-
Chapter 01 Introduction to MikroTik RouterOS
Outline :
Mikrotik Router OS
Installation
Mikrotik Login
Mikrotik Router OS
Mikrotik pertama kali dikembangkan di ibukota Latvia, Riga, pada
tahun 1995. Awalnya
Mikrotik ditujukan untuk menjalankan ISP kecil dengan media
wireless, namun saat ini
Mikrotik juga telah digunakan pada ISP berskala kecil sampai
menengah.
Mikrotik merupakan aplikasi atau sistem operasi Router yang
didesain berdasarkan
arsitektur hardware komputer personal. Ini membuat Mikrotik
dapat diinstalasi pada
personal komputer desktop. Ini merupakan kelebihan Mikrotik
dibanding sistem operasi
router lain yang tidak dapat dijalankan di mesin komputer
desktop.
Selain dalam bentuk sistem operasi, Mikrotik juga dipasarkan
dalam bentuk hardware
yang dinamakan Mikrotik RouterBoard. RouterBoard ini dipasarkan
dalam berbagai
spesifikasi, sehingga dapat digunakan sesuai dengan kebutuhan di
lapangan. Berikut
contoh dari beberapa seri RouterBoard :
-
Informasi lengkap tentang Mikrotik dapat di lihat pada web site
www.mikrotik.com atau
www.mikrotik.co.id
Untuk fitur, Mikrotik memiliki fitur yang sangat lengkap antara
lain :
Firewall dan Network Address Transation
Routing Statik maupun dinamik dengan RIPv1, RIPv2, OSPFv2 dan
BGPv4
Pengaturan bandwidth
Pengaturan hotspot
Point to Point tunneling Protocol
IP Security (IPsec)
Web Proxy
Dynamic Host Configuration Protocol (DHCP)
Domain Name System (DNS)
Berbegai tools jaringan antara lain : traceroute; bandwidth
test; ping flood; telnet; SSH; packet sniffer
Contoh spesifikasi dari RouterBoard adalah sebagai berikut :
Spesifikasi RouterBoard 750 :
CPU:AR7240 300MHz (overclock up to 400MHz) CPU
Memory:32MB DDR SDRAM onboard memory
Boot loader:RouterBOOT
Data storage:64MB onboard NAND memory chip
Ethernet:Five 10/100 ethernet ports (with switch chip)
miniPCI:none
Extras:Reset switch, Beeper
Serial port:no serial port
LEDs:Power, NAND activity, 5 Ethernet LEDs
Power options:Power over Ethernet: 9-28V DC (except power over
datalines). Power jack: 9.28V DC
Dimensions:113x89x28mm. Weight without packaging and cables:
130g
Power consumption:Up to 3W
Operating System:MikroTik RouterOS v3, Level4 license
Spesifikasi RouterBoard 411AH :
1 port ethernet (1 untuk PoE)
1 slot minipci
1 buah Atheros MiniPCI Wireless 802.11a+b+g 54Mbps 2.4/5GHz
2 types ethernet cap
Power Adaptor 24 V
-
Power over Ethernet Spliter
Lisensi Mikrotik RouterOS AP Level 4 /CF
CPU:Atheros AR7161 680MHz
Memory:64MB DDR onboard memory chip
Root loader:RouterBOOT, 1Mbit Flash chip
Data storage:64MB onboard NAND memory chip
Ethernet ports:1 10/100 Mbit/s Fast Ethernet port supporting
Auto-MDI/X
Serial ports:One DB9 RS232C asynchronous serial port
LEDs:Power, user LED
Power options:Power over Ethernet: 10..28V DC (except power over
datalines);
Power jack:10..28V DC; Overvoltage protection
Dimensions:105mm x 105mm (4.13 in x 4.13 in)
Temperature:Operational: -20C to +70C (-4F to 158F)
Humidity:Operational: 70% relative humidity (non-condensing)
Currently supported OS:RouterOS 3.0
Spesifikasi RouterBoard 1100 1U :
- CPU: PowerPC MPC8544 network processor
- Memory: SODIMM DDR Slot, 512MB installed, support up to
1.5GB
- Boot loader: RouterBOOT, 1Mbit Flash chip
- Data storage: Onboard NAND memory chip
- Ethernet:13 pcs 10/100/1000 Mbit/s Gigabit Ethernet with
Auto-MDI/X, includes
switch to enable auto by pass on 2 ports
- miniPCI: none
- Storage: One microSD slots
- Serial port: One DB9 RS232C asynchronous serial port
- Beeper:Present
- Power options: IEC C14 standart connector 110/220V
- Fan: Dual fan with failover support
- Case: 1U 19 rack mount - Operating System:MikroTik RouterOS
v4, Level6 license
Dalam memilih RouterBoard spesifikasi yang perlu dipertimbangkan
adalah sebagai
berikut :
Processor
Memori
Jumlah Interface
Dukungan mini PCI untuk wireless
Sedangkan untuk memilih Versi Mikrotik RouterOS, perlu
dipertimbangkan lisensi yang
dapat dilihat pada tabel berikut :
-
Mikrotik Instalation
Mikrotik RouterOS dapat diinstal pada media sebagai berikut:
Harddisk
Compact Flash
DOM (Disk On Module)
USB Flash Disk
Routerboard
DOM dan RouterBoard
Mikrotik RouterOS dapat diinstal dengan menggunakan media CD
atau dengan
menggunakan Netinstall. Jika menggunakan netinstall, harus
menggunakan aplikasi
netinstall dan Router harus mendukung boot lewat jaringan.
-
Proses instalasi Mikrotik ROuterOS dengan menggunakan media CD
tidak membutuhkan
waktu yang lama, namun instalasi mikrotik dilakukan dengan menu
teks atau Command
Line Interpreter (CLI).
Berikut screenshoot instalasi RouterOS :
Kemudian pemilihan paket yang ingin disertakan dalam Mikrotik
dapat dlakukan
dengan menekan tombol Arrow dan Spacebar. Bila ingin menyertakan
semua paket instalasi dapat menggunakan tombol a. Proses instalasi
dapat dilanjutkan dengan menekan tombol i.
-
Mikrotik Login
Untuk login kedalam mesin Mikrotik dapat dilakukan secara lokal
maupun secara
remote. Bila akan melakukan login secara lokal maka kita harus
menggunakan mode CLI
dengan mengisikan username dan password default dari
Mikrotik.
Account default dari Mikrotik adalah username admin dengan null
password.
Sedangkan IP Address default adalah 192.168.88.1/24, IP Address
ini umumnya ada di
interface jaringan ether2.
Berikut topologi yang harus dibuat untuk mengakses MikroTik
secara remote.
Untuk login ke dalam Mikrotik secara remote, terdapat beberapa
cara, yaitu :
Telnet
Secure Shell atau SSH
HTTP/webbox
Winbox
FTP
MAC Telnet
Khusus untuk login remote dengan menggunakan Telnet, SSH, HTTP
dan FTP, Mikrotik
-
sudah harus memiliki minimal sebuah IP Address. Penggunaan
Winbox bisa dilakukan
tanpa IP Address dengan syarat Mikrotik berada dalam satu segmen
jaringan dengan
Komputer yang akan melakukan remote. Untuk RouterBoard telah
disediakan IP Address
default 192.168.88.1/24
Bila ingin melakukan remote akses dengan menggunakan IP Address
maka, perintah
dasar untuk mengkonfigurasikan IP Address pada Mikrotik adalah
sebagai berikut :
Untuk telnet dapat diaktifkan pada mesin Windows melalui tombol
Start Run cmd
Jika ingin melakukan remote dengan menggunakan WinBox, aplikasi
WinBox dapat
didownload pada url berikut :
http://www.mikrotik.co.id/download.php
Untuk remote SSH, dibutuhkan aplikasi putty jika akan melakukan
remote dari mesin
Windows. Aplikasi putty dapat di download pada url berikut :
http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe
-
Berikut tampilan WinBox yang melakukan remote ke Mikrotik baik
dengan
menggunakan IP Address maupun MAC Address. Jika akan melakukan
penggantian IP
Address pada interface MikroTik, disarankan untuk menggunakan
MAC Address pada
saat akan login.
