Cara Setting VPN Site to Site IPsec: Autopsi Jaringan Enkripsi B2B Anti Sadap
Direktur Keuangan perusahaan Anda di kantor cabang Surabaya mendadak panik. File laporan laba rugi kuartal ketiga yang baru saja ia kirim ke kantor pusat Jakarta melalui sistem file sharing tiba-tiba beredar di grup WhatsApp anonim. Data finansial rahasia itu telanjang bulat. Setelah dilakukan audit forensik, ternyata tim IT kantor cabang hanya menggunakan koneksi Virtual Private Network (VPN) murahan berjenis PPTP yang sudah usang sejak tahun 1999. Trafik internet antara cabang dan pusat tidak dienkripsi dengan benar, sehingga mudah disadap (Man-in-the-Middle Attack) oleh peretas amatir yang menumpang di jaringan Wi-Fi kafe sebelah. Akibat kelalaian infrastruktur ini, perusahaan Anda tidak hanya kehilangan rahasia dagang, tetapi juga berpotensi menghadapi tuntutan hukum dari pemegang saham.
Menghubungkan dua gedung kantor yang terpisah jarak ratusan kilometer bukanlah perkara menarik kabel LAN panjang. Anda harus mengirimkan data mentah melewati belantara internet publik yang liar dan penuh pencuri. Mengandalkan protokol VPN jadul seperti PPTP atau L2TP tanpa lapisan enkripsi berlapis adalah sebuah kebodohan operasional B2B. Anda membutuhkan terowongan beton digital. Anda membutuhkan IPsec (Internet Protocol Security).
Kita akan membedah forensik cara setting vpn site to site ipsec tanpa ampun. Lupakan tutorial Next-Next-Finish yang tidak menjelaskan mengapa Anda harus memilih AES-256 daripada 3DES. Kita akan merakit arsitektur tunneling militer. Mulai dari menuntut kepemilikan IP Public Static, sinkronisasi algoritma Phase 1 dan Phase 2, hingga membedah paket data menggunakan Wireshark untuk membuktikan bahwa tidak ada satu pun abjad data Anda yang bisa terbaca oleh mata telanjang.
Standar Kepatuhan Enkripsi Transmisi Data
Mengirim data korporat antar cabang diatur oleh standar keamanan informasi tingkat tinggi, terutama jika perusahaan Anda menangani data rekam medis atau kartu kredit.
Berdasarkan pedoman teknis National Institute of Standards and Technology (NIST) Special Publication 800-77 Rev. 1 tentang Guide to IPsec VPNs, implementasi terowongan data wajib mematuhi parameter berikut:
- Protokol PPTP (Point-to-Point Tunneling Protocol) secara resmi dinyatakan usang (Deprecated) dan dilarang digunakan untuk mentransmisikan informasi sensitif karena kelemahan fatal pada protokol MS-CHAPv2.
- IPsec (Internet Protocol Security) wajib diimplementasikan menggunakan mode Tunnel (Bukan mode Transport) untuk menyembunyikan (Encapsulate) tidak hanya data payload, tetapi juga alamat IP header internal pengirim dan penerima.
- Algoritma enkripsi minimal yang diizinkan untuk Phase 2 (ESP – Encapsulating Security Payload) adalah AES-GCM-256 bit untuk menjamin kerahasiaan (Confidentiality) dan keutuhan data (Integrity).
Bagi tim Network Engineer Anda, menelaah literatur protokol keamanan internet (IPsec) adalah syarat mutlak sebelum Anda mengotak-atik konfigurasi Router Core perusahaan.
Kapan Harus Memilih IPsec Dibanding PPTP/L2TP?
Banyak teknisi malas memilih PPTP karena “gampang disetting dan cepat nyambung”. Ya, memang cepat, karena PPTP sama sekali tidak mengenkripsi data Anda secara serius. Menggunakan PPTP sama seperti mengirimkan emas batangan menggunakan amplop kertas tipis yang tembus pandang; siapa saja di kantor pos bisa melihat isinya.
L2TP (Layer 2 Tunneling Protocol) sedikit lebih baik, namun L2TP sendiri tidak memiliki sistem enkripsi bawaan. Ia harus “dikawinkan” dengan IPsec (menjadi L2TP/IPsec). Masalahnya, penambahan header ganda pada L2TP/IPsec (Header L2TP + Header IPsec) membuat ukuran paket data membengkak (Overhead), yang seringkali menyebabkan jaringan terasa sangat lambat (Latensi tinggi) atau situs web internal kantor sering putus-putus saat diakses.
