PERINTAH-PERINTAH (COMMAND LINE) CONFIGURASI MIKROTIK 1. Melihat kondisi interface pada Mikrotik Router [admin@Mikrotik] > interface print Flags: X – disabled, D – dynamic, R – running # NAME TYPE RX-RATE TX-RATE MTU 0 R ether1 ether 0 0 1500 1 R ether2 ether 0 0 1500 [admin@Mikrotik]> Jika interfacenya ada tanda X (disabled) setelah nomor (0,1), maka periksa lagi etherned cardnya, seharusnya R (running) 2. Mengganti nama interface [admin@Mikrotik] > interface(enter) b. Untuk mengganti nama Interface ether1 menjadi Public (atau terserah namanya), maka [admin@Mikrotik] interface> set 0 name=Public 3. Begitu juga untuk ether2, misalkan namanya diganti menjadi Local, maka [admin@Mikrotik] interface> set 1 name=Local 4. atau langsung saja dari posisi root direktori, memakai tanda “/”, tanpa tanda kutip [admin@Mikrotik] > /interface set 0 name=Public 5. Cek lagi apakah nama interface sudah diganti [admin@Mikrotik] > /interface print Flags: X – disabled, D – dynamic, R – running # NAME TYPE RX-RATE TX-RATE MTU 0 R Local ether 0
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
[admin@Mikrotik] > interface printFlags: X – disabled, D – dynamic, R – running# NAME TYPE RX-RATE TX-RATE MTU0 R ether1 ether 0 0 15001 R ether2 ether 0 0 1500
[admin@Mikrotik]>
Jika interfacenya ada tanda X (disabled) setelah nomor (0,1), maka periksa lagi etherned cardnya, seharusnya R (running)
2. Mengganti nama interface[admin@Mikrotik] > interface(enter)
b. Untuk mengganti nama Interface ether1 menjadi Public (atau terserah namanya), maka[admin@Mikrotik] interface> set 0 name=Public
3. Begitu juga untuk ether2, misalkan namanya diganti menjadi Local, maka[admin@Mikrotik] interface> set 1 name=Local
4. atau langsung saja dari posisi root direktori, memakai tanda “/”, tanpa tanda kutip[admin@Mikrotik] > /interface set 0 name=Public
5. Cek lagi apakah nama interface sudah diganti[admin@Mikrotik] > /interface print
Flags: X – disabled, D – dynamic, R – running# NAME TYPE RX-RATE TX-RATE MTU0 R Local ether 0 0 15001 R Public ether 0 0 1500
6. Mengganti password default
Untuk keamanan ganti password default[admin@Mikrotik] > passwordold password: *****new password: *****retype new password: *****[admin@ Mikrotik]]>
7. Mengganti nama hostname
Mengganti nama Mikrotik Router untuk memudahkan konfigurasi, pada langkah ini nama server akan diganti menjadi “routerku”
[admin@Mikrotik] > system identity set name=maya[admin@maya]>
Setting IP Address, Gateway, Masqureade dan Name Server
8. IP AddressBentuk Perintah konfigurasi ip address add address ={ip address/netmask} interface={nama interface}
9. Memberikan IP address pada interface Mikrotik. Misalkan Public akan kita gunakan untuk koneksi ke Internet dengan IP 192.168.1.2 dan Local akan kita gunakan untuk network LAN kita dengan IP 192.168.0.30 (Lihat topologi)
[admin@maya] > ip address add address=192.168.1.2 netmask=255.255.255.0 interface=Public comment=”IP ke Internet”
[admin@maya] > ip address add address=192.168.0.30 netmask=255.255.255.224 interface=Local comment = “IP ke LAN”
10. Melihat konfigurasi IP address yang sudah kita berikan
[admin@maya] >ip address printFlags: X – disabled, I – invalid, D – dynamic# ADDRESS NETWORK BROADCAST INTERFACE0 ;;; IP Address ke Internet192.168.0.30/27 192.168.0.0 192.168.0.31 Local1 ;;; IP Address ke LAN192.168.1.2/24 192.168.0.0 192.168.1.255 Public[admin@maya]>
GatewayBentuk Perintah Konfigurasi ip route add gateway={ip gateway}
11. Memberikan default Gateway, diasumsikan gateway untuk koneksi internet adalah 192.168.1.1 [admin@maya] > /ip route add gateway=192.168.1.1
12. Melihat Tabel routing pada Mikrotik Routers[admin@maya] > ip route print Flags: X – disabled, A – active, D – dynamic,C – connect, S – static, r – rip, b – bgp, o – ospf
# DST-ADDRESS PREFSRCG GATEWAY DISTANCE INTERFACE0 ADC 192.168.0.0/24 192.168.0.30 Local1 ADC 192.168.0.0/27 192.168.1.2 Public2 A S 0.0.0.0/0r 192.168.1.1 Public[admin@maya]>
13. Tes Ping ke Gateway untuk memastikan konfigurasi sudah benar
ip firewall nat add chain=srcnat action=masquerade out-inteface={ethernetyang langsung terhubung ke Internet atau Public}
14. Setup Masquerading, Jika Mikrotik akan kita pergunakan sebagai gateway server maka agar client computer pada network dapat terkoneksi ke internet perlu kita masquerading.