End of chapter
-
Chapter 02 Basic Configuration
Outline :
Interface Configuration
IP Address
Default Gateway
DNS Server
Masquerade
ARP
Username
Identity
NTP Client
Monitoring
Backup
Interface Configuration
-
Untuk membangun sebuah Router dengan menggunakan MikroTik, maka
dibutuhkan
minimal dua buah Interface. Jika menggunakan RouterBoard RB750,
maka kita dapat
menggunakan 5 (lima) Interface.
Untuk melihat jumlah dan status Interface jaringan pada
MikroTik, dapat digunakan
perintah :
[admin@MikroTik] > interface print Flags: D dynamic, X
disabled, R running, S slave # NAME TYPE
MTU L2MTU
0 ether1-gateway ether 1500
1526
1 R ether2-local-master ether 1500
1524
2 ether3-local-slave ether 1500
1524
3 ether4-local-slave ether 1500
1524
4 ether5-local-slave ether 1500
1524
Untuk menshutdown sebuah Interface (misalnya interface ether1),
dapat digunakan
perintah sebagai berikut :
[admin@MikroTik] > interface disable 0
[admin@MikroTik] > interface print
Flags: D dynamic, X disabled, R running, S slave
# NAME TYPE MTU L2MTU
0 X ether1-gateway ether 1500 1526
1 R ether2-local-master ether 1500 1524
2 ether3-local-slave ether 1500 1524
3 ether4-local-slave ether 1500 1524
4 ether5-local-slave ether 1500 1524
Secara default ether3, ether4 dan ether5 merupakan interface
slave dari ether2. Ketiga
-
interface tersebut hanya berfungsi sebagai port switch yang
menginduk ke interface
ether2.
IP Address
Berdasarkan topologi yang akan digunakan maka MikroTik Router
yang akan
digunakan adalah MikroTik dengan 2 buah Interface. Interface ini
terdiri dari :
Interface LAN (10.10.10.1/24), interface ini merupakan ether2
pada MikroTik dan akan terhubung dengan Jaringan Lokal (LAN)
Interface WAN (222.124.222.162/28), interface ini merupakan
ether1 pada MikroTik dan akan terhubung ke jaringan publik
(Internet) melalui ISP
Perintah yang dapat digunakan untuk melakukan konfigurasi IP
Address pada Interface
adalah sebagai berikut :
[admin@MikroTik] >ip address add address=10.10.10.1/24
interface=ether2
[admin@MikroTik] >ip address add address=222.124.222.162/28
interface=ether1
Untuk memeriksa konfigurasi yang sudah dilakukan dapat digunakan
perintah sebagai
berikut :
[admin@MikroTik] >ip address print
Flags: X disabled, I invalid, D dynamic
# ADDRESS NETWORK BROADCAST
INTERFACE
0 222.124.222.162/28 222.124.222.160 222.124.222.175 ether1
1 10.10.10.1/24 10.10.10.0 10.10.10.255 ether2
Bila menggunakan WinBox, maka konfigurasi dapat dilakukan
melalui menu IP ->
Addresses
Default Gateway
-
Default Gateway merupakan router tetangga (biasanya ISP) yang
merupakan path (jalur)
ke Internet. Pada skenario topologi yang digunakan Default
Gateway bagi MikroTik
Router adalah Router ISP dengan IP Address 222.124.222.161
Perintah yang dapat digunakan untuk mengkonfigurasikan default
gateway adalah
sebagai berikut :
[admin@MikroTik] >ip route add dst-address=0.0.0.0/0
gateway=222.124.222.161
Sedangkan untuk memeriksa konfigurasi default gateway pada tabel
routing, dapat
digunakan perintah sebagai berikut :
[admin@MikroTik] > ip route print
Flags: X disabled, A active, D dynamic,
C connect, S static, r rip, b bgp, o ospf, m mme,
B blackhole, U unreachable, P prohibit
# DST-ADDRESS PREF-SRC GATEWAY
DISTANCE
0 A S 0.0.0.0/0 222.124.224.161
1
1 ADC 10.10.10.0/24 10.10.10.1 ether1
0
2 ADC 222.124.224.160/28 222.124.224.162 ether2 0
Bila menggunakan WinBox, konfigurasi dapat dilakukan melalui
menu IP > Routes,
tab Routes > Add
DNS Server
Berdasarkan Skenario, maka DNS server yang digunakan adalah DNS
Server ISP dengan
IP Address = 222.124.222.161
Perintah yang dapat digunakan adalah sebagai berikut :
[admin@MikroTik] > ip dns set servers=222.124.222.161
allow-remote-requests=yes
-
[admin@MikroTik] > ip dns print
servers:222.124.222.161
allow-remote-requests: yes
max-udp-packet-size: 512
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 5KiB
Setelah DNS dikonfigurasikan, pengujian dapat dilakukan dengan
melakukan ping ke
sebuah situs Internet.
[admin@MikroTik] > ping www.google.com
216.239.61.104 64 byte ping: ttl=55 time=162 ms
216.239.61.104 64 byte ping: ttl=56 time=164 ms
216.239.61.104 64 byte ping: ttl=56 time=169 ms
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 162/165.0/169 ms
Bila menggunakan WinBox, konfigurasi dapat dilakukan melalui
menu
IP>DNS>Static > Settings
Masquerade
Masquerade diperlukan untuk memberikan akses Internet kepada
Client yang berada pada
jaringan lokal. Perintah yang dapat digunakan adalah sebagai
berikut :
[admin@MikroTik] > ip firewall nat add chain=srcnat
out-interface=ether1
action=masquerade
-
[admin@MikroTik] > ip firewall nat print
Flags: X disabled, I invalid, D dynamic
0 chain=srcnat action=masquerade out-interface=ether1
ARP (Address Resolution Protocol)
ARP merupakan protokol yang akan memetakan L2 Address (MAC
Address) dengan L3
Address (IP Address). Pemetaan yang dilakukan oleh ARP dapat
dilihat dengan perintah
sebagai berikut :
[admin@MikroTik] > ip arp print
Flags: X disabled, I invalid, H DHCP, D dynamic
# ADDRESS MAC-ADDRESS INTERFACE
0 D 10.10.10.2 00:0C:29:A0:BA:4F ether2
1 D 10.10.10.3 00:0C:29:E5:CE:D0 ether2
2 D 10.10.10.4 00:50:56:C0:00:01 ether2
Pemetaan IP dan MAC Address juga dapat dilakukan dengan perintah
:
[admin@MikroTik] > ip arp add address=10.10.10.4
mac-address=00:11:22:33:44:55
interface=ether2
[admin@MikroTik] > ip arp print
Flags: X disabled, I invalid, H DHCP, D dynamic
# ADDRESS MAC-ADDRESS INTERFACE
0 D 10.10.10.2 00:0C:29:E5:CE:D0 ether2
1 D 10.10.10.3 00:50:56:C0:00:01 ether2
2 10.10.10.4 00:11:22:33:44:55 ether2
Bila menggunakan Winbox, maka untuk melihat tabel ARP dapat
dilakukan melalui menu
-
IP>ARP
Username
Secara default MikroTik akan menggunakan admin sebagai username
dan tanpa password (null password). User lain dapat ditambahkan dan
dapat dikelompokkan
sebagai user yang dapat melakukan konfigurasi (write) maupun
hanya untuk monitoring
(read).