Solusi kelas Enterprise murni adalah IPsec Site-to-Site (IKEv2) murni. Kenapa? Karena IPsec bekerja di tingkat inti jaringan (Network Layer – Layer 3). Ia langsung membungkus dan mengunci paket data sebelum dikirim, tanpa menambah overhead protokol Layer 2 yang tidak perlu. Hasilnya adalah terowongan yang 100% kedap peluru (Military Grade Encryption) dengan kecepatan transfer (Throughput) yang jauh lebih ringan dan stabil untuk melayani ratusan komputer kantor cabang sekaligus. Ketegasan memilih protokol ini sejalan dengan mitigasi risiko pada Pemulihan Data Ransomware Server B2B di mana keamanan jaringan adalah harga mati.
| Komponen Evaluasi VPN | Protokol PPTP (Usang) | Protokol IPsec Site-to-Site |
|---|---|---|
| Tingkat Enkripsi (Cipher) | Lemah (RC4 128-bit, mudah di-crack). | Sangat Kuat (AES-256 bit, standar perbankan). |
| Integritas Data (Hashing) | Tidak ada verifikasi keutuhan paket. | SHA-256 (Menjamin paket data tidak dimodifikasi di tengah jalan). |
| Kompleksitas Konfigurasi | Sangat Mudah (5 Menit selesai). | Tinggi (Harus sinkronisasi kunci Phase 1 dan Phase 2). |
| Beban CPU Router (Overhead) | Rendah. | Tinggi (Membutuhkan Router dengan fitur Hardware Encryption). |
Syarat Mutlak: IP Public Static di Kedua Sisi Kantor
Sebelum Anda mengetik perintah script pertama di Router Mikrotik atau Cisco Anda, Anda harus berurusan dengan Internet Service Provider (ISP). IPsec Site-to-Site membangun jembatan statis permanen antar dua gedung. Ia tidak bisa bekerja jika salah satu ujung jembatannya selalu berpindah-pindah tempat.
Jika kantor pusat Jakarta menggunakan langganan Internet Dedicated yang memiliki IP Public Static (misal: 103.10.20.30), tetapi kantor cabang Surabaya menggunakan internet perumahan biasa dengan IP Dinamis (yang berubah setiap modem di-restart), jembatan IPsec akan runtuh seketika saat IP cabang berubah.
Banyak teknisi amatir mencoba mengakali ini menggunakan DDNS (Dynamic DNS). Ini adalah taktik kotor yang tidak stabil. Saat IP Dinamis cabang berubah, Router butuh waktu (Delay) untuk mengabari DDNS, dan selama waktu tunggu tersebut (bisa 5 hingga 15 menit), sistem ERP atau kasir pabrik Anda akan terputus total. Untuk keandalan B2B 99.9% Uptime, Anda MUTLAK harus membeli layanan IP Public Static tambahan dari ISP di kedua sisi kantor (Pusat dan Cabang). Persyaratan infrastruktur kaku ini senada dengan Estimasi Biaya Instalasi Fiber Optic yang menuntut spesifikasi tanpa toleransi kompromi.
Konfigurasi Phase 1 (IKE) dan Phase 2 (ESP) yang Sinkron
Di sinilah banyak teknisi IT menangis darah. Berbeda dengan PPTP yang hanya butuh Username dan Password, IPsec membutuhkan “Persetujuan Dua Tahap” (Two-Phase Handshake) yang sangat ketat. Jika ada SATU saja huruf atau angka parameter yang berbeda antara Router Pusat dan Router Cabang, koneksi akan gagal (Phase 1 Failed).
1. Phase 1: IKE (Internet Key Exchange) – Negosiasi Pintu Gerbang
Ini adalah fase perkenalan. Router A dan Router B saling mengetuk pintu dan bertanya, “Apakah kamu punya kunci rahasia yang sama dengan saya?” Di sini Anda membuat Pre-Shared Key (PSK). Jangan gunakan password bodoh seperti “kantorkita123”. Gunakan Generator Password kompleks sepanjang 32 karakter alfanumerik.
