Client VPN Meraki - Install and Troubleshot

Client VPN Meraki - Install and Troubleshot

Singkong Squad

November 20, 2024

0 komentar

 Hello guys, in this section i will share my experience when configuring client VPN on meraki

by the way in this section i install client vpn on MX-64W

i already install this client on 2 scenario :

1. MX-64W have ip public

2. MX-64W Behind NAT Devices

So lets start to configure client vpn on meraki, this configuration on meraki is used on 2 scenarios above

Navigate to Security & SD-WAN > Client VPN

Client VPN Server : Enabled

Hostname : This is the same hostname on the appliance status

Subnet      : This is subnet that will be used by the user connected to vpn, make sure this subnet not on the network

DNS Server : Use DNS Server as you wish, in this scenario i use google public DNS

Shared Secret : this is used to match beetween client and server, you are free to fullfil this secret with senteces or number

Authentication : You can choose Meraki Cloud, Radius, Active Directory

Meraki Cloud Authentication : Use Database User on Meraki Dashboard, locate in below Authentication

Radius : Use Radius Server, you must add radius server below Authentication menu

Active Directory : Use AD, you must add Active Directory below Authentication menu

So Configuration Above is in Meraki Dashboard

So Next step is we configure on remote client, in my scenario i use windows 10

Navigate to windows tab and search VPN Setting

after that click Add VPN Connection

VPN Provider : Windows 

Connection Name : this is name for this connection

Server Name : this is hostname on the meraki dashboard that we configure earlier

VPN Type :  you must choose L2TP/IPSec  with pre-shared key to use client vpn meraki

Pre-Shared Key : Use shared secret that we configure earlier on Meraki Dashboard

Save

After that go to Network Connections

Press windows + R and type ncpa.cpl

Right click on connection name that we configure above and clik propeties

Go to Security and match with image below and OK

Test Connection

if you use scenario 1, this will directly connected

if you encounter this error " The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer." there are several possibilities:

1. There is block from remote client

2. Hostname not reachable from remote client, you can makesure to ping hostname from cmd

3. You use scenario 2 where Meraki is behind nat devices, you need to configure port forwarding on your router that have ip public, make port udp 500 and 4500 to translate to ip meraki

here is example point 3

my uplink meraki have ip 192.168.100.2 and get wan ip 4.4.4.4

so you need to configure port forwarding on router, here is example my configuration from router mikrotik

1    chain=dstnat action=dst-nat to-addresses=192.168.100.2 to-ports=500 

      protocol=udp dst-address=4.4.4.4 dst-port=500 log=no log-prefix="" 

 2    chain=dstnat action=dst-nat to-addresses=192.168.100.2 to-ports=4500 

      protocol=udp dst-address=4.4.4.4 dst-port=4500 log=no 

      log-prefix="" 

if you already configure that on router you will get other error while try connected to vpn

"The network connection beetween your computer and the VPN server could not established because the remote server is not responding. This could be because one of the network devices (e.g, firewalls, NAT, routers, etc) beetween your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem."

this error occur on windows 10, you need to add configuration on windows 10, to add variable to registry editor via Powershell with administrator privilege and after you insert that command, you need to reboot client windows 10

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 0x2 /f
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters /v ProhibitIpSec /t REG_DWORD /d 0x0 /f

just info, this client vpn configuration is used full tunnel that means you internet gateway is vpn, if you want to make split tunnel on client vpn meraki you need to manually route network on your meraki to vpn, i already have script bat that can help you guys to connect vpn and make that to split tunnel

# Define variables

$vpnName = "MerakiVPN"  # Name of the VPN connection

$serverAddress = "4.4.4.4"  # VPN server address

$vpnKey = "12345678"  # Pre-shared key for the VPN

$destinationSubnets = @(

    "10.1.1.0/24",

    "172.16.10.0/24",

    "172.16.20.0/24",

    "172.16.30.0/24",

    "172.16.40.0/24"

