Openswan merupakan implementasi dari protokol IPSec ( IP Security ) di linux. Pengembanganya berasal dari FreeS/WAN. Tujuan dari Frees/WAN untuk membuat IPSec menjadi metode standar untuk pengamanan jaringan internet. Frees/WAN sudah tidak dikembangkan lagi sejak adanya isu politik. Selain Openswan ada Strongswan yang melakukan pengembangan lebih lanjut dari Frees/WAN. Untuk saat ini penulis hanya akan melakukan Instalasi dan Konfigurasi L2TP Over IPSec menggunakan Openswan. Mari kita langsung ke caranya.
Berikut tahapan - tahapannya dalam melakukan Instalasi dan Konfigurasi, mohon disimak baik baik.
yum install openswan
vim /etc/ipsec.conf
config setup
nat_traversal=yes
virtual_private=%v4:169.16.0.0/24,%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:10.152.2.0/24
oe=off
protostack=netkey
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=202.xxx.xxx.xxx
leftprotoport=17/1701
right=%any
rightprotoport=17/%any
vim /etc/ipsec.secrets atau vim /etc/ipsec.d/ipsec.secrets
202.xxx.xxx.xxx %any: PSK "oke"
Ganti 1 menjadi 0 yang ada di /proc/sys/net/ipv4/conf/
echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects
Untuk bisa install L2PD maka update atau instal terlebih dahulu epel, sesuaikan dengan versi centosnya. Untuk centos 5 bisa menggunakan alamat ini ;
rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/x86_64/epel-release-5-4.noarch.rpm
atau
rpm -Uvh http://dl.fedoraproject.org/pub/epel/5/x86_64/epel-release-5-4.noarch.rpm
yum install xl2tpd
vim /etc/xl2tpd/xl2tpd.conf
[global]
ipsec saref = no
[lns default]
ip range = 10.152.2.2-10.152.2.254
local ip = 10.152.2.1
require chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
yum install ppp
vim /etc/ppp/options.xl2tpd
refuse-mschap-v2
refuse-mschap
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
lock
hide-password
local
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
vim /etc/ppp/chap-secrets
# Secrets for authentication using CHAP
# client server secret IP addresses
####### redhat-config-network will overwrite this part!!! (begin) ##########
####### redhat-config-network will overwrite this part!!! (end) ############
pondoklukman l2tpd hilapdui *
Sampai disini setting untuk Tenneling L2TP Over IPSec sudah selesai. Jalankan servicenya ipsec dan xl2tpd
/etc/init.d/ipsec start
/etc/init.d/xl2tpd start
Sekarang periksa apakah konfigurasi ipsec sudah benar
ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan U2.6.32/K2.6.18-238.el5 (netkey)
Checking for IPsec support in kernel [OK]
SAref kernel support [N/A]
NETKEY: Testing for disabled ICMP send_redirects [OK]
NETKEY detected, testing for disabled ICMP accept_redirects [OK]
Checking that pluto is running [OK]
Pluto listening for IKE on udp 500 [OK]
Pluto listening for NAT-T on udp 4500 [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADEing [OK]
Checking for 'ip' command [OK]
Checking /bin/sh is not /bin/dash [OK]
Checking for 'iptables' command [OK]
Opportunistic Encryption Support [DISABLED]
Jangan khawatir mengenai SAref kernel support statusnya N/A dan Opportunistic Encryption Support yang statusnya Disable. Pastikan pemeriksaan yang lainnya OK.
Jika pada saat ipsec diverifikasi ada error misalnya, seperti ini
NETKEY: Testing for disabled ICMP send_redirects [FAILED]
Please disable /proc/sys/net/ipv4/conf/*/send_redirects
or NETKEY will cause the sending of bogus ICMP redirects!
NETKEY detected, testing for disabled ICMP accept_redirects [FAILED]
Please disable /proc/sys/net/ipv4/conf/*/accept_redirects
or NETKEY will accept bogus ICMP redirects!
Ini berarti pada saat melakukan penggantian 1 menjadi 0 yang ada di /proc/sys/net/ipv4/conf/ ada yang belum diubah.
Sampai disini Cara Membuat Tunneling VPN Server L2TP Over IPSec Server Menggunakan Openswan sudah berhasil.
Selamat Mencoba !
Untuk artikel selanjutnya akan membahas mengenai koneksi client ke ipsec server pada kesempatan yang lain.
Terima kasih