Pada menu IPsec Peer dan Profile, samakan persis algoritmanya:
Enkripsi: AES-256
Hash: SHA256
DH Group: modp2048 (Group 14)
Lifetime: 1 Hari (86400 detik)
2. Phase 2: ESP (Encapsulating Security Payload) – Negosiasi Muatan
Setelah pintu gerbang terbuka di Phase 1, sekarang mereka menyepakati bagaimana cara membungkus paket data lokal (Misal IP lokal Jakarta 192.168.10.0/24 mau ngobrol dengan IP lokal Surabaya 192.168.20.0/24). Buka menu IPsec Proposal dan Policies, lalu samakan persis:
Enkripsi: AES-256 CBC
Hash: SHA256
PFS Group: modp2048 (Penting untuk keamanan ganda Perfect Forward Secrecy)
Hukum Besi: Tembak IP lokal secara menyilang. Di kebijakan (Policy) Router Jakarta, Src. Address adalah 192.168.10.0/24 dan Dst. Address adalah 192.168.20.0/24. Di Router Surabaya, dibalik 180 derajat.
Mengatasi Kendala Paket Data Tidak Lewat (Routing Issue)
Indikator IPsec Phase 2 Anda sudah menunjukkan tulisan “Established” (Nyambung). Anda tersenyum. Anda membuka Command Prompt dari PC staf Jakarta lalu mencoba “Ping” ke Server File di Surabaya (Ping 192.168.20.10). Hasilnya? “Request Timed Out”. Senyum Anda pudar. Terowongan sudah jadi, tapi datanya nyangkut.
Ini adalah penyakit paling umum: NAT Bypass Failure.
Router Mikrotik/Cisco secara default akan melakukan NAT (Network Address Translation/Masquerade) pada SEMUA paket data lokal yang mau keluar ke internet publik. Jadi, saat PC Jakarta mencoba nge-Ping PC Surabaya, Router Jakarta malah melempar Ping itu ke arah Google (Internet Umum), bukan memasukkannya ke dalam terowongan IPsec.
Solusi bedah jaringannya: Anda harus menyuntikkan Script Firewall RAW atau NAT Rule khusus yang posisinya berada di PALING ATAS (Nomor urut 0). Aturan ini berbunyi: “Jika ada paket dari IP Lokal Jakarta menuju IP Lokal Surabaya, ACCEPT (Lepaskan)! JANGAN di-NAT ke internet publik!” Begitu aturan pengecualian (NAT Bypass) ini diletakkan di atas aturan Masquerade internet biasa, paket data akan langsung tersedot masuk ke lorong gelap IPsec dan mendarat mulus di Surabaya.
Pengujian Forensik: Membedah Data dengan Wireshark
Sebagai IT Profesional, Anda tidak boleh percaya hanya pada tulisan “Connected” di layar Router. Anda harus membuktikan kepada Bos Anda bahwa investasi VPN ini benar-benar anti-sadap. Kita akan mengujinya dengan aplikasi pembaca paket data (Packet Sniffer), Wireshark.
Sambungkan laptop Hacker simulasi ke sambungan Switch di luar Router kantor (Mensimulasikan seseorang yang menyadap kabel fiber dari jalan raya). Nyalakan Wireshark dan mulai “menangkap” (Capture) aliran data. Di saat yang sama, mintalah staf keuangan di Jakarta untuk mengirimkan file Excel Laporan Gaji berformat terang (Clear text) tanpa password ke server Surabaya.
Apa yang akan terlihat di layar Wireshark Hacker?
Jika Anda memakai VPN PPTP jadul, hacker bisa melihat dengan jelas alamat IP lokal Anda (192.168.10.5) dan bisa merakit ulang (Reconstruct) file Excel tersebut untuk dibaca isinya.
Namun, karena Anda menggunakan IPsec ESP AES-256, layar Wireshark hanya akan menampilkan barisan hexadecimal sampah (Gibberish) yang panjang dan acak. Alamat IP lokal (192.168.x.x) hilang total, tergantikan oleh Alamat IP Public luar. File Excel berubah menjadi barisan sandi matematis yang butuh waktu 300 juta tahun untuk dipecahkan oleh Super Computer saat ini. Ini adalah Validasi Visual (Visual Proof) absolut yang akan membungkam keraguan Dewan Direksi Anda.
Sisi Gelap Vendor IT: Sabotase “CPU Overhead”
Saya harus memperingatkan Anda tentang taktik curang penjual alat Router (Hardware Vendor). Mereka akan memaksa Anda membeli Router murah seharga 1 jutaan dan mengklaim “Ini sudah support IPsec kok Pak”. Ya, Router murah memang bisa menjalankan IPsec, tetapi MENGGUNAKAN Software Encryption (CPU Murni).