)  # Subnets to route through VPN

you guys just need to modify this variable on file.ps1

vpnName : for connection VPN name

serverAddress : fill this with hostname meraki

vpnKey : fill this with your shared secret vpn

destinationSubnet : this is subnet for your meraki network

you can download script in here

after that you can try to connect again

thats all from me, if you guys found issue, you can ask to the comment

Thanks Guys

See you

Redistribute, Summary and Authentication OSPF Cisco

Redistribute, Summary and Authentication OSPF Cisco

Singkong Squad

Februari 06, 2023

0 komentar

 Halo guys, balik lagi nih, sekarang w mau sharing tentang beberapa atribut tambahan ospf, 

biar lebih efektif ceritanya,

pembahasannya sesuai judul ya, 

untuk topologi kita gunakan yang kemarin, tapi ada sedikit perubahan jadi yang area 3 kita ganti jadi routing eigrp,

nah jadi int fa0/1 di r5 dan r6 kita hapus ospf nya, ganti ke eigrp

* no router ospf = hapus ospf

* router eigrp = buat router eigrp nya

* no network 56..... = kita hapus network arah ke R6

* router eigrp = buat eigrp seperti biasa

nah sudah establish

langkah selanjutnya kita redistribute ospf ke eigrp dan sebaliknya, biar R6 bisa dapet route ke semua jaringan dan sebaliknya

* redistribute ospf 5 (no ospf) metric 10000 (Bandwith) 1000 (delay usec) 255 (reference bandwidht) 255 (efective bandwidht) 1500 (mtu)

nah kenapa harus ada metric segala, jadi kalo dari eigrp mau redistribute ke ospf harus disesuain sama interface yang ngarah ke eigrp, btw disini R5 sebagai ASBR yaitu penghubung eigrp dan ospf, untuk detail bisa dilihat di R6 di gambar 2

pernah w coba tanpa metric kagak jalan cuy

* untuk redistribute ospf command nya redistribute eigrp (no. eigrp) subnets

kalo ospf ke eigrp kagak ada ribet ribet nya

nah hasil nya di R6 udah ada router hasil redistribusi dari ospf, lambang nya EX ya

nah lanjut ke summary external ya, jadi disini di loopback R6 ada 2 yaitu 6.6.6.6 dan 6.6.5.1, nah kita akan summary jadi 6.6.0.0/16 ya, biar lebih ringkas, kita cek dulu sebelum di summary di R3 ya,

masih ada 2

untuk configure nya di router ASBR ya, yang ngubungin ospf sama eigrp, dalam kasus ini di R5

command nya summary-address 6.6.5.0 255.255.0.0

* aslinya bisa sih 6.6.0.0 255.255.0.0

mari cek lagi di R3, nah udah jadi ringkas kan

tadi kan udah external, sekarang kita summary di internal ospf, jadi kita advertise di area 1 jadi 1 route

sebelum di summary ada 2 network 4.4.4.4 dan 4.4.4.3, kita mau summary jadi 4.4.4.0/24 ya

* area 1 = karna network 4.4.4 tadi di area 1

* 4.4.4.0 = summary nya

* 255.255.255.0 = subnet

oh ya config nya harus di ABR ya, yang ngehubungin 2 area dalam kasus ini R3, ngehubungin area 1 dan 0

kita cek di R5 hasilnya, nah udah jadi 1 route yaitu 4.4.4.0

untuk percobaan terakhir kita akan buat autentikasi antar ospf ya

* hanya bisa diaktifkan via interface, tidak bisa via router ospf

* untuk 2 router saja, jadi router lain tidak wajib ada autentikasi

* R4 ke R3

* 1 = key id, bebas

* cisco = password nya

konfig ini harus sama antar router ya, 

nah setelah ke apply ospf down kan

setelah di konfig autentikasi yang sama maka ospf kembali berjalan kembali

OK segitu aja sharing w kali ini

Terimakasih

Konfigurasi Virtual Link pada OSPF Cisco

Konfigurasi Virtual Link pada OSPF Cisco

Singkong Squad

Januari 11, 2023

0 komentar

 Halo guys, balik lagi nih

sekarang w mau bahas virtual link ya

what is virtual link?? anjay pake bahasa inggris segala

jadi dalam ospf tuh semua harus terhubung ke area 0 untuk saling bertukar sla, nah ada skenario dimana ada router yang tidak konek langsung ke area 0, jadi transit area lain dulu, by default tidak bisa

bingung ya???? wkwkwkkw gw kasih topologi dulu biar paham

nah kasus yang gw maksud kaya si R6, jadi si R6 ini kan di area 3, dan konek nya ke r5 di area 2

sedangkan router lain itu pada langsung konek ke area 0, si R4 area 1 langsung konek ke R3 di area 0