[admin@maya] > ip firewall nat add chain=scrnat out-interface=Public action=masquerade[admin@maya]>
15. Melihat konfigurasi Masquerading
[admin@maya] ip firewall nat printFlags: X – disabled, I – invalid, D – dynamic0 chain=srcnat out-interface=Public action=masquerade[admin@maya]>
Name server
Bentuk Perintah Konfigurasi ip dns set primary-dns={dns utama} secondary-dns={dns ke dua}
16. Setup DNS pada Mikrotik Routers, misalkan DNS dengan Ip Addressnya Primary = 202.134.0.155, Secondary = 202.134.2.5
[admin@maya] > ip dns set primary-dns=202.134.0.155 allow-remoterequests=yes[admin@maya] > ip dns set secondary-dns=202.134.2.5 allow-remoterequests=yes
17. Melihat konfigurasi DNS
[admin@maya] > ip dns printprimary-dns: 202.134.0.155secondary-dns: 202.134.2.5allow-remote-requests: nocache-size: 2048KiBcache-max-ttl: 1wcache-used: 16KiB
[admin@maya]>
18. Tes untuk akses domain, misalnya dengan ping nama domain
Proxy server merupakan program yang dapat mempercepat akses ke suatu web yang sudah diakses oleh komputer lain, karena sudah di simpan didalam caching server.
22. Web proxy setting
/ ip web-proxy set enabled=yes src-address=0.0.0.0 port=8080 hostname=”proxy.maya.co.id” transparent-proxy=yes \ parent-proxy=0.0.0.0:0 cache-administrator=”[email protected]” \max-object-size=131072KiB cache-drive=system max-cache-size=unlimited \ max-ram-cache-size=unlimited Nat Redirect, perlu ditambahkan yaitu rule REDIRECTING untuk membelokkan traffic HTTP menuju ke WEB-PROXY.
Perintah/ip web-proxy print { untuk melihat hasil konfigurasi web-proxy}/ip web-proxy monitor { untuk monitoring kerja web-proxy}
24. Service dan Melihat Service yang Aktif dengan PortScanner
Untuk memastikan Service apa saja yang aktif di Mesin mikrotik, perlu kita pindai terhadap port tertentu, seandainya ada service yang tidak dibutuhkan, sebaiknya dimatikan saja. Untuk menonaktifkan dan mengaktifkan servise, perintah adalah : Kita periksa dahulu service apa saja yang aktif
admin@maya] > ip service[admin@maya] ip service> printFlags: X - disabled, I - invalid# NAME PORT ADDRESS CERTIFICATE0 X telnet 23 0.0.0.0/01 ftp 21 0.0.0.0/02 www 80 0.0.0.0/03 ssh 22 0.0.0.0/04 www-ssl 443 0.0.0.0/0 none[admin@maya] ip service>
25. Misalkan service FTP akan dinonaktifkan, yaitu di daftar diatas terletak pada nomor 1 (lihat bagian Flags) maka :
[admin@maya] ip service> set 1 disabled=yes
26. Perlu kita periksa lagi[admin@maya] ip service> printFlags: X - disabled, I - invalid# NAME PORT ADDRESS CERTIFICATE0 X telnet 23 0.0.0.0/01 X ftp 21 0.0.0.0/02 www 80 0.0.0.0/03 ssh 22 0.0.0.0/04 www-ssl 443 0.0.0.0/0 none[[email protected]] ip service>
27. Perintah remote mesin ini hampir sama penggunaan dengan telnet yang adadi Linux atau Windows.[admin@maya] > system telnet ?
