Your SlideShare is downloading. ×
Implementasi open vpn untuk aplikasi host
Implementasi open vpn untuk aplikasi host
Implementasi open vpn untuk aplikasi host
Implementasi open vpn untuk aplikasi host
Implementasi open vpn untuk aplikasi host
Implementasi open vpn untuk aplikasi host
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Implementasi open vpn untuk aplikasi host

323

Published on

Published in: Design
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
323
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Implementasi openVPN untuk Aplikasi Host-to-HostApr 21, 2007 Notes, WorksCerita punya cerita, sebuah kantor yang koneksi internetnya lewat wireless ke netsolusimembutuhkan konektifitas yang sangat stabil dengan downtime seminimal mungkin (hehehesemuanya juga butuh kann..). Namun kondisi perinternetan Indonesia memang rada-radaaneh dan terkadang menjadi batu sandungan bagi perusahaan-perusahaan yang mengandalkanberkembangnya usaha mereka dengan memanfaatkan jalur internet.PT. Davindo Pratama, demikian nama perusahaannya menjalankan usahanya denganmelakukan koneksi host-to-host dengan provider pulsa handphone baik GSM maupunCDMA. Aplikasi yang mereka gunakan adalah rabtronik dari RAB Indonesia, bagaimanaaplikasi ini bekerja saya kurang tahu persis, yang pasti traffic yang terjadi adalah paket-paketXML informasi transaksi antara host davindo dengan beberapa host dealer pulsa (entah tepatatau tidak istilahnya). Untuk melakukan komunikasi data, host davindo membutuhkan satubuah IP Publik yang telah diregister dan dikenali oleh host milik dealer pulsa, yang tidak bisadiubah dengan mudah.Memberikan sebuah IP Publik bukan hal sulit, saya punya dua blok /29 dari ISP sayalintaswave untuk dibagi-bagikan kepada yang membutuhkan. Namun permasalahan munculapabila terjadi masalah dengan wireless link yang ada antara host davindo dengan Gd. Cyber,yang artinya, wireless link antara davindo dan netsolusi, netsolusi dan lintaswav, sertalintaswave dan gd.cyber. Sebenarnya tidak menjadi masalah, karena SLA lintaswave masihdiangka 98% yang masih masuk hitungan baik dan bahkan lebih baik dari pada SLAt****ms****y berdasarkan pengalaman davindo sendiri (sebelumnya mereka konek viaprovider besar tersebut). Namun karena ada 3 hop yang mungkin putus/terganggu maka SLAtidak bisa dipertahankan pada angka manis tersebut. Pernah terjadi kegagalan hardware yangmenyebabkan host davindo putus selama 4 jam (sebelum mereka konek ke netsolusi) danmenyisakan kerugian secara material yang cukup besar (failed transaction) serta tentunyakerugian imaterial (faktor trust dalam dunia bisnis).
  • 2. Beberapa solusi pernah dicoba, salah satunya dengan berniat untuk melakukan collocationhost davindo di sebuah data center, yang katanya tidak berhasil karena host davindomembutuhkan kondisi dengan sinyal gsm dan cdma dengan kualitas baik untuk menerimapermohonan transaksi yang masuk melalui kurang lebih 8 buah gsm dan cdma modem yangtercolok di host davindo, hal ini tidak bisa mereka dapatkan di data center.Solusi yang saya ajukan adalah dengan melakukan koneksi VPN dengan moda routingsehingga kita bisa melakukan collocation, dan bahkan lebih baik lagi menyewa sebuahaccount VPS dengan minimal 3 buah ip publik dan menggunakan sebuah IP Publik pada VPStersebut sebagai IP yang diregister ke host yang lain. Kemudian melakukan NAT any to anydan push redirect gateway sehinggan host davindo hanya akan berada satu hop dibelakan IPPublik tersebut baik terkoneksi melalui wireless, ataupun yang lain sebagai backup selamamelakukan koneksi melalui VPN Tunnel yang disediakan oleh VPN server di VPS Account.Untuk VPS tentu saja pilihan jatuh kepada idVPS milik indika, karena saya sebelumnyapernah menjadi pelanggan mereka dan tentu karena murah dan technical support yang dapatdiandalkan. Sementara untuk VPN pilihan jatuh kepada openVPN, tentunya open source dantidak terlalu sulit diimplementasikan untuk seseorang dengan pengerahuan linux pas-pasanseperti saya.OpenVPN diimplementasikan dengan moda routing (tun) dan