Untuk melihat daftar user dalam sistem MikroTik, dapat digunakan
perintah sebagai
berikut :
[admin@MikroTik] > user print
Flags: X disabled
# NAME GROUP ADDRESS
0 ;;; system default user
admin full 0.0.0.0/0
Address 0.0.0.0/0 menandakan bahwa user admin dapat mengakses
MikroTik dari mana
saja, baik dari dalam jaringan internal (LAN) maupun dari
Internet.
Sedangkan untuk memberikan password pada user admin dapat
digunakan perintah sebagai berikut :
[admin@MikroTik] > user set 0 password=123456
Untuk menambahkan user baru (misalnya user=operator dengan
password=123456)
dan hanya memberikan akses ke MikroTik dari dalam LAN, dapat
digunakan perintah
sebagai berikut :
[admin@MikroTik] > user add name=operator group=read
password=123456
address=10.10.10.0/24
[admin@MikroTik] > user print
Flags: X disabled
# NAME GROUP
ADDRESS
-
0 ;;; system default user
admin full 0.0.0.0/0
1 ijc-router read 10.10.10.0/24
Bila menggunakan WinBox, maka konfigurasi dapat dilakukan
melalui menu
System>Users > Add
Identity
Identity dapat digunakan untuk membedakan mesin MikroTik dengan
memberikan nama.
Perintah yang dapat digunakan adalah sebagai berikut :
[admin@MikroTik] > system identity set name=Ijc-router
[admin@Ijc-router] >
Bila menggunakan WinBox, dapat dilakukan melalui menu
System>Identity
NTP (Network Time Protocol) Client
Network Time Protocol adalah protokol yang digunakan untuk
sinkronisasi waktu (hari,
tanggal, bulan, tahun dan jam) antara perangkat-perangkat
jaringan. Terutama perangkat
yang tidak memiliki battery, sedangkan perangkat tersebut harus
bekerja dengan
memperhatikan waktu.
Untuk sinkronisasi waktu pada Mikrotik Router, dapat digunakan
NTP Server untuk
Indonesia dengan server 203.160.128.3. IP Address dari NTP
Server Indonesia dapat
dilihat pada http://www.pool.ntp.org/zone/id
Untuk menkonfigurasikan NTP client pada Router Mikrotik dapat
digunakan perintah
sebagai berikut :
[admin@Ijc-router] > system ntp client set
primary-ntp=203.160.128.3 enabled=yes
mode=unicast
[admin@Ijc-router] > system clock set
time-zone-name=Asia/Makassar
-
[admin@Ijc-router] > system clock print
time: 17:57:06
date: feb/22/2011
time-zone-name: Asia/Makassar
gmt-offset: +08:00
Bila menggunakan WinBox, maka NTP Client dapat dikonfigurasikan
melalui menu
System> NTP Client. Sedangkan untuk melihat apakah Mikrotik
telah sinkron dengan
NTP Server dapat dilihat melalui menu System > Clock
Monitoring
Untuk melakukan monitoring dapat menggunakan perintah-perintah
sebagai berikut :
[admin@Ijc-router] > tool ip-scan address-range=10.10.10.0/24
interface=ether2
Flags: D dhcp
ADDRESS MAC-ADDRESS TIME DNS SNMP
NETBIOS
10.10.10.3 00:50:56:C0:00:01 0ms
10.10.10.2 00:0C:29:E5:CE:D0 1ms
CLIENT2/WORKGROUP
10.10.10.1 00:0C:29:A0:BA:4F 0ms
CLIENT1/WORKGROUP
10.10.10.1 0ms
[admin@Ijc-router] > tool mac-scan ether2
MAC-ADDRESS ADDRESS AGE
00:0C:29:BD:16:12 255.255.255.255 0
00:50:56:C0:00:01 10.10.10.3 0
-
00:0C:29:A0:BA:4F 10.10.10.1 1
00:0C:29:E5:CE:D0 10.10.10.2 0
-
Chapter 03 Firewall
Outline :
Masquerade
Filtering (input dan output)
Address List
Secara umum firewall ditempatkan diantara jaringan lokal dan
jaringan publik, ditujukan
untuk melindungi jaringan lokal dengan mebatasi traffik yang
menuju router (input),
keluar dari router (output) dan melewati router (forward)
Masquerade
Router MikroTik yang akan digunakan sebagai Internet Gateway
harus menjalankan NAT
(Network Address Translation), yaitu sebuah fungsi yang merubah
field Source IP Private
dari sebuah packet data menjadi IP Address Publik.
-
Berdasarkan skenario, untuk menjalankan fungsi NAT bagi
keseluruhan host dari jaringan
10.10.10.0/24 untuk semua jenis layanan Internet, maka dapat
digunakan perintah sebagai
berikut :
[admin@MikroTik] > ip firewall nat add chain=srcnat
src-address=10.10.10.0/24
action=masquerade
[admin@MikroTik] > ip firewall nat print
Flags: X disabled, I invalid, D dynamic
0 chain=srcnat action=masquerade src-address=10.10.10.0/24
Dapat juga menggunakan perintah masquerade dengan memilih
outgoing interface
(dalam hal ini adalah ether1 yang akan digunakan untuk menuju
Internet), seperti
berikut :
[admin@MikroTik] > ip firewall nat add chain=srcnat
out-interface=ether1
action=masquerade
Bila menggunakan WinBox, maka konfigurasi dapat dilakukan
melalui menu IP >
Firewall> NAT>Add
Jika diinginkan jaringan 10.10.10.0/24 hanya dapat mengakses
layanan HTTP, maka
konfigurasi yang harus digunakan adalah sebagai berikut :
[admin@MikroTik] > ip firewall nat add chain=srcnat
src-address=10.10.10.0/24
protocol=tcp dst-port=80 action=masqurade
[admin@MikroTik] > ip firewall nat print
Flags: X disabled, I invalid, D dynamic
0 chain=srcnat action=masquerade protocol=tcp
src-address=10.10.10.0/24
dst-port=80
-
HTTP merupakan aplikasi yang menggunakan protocol TCP dengan
destination port pada
server adalah 80
Untuk layanan mail atau Secure HTTP (https), maka konfigurasi
tambahan yang harus
dilakukan adalah sebagai berikut :
[admin@MikroTik] > ip firewall nat add chain=srcnat
src-address=10.10.10.0/24
protocol=tcp dst-port=443 action=masquerade
[admin@MikroTik] > ip firewall nat add chain=srcnat
src-address=10.10.10.0/24
protocol=icmp action=masquerade
[admin@MikroTik] > ip firewall nat print
Flags: X disabled, I invalid, D dynamic
0 chain=srcnat action=masquerade protocol=tcp
src-address=10.10.10.0/24
dst-port=80
1 chain=srcnat action=masquerade protocol=tcp
src-address=10.10.10.0/24
dst-port=443
2 chain=srcnat action=masquerade protocol=icmp
src-address=10.10.10.0/24
Bila terdapat bebarapa rule, maka Mikrotik akan mengeksekusi
rule-rule tersebut dengan
prinsip top to bottom. Sehingga urutan dari rule sangat
berpengaruh terhadap efektifitas rule yang diinginkan.
