I forget stuff… really!!!

OpenVPN… untuk apa ya?

Sebuah komentar yang menarik di blog ini menggelitik saya untuk menuliskan tentang deployment jaringan OpenVPN saya pada level aplikasi…

OpenVPN

Seperti yang pernah saya tulis di blog ini, saya telah mendeploy sebuah Enterprise Network dengan menggunakan PC layak pakai, kayak penghalusan pakaian bekas aja 😛 , yang kami instal IPCop… dengan 4 kantor cabang memanfaatkan koneksi speedy dan 3 kantor lainnya menggunakan koneksi wireless… Sementara OpenVPN server kami deploy menggunakan hardware P4 rakitan terinstal IPCop di head office dengan koneksi Internet dedicated 512Kbps…

OpenVPN Map

Mengingat kondisi hardware yang sudah lumayan lama… kami siapkan spare firewall yang dapat kami kirimkan ke masing2 kantor jika ada masalah dengan firewall tersebut… idealnya kami siapkan 1 spare firewall di setiap kantor… masalahnya kami kehabisan hardware lama… sehingga secara bertahap saya rencanakan upgrade firewall existing masing2 kantor ke P4 dan pakai firewall lama sebagai cadangan…

Aplikasi

1. Intranet
Kami deploy sebuah portal sebagai informasi dari perusahaan… baik itu dokumen standard, policy dll… juga saya siapkan forum dan blog staff…

2. Remote Administration
Budget manpower saya tidak banyak… dan jika setiap kantor harus ada orang IT akan tidak efektif… sehingga semua technical support kami pusatkan di Jakarta… Pada saat ada client yang perlu support kami cukup remote client tersebut… begitu juga server… walaupun ssh sudah cukup secure, semua administrasi dapat dengan mudah dilakukan dengan IP lokal…

3. System Monitoring
Kami harus tahu kondisi setiap server yang kami deploy… untuk itu Zenoss bisa meng-query data melalui snmp ke setiap server cukup dengan mengakses IP lokalnya…

4. Aplikasi ERP
Aplikasi ERP kami masih under Windows dan harus memanfaatkan RDP untuk koneksi dari client ke server… deployment server M$ tersebut bisa cukup aman karena selalu berada dibalik firewall.. mengingat bandwidth, masing2 kantor kami batasi hanya 1 session RDP…

5. Absensi
Sudah kami trial dan rencananya akan deploy sistem finger print recognition untuk absensi… setiap alat memiliki IP sendiri… sehingga server pengontrol tinggal meng-query device melalui IP lokalnya…

6. File Sharing
Di masing2 kantor ada sebuah server samba… sehingga bisa, walaupun jarang, melakukan file transfer melalui SMB dari dan ke masing2 kantor… cukup dengan memanggil nama server dan mengakses share di server tersebut…

Aplikasi yang belum berhasil kami deploy melalui VPN adalah VOIP… jika kami coba percakapan VOIP melalui jalur VPN, delay yang kami rasakan cukup besar… sementara jika di port forward dari firewall delay yang dirasakan agak berkurang…

  • Keren om… jadi ada sedikit gambaran tentang kantor cabang dan per-IT-an nya.
    Sukses Om Wisu !

  • Pingback: OpenVPN « Ronald Simorangkir’s Weblog()

  • ANHARDENI

    mohon info, saya coba pake zerina , tapi status stop pada system status, saat conek ke server di client1 ada
    Options error: –http-proxy MUST be used in TCP Client mode (i.e. –proto tcp-client)
    Use –help for more information.tk’s

  • Deployment anda bagaimana? Net2Host atau Net2Net?

    Untuk roadwarrior anda bisa refer http://www.vpnforum.de/zerina/?q=documentation/howto-roadwarrior

    dan jika anda deploy Net2Net anda bisa refer ke http://www.vpnforum.de/zerina/?q=documentation/howto-net2net

  • tika

    minta landasan teori tentang zerina openvpn donk….blh g?buat bahan TA ni

  • Zerina hanya software yang memaketkan OpenVPN untuk IPCop… dan menyertakan GUI

    untuk yang anda inginkan saya sarankan anda merujuk situs resmi http://openvpn.net
    atau kalau langsung ke dokumentasi mengenai security OpenVPN bisa aja rujuk

    http://openvpn.net/index.php/documentation/security-overview.html

  • ud

    Di kantor sudah ada ipcop dan sudah coba setting vpn, trus dari client sudah bisa connect tapi belum bisa ping ke IP appserver, kurang settingan apa lagi ya?

  • ud

    Rencananya di kantor pusat pakai ipcop + vpn, terus dari cabang2 connect vpn melalui internet dan dari rumah juga. IP lokal kantor 10.1.2.x, kalau coba connect pake vpn dapet IP 10.10.1.x

  • skema yang saya pakai

    IP kantor pusat -> 192.168.1.x
    IP kantor cabang 1 -> 192.168.3.x
    IP kantor cabang 2 -> 192.168.4.x
    IP kantor cabang 3 -> 192.168.5.x
    dst…

    IP roadwarrior -> 192.168.10.x

  • ud

    Kalau dari rumah connect ke vpn di kantor pusat dapet IP berapa pak Wisu

  • Rumah… saya golongkan menjadi Roadwarrior… dengan alokasi IP 192.168.10.0/24

  • ud

    Dari roadwarrior harus dibikin routing ya supaya bisa lihat IP di kantor pusat? Bikinnya gimana?