28. Perintah diatas untuk melihat sekilias paramater apa saja yang ada. Misalnyamesin remote dengan ip address 192.168.0.21 dan port 23. Maka[admin@maya] > system telnet 192.168.0.21
29. Untuk menyimpan konfigurasi router ke dalam file test:[admin@maya] system backup> save name=test
30. Untuk melihat file yang tersimpan di dalam router:
[admin@maya] > file print# NAME TYPE SIZE CREATION-TIME0 test.backup backup 12567 sep/08/2004 21:07:50[admin@maya] >
31. Untuk membuat sebuah file export:[admin@maya] ip address> export file=address[admin@maya] ip address>Untuk membuat file export mulai dari item nomor 1:[admin@maya] ip address> export file=address1 from=1[admin@maya] ip address>Untuk melihat file yang tersimpan di dalam router:[admin@maya] > file print# NAME TYPE SIZE CREATION-TIME0 address.rsc script 315 dec/23/2003 13:21:481 address1.rsc script 201 dec/23/2003 13:22:57[admin@maya] >
32. Di Mikrotik perintah firewall ini terdapat dalam modus IP, yaitu
[admin@maya] > /ip firewall
33. Perintah remote mesin ini hampir sama penggunaan dengan telnet yang adadi Linux atau Windows.
[admin@maya] > system telnet ?
34. untuk melihat sekilias paramater apa saja yang ada. Misalnya mesin remote dengan ip address 192.168.0.21 dan port 23. Maka
[admin@maya] > system telnet 192.168.0.21
35. SSHSama dengan telnet perintah ini juga diperlukan dalam remote mesin, sertapringsipnya sama juga parameternya dengan perintah di Linux dan Windows.
[admin@maya] > system ssh 192.168.0.21
36. Misalkan ingin mengetahui jalannya packet yang menuju server yahoo, maka:
37. Kita dapat menangkap dan menyadap packet-packet yang berjalandi jaringan kita, tool ini telah disediakan oleh Mikrotik yang bergunadalam menganalisa trafik.
[admin@maya] > tool snifferPacket sniffering
38. Untuk memulai proses sniffing dapat menggunakan perintah Start, sedangkanmenghentikannya dapat menggunaka perintah Stop.
[admin@maya] > tool sniffer
39. Mengaktifkan fiture web proxy di mikrotik:
[ropix@maya] > /ip proxy set enabled=yes[ropix@maya] > /ip web-proxy set cache-administrator= [email protected][ropix@maya] > /ip web-proxy print enabled: yes
Adalah mengaktifkan graphing untuk resource usage Mikrotik. Sedangkana allow address adalah IP mana saja yang boleh mengakses grafik tersebu,. 0.0.0.0/0 untuk semua ip address.
41. Mematikan
[admin@maya]>system shutdown
Pilih tombol Y
42. Merestart computer
[admin@maya]>system reset atau system reboot
43. Mengenablekan
[admin@maya]/interface>enable gateway
44. Keluar dari interface
[admin@maya]/interface>/.. enter
[admin@maya]>
FUNGSI WINBOX
Via WinboxMikrotik bisa juga diakses/remote menggunakan tool winbox (utility kecil di windows yang sangat praktis dan kerenz)
Tampilan awal mengaktifkan winbox seperti ini:
Winbox bisa mendeteksi mikrotik yang sudah di install asal masih dalam satu network, yaitu dengan mendeteksi MAC address dari ethernet yang terpasang di Mikrotik
>>> Maka kita tinggal pilih MAC address yang sudah terdeteksi dan klik tombol Connect
Kita Ubah Password Defaultnya (biar aman):Command:
[admin@Mikrotik] > password
old password: (Enter)
new password: ***** (ketik password baru kita)
retype new password: *****
[admin@ Mikrotik] > _
Ganti Nama System Kita:Via Command:
[admin@bismillah] > system identity set name=bismillah
(Bismillah = contoh saja)
>>> Lalu tekan Cltr-O untuk menyimpan dan keluar dari editor
>>> Maka promt shell akan berubah jadi:
[admin@ bismillah] > _
Via winbox:
Aktifkan Kedua Lancard (ethernet) Kita (jika belum aktif)Check dulu; siapa tahu belum ke-deteck/belum aktif:
[admin@ bismillah] > /interface print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 X ether1 ether 0 0 1500
1 R ether2 ether 0 0 1500
Jika belum ke-deteck, mungkin karna 2 sebab:
[x] LAN Card yang kita pasang rusak
[x] Driver LAN Card itu belum tersupport
Jika interfacenya ada tanda X (disabled) setelah nomor (0,1), maka kita enabled dulu hingga hurufnya jadi R (running)