MikroTik dapat membatasi akses jaringan (routing maupun NAT)
berdasarkan waktu
(hari dan jam). Misalnya jika ingin memberikan akses HTTP (web)
pada jaringan
10.10.10.0/24 hanya pada jam 08.00 14.30 untuk hari senin,
selasa, rabu, kamis, jumat, sabtu, maka konfigurasi yang dapat
digunakan
[admin@Ijc-router] > ip firewall nat add chain=srcnat
src-address=10.10.10.0/24
protocol=tcp dst-port=80 action=masquerade
time=08:00:00-14:30:00,mon,tue,wed,thu,fri,sat
-
[admin@Ijc-router] > ip firewall nat print
Flags: X disabled, I invalid, D dynamic
0 chain=srcnat action=masquerade protocol=tcp
src-address=10.10.10.0/24
dst-port=80 time=8h-14h30m,mon,tue,wed,thu,fri,sat
Untuk konfigurasi dengan menggunakan WinBox dapat melalui
menu
IP>Firewall>NAT>Add>Extra
Filtering
Filter ditujukan untuk menentukan apakah sebuah paket yang
ditujukan pada sebuah
interface router dapat diizinkan atau tidak. Umumnya ditujukan
untuk meningkatkan
level keamanan dari Router. Filter tidak digunakan untuk
memeriksa paket data yang
melewati router. Fungsi firewall untuk memeriksa data yang
melewati router dilakukan
oleh NAT.
Berikut contoh penerapan filtering pada sisi Interface ether1
yang berhubungan ke
Internet. Filtering ini ditujukan untuk menutup port-port yang
tidak dibutuhkan, sehingga
tingkat keamanan dapat ditingkatkan. Contoh port yang terbuka
secara default pada router
MikroTik adalah 22 (ssh), 23 (telnet), 20 dan 21 (ftp), 80
(web), 8291 (WinBox).
[admin@Ijc-router] > ip firewall filter add chain=input
in-interface=ether1
protocol=tcp dst-port=22 action=drop
[admin@Ijc-router] > ip firewall filter add chain=input
in-interface=ether1
protocol=tcp dst-port=23 action=drop
[admin@Ijc-router] > ip firewall filter add chain=input
in-interface=ether1
protocol=tcp dst-port=8291 action=drop
[admin@Ijc-router] > ip firewall filter add chain=input
in-interface=ether1
protocol=icmp action=drop
-
[admin@Ijc-router] > ip firewall filter print
Flags: X disabled, I invalid, D dynamic
0 chain=input action=drop protocol=tcp in-interface=ether1
dst-port=22
1 chain=input action=drop protocol=tcp in-interface=ether1
dst-port=23
2 chain=input action=drop protocol=tcp in-interface=ether1
dst-port=8291
3 chain=input action=drop protocol=icmp in-interface=ether1
Jika ada sebuah paket yang akan diizinkan masuk ke interface
ether1 (misalnya
mengizinkan host dengan IP Address 222.124.222.171), maka
perintah yang diberikan
adalah perintah dengan action=accept seperti berikut :
[admin@Ijc-router] > ip firewall filter add chain=input
in-interface=ether1
protocol=tcp dst-port=22 src-address=222.124.222.171
action=accept
Bila terdapat bebarapa rule, maka Mikrotik akan mengeksekusi
rule-rule tersebut dengan
prinsip top to bottom. Sehingga urutan dari rule sangat
berpengaruh terhadap efektifitas rule yang diinginkan.
Sedangkan untuk sisi Interface ether2 yang dihubungkan dengan
jaringan lokal, berikut
contoh rule filtering yang dapat digunakan :
[admin@Ijc-router] > ip firewall filter add chain=input
protocol=tcp dst-port=80
in-interface=ether2 action=accept
[admin@Ijc-router] > ip firewall filter add chain=input
protocol=tcp dst-port=22
in-interface=ether2 src-address=10.10.10.2 action=accept
[admin@Ijc-router] > ip firewall filter add chain=input
protocol=tcp dst-port=23
in-interface=ether2 src-address=10.10.10.2 action=accept
-
[admin@Ijc-router] > ip firewall filter add chain=input
protocol=tcp dst-port=8291
in-interface=ether2 src=address=10.10.10.2 action=accept
[admin@Ijc-router] > ip firewall filter add chain=input
protocol=icmp
in-interface=ether2 src=address=10.10.10.1 action=accept
[admin@Ijc-router] > ip firewall filter add chain=input
protocol=udp dst-port=53
in-interface=ether2 action=accept
[admin@Ijc-router] > ip firewall filter add chain=input
in-interface=ether2
action=drop
Bila terdapat bebarapa rule, maka Mikrotik akan mengeksekusi
rule-rule tersebut dengan
prinsip top to bottom. Sehingga urutan dari rule sangat
berpengaruh terhadap efektifitas rule yang diinginkan.
Address List
Fitur Address List pada Firewall MikroTik dapat digunakan untuk
mengelompokkan IP
Address tertentu. Kelompok IP Address ini nantinya dapat
digunakan oleh filter, NAT
maupun mangle dari firewall. Address List dapat dibuat secara
manual (static) maupun
secara otomatis oleh MikroTik.
Contoh perintah untuk mendapatkan hasil Address List (dynamic)
dari host yang pernah
mengakses MikroTik dengan menggunakan protokol SSH pada
interfecae ether2 :
[admin@ijc-router] > ip firewall filter add chain=input
in-interface=ether2
protocol=tcp dst-port=22 action=add-src-to-address-list
address-list=akses ssh
[admin@ijc-router] > ip firewall address-list print
Flags: X disabled, D dynamic
# LIST
-
ADDRESS
0 D akses ssh 10.10.10.2
Jika ingin menggunakan IP Address pada Address list untuk tidak
memberikan akses SSH,
maka dapat digunakan filter dengan perintah sebagai berikut
:
[admin@ijc-router] > ip firewall filter add chain=input
in-interface=ether2
protocol=tcp dst-port=22 action=drop src-address-list=akses
ssh
[admin@ijc-router] > ip firewall filter print
Flags: X disabled, I invalid, D dynamic
0 chain=input action=add-src-to-address-list protocol=tcp
address-list=akses ssh
address-list-timeout=0s in-interface=ether2 dst-port=22
1 chain=input action=drop protocol=tcp src-address-list=akses
ssh
in-interface=ether2 dst-port=22
Jika ingin membuat Address List secara manual (static), maka
dapat digunakan perintah
sebagai berikut :
[admin@ijc-router] > ip firewall address-list add
address=10.10.10.0/24 list=akses ssh terlarang
[admin@ijc-router] > ip firewall address-list print
Flags: X disabled, D dynamic
# LIST
ADDRESS
1 akses ssh terlarang 10.10.10.0/24
-
Chapter 04 Web Proxy
Outline :
Basic Configuration
Traffic Filtering
Transparent Proxy
Untuk beberapa alasan dapat dikonfigurasikan sebuah proxy
sebagai perantara client dan
web server. Dengan adanya proxy, client tidak akan berhubungan
langsung dengan web
server di Internet.
Proxy ditujukan untuk membuat request atas nama client lain.
Sehingga web server akan
mengetahui bahwa yang melakukan request adalah proxy server dan
bukan client.
Proxy Server akan menerima Request HTTP dari Client, kemudian
akan memforward
request tersebut ke web server. Web server akan menerima HTTP
Request tadi dan
memberikan repsonse ke Proxy Server. Proxy Server akan
meneruskan response dari web
server kepada Client yang melakukan Request awal.
Ada 3 keuntungan jika menerapkan proxy server pada suatu
jaringan, yaitu :
Proxy Server dapat mengendalikan kontent (web content) yang
diminta oleh Client.
Proxy Server dapat menghemat penggunaan bandwidth sampai 30%
karena Proxy Server dapat menerapkan caching content.
Proxy Server dapat melakukan pengawasan (monitoring) aktifitas
HTTP Request
-
yang dilakukan oleh Client.
Basic Configuration
Untuk mengaktifkan service proxy pada Mikrotik, perintah yang
dapat digunakan adalah
sebagai berikut :
[admin@Ijc-router] > ip proxy set enabled=yes port=8080
[email protected] cache-on-disk=yes
cache-on-disk merupakan opsi untuk memfungsikan hardisk maupun
memosri dari
MikroTik untuk menyimpan content-content yang sudah pernah
diakses oleh user.