  • harusnya otomatis kecuali jika anda menggunakan addon BOT (Block Out Traffic)… jika iya anda harus menspecify rule agar allow koneksi dari dan ke OpenVPN…

    saat anda ping dari roadwarrior coba anda lihat log IPCop nya

    tail -f /var/log/messages

  • ud

    Bukan pakai roadwarrior tapi zerina nih pak Wisu

  • ud

    IPCopnya diinstall zerina dan iya menggunakan BOT dan sudah dibuatkan rule nya.

  • Iya… Roadwarrior itu cuman istilah kalo user berpindah2…

    Sepertinya rule BOT belum pas bagi OpenVPN anda…

    Sambil ping IPCop dari VPN client coba lihat log IPCop… ato kalo mau ekstrim coba matiin dulu BOT nya…

  • ud

    Koneksi dari rumah menggunakan Telkomsel Flash sehingga gateway nya otomatis ke Telkomsel, apakah mungkin kita ping ke IP lokal di kantor?

  • anhardeni

    jika berkenan mhn pandu saya instalasi openvpn

  • Pingback: BigWisu.com » Blog Archive » Instalasi IPCop()

  • Saya pernah berdiskusi dengan salah seorang pentolan VPN di Indonesia, Mas Aris di Surabaya dan Mas Owo Sugiana di Depok. Katanya memang kalau OpenVPN kurang reliable jika harus dipaksakan untuk VOIP atau koneksi real-time. Mas Aris menganjurkan untuk menggunakan freeswan atau openswan sebagai pengganti OpenVPN.

  • Freeswan dan Openswan adalah implementasi VPN dengan protokol IPSec, sementara OpenVPN berbasis SSL… setup IPSec di IPCop sebenarnya lebih mudah… tetapi pengalaman saya deploy IPSec sedikit merepotkan jika client menggunakan Speedy, terlebih lagi jika IPnya dinamis… sementara itu OpenVPN sangat stabil… itu sih 2 tahun yang lalu nggak tau lagi sekarang…

    Dalam implementasi VOIP jenis VPN apapun akan memodifikasi paket (lebih besar) sehingga pasti butuh bandwidth yang lebih besar…

  • diur

    bro kalo bole tau pake fingerprint merk apaan ?. yg isa di akses dari hq

  • vpn juga lumayan tuh buat mempercepat koneksi internet

  • arif

    salam kenal mas…mas mau tanya..jaringan saya pakai speedy mode bridge terus firewall ipcop. Di ipcop saya instal openvpn sebagai vpn server. Saya coba konek client ke vpnserver dari luar(internet) bisa konek dan ping. Terus client dari dalam(lan) bisa konek tapi saya lihat di log-nya keluar

    Err=[c:\src\21\tap-win32\tapdrvr.c/2405] #O=2 Tx=[22,0,0] Rx=[3,0,0] IrpQ=[0,1,16] PktQ=[0,1,64]]: General failure (ERROR_GEN_FAILURE) (code=31)
    Thu Jan 22 01:38:03 2009 read from TUN/TAP [State=AT?c Err=[c:\src\21\tap-win32\tapdrvr.c/2405] #O=2 Tx=[44,0,0] Rx=[4,0,0] IrpQ=[0,1,16] PktQ=[0,1,64]]: General failure (ERROR_GEN_FAILURE) (code=31

    Setting openvpn server
    Enable on RED. Hostname openvpn server/Ip : xxx.xxx.xxx.xxx (ip public)
    Dari server bis ping client yang di luar tapi gak bisa ping dari client yang di dalam(LAN).
    mohon pencerahannya mas.
    terima kasih

  • salam kenal,

    mas saya minta saran anda aplikasi apa yg bisa di pake untuk share speedy, maksudnya client koneksinya pake username & password.
    trus os servernya pake windows kompetibel dg kompi P3.
    mohon pencerahannya.

    trim’s

  • @tanto -> saya recommend IPCop… dengan tambahan addon Advance Proxy… nanti anda bisa create, tinggal klak klik melalui GUI tentunya, beberapa username yang boleh browse Internet…

  • @arif -> saya nggak terlalu yakin soal error message… tetapi memang cenderung sering muncul error message.. walaupun berhasil ping dan connect… kalau bandwidth kurang…

  • morz

    salam kenal mas…

    mau tanya:
    saya mau membandingkan enkripsi (AES, blowfish dan DES3)pada openvpn…
    Yg saya agak bingung… cara memasukkan datanya gmn…? yg nantinya akan diukur throughput ketika memakai masing2 enkripsi tersebut…
    Untuk sementara mencoba intranet dulu (tdk terhubung internet).
    Trims.