[x] 192.168.0.18/255.255.255.0 = IP address jaringan lokal (LAN) kita
>>> Lalu kita lihat konfigurasi IP address yang sudah kita berikan
[admin@bismillah] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.18/24 192.168.0.0 192.168.0.255 local
1 192.168.0.254/24 192.168.33.0 192.168.33.255 public
Via winbox:
Klik tanda +
Memasukkan IP Gateway
(Fungsi Router: Agar bisa connect ke internet lewat pintu gerbang IP Gateway yg diberi ISP kita)
Via Command:[admin@bismillah] > ip route add gateway=192.168.33.1
[x] 192.168.33.1 = Ganti dengan IP Gateway yang diberikan ISP kita
[x] Lalu lihat Tabel routing kita:
[admin@bismillah] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf
# DST-ADDRESS PREFSRC G GATEWAY DISTANCE INTERFACE
0 ADC 192.168.33.0/24 192.168.33.14 public
1 ADC 192.168.0.0/24 192.168.0.18 local
2 A S 0.0.0.0/0 r 192.168.33.1 public
Via winbox:
Klik tanda +
Ket:
[x] Bagian Destination diisi 0.0.0.0/0 artinya adalah;
"Semua routing kemanapun tujuanya diarahkan menuju Ip gatewaynya"
[x] Router adalah sebuah device yang fungsinya untuk:
"Meneruskan paket-paket dari sebuah network ke network yang lain (baik LAN ke LAN atau ke WAN atau internet) sehingga host-host yang ada pada sebuah network bisa berkomunikasi dengan host-host yang ada di network yang lain"
[x] Tujuan routing adalah:
"Agar paket IP yang dikirim sampai pada target, begitu juga paket IP yang ditujukan untuk kita sampai pada kita dengan baik"
Target atau destination ini bisa berada dalam 1 jaringan ataupun berbeda jaringan (baik secara topologis maupun geografis)
[x] Contoh Penerapan di Mikrotik:
a. Routing Static
Contoh:
ip route add dst-address=192.168.77.0/24 gateway=192.168.33.1
>>> Artinya tujuan network 192.168.0.0/24 lewat gateway 172.99.77.2
ip route add dst-address=212.165.1.2 gateway=203.77.33.7
>>> Artinya tujuan host 212.165.1.2 lewat gateway 203.33.45.6
b. Routing untuk 2 ISP atau lebih (misalnya menggunakan 2 atau lebih koneksi)
2 Metode jika ISP pertama dan kedua memberi jatah bandwidth yang berbeda
[x] Menggunakan semua jalur gateway yang tersedia (teknik load-balancing)
ip route add gateway=203.77.33.7,192.168.33.1,192.168.33.1
>>> "Besar pemakaian bandwidth dari gateway 192.168.33.1 lebih besar 2 kali lipat dari bandwidth yang digunakan dari gateway 203.77.33.7"
[x] Menjadikan salah satunya sebagai back-up (teknik fail-over)
Contoh asumsi jalur utama melalui 192.168.33.1 dan jalur 203.77.33.7 sebagai back-up bila jalur utama tidak bisa dilalui:
[x] Kemudian Test Ping ke Gateway untuk memastikan konfigurasi benar
[admin@bismillah] > ping 192.168.33.1
192.168.0.254 64 byte ping: ttl=64 time<1 ms
192.168.0.254 64 byte ping: ttl=64 time<1 ms
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0/0.0/0 ms
[x] Test Tracing; Untuk melihat jalur Gateway mana yang digunakan, kemana saja jalur yang dilewati dan seberapa jauh (hop) menuju situs tujuan
[admin@bismillah] >
Maka sampai disini kita telah melakukan ini:
SETTING DNS
Isi DNS sesuai rekomendasi yang diberi ISP kitaVia Command:
[admin@bismillah] > ip dns set primary-dns=192.168.33.1 allow-remoterequests=yes
[admin@bismillah] > ip dns set secondary-dns=192.168.33.77 allow-remoterequests=yes
Maksud allow-remote-requests = yes
Adalah membuat "router kita juga menjadi DNS forwarder"
Yaitu fungsi melakukan penyimpanan cache DNS juga (menjadi server DNS);
Sehingga client dalam LAN akan terasa lebih cepat browsing sebab cukup mengambil cache DNS di router Mikrotik (jadi cuma local; client tak perlu jauh-jauh meresolve DNS pada Server DNS ISP)
Cara menyetting di client:
Setting DNS primary cukup diisi IP Address Mikrotik kita dan secondary DNS biarkan kosong saja
Via winbox:
[x] Melihat konfigurasi DNS
[admin@bismillah] > ip dns print
primary-dns: 192.168.33.1
secondary-dns: 192.168.33.77
allow-remote-requests: yes
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 16KiB
[x] Tes akses domain; "ping nama domain"...