Proses enkripsi AES-256 itu sangat berat. Jika Router murah tersebut dipaksa mengirim data antar kantor dengan kecepatan 50 Mbps, CPU Router itu akan langsung meledak menyentuh 100%. Akibatnya, internet seluruh kantor cabang akan mati (Hang) setiap kali ada staf yang sedang Copy-Paste file besar lewat VPN. Pastikan Anda membaca Datasheet pabrikan dengan teliti. Beli Router B2B yang secara fisik tertulis memiliki fitur IPsec Hardware Acceleration/Encryption (Crypto Engine). Chipset khusus ini mengambil alih tugas enkripsi dari CPU utama, sehingga Router tetap dingin dan kecepatan internet karyawan tetap stabil di angka 0% CPU Load.
Sya inget bnget bulan puasa taun 2023 kmaren pas dipanggil ngeberesin kekacauan jaringan di pabrik baja daerah Bekasi. Bosnya ngamuk-ngamuk, bilang sistem ERP SAP di pabrik itu putus nyambung ke server pusat di Sudirman tiap jam 2 siang. Pabrik mandek. Pas sya cek arsitektur Router Mikrotik mereka, astaga, teknisi freelance lama nyeting VPN pakai koneksi L2TP polosan, tanpa dibungkus IPsec sama sekali. Alesannya “Biar kenceng pak, ga usah enkripsi-enkripsian, toh file pabrik bukan rahasia negara.” Kebodohan paripurna. Bukan masalah rahasia negaranya, tapi ISP (Provider) di Indonesia tuh sering ngelakuin Traffic Shaping (pencekikan bandwidth) buat trafik L2TP kosong karena sering dipakai buat tunneling game online anak warnet. Hari itu juga sya rombak total. Sya apus L2TP abal-abal itu, sya tembak pake IPsec IKEv2 Pure Tunnel dengan kunci enkripsi SHA256. Begitu terowongan IPsec itu ngunci (Established), trafik pabrik langsung stabil garis lurus, ping dari 50ms turun jadi 8ms konstan. Ga ada lagi istilah ERP time-out. Di infrastruktur B2B, lu main-main sama protokol keamanan, sama aja lu nabrakin truk ke dinding beton. Bikin susah orang sekantor.
Pertanyaan Kritis Seputar Enkripsi Jaringan (FAQ)
Apakah IPsec VPN bisa dikonfigurasi antara merek Router yang berbeda (Misal: Pusat pakai Cisco, Cabang pakai Mikrotik)?
Sangat bisa. IPsec adalah protokol standar terbuka (Open Standard) global yang tidak dikunci oleh merek tertentu (Vendor-Neutral). Syarat mutlaknya hanyalah Anda harus menyamakan persis algoritma Cipher (Misal AES-256) dan grup enkripsi (Misal DH Group 14) di Phase 1 dan Phase 2 pada kedua sisi perangkat, terlepas dari perbedaan antarmuka (UI) layar setting-nya.
Kenapa koneksi IPsec saya sering putus (Drop) setiap 45 menit sekali dan butuh waktu lama untuk nyambung lagi?
Ini adalah patologi “Lifetime Mismatch” yang fatal. Setiap kunci enkripsi IPsec memiliki batas umur kadaluarsa (Lifetime) sebelum ia harus merombak sandi baru (Rekeying). Jika Router Pusat disetting masa hidup kunci (Phase 1 Lifetime) 86400 detik (1 Hari), namun Router Cabang disetting 3600 detik (1 Jam), maka Router cabang akan membuang kunci tersebut setiap jam sementara Pusat tidak siap. Samakan nilai Lifetime secara presisi hingga hitungan detik di kedua belah pihak.
Apakah IPsec Site-to-Site bisa menembus koneksi internet seluler (4G/5G LTE) yang ada di cabang pelosok perkebunan?
Umumnya gagal jika Anda menggunakan IPsec murni. Internet seluler (GSM) 4G/5G di Indonesia menerapkan sistem CGNAT (Carrier-Grade NAT) yang mana IP Public Anda disembunyikan berlapis lapis oleh operator seluler, sehingga IPsec tidak bisa mengetuk pintu (Initiate connection). Anda harus meminta operator seluler untuk membuka jalur APN Corporate khusus (yang memberikan IP Public Statis), atau menggunakan trik L2TP/IPsec over SSTP sebagai lapisan pembungkus (Wrapper) agar bisa menembus NAT seluler.
