Salah satu service VPN yang sering digunakan adalah IPSec. Dengan menggunakan IPsec Tunnel kita bisa mengamankan koneksi dari jaringan kita melalui internet dengan metode keamanan yang fleksibel. Dalam IPSec kita mengenal istilah Internet Key Exchange (IKE) yang mana merupakan sebuah protokol pada IPSec yang mempunyai peran cukup penting.

Dengan IKE ini koneksi/link dari IPSec Tunnel (dari sisi Initiator dan Responder) terbentuk. Secara umum IKE ini memiliki fungsi sebagai mekanisme 'Key Exchange' dimana sebelum terbentuk sebuah IPSec tunnel maka akan dilakukan peering dengan melakukan negosiasi metode keamanan yang digunakan di sisi initiator maupun responder.

Untuk menjalankan fungsinya IKE ini menggunakan protokol UDP dan Port 500. Dan saat ini telah dikembangkan sebuah IKE versi baru yaitu IKE2. Ada beberapa perbedaan antara IKEv1 dan IKEv2 ini, diantaranya adalah sebagai berikut:

 <font color="#000066">/certificate

add common-name=ca name=ca

sign ca ca-crl-host=192.168.128.105

add common-name=192.168.128.105 subject-alt-name=IP:192.168.128.105 key-usage=tls-server 
name=server1

sign server1 ca=ca

add common-name=client1 key-usage=tls-client name=client1

sign client1 ca=ca</font>

Dengan script diatas akan membuat 3 file di menu 'certificate' yaitu CA, Server1, Client1.

Selanjutnya kita akan export file dari menu 'Certficates' yaitu CA dan Client1 ke masing-masing perangkat end-user. Ketika di-export nanti akan terdapat 4 file yaitu CA.crt, CA.key, Client1.crt, Client1.key.

Kemudian sebelum ditambahkan ke masing-masing perangkat end-user kita akan 'convert' 3 file yaitu CA.crt, Client1.crt, Client1.key menjadi sebuah file dengan format pkcs12. Hal ini dilakukan karena perangkat client smartphone, PC/Laptop dengan OS Windows tidak bisa menambahkan sertifikat secara terpisah. Adapun cara 'convert' file tersebut bisa dilakukan dengan aplikasi OpenSSL. Berikut scriptnya:

 <font color="#990000"><font color="#000066">openssl pkcs12 -export -out</font> <strong><font color="#ff0000">FileKonvert.pfx</font></strong><font color="#000066"> -inkey client1.key -in client1.crt -certfile ca.crt</font></font>

Dengan script diatas nanti akan menghasilkan sebuah file dengan nama FileKonvert.pfx

Konfigurasi Router

Kita akan membuat terlebih dahulu sebuah 'Pool IP' yang nantinya digunakan untuk alokasi IP Address di sisi End-User ketika sudah terkoneksi ke IPSec Tunnel.

Kemudian kita setting di menu IPSec. Masuk ke menu IP --> IPSec dan setting pada tab 'Mode Configs'. Berikut parameter yang perlu dikonfigurasi.

Selanjutnya kita juga konfigurasi di Tab 'Peers'. Disini nanti kita akan mengaktifkan IPSec dengan menggunakan IKE2. Selain itu ada beberapa parameter pendukung yang juga kita setting. Berikut contoh konfigurasinya:

Dan sampai sini langkah konfigurasi di sisi router.

Konfigurasi Perangkat END-USER

Langkah selanjutnya kita harus konfigurasi juga disisi perangkat end-user. Untuk konfigurasi di sisi end user yang paling penting adalah menambahkan sertifikat yang sudah kita buat sebelumnya ke masing-masing perangkat dengan menambahkan FileKonvert.pfx

Windows OS

Untuk penambahan sertifikat pada WindowsOS adalah seperti berikut:

Kita buka pada Microsoft Management Console (MMC). Selanjutnya tekan 'Ctrl+M' dan tambahkan 'Certificates' yang terdapat pada list 'Available Snap-Ins' ke 'Selected Snap-Ins'. Pilih 'Computer account' dan selanjutnya pilih opsi 'Local Computer'. Hasilnya akan seperti tampilan dibawah ini.

Android OS

Untuk PC/Laptop sudah kita konfigurasi seperti diatas. Selanjutnya kita akan konfigurasi client yang menggunakan perangkat Smartphone Android. Disini kita juga harus menambhakan sertifikat melalui FileKonvert.pfx yang nantinya secara otomatis akan di 'Extract' dan terinstall di system Android.

Supaya dapat terkoneksi IPSec Tunnel dengan IKE2 maka kita akan meng-install aplikasi android yaitu StrongSwan. Kemudian kita akan setting pada StrongSwan seperti berikut:

Test Koneksi

Setelah selesai konfigurasi seperti diatas kita akan test koneksinya, apakah bisa tersambung dengan baik atau tidak. Jika tersambung maka di sis Router MikroTik pada menu IP Sec akan muncul 'Policy' secara dinamis. dan pada Tab 'Installed SAs' juga terdapat informasi enkripsi yang digunakan.