[admin@bismillah] > ping yahoo.com
216.109.112.135 64 byte ping: ttl=48 time=250 ms
10 packets transmitted, 10 packets received, 0% packet loss
round-trip min/avg/max = 571/571.0/571 ms
>>> Jika sudah berhasil reply berarti seting DNS sudah benar
Agar client computer di lokal network bisa terkoneksi ke internet
Dengan NAT ini maka kita bisa meng-share suatu nomor IP address public ke komputer client (IP lokal)
Keuntungan:
[x] Menghemat IP public kita (cukup satu sebagai gateway lokal)
[x] Jaringan local (LAN) kita akan tersembunyi dibelakang IP publik yang diberikan ISP sehingga relatif lebih aman
Sebab dengan Masquerading maka akan merubah paket-paket data IP address asal dan port dari network lokal ke publik (gateway) yang selanjutnya baru diteruskan ke jaringan internet
Via Command:[admin@bismillah]> ip firewall nat add chain=srcnat action=masquerade out-interface=public
Ket:
out-interface= interface yang keluar (ip publik dari isp - yang terhubung ke internet)
[x] ANTI VIRUS UNTUK MICROTIKadd chain=forward action=jump jump-target=virus comment=”jump to the virus chain” +++++++++++++++++++++++++++++++++++++++++++++++++++++++
[x] SETTING KEAMANAN JARINGAN HANYA UNTUK LOKAL AREA KITA/ip firewall filteradd chain=forward connection-state=established comment=”allow established connections” add chain=forward connection-state=related comment=”allow related connections” add chain=forward connection-state=invalid action=drop comment=”drop invalid connections”
[x] Matikan Port yang Biasa Dipakai Spam/ip firewall filter add chain=forward dst-port=135-139 protocol=tcp action=drop
2. Menambahkan DHCP Network dan gatewaynya yang akan kita distribusikan ke client (Pada contoh ini networknya adalah 192.168.33.0/24 dan gatewaynya 192.168.33.1)
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0 X dhcp1 ether2
Tanda X menyatakan bahwa DHCP server belum enable maka kita enablekan dulu:
/ip dhcp-server enable 0
Lalu cek lagi >>> sudah aktif belum (R=Running)
6. Tes Ping Dari Client
c:\>ping www.yahoo.com
Membuat Transparent web proxy
Fungsi utama proxy adalah untuk menyimpan cache
Apabila sebuah LAN menggunakan proxy untuk berhubungan dengan Internet, maka ketika browser di client (port web) mengakses sebuah url sebuah web maka mengambil request tersebut di proxy server
Dan jika data itu belum ada di proxy server maka proxy mengambil langsung dari web bersangkutan
Lalu request tersebut juga disimpan di cache proxy
Maka jika ada lagi client yang melakukan request ke url yang sama, maka akan diambilkan dari cache itu (dalam jaringan lokal berarti)
Sehingga ini akan membuat akses ke Internet terasa lebih cepat
Dan Transparent proxy kita buat untuk memastikan setiap pengguna mengakses Internet melalui web proxy yang telah kita aktifkan (diatas)
Sebab setiap request dari Browser client yang menggunakan gateway kita secara otomatis akan dilewatkan ke proxy
Jadi dengan hal ini juga akan mempermudah administrasi client:
Tidak perlu lagi melakukan setup proxy ditiap browser client (karena dilakukan redirection otomatis disisi server)
[x] Set ProxyVia Command:IP Proxy
/ip proxy set enabled=yes
>>> Mengaktifkan fiture web proxy
maximal-client-connections=1000
maximal-server-connections=1000
IP Web-Proxy
/ ip web-proxy set enabled=yes
>>> Mengaktifkan web proxy (adanya IP Proxy dan IP Web-Proxy tergantung versi mikrotik kita)
set src-address=0.0.0.0
>>> address yang akan kita gunakan untuk koneksi ke parent proxy (default-nya 0.0.0.0)set port=8080
>>> Port yang mau digunakan untuk web proxy set hostname=”proxy.bismillah.com”
>>> Nama Hostname untuk Web Proxy (optional) set transparent-proxy=yes
>>> Mengaktifkan transparant proxy
set parent-proxy=0.0.0.0:0
>>> Diisi jika kita ingin menggunakan parent proxy (optional)
>>> email administrator support yang akan dikirim status