Dalam sebuah perusahaan yang memiliki lebih dari satu kantor di lokasi berbeda, kebutuhan untuk saling berbagi data secara aman menjadi hal yang sangat penting. Mengirim data melalui internet tanpa pengamanan ibarat mengirim surat rahasia tanpa amplop, siapa saja bisa membaca isinya di tengah jalan. Untuk mengatasi hal ini, digunakanlah teknologi IPsec IKEv2, yaitu protokol VPN yang mampu membuat jalur komunikasi terenkripsi antara dua jaringan yang berbeda lokasi melalui internet, sehingga data yang dikirim tidak dapat disadap maupun dimanipulasi oleh pihak lain.

Pada artikel ini kita akan membahas langkah-langkah konfigurasi Site-to-Site VPN menggunakan IPsec IKEv2 pada perangkat MikroTik RouterBoard, dengan studi kasus menghubungkan Kantor Jakarta dan Kantor Pontianak, di mana hanya Kantor Jakarta yang memiliki IP Publik. Dengan konfigurasi ini, perangkat di kedua kantor termasuk server, PC, maupun smartphone dapat saling berkomunikasi secara aman seolah berada dalam satu jaringan yang sama.

Topologi

Perangkat yang digunakan

• Router Jakarta : Mikrotik RouterBoard (IP Publik)
• Router Pontianak : Mikrotik RouterBoard (tanpa IP Publik)

Konfigurasi

1. Buat IP Pool pada router Jakarta. IP Pool digunakan sebagai sumber alamat IP tunnel yang akan diberikan ke router cabang. Menggunakan Pool memudahkan jika nantinya ada penambahan kantor cabang baru.

   

2. Konfigurasi Mode Config. Mode Config digunakan agar Jakarta bisa memberikan IP tunnel secara otomatis ke Pontianak.

   • Jakarta → centang Responder, isi Address Pool dengan pool yang sudah dibuat.
   • Pontianak → hilangkan centang Responder karena berperan sebagai Initiator.

   

3. Konfigurasi Profile (Phase 1). Profile menentukan metode enkripsi untuk mengamankan proses negosiasi awal antar router. Pastikan parameter sama di kedua router.

   

4. Konfigurasi Proposal (Phase 2). Proposal menentukan metode enkripsi untuk data yang melewati tunnel. Pastikan parameter sama di kedua router.

   

5. Konfigurasi Peer. Peer mendefinisikan router tujuan tunnel. Perbedaan utama antara Jakarta dan Pontianak ada di sini.

   • Jakarta → Address ::/0 agar bisa menerima koneksi dari mana saja, centang Passive (menunggu koneksi masuk).
   • Pontianak → Address diisi IP Publik Jakarta (10.10.10.10), Passive tidak dicentang (membuat koneksi ke peer).

   

6. Buat identity dengan method pre-shared key dan pastikan secret dibuat identik di kedua sisi. Identity dibuat pada kedua router secara identik untuk membuat kata sandi bersama agar router saling percaya. Gunakan juga mode configuration yang dibuat pada masing-masing router.

   

7. Selanjutnya buat Policy untuk menentukan trafik mana yang dienkripsi dan dikirim melalui tunnel berdasarkan jaringan asal dan tujuan. Buat pada kedua sisi dan sesuaikan dengan topologi.

   

8. Selanjutnya kita juga harus membuat rule NAT bypass di atas rule Masquerade agar traffic antar kantor tidak ter-NAT dan tetap melewati tunnel IPsec.

   

Pengujian

1. Ping dan traceroute dari Server Jakarta → Client Pontianak.

   

2. Ping, traceroute, serta remote server dari Client Pontianak → Server Jakarta.

   

   

Kesimpulan

Dengan IPsec IKEv2 di MikroTik, dua kantor yang berbeda lokasi dapat terhubung secara aman meskipun hanya satu sisi yang memiliki IP Publik. Kunci utamanya adalah Profile, Proposal, dan PSK harus identik di kedua router, serta memahami peran masing-masing sebagai Responder dan Initiator.