push redirect gateway,sehinggan host yang terkoneksi dengan openVPN akan menggunakan openVPN serversebagai gateway. Konfigurasinya mudah, tinggal googling, salah satu panduan yang sayapakai adalah blognya Mas Dicky untuk konfigurasi servernya dan wiki pada tektonik untukkonfigurasi SNAT dan juga kemudian DNAT, karena VPS dengan XEN (milik idVPS) tidakmensupport -t nat masquerade, dan secara default tidak mengkompile Module Driver TUNpada kernelnya (hal ini diselesaikan dengan mudah setelah saya mengajukan permohonansupport ke idVPS — viva idVPS untuk fleksibilitas dan kehandalan supportnya).Berikut ringkasan konfigurasi pada server..instalasi openVPN pada debian..# apt-get install openvpnBikin ssl nya dari direktori openvpn sample hasil instalasi pada debian#cd /usr/share/doc/openvpn/examples/easy-rsa/#export D=/etc/openvpn#export KEY_CONFIG=$D/openssl.cnf#export KEY_DIR=$D/keys#export KEY_SIZE=1024#export KEY_COUNTRY=ID#export KEY_PROVINCE=”DKI Jakarta”#export KEY_CITY=”Jakarta Timur”#export KEY_ORG=”netsolusi”#export KEY_EMAIL=”tajid.yakub@gmail.com”#export KEY_COMMON=”xxx.idvps.com”
  • 3. /usr/share/doc/openvpn/examples/easy-rsa# gunzip openssl.cnf.gz/usr/share/doc/openvpn/examples/easy-rsa# cp openssl.cnf /etc/openvpn#./clean-all#./build-ca#./build-key-server davindo#./build-key davindo-client#./build-dhdan kemudian bikin konfigurasi servernya#pico /etc/openvpn/davindo-vpn.confberikut isinya, gunakan ip publik untuk koneksi vpnnya, berbeda dengan ip publik yang akandi nat any to anyport 1194local 202.xx.xx.21proto udpca /etc/openvpn/keys/ca.crtcert /etc/openvpn/keys/davindo.crtkey /etc/openvpn/keys/davindo.keydh /etc/openvpn/keys/dh1024.pemserver 10.10.10.0 255.255.255.0persist-keypersist-tunstatus openvpn-status.logverb 2dev tunkeepalive 10 120comp-lzopush “redirect-gateway”push “dhcp-option DNS 10.10.10.1″start openvpn server#/etc/init.d/openvpn startsetelah distart akan muncul interface tun0#ifconfigtun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00inet addr:10.10.10.1 P-t-P:10.10.10.2 Mask:255.255.255.255UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1RX packets:3397 errors:0 dropped:0 overruns:0 frame:0
  • 4. TX packets:3244 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:100RX bytes:986676 (963.5 KiB) TX bytes:835539 (815.9 KiB)Lakukan SNAT untuk “merubah” ip dari vpn client, dalam hal ini 10.10.10.x dan DNATuntuk “merubah” permintaan ke ip 202.xx.xx.25 ke 10.10.10.x;# iptables -t nat -s 10.10.10.x -A POSTROUTING -j SNAT –to 202.xx.xx.25# iptables -t nat -A PREROUTING -d 202.xx.xx25 -j DNAT –to 10.10.10.xopenVPN server sudah berjalan dan mendengarkan permohonan koneksi dari vpnclient, inicontoh koneksi dengan openVPN client di windowXP SP2, dengan key ca.crt, klien.crt, danklien.key yang telah dikopi ke komputer saya, dengan konfigurasi sebagai berikut;clientdev tun;dev-node MyTapproto udpremote xxx.idvps.com 1194resolv-retry infinitenobindpersist-keypersist-tunca carstenz-davindo-keyca.crtcert carstenz-davindo-keydavindo-client.crtkey carstenz-davindo-keydavindo-client.keycomp-lzoverb 3;mute 20Berikut hasil traceroute sebelum dan sesudah terkoneksi dengan vpn ;C:Documents and SettingsTajid Yakub>tracert boleh.comTracing route to boleh.com [202.10.63.6]over a maximum of 30 hops:1 <1 ms <1 ms <1 ms netsol.005.001.29.gw [172.16.5.1]2 18 ms 3 ms 23 ms core.netsolusi.net [202.xx.xx.105]3 14 ms 3 ms 4 ms morp.lintaswave.net.id [202.xx.xx.1]4 6 ms 5 ms 4 ms 202.149.95.1415 32 ms 6 ms 4 ms bolehnet.openixp.net [218.100.27.173]6 5 ms 20 ms 7 ms 202.10.63.6Trace complete.Tracing route to boleh.com [202.10.63.6]over a maximum of 30 hops:
  • 5. 1 20 ms 7 ms 32 ms 10.10.10.12 22 ms 19 ms 7 ms gigabitethernet1-edge187.idvps.com [202.87.187.1]3 5 ms 23 ms 7 ms bolehnet.openixp.net [218.100.27.173]4 9 ms 19 ms 21 ms 202.10.63.6Trace complete.
  • 6. 1 20 ms 7 ms 32 ms 10.10.10.12 22 ms 19 ms 7 ms gigabitethernet1-edge187.idvps.com [202.87.187.1]3 5 ms 23 ms 7 ms bolehnet.openixp.net [218.100.27.173]4 9 ms 19 ms 21 ms 202.10.63.6Trace complete.

×