Gambar 4.1 Alamat IP Klien IPsec yang overlapping Pada gambar diatas bisa dilihat bahwa klien A dan klien B memiliki alamat IP private yang sama yaitu 10.1.0.1024. Dengan demikian SA pada server IPsec memiliki nilai traffic selector yang sama atau overlapping. Hal ini akan menjadi masalah bagi server IPsec karena dia memiliki kemungkinan untuk mengirimkan paket IPsec ke tujuan klien yang salah.

4.1.1.5 Masalah NAT Traversal Mode Transport

Berdasarkan RFC3938UDP Encapsulation of IPsec ESP Packets pada bagian 5.2, terdapat situasi yang berpotensi menimbulkan masalah IPsec pada mode operasi transport dalam situasi NAT Traversal. Misalnya terdapat beberapa klien dibelakang NAT yang sama membangun suatu VPN IPsec mode transport. Bagi server IPsec, dalam mode transport, klien-klien dibelakang NAT adalah klien yang sama baginya, yaitu alamat IP NAT eksternal. SA yang dibangun antara server IPsec dan NAT memuat traffic description yang berisi keterangan protokol dan informasi port. Jika traffic description tersebut saling overlapping tumpang tindih, maka server bisa mengirimkan paket IPsec ke klien dengan SA yang salah. GW2 IPsec Security Gateway .10 .10 192.168.0.030 .1 .2 .1 10.1.0.024 A .3 .1 10.1.0.024 B NAT NAT L A N 192.168.1.024 Outbound SA pada IPsec GW2: SA1, server GW2 to A, tcp, udp-encap 4500,2501 traffic selector 192.168.0.232 - 10.1.0.1024 SA2, server GW2 to B, tcp, udp-encap 4500,2502 traffic selector 192.168.0.232 - 10.1.0.1024 - GW1 GW3 52 Gambar 4.2 Traffic description yang overlapping Pada gambar diatas bisa dilihat bahwa klien A dan klien B memilih traffic descriptor port TCP 80 yang sama. Dalam mode transport IPsec, Hal ini akan menjadi masalah bagi server IPsec karena dia mungkin saja mengirimkan paket IPsec ke tujuan klien yang salah.

4.1.1.6 Kebutuhan Peer IPsec yang Mobile dan Multihoming

IKEv2 digunakan untuk melakukan autentikasi mutual dan juga untuk membangun dan mengelola SA Security Association. SA IKE dan SA IPsec mode tunnel dibuat secara implisit antara alamat IP yang digunakan ketika SA IKE dibangun. Alamat IP ini kemudian digunakan sebagai outer IP header header IP terluar pada paket IPsec mode tunnel. Jika SA IKE telah dibuat, maka menjadi tidak mungkin untuk mengubah alamat IP tersebut. Terdapat skenario dimana alamat IP tersebut bisa berubah. Misalnya terdapat suatu klien IPsec yang mobile dan sering berpindah jaringan sehingga memiliki alamat IP yang sering berubah. Selain itu terdapat juga klien yang bersifat multihoming yang terhubung ke lebih dari satu jaringan dengan interfacenya masing-masing. Jika interface yang digunakan untuk membangun tunnel IPsec tiba-tiba down, maka peer IPsec IPsec Server .20 .10 192.168.0.030 .3 .2 .1 10.1.0.024 GW2 A B NAT Overlapping traffic descriptor Outbound SA pada Server IPsec GW2: SA1, GW2 to A , tcp:80, udp-encap 4500,2501, mode transport, traffic selector 192.168.0.232 – 192.168.0.332 SA2, GW2 to B , tcp:80, udp-encap 4500,2502, mode transport, traffic selector 192.168.0.232 – 192.168.0.332 53 GW1 itu harus membangun dari ulang kembali SA IKE dan SA IPsec. Pembangunan ulang tunnel bukan merupakan pilihan yang ideal bagi user remote access dikarenakan dibutuhkan adanya interaksi user. Untuk alasan tersebut, dibutuhkan adanya suatu prosedur yang mampu secara otomatis melakukan update SA untuk memenuhi kebutuhan mobility dan multihoming peer IPsec.

4.1.2 Pemberian Solusi Dengan Protokol IKEv2