Sehingga jika ada user lain yang meminta content tersebut,
MikroTik tidak perlu lagi
mengambilnya dari Internet.
Bila menggunakan WinBox, maka konfigurasi dapat dilakukan
melalui menu IP >Web
Proxy>Web Proxy Setting
Dalam menjalankan service proxy, hak yang sangat perlu untuk
diperhatikan adalah
Access Control dari proxy. Jika Access Control tidak
dikonfigurasikan dengan baik, maka
akan terjadi open proxy, dimana proxy dapat digunakan oleh
pengguna dari jaringan lain.
Contoh konfigurasi Access Control dari proxy, sehingga hanya
dapat digunakan oleh
jaringan 10.10.10.0/24 yang merupakan jaringan internal
(LAN).
[admin@Ijc-router]> ip proxy access add
src-address=10.10.10.0/24 action=allow
[admin@Ijc-router]> ip proxy access add src-address=0.0.0.0/0
action=deny
Urutan dari Access Control sangat penting untuk efektifitas dari
konfigurasi yang
diinginkan.
Traffic Filtering
-
Untuk melakukan pembatasan traffic HTTP terhadap ekstensi file
tertentu, misalnya rar,
maka perintah yang dapat digunakan adalah perintah dengan
action=deny seperti berikut :
[admin@Ijc-router]> ip proxy access add
src-address=10.10.10.0/24 path=:.rar
action=deny
Jika filtering ditujukan melakukan pemblokiran berdasarkan
alamat URL yang dituju oleh
browser, maka perintah yang dapat digunakan adalah sebagai
berikut :
[admin@Ijc-router]> ip proxy access add
src-address=10.10.10.0/24
dst-host=www.playboy.com action=deny
Dalam pemblokiran URL, juga dapat digunakan filter berdasarkan
kata yang ada dalam
URL tersebut. Perintah yang dapat digunakan adalah sebagai
berikut :
[admin@Ijc-router]> ip proxy access add
src-address=10.10.10.0/24 dst-host=*porn*
action=deny
Dalam melakukan pemblokiran akses HTTP, juga dapat
dikombinasikan dengan teknik
redirect ke web site tertentu. Sebagai contoh, jika ada user
yang akan mengakses
www.facebook.com, maka user tersebut akan dialihkan ke
www.google.com. Perintah
yang dapat digunakan adalah sebagai berikut :
[admin@Ijc-router]> ip proxy access add
src-address=10.10.10.0/24
dst-host=www.facebook.com redirect-to=www.google.com
action=deny
Transparent Proxy
Pada umumnya jika sebuah Internet Gateway di suatu jaringan
menerapklan proxy, maka
browser yang ada di dalam jaringan tersebut harus
dikonfigurasikan penggunakan proxy
secara manual. Konfigurasi pada browser ini adalah IP Address
dan port yang digunakan
oleh proxy server.
Jika tidak ingin melakukan konfigurasi proxy client secara
manual disetiap browser,
maka pada MikroTik digunakan teknik Transparent Proxy. Teknik
ini meredirect
(mengalihkan) trafik HTTP (destination port 80) ke port yang
digunakan Proxy
(umumnya 8080 atau 3128).
Konfigurasi untuk meredirect trafik HTTP tersebut dilakukan pada
firewall (NAT)
dengan chain=dstnat, action=redirect seperti berikut :
[admin@Ijc-router]> ip firewall nat add chain=dstnat
protocol=tcp
-
src-address=10.10.10.0/24 dst-port=80 action=redirect
to-ports=8080
[admin@Ijc-router]> ip firewall nat print
Flags: X disabled, I invalid, D dynamic
0 chain=dstnat action=redirect to-ports=8080 protocol=tcp
src-address=10.10.10.0/24 dst-port=80
1 chain=srcnat action=masquerade src-address=10.10.10.0/24
Perlu diingat, bahwa rule redirect harus ditempatkan di atas
dari rule masquerade untuk
HTTP. Jika rule redirect ditempatkan dibawah dari rule
masquarade yang ada, maka rule
redirect ini tidak akan digunakan oleh MikroTik, karena semua
traffic HTTP sudah
ditangani oleh rule masquarade tadi.
-
Chapter 05 DHCP Server
Outline :
DHCP Server
DHCP Client
Basic Configuration
DHCP Server digunakan sebagai teknik pembagian IP Address secara
dinamik. DHCP
Server dapat diaktifkan pada MikroTik sehingga host atau client
tidak perlu
mengkonfigurasikan IP Address secara manual. Client hanya akan
melakukan request
kepada MikroTik. Konfigurasi IP Address ini meliputi IP Address,
subnetmask, default
gateway dan DNS Server.
Pada topologi yang digunakan sebelumnya host-host yang
membutuhkan IP terhubung
ke interface ether2 dari MikroTik. Sehingga untuk mengaktifkan
DHCP Server pada
interface ether2 MikroTik dapat digunakan perintah sebagai
berikut :
[admin@Ijc-router]> ip dhcp-server setup
Select interface to run DHCP server on
dhcp server interface: ether2
Select network for DHCP addresses
dhcp address space: 10.10.10.0/24
Select gateway for given network
gateway for dhcp network: 10.10.10.1
Select pool of ip addresses given out by DHCP server
addresses to give out: 10.10.10.20-10.10.10.30
-
Select DNS servers
dns servers: 10.10.10.1
Select lease time
lease time: 1d
[admin@Ijc-router]>
dhcp address space adalah network address yang digunakan pada
LAN, gateway for
dhcp network merupakan IP Address yang berfungsi sebagai gateway
pada jaringan
tersebut. Address to give out adalah kumpulan IP Address yang
akan dibagikan ke
host-host yang membutuhkan IP Address. Sedangkan dns server
adalah router atau server
yang berfungsi sebagai DNS Server bagi host-host dalam
jaringan.
Jika menggunakan WinBox, maka DHCP Server dapat diaktifkan
melalui menu
IP>DHCP Server > DHCP Setup.
Teknik DHCP Server memungkinkan setiap host akan mendapatkan IP
Address yang
berbeda setiap kali mengajukan permintaan IP Address. Namun DHCP
Server dapat
mengalokasikan IP Address tertentu untuk client tertentu
berdasarkan MAC Address dari
client tersebut.
Berikut perintah yang dapat digunakan :
[admin@Ijc-router]> ip dhcp-server lease print
Flags: X disabled, R radius, D dynamic, B blocked
# ADDRESS MAC-ADDRESS HOST-NAME
SERVER STATUS
0 D 10.10.10.30 00:26:22:8F:6A:D1 acer-295bf dhcp1 bound
-
[admin@Ijc-router] > ip dhcp-server lease make-static 0
[admin@Ijc-router] > ip dhcp-server lease print
Flags: X disabled, R radius, D dynamic, B blocked
# ADDRESS MAC-ADDRESS HOST-NAME
SERVER STATUS
0 10.10.10.30 00:26:22:8F:6A:D1 acer-295bf dhcp1 bound
Pada WinBox menu yang dapat digunakan ada pada IP > DHCP
Server>Leases>Make
Static
Penggunaan teknik Mapping Static ini juga dapat digunakan jika
ingin memasukkan IP
Address tertentu untuk digunakan oleh MAC Address tertentu pula,
perintah yang dapat
digunakan adalah sebagai berikut :
[admin@Ijc-router]>ip dhcp-server lease add
mac-address=00:18:F3:1F:64:E7
address=10.10.10.27
[admin@Ijc-router]> ip dhcp-server lease print
Flags: X disabled, R radius, D dynamic, B blocked
# ADDRESS MAC-ADDRESS RATE-LIMIT
STATUS
0 10.10.10.27 00:18:F3:1F:64:E7
[admin@Ijc-router]>
Dengan menggunakan WinBox, dapat dilakukan melalui menu IP >
DHCP Server >
Leases > Add
Pengamanan terhadap jaringan yang menggunakan DHCP Server dapat
dilakukan dengan
tidak memberikan koneksi jaringan bagi host yang
mengkonfigurasikan IP Address secara
manual.