si R5 konek ke R2 area 0

jadi intinya itu router harus konek ke router abr yang ada area 0 nya

router abr itu router yang ngehubungin 2 area, kasus disini yaitu R3,R2,R5

R3 int fa0/0 di area int fa0/1 di area 1

R2 int fa0/1 di area 0 int fa0/0 di area 2

R5 int fa0/0 di area 2 int fa0/1 di area 3

nah makanya dibutuhin virtual link buat menjembatani R6 ke router area 0

jadi kita buat virtual link nya di R2 dan R5 selaku area transit

ok, sebelum ke virtual link kita konfigurasi ospf nya dulu

* disini gw pake cara gampang, jadi advertise semua yang ada router, ya karena di router hanya ada area 0

* disini gw make nya pake interface jadi command nya ip ospf (no.ospf) area (area nya)

* int fa0/0 mengarah ke area 0

* int fa0/1 mengarah ke area 1

* disini dispesifikin network nya, formatnya network (network nya) (wildcard nya) area (area nya)

* network 12.12 itu antara R1 dan R2

* network 25.25 itu antara R2 dan R5

* gw pake 0.0. karena di router ini hanya satu area

Oke, setelah selesai mari cek tabel routing nya

loopback R6 belum ada karena R6 gak konek langsung ke area 0

nah di R6 gak ada ospf yang ke advertise kan

ya karena dia gak konek langsung ke area 0 makanya gak bisa saling bertukar sla

Oke, mari kita setting virtual link nya

* kita harus tahu router id tetangga yang bukan ke area 0 dulu, cara cek nya show ip ospf neigbor

* di R2, router id yang ke R5 yaitu 56.56.56.1, bisa diketahui melalui interface ya

* setting virtual link dibawah router ospf ya

* formatnya area (area router transit) virtual-link (router id tetangga)

* di R5 juga disetting sama seperti R2 cuma beda di router id tetangga saja

ok mari cek tabel routing R6 sekarang

nah dah rame kan, berarti konfig virtual-link kali ini berhasil

horray

note : jika ada lebih dari 2 transit area menuju area 0 maka per area wajib buat virtual link

nah disini kita harus buat virtual link di R2-R3, R3-R4

karena dari r5 ke area 0 melewati 2 area

sekian dulu sharing kali ini

makasih dah mampir ya

Path Manipultion and Authentication in EIGRP Cisco

Path Manipultion and Authentication in EIGRP Cisco

Singkong Squad

Januari 09, 2023

0 komentar

 Halo guys, bagaimana kabar kalian? masih waras kan hehe

ok disini w akan share tentang memilih jalur di eigrp, jadi ibarat ada 2 jalur ke arah tujuan, nah kita bisa prioritaskan jalur nya ke 1 jalur saja, jadi fail over,

ok, langsung aja ke konfig nya

untuk topologinya saya pake yang di setting ip sla sebelum nya, kalo belum lihat bisa dilihat disini

oh ya sebelum ke konfigurasi nya, kita harus tahu perhitungan metric nya dulu ya, hehe lupa

jadi metric eigrp ( kita ambil tujuan ke lo R1

bandwidth = (10⁷ /bandwith interface) * 256

delay = jalur router ke tujuan / 10 * 256

ok, kita coba hitung, untuk cek bandwidht dan delay di show interface ya, dalam kasus ini gw coba hitung jalur yang lewat int fa0/0 ( R3-R4-R1) btw per interface ini sama semua ya

jadinya

bandwidth = (10⁷ /bandwith interface) * 256

10000000/10000 * 256 = 256000

delay = ((1000 + 1000)/10)* 256 = 51200

metric = bandwith + delay......

           = 256000 + 51200

           = 307200

kita coba cek dengan show ip eigrp topology all-links

nah bener kan, metricnya itu yang kiri ya, ok sekarang kita coba manipulasi jalur nya ya

hasil show route sebelum dimanipulasi, masih ada 2 jalur, sebenernya jalah sih kalau ada 2 jalur ini, ya jadinya load balancing tapi karena kita mau praktek prioritasin 1 jalur ya apa boleh buat, hehe

ada 3 metode buat manipulasi jalur

1. pake offset list

2. ganti bandwidh, delay

3. ubah distance

kita bahas satu satu ya

* buat acl terlebih dahulu, dalam kasus ini tujuan 1.1.1.1, kenapa wildcard 0.0.0.0 karena ya /32