  • Iya… Roadwarrior itu cuman istilah kalo user berpindah2…

    Sepertinya rule BOT belum pas bagi OpenVPN anda…

    Sambil ping IPCop dari VPN client coba lihat log IPCop… ato kalo mau ekstrim coba matiin dulu BOT nya…

  • dedi

    Mas mohon bantuanya
    saya mau remote server di kantor yg kbtulan windows2003 server,dengan modem adsl Zyxel presitige 600 denan gateway nya ipcop,kalo saya mau remote server windows apakah mesti di atur dulu di ipcop nya
    atau bisa di setting lewat NAT zyxel sehingga bisa langung remote windows server,kalo pun ada yang di atur di ipcop apa saja langkah nya,saya coba install zerina tp zerina ternyata ga support untuk ipcop.1.21
    bisa di bantu mas,soalnya saya butuh banget untuk remote ini

  • Kalau zyxel anda set sebagai bridge, anda tidak perlu port forwarding… namun jika zyxel anda set seperti setting standar speedy anda perlu port forward TCP/UDP Port OpenVPN ke IPCop…

    Ada issue di installer Zerina… anda perlu edit file installernya dan ubah skrip pendeteksi versi IPCop… defaultnya kalau tidak salah 1.4.18… ganti saja dengan 1.4.21… saya sudah terapkan perubahan ini saat instalasi sampai 3 mesin IPCop dan tidak ada masalah…

  • saya tidak ada referensi soal benchmark throughput… namun semua client saya di belakang koneksi yang “ya begitulah”… seandainya dapat 2Mbps ke masing cabang itu udah huebat poll… pada angka segitu perbedaan throughput masing2 enkripsi tidak terlalu menjadi issue…

  • dedi

    Mas wisu
    saya sudah berhasil install openvpn zerina di ipcop 1.4.21 dan saya udah konfigure
    saya menggunakan Host-to-Net Virtual Private Network (RoadWarrior)
    http://dl.dropbox.com/u/1622530/GlobalSettingOp

    sudah install juga openvpn untuk windows
    sudah di Download Client Package (zip) dan simpan di C:Program FilesOpenVPNconfig
    tapi setelah saya connect ke OpenVPN IPCop muncul log seperti ini

    Thu Dec 31 10:47:30 2009 TCP/UDP: Incoming packet rejected from 192.168.1.128:1194[2], expected peer address: 192.168.0.253:1194 (allow this incoming source address/port by removing –remote or adding –float)

    terus openVPN gimana cara nya bisa remote desktop windows2k3 server nya
    saya masih bingung?

    untuk setting NAT nya saya sudah rubah seperti di bawah ini
    http://dl.dropbox.com/u/1622530/NAT.JPG

    Skema saya :
    IP Public 125.208.XX.XX
    IPCop : Green 192.168.1.128
    Red 192.168.0.253
    WinServer yang mau di remote 192.168.1.143

    Terima kasih mohon bantuannya

  • andre

    salam kenal pak wisnu…
    saya mau tanya setelah saya install vpn 2.09 dan copy paste untuk settingan kartu GSM,saya ingin connect tapi ditanya username dan password…bagaimana cara saya mengganti username dan password sesuai keinginan saya???

    best regards,

    andre

  • Iwa

    Mas Wisu
    bagaimana cara/script untuk merubah versi nya menjadi 1.14.18?

    terima kasih

  • Iwa

    Selamat Siang Mas Wisu
    butuh pencerahan nie, saya sudah buat sertifikat OpenVPN lalu ketika digunakan muncul message “Tue Mar 02 11:55:17 2010 TCP/UDP: Incoming packet rejected from 192.168.1.1:1194[2], expected peer address: xxx.xxx.xx.xx:1194 (allow this incoming source address/port by removing –remote or adding –float)” kemudian ini berulang terus…maksud saya mau masuk ke alamat lan internal….apa yang masih kurang ya mas??terima kasih sebelumnya 🙂

  • Paling praktis remote office di set ke dyndns dan alamat dyndns (mis cabang.dyndns.org) yang dimasukkan semagai remote office dalam setting net-to-net anda

    *Maaf terlambat respond, ternyata WordPress for BB nggak submit comment ke Disqus

  • aris

    mas kalo pake dyndns misal di server.conf isinya local 192.168.16.1 di client.conf remote rtfjakarta.dyndns.org begitu ya setingannya ? soalnya ip server ku eth0 192.168.1.2 eth1 192.168.16.1

    kira2 kesalahan dimana kalo aku bikin rtfjakarta.dyndns.org ga bisa di ping dari luar, terima kasih banyak infonya mas

  • niwing

    butuh bw minimal berapa mas untuk openvpn ini?

  • dani

    Setting IPcop untuk server dan client , gimana bro???, apa koneksi openvpn via ipcop cukup stabil???,saya dapat tugas bikin koneksi antar kantor nih, terimakasih banyak atas bimbingannya……

  • Ch43ll2000

    mas wisnu,

    klo untuk absensi itu gmn yah?saya menggunakan magic ssf untuk mesin absensinya. mohon pencerahannya.thaks chaell

  • milozovic

    gan punya software nya zerina untuk ipcop 1.4.21 ga…??

  • Wah.. maaf saya sudah lama nggak main2 IPCop … 

Powered by Wordpress | Designed by Elegant Themes