[admin@Ijc-router] > ip dhcp-server print
Flags: X disabled, I invalid
-
# NAME INTERFACE RELAY ADDRESS-POOL
LEASE-TIME ADD-ARP
0 dhcp1 ether2 dhcp_pool1 3d
no
[admin@Ijc-router] > ip dhcp-server set 0 add-arp=yes
[admin@Ijc-router] > interface ethernet print
Flags: X disabled, R running, S slave
# NAME MTU MAC-ADDRESS ARP
0 R ether1 1500 00:0C:29:BD:16:08 enabled
1 R ether2 1500 00:0C:29:BD:16:12 enabled
[admin@Ijc-router] > interface ethernet set 1
arp=reply-only
[admin@Ijc-router] > interface ethernet print
Flags: X disabled, R running, S slave
# NAME MTU MAC-ADDRESS ARP
0 R ether1 1500 00:0C:29:BD:16:08 enabled
1 R ether2 1500 00:0C:29:BD:16:12 reply-only
-
DHCP Client
ISP tertentu juga menerapkan DHCP Client terhadap pelangganya,
terutama pelanggan
personal. Sehingga router MikroTik akan menjadi client terhadap
DHCP Server milik
ISP.
Pada skenario, interface yang terhubung ke ISP adalah ether1.
Interface ini tidak akan
dikonfigurasikan IP Address secara statik seperti pada
konfigurasi sebelumnya. Ether1
akan mendapatkan IP Address secara otomatis (dinamik) dari ISP,
perintah yang dapat
digunakan adalah sebagai berikut.
Perintah yang dapat digunakan adalah sebagai berikut :
[admin@Ijc-router]> ip address print
Flags: X disabled, I invalid, D dynamic
# ADDRESS NETWORK BROADCAST
INTERFACE
0 10.10.10.100/24 10.10.10.0 10.10.10.255 ether2
[admin@Ijc-router]> ip dhcp-client add interface=ether1
disabled=no
[admin@Ijc-router]> ip dhcp-client print
Flags: X disabled, I invalid
# INTERFACE USE ADD STATUS
ADDRESS
0 ether1 yes yes bound
222.124.223.172/28
-
[admin@Ijc-router]> ip address print
Flags: X disabled, I invalid, D dynamic
# ADDRESS NETWORK BROADCAST
INTERFACE
0 10.10.10.100/24 10.10.10.0 10.10.10.255 ether2
1 D 222.124.223.172/28 222.124.223.160 222.124.223.175
ether1
Jika menggunakan WinBox, konfigurasi dapat dilakukan melalui
menu IP > DHCP
Client>Add
-
Chapter 06 Quality of Service (QoS)
Outline :
Simple Bandwidth Management
Shared Bandwidth Management
Application Bandwidth Management
Skenario yang digunakan adalah jaringan lokal 10.10.10.0/24 yang
memiliki alokasi
bandwitdh total 512 kbps (upload) dan 512 kbps (download).
Client yang digunakan
adalah client 1 (10.10.10.2) dan client 2 (10.10.10.3)
Simple Bandwidth Management
Dengan menggunakan static bandwidth control maka alokasi
bandwidth untuk
masing-masing client akan tetap. Misalnya client 1 akan
mendapatkan alokasi bandwidth
yaitu sebesar 256kbps/256kbps, begitu juga dengan client 2.
Perintah yang dapat digunakan adalah sebagai berikut :
[admin@Ijc-router]> queue simple add name=limit-1
target-addresses=10.10.10.1
max-limit=256000/256000
[admin@Ijc-router]> queue simple add name=limit-2
target-addresses=10.10.10.2
max-limit=256000/256000
[admin@Ijc-router]> queue simple print
Flags: X disabled, I invalid, D dynamic
0 name=limit-1 target-addresses=10.10.10.1/32
dst-address=0.0.0.0/0 interface=all parent=none direction=both
priority=8 queue=default-small/default-small
limit-at=0/0 max-limit=256k/256k burst-limit=0/0
burst-threshold=0/0 burst-time=0s/0s
total-queue=default-small
1 name=limit-2 target-addresses=10.10.10.1/32
dst-address=0.0.0.0/0 interface=all parent=none direction=both
priority=8queue=default-small/default-small
-
limit-at=0/0 max-limit=256k/256k burst-limit=0/0
burst-threshold=0/0burst-time=0s/0s
total-queue=default-small
Bila menggunakan WinBox maka konfigurasi dapat dilakukan melalui
menu Queue >
Simple Queues > Add
Pengujian atau monitoring terhadap aktifitas bandwidth yang
sudah dibatasi dapat dilihat
dengan menggunakan menu torch, dan interface yang dimonitor
adalah interface ether2,
karena interface ini yang terhubung ke jaringan lokal. Perintah
yang dapat digunakan
adalah sebagai berikut :
[admin@Ijc-router] >tool torch ether2
src-address=10.10.10.0/24
Shared Bandwidth Management
Dengan menggunakan shared bandwidth control, maka alokasi
bandwidth untuk tiap
client akan bervariasi, tergantung aktif tidaknya client lain
dalam sebuah jaringan.
Dalam skenario, berikut client 1 dan client 2 masing-masing akan
mendapatkan alokasi
bandwidth 256kbps/256kbps. Sehingga total bandwitdh untuk 2
client tersebut adalah
512kbps/512kbps. Jika client 1 tidak menggunakan alokasi
bandiwidthnya, maka jatah
bandwidthnya akan diberikan kepada client yang lain, sehingga
client 2 akan
mendapatkan alokasi bandwidth maksimum 256kbps/256kbps.
Konfigurasi yang pertama kali dilakukan adalah konfigurasi untuk
membatasi
penggunaan bandwidth untuk kedua client sekaligus. Konfigurasi
ini juga berfungsi
sebagai pembatasan bandiwidth parent. Perintah yang dapat
digunakan adalah sebagai
berikut :
[admin@Ijc-router] > queue simple add name=limit-all
target-addresses=10.10.10.0/24 max-limit=512000/512000
Selanjutnya dibuat konfigurasi untuk membatasi pemakaian
bandiwidth setiap client
dengan menggunakan konfigurasi sebelumnya sebagai parent.
Perintah yang dapat
digunakan adalah sebagai berikut :
[admin@Ijc-router] > queue simple add name=limit-1
target-addresses=10.10.10.1
max-limit=512000/512000 limit-at=256000/256000
parent=limit-all
-
[admin@Ijc-router] > queue simple add name=limit-2
target-addresses=10.10.10.2
max-limit=512000/512000 limit-at=256000/256000
parent=limit-all
[admin@Ijc-router] > queue simple print
Flags: X disabled, I invalid, D dynamic
0 name=limit-all target-addresses=10.10.10.0/24
dst-address=0.0.0.0/0 interface=all parent=none direction=both
priority=8 queue=default-small/default-small
limit-at=0/0 max-limit=512k/512k burst-limit=0/0
burst-threshold=0/0burst-time=0s/0s
total-queue=default-small
1 name=limit-1 target-addresses=10.10.10.1/32
dst-address=0.0.0.0/0 interface=all parent=limit-all
direction=bothpriority=8
queue=default-small/default-small limit-at=128k/128k
max-limit=512k/512k
burst-limit=0/0burst-threshold=0/0 burst-time=0s/0s
total-queue=default-small
2 name=limit-2 target-addresses=10.10.10.2/32
dst-address=0.0.0.0/0 interface=all parent=limit-all
direction=bothpriority=8
queue=default-small/default-small limit-at=128k/128k
max-limit=512k/512k
burst-limit=0/0burst-threshold=0/0 burst-time=0s/0s
total-queue=default-small
Application Bandwidth Management
Pengaturan bandwidth juga dapat dilakukan dengan melihat jenis
aplikasi yang akan
dibatasi, misalnya aplikasi HTTP (web) akan dibatasi pemakaian
bandwidthnya untuk
keseluruhan client dalam jaringan. Untuk memisahkan jenis
aplikasi yang diakses oleh
client, maka perlu dilakukan penandaan paket data dari aplikasi
tersebut (mangle).