* command nya offset list (no. acl) in (tambahan metric nya berapa) (interface yang mau ditambahin)

jadi command tersebut berarti kita akan menambahkan metric 1000 ke interface fa0/0

coba kita cek

nah di interface fa0/0 metricnya berubah dari 307200 menjadi 308200, kita coba cek di show ip route nya ya apakah sudah hilang

yup, sudah hilang, bukan hilang sih lebih tepatnya gak ditampilin si, jadi kalau interface fa0/1 ini putus maka otomatis beralih ke fa0/0 dan kenapa fa0/1 yang utama karena metric fa0/1 lebih kecil

kan kita gedein yang fa0/0 tadi, gimana sih

ok, kita coba pake metode 2, sebelum nya kita balikin dulu ke kondisi 2 jalur ada ya

* masuk interface yang mau diobrak abrik, eh maksudnya diubah

* format nya bandwidh (jumlah bandwitdh) delay (jumlah delay)

   dalam kasus ini w ubah delay nya jadi 990 usec (kenapa di gambar 99, karena satuan nya pake sec, dan yang ditampilin di show interface pake satuan usec)

ok mari kita coba cek dulu

yup, jalur int fa0/0 metric nya berkurang dari 307200 menjadi 306944, mari cek di tabel route nya

sekarang jalur interface fa0/0 mendominasi karena metric nya lebih kecil

oke sekarang kita pake metode ke 3

* ini masih pake acl yang tadi ya

* formatnya distance (jumlah distance) (ip tetangga, dalam kasus ini ip R2) (wildcard) (no.acl)

ok mari kta cek di tabel route

lah kok gak berubah??????

hmmm, setelah gw coba coba, ternyata metode distance ini gak berlaku buat route hasil redistribute,

kan jalur ke 1.1.1.1 itu hasil redistribusi dari static,

kalau kasus nya route 1.1.1.1 dari internal eigrp maka metode distance ini work

note :

* disarankan pake metode 1 karena yang berubah hanya router sendiri, tidak mengganggu perhitungan metric di router lain

* kalo pake metode 2 pasti di router lain juga ikut berubah metric nya

Oke mari lanjut ke authentication dalam eigrp

1. buat key chain dulu

* formatnya key chain (nama chain, bebas)

* buat key 1, lalu key-string(isi authentication nya)

* buat key 2, isinya bebas si, kenapa ada 2 kunci???? ya biar lebih secure, key nya sih minimal 1 udah bisa jalan

* karena kita buat 2 key, maka di router lain yang kita kasih authentikasi harus sama jumlah key dan isi key-string nya

* nama key-chain bisa beda tiap router tapi key-string nya wajib sama, gak boleh ketuker isi key 1 ke key 2, jadi bener bener harus match antar router

* apply pada interface yang mengarah ke router eigrp lain

* formatnya ip authentication key-chain eigrp (no. process eigrp) (nama key-chain)

* kasih mode nya, kalau gak dikasih authentikasi gak bakal jalan

   formatnya ip authentication mode eigrp (no.process) md5

* lakukan hal yang sama ke interface fa0/1 atau jika ada interface lain yang konek ke router eigrp

* ini konfigurasi di R4, command sama kaya di R3

* jumlah key dan isinya sama ya

noh kan kalau sudah up berarti konfigurasi authentikasi berhasil

* di R2 pun berjalan lancar

Jurus terakhir yang ane bagikan yaitu unequal load balancing,

afaan tuh??

jadi unequal load balancing itu kita jalanin 2 jalur yang metric nya berbeda, dan spesial nya lagi hanya protocol eigrp yang support fitur ini, karna protocol lain hanya bisa load balancing jika metric nya sama

pertama kita bedain dulu bandwidh nya, kalo di real life ini terjadi jika ada 2 interface dengan bandwidh yang berbeda, karna kan gak semua router support gigabit

* gw set 5000 kb

* nah untuk menjalankan unequal kita harus tahu perbandingan antar jalur, mudahnya metric yang besar dibagi metric yang kecil

* 563200/307200 = 1,8888   nah kita buletin jadi 2

* inilah sihir utama yang menjalankan unequal load balance yaitu dengan  command variance

* pengisian variance didapatkan dengan pembagian tadi

Oke segitu dulu ya

maksih yang mau mampir, syukur syukur ngeklik iklan nya hehe