyebabkan enkripsi bekerja keras … efeknya seakan2 koneksi terganggu seperti
terputus / lag. Melihat beberapa alternatif yang sudah pernah dicoba, kesimpulan sementara
mengenai metode VPN yg cukup meyakinkan adalah: L2TP over IPSec… perlindungan ganda, dari
L2TP dan IPSec nya … paling rumit tapi jaminan keamanan lebih terjamin. Semuanya tetep
tergantung dari yg nginstallin PPTP merupakan alternatif paling mudah dan paling universal,
tetapi mengenai enkripsi MS-CHAPv2 masih sedikit meragukan tentang keamanannya, aku pernah baca
bahwa enkripsi ini “bisa” dihack.
Sedangkan EAP sendiri, aku msh belum ngerti kemungkinannya. (maklum rada baru soal ginian,
sejauh ini banyak yg bilang PEAP-MSCHAPv2 … jd bingung, lg googling)Open VPN cukup secure, tp
kayaknya kurang applicable utk hal2 yg mengharapkan performansi yg tinggi. Semoga membantu List
VPN Client:Windows 98 : MS DUN 1.4 (PPTP), MSL2TP, Cisco VPN Client, Open VPN client Windows XP
: Builtin VPN Client (PPTP & L2TP), Open VPN client Mac OS X : Builtin VPN Client (PPTP &
L2TP), IP Securitas (IPSec), Tunnel Blick (Open VPN)Popularity: 14%[?]