Contoh skenario yang akan digunakan adalah membatasi pemakaian
bandiwidth untuk
aplikasi web sebesar 128 kbps bagi semua client yang ada dalam
jaringan.
Tahap pertama yang dilakukan adalah penandaan paket (mangle)
HTTP dari setiap client,
dapat digunakan perintah sebagai berikut :
-
[admin@Ijc-router] > ip firewall mangle add
chain=prerouting
src-address=10.10.10.0/24 protocol=tcp dst-port=80
action=mark-connection
new-connection-mark=http-con
[admin@Ijc-router] > ip firewall mangle add
chain=prerouting
connection-mark=http-con action=mark-packet
new-packet-mark=http
[admin@Ijc-router] > ip firewall mangle print
Flags: X disabled, I invalid, D dynamic
0 chain=prerouting action=mark-connection
new-connection-mark=http-con
passthrough=yes protocol=tcpsrc-address=10.10.10.0/24
dst-port=80
1 chain=prerouting action=mark-packet new-packet-mark=http
passthrough=yes
connection-mark=http-con
Dilanjutkan dengan melakukan pembatasan penggunaan bandwidth
untuk aplikasi HTTP
untuk jaringan 10.10.10.0/24. Perintah yang dapat digunakan
adalah sebagai berikut :
[admin@Ijc-router] > queue simple add name=limit-http
target-addresses=10.10.10.0/24 packet-marks=http
max-limit=128000/128000
[admin@Ijc-router] > queue simple add name=all-network
target-addresses=10.10.10.0/24 max-limit=512000/512000
-
[admin@Ijc-router] > queue simple print
Flags: X disabled, I invalid, D dynamic
0 name=limit-http target-addresses=10.10.10.0/24
dst-address=0.0.0.0/0 interface=all parent=none packet-marks=http
direction=both priority=8
queue=default-small/default-small limit-at=0/0
max-limit=128k/128k
burst-limit=0/0burst-threshold=0/0 burst-time=0s/0s
total-queue=default-small
-
Chapter 07 Scripting and Scheduler
Outline :
Automatic Backup
Proxy Access
Mikrotik memiliki fitur scripting yang umum digunakan untuk
membuat daftar
perintah-perintah yang akan dijalankan oleh MikroTik secara
otomatis. Penggunaan
scripting ini dapat dikombinasikan dengan fitur Scheduler
(penjadwalan) sehingga daftar
perintah yang dibuat melalui fitur scripting dapat dijalankan
pada waktu-waktu tertentu,
juga dapat dijalankan berulang kali sesuai kebutuhan.
Automatic Backup
Jika ingin melakukan backup konfigurasi secara berkala dan
otomatis, maka dapat
dilakukan dengan bantuan penjadwalan (scheduler).
Contoh jika diinginkan MikroTik akan melakukan backup setiap
hari sabtu pada pukul
17.00, maka perintah yang dapat dilakukan untuk membuat script
otomatis adalah sebagai
berikut :
[admin@Ijc-router] > system script add name=backup
source=/system backup save
Selanjutnya dilakukan pembuatan penjadwalan agar script tersebut
dapat dijalankan pada
waktu-waktu tertentu dan secara berulang (misalnya setiap hari
Sabtu pukul 17.00).
Contoh perintah yang dapat digunakan adalah sebagai berikut
:
[admin@Ijc-router] > system scheduler add name=backup-sabtu
start-time=17:00:00
interval=7d start-date=mar/26/2011 on-event=backup
Proxy Access
Secara default proxy pada MikroTik tidak dapat melakukan
pembatasan akses
berdasarkan waktu. Sehingga untuk melakukan penggunaan access
control pada proxy
-
berdasarkan alokasi waktu, (misalnya terdapat web site tertentu
yang diblokir pada
jam-jam tertentu) dapat digunakan fitur script dan scheduler
Skenario berikut adalah pemblokiran situs www.facebook.com dari
jam 08.00 17.00.
Konfigurasi pertama yang dilakukan adalah membuat Access Control
pada proxy untuk
memblokir akses ke facebook. Opsi yang digunakan adalah
dst-host=www.facebook.com
dengan action=deny. Juga diberikan comment=facebook yang akan
digunakan oleh fitur
scripting sebagai pengena Access Control.
[admin@Ijc-router]> ip proxy access add
src-address=10.10.10.0/24
dst-host=www.facebook.com action=deny comment=facebook
[admin@Ijc-router]> ip proxy access add
src-address=10.10.10.0/24 action=allow
[admin@Ijc-router]> ip proxy access add
src-address=0.0.0.0/24 action=deny
Kemudian dilakukan pembuatan script untuk memberikan akses
facebook dan sekaligus
menutup akses facebook. Script untuk menutup akses ke facebook
berupa script yang
akan meng-enable baris dengan comment=facebook pada Access
Control proxy.
Sedangkan script untuk membuka akses ke facebook berupa script
yang akan
meng-disable baris degan comment=facebook tadi. Perintah yang
dapat digunakan
perintah sebagai berikut :
[admin@Ijc-router] > system script add name=blok-fb source=ip
proxy access enable [/ip proxy access find comment=facebook]
[admin@Ijc-router] > system script add name=buka-fb source=ip
proxy access disable [/ip proxy access find comment=facebook]
[admin@Ijc-router] > system script print
Flags: I invalid
0 name=blok-fb owner=admin
-
policy=ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive
last-started=mar/28/2008 11:25:54 run-count=0
source=ip proxy access enable [/ip proxy access find comment
=facebook]
1 name=buka-fb owner=admin
policy=ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive
last-started=mar/28/2008 11:25:52 run-count=0
source=ip proxy access disable [/ip proxy access find
comment=facebook]
Sedangkan untuk penjadwalan sesuai dengan waktu yang diinginkan,
dapat dibuat dengan
menjalankan script name=blok-fb pada jam 08.00.00 dan
menjalankan script
name=buka-fb pada jam 17.00.00 seperti berikut :
[admin@Ijc-router] > system scheduler add name=jadwal-blok-fb
start-time=08:00:00
interval=24:00:00 on-event=blok-fb
[admin@Ijc-router] > system scheduler add name=jadwal-buka-fb
start-time=17:00:00
interval=24:00:00 on-event=buka-fb
[admin@Ijc-router] > system scheduler print
Flags: X disabled
# NAME START-DATE START-TIME INTERVAL ON-EVENT
RUN-COUNT
0 jadwal-blok-fb mar/28/2008 08:00:00 1d blok-fb 0
1 jadwal-buka-fb mar/28/2008 17:00:00 1d buka-fb
0
-
Chapter 08 Multiple ISP
Outline :
Routing Mark
Load Balancing
Fail Over
Sebuah jaringan bisa saja mendapatkan layanan Internet dari dua
atau lebih ISP yang
berbeda. Pada kondisi ini Router MikroTik akan menggunakan dua
atau lebih gateway.
Untuk dapat memanfaatkan dua gateway atau lebih dapat dilakukan
memisahkan trafik
dari host tertentu ke sebuah ISP.
Skenario jaringan yang digunakan adalah sebagai berikut :
Skenario yang dijalankan adalah sebagai berikut :
Host 10.10.10.2 dan 10.10.10.3 menggunakan ISP 1
Host 10.10.10.4 dan 10.10.10.5 menggunakan ISP 2
-
Routing Mark
Untuk memisahkan traffic dari keempat host, setiap paket dari
host harus diberikan mark
(tanda) dengan menggunakan fitur mangle pada firewall. Marking
atau tanda dari setiap
paket data yang keluar dari setiap client akan menjadi dasar
untuk membelokkan (routing)
paket tersebut ke gateway (ISP) yang diinginkan.
Ether 3 difungsikan untuk terhubung ke ISP. Konfigurasi IP
Address dari masing-masing
interface adalah sebagai berikut :
[admin@ijc-router] >ip address add address=222.124.224.162/28
interface=ether1
[admin@ijc-router] >ip address add address=10.10.10.1/24
interface=ether2
[admin@ijc-router] >ip address add address=60.1.1.2/28
interface=ether3
[admin@ijc-router] >ip address print
Flags: X disabled, I invalid, D dynamic
# ADDRESS NETWORK BROADCAST
INTERFACE
0 222.124.222.162/28 222.124.222.160 222.124.222.175 ether1
1 10.10.10.1/24 10.10.10.0 10.10.10.255 ether2
2 60.1.1.2/28 60.1.1.0 60.1.1.7 ether3
Karena ether1 dan ether3 digunakan untuk berhubungan ke Internet
melalui ISP, maka
konfigurasi NAT harus dilakukan dua kali, masing-masing untuk
out-interface=ether1 dan
out-interface=ether3, perintah yang dapat digunakan adalah
sebagai berikut :
[admin@ijc-router] >ip firewall nat add chain=srcnat
out-interface=ether1
action=masquerade
[admin@ijc-router] >ip firewall nat add chain=srcnat
out-interface=ether3
action=masquerade
[admin@ijc-router] >ip firewall nat print
Flags: X disabled, I invalid, D dynamic
-
0 chain=srcnat action=masquerade out-interface=ether1
1 chain=srcnat action=masquerade out-interface=ether3
Selanjutnya dilakukan penandaan paket data yang akan keluar dari
client 1 dan client 2,
misalnya paket tersebut ditandai dengan label isp-1. Perintah
yang digunakan adalah
sebagai berikut :
[admin@ijc-router] >ip firewall mangle add chain=prerouting
src-address=10.10.10.2
action=mark-routing new-routing-mark=isp-1
[admin@ijc-router] >ip firewall mangle add chain=prerouting
src-address=10.10.10.3
action=mark-routing new-routing-mark=isp-1
Kemudian dilakukan penandaan paket data yang akan keluar dari
client 3 dan client 4,
misalnya paket tersebut ditandai dengan label isp-2. Perintah
yang digunakan adalah
sebagai berikut :
[admin@ijc-router] >ip firewall mangle add chain=prerouting
src-address=10.10.10.4
action=mark-routing new-routing-mark=isp-2
[admin@ijc-router] >ip firewall mangle add chain=prerouting
src-address=10.10.10.5
action=mark-routing new-routing-mark=isp-2
[admin@ijc-router] >ip firewall mangle print
Flags: X disabled, I invalid, D dynamic
0 chain=prerouting action=mark-routing
new-routing-mark=isp-1
passthrough=yes src-address=10.10.10.2
-
1 chain=prerouting action=mark-routing
new-routing-mark=isp-1
passthrough=yes src-address=10.10.10.3
2 chain=prerouting action=mark-routing
new-routing-mark=isp-2
passthrough=yes src-address=10.10.10.4
3 chain=prerouting action=mark-routing
new-routing-mark=isp-2
passthrough=yes src-address=10.10.10.5
Load Balancing
Untuk mengarahkan traffic dari client 10.10.10.2 dan 10.10.10.3
ke ISP 1, maka perintah
yang dapat digunakan adalah sebagai berikut :
[admin@ijc-router] > ip route add dst-address=0.0.0.0/0
gateway=222.124.222.161
routing-mark=isp-1
Sedangkan untuk mengarahkan traffic dari host 10.10.10.4 dan
10.10.10.5 ke ISP 2, maka
perintah yang dapat digunakan adalah sebagai berikut :
[admin@ijc-router] >iproute add dst-address=0.0.0.0/0
gateway=60.1.1.1
routing-mark=isp-2
Selangkapnya traffic routing adalah sebagai berikut :
[admin@ijc-router] >ip route print
Flags: X disabled, A active, D dynamic, C connect, S static, r
rip, b bgp, o ospf, m mme,
B blackhole, U unreachable, P prohibit
# DST-ADDRESS PREF-SRC GATEWAY
DISTANCE
0 A S 0.0.0.0/0 222.124.222.161 1
-
1 A S 0.0.0.0/0 60.1.1.1 1
2 ADC 10.10.10.0/24 10.10.10.100 ether2 0
3 ADC 60.1.1.0/28 60.1.1.2 ether3 0
4 ADC 222.124.222.160/28 222.124.222.162 ether1 0
Untuk memonitor traffic dapat menggunakan WinBox, melalui menu
Interface >
Ethernet, seperti pada gambar di bawah ini :
Fail Over
Dalam kondisi normal konfigurasi semula telah memungkinkan
adanya fitur fail over jika
salah satu dari ISP down. Namun jika dalam kondisi normal hanya
diinginkan satu ISP
yang digunakan sedangkan ISP kedua hanya menjadi cadangan maka
kita dapat
mengkonfigurasikan distance pada entry routing dengan nilai
terendah yang menjadi
prioritas.
Fail over dapat dibuat dengan memanfaatkan protocol ICMP dan
nilai Administrative
Distance dari setiap entry routing.
Perintah yang dapat digunakan adalah sebagai berikut :
[admin@ijc-router] >ip route add dst-address=0.0.0.0/0
gateway=222.124.222.161
routing-mark=isp-1 check-gateway=ping
-
[admin@ijc-router] >ip route add dst-address=0.0.0.0/0
gateway=60.1.1.1
routing-mark=isp-2 check-gateway=ping
Sedangkan entry fail overjika link ke ISP 1 terputus dapat
dibuat dengan menggunakan
perintah sebagai berikut :
[admin@ijc-router] >ip route add dst-address=0.0.0.0/0
gateway=60.1.1.1
routing-mark=isp-1 check-gateway=ping distance=10
Sedangkan entry fail overjika link ke ISP 2terputus dapat dibuat
dengan menggunakan
perintah sebagai berikut :
[admin@ijc-router] >ip route add dst-address=0.0.0.0/0
gateway=222.124.222.161
routing-mark=isp-2 check-gateway=ping distance=10
Untuk melihat berfungsinya fail over, dapat menggunakan perintah
sebagai berikut :
[admin@ijc-router] >ip route print
Flags: X disabled, A active, D dynamic, C connect, S static, r
rip, b bgp, o ospf, m mme, B blackhole, U unreachable, P
prohibit
# DST-ADDRESS PREF-SRC GATEWAY
DISTANCE
0 A S 0.0.0.0/0 222.124.222.161 1
1 S 0.0.0.0/0 60.1.1.1 10
2 S 0.0.0.0/0 60.1.1.1 1
3 A S 0.0.0.0/0 222.124.222.161 10
4 ADC 10.10.10.0/24 10.10.10.100 ether2 0
5 ADC 60.1.1.0/28 60.1.1.2 ether3 0
6 ADC 222.124.222.160/28 222.124.222.162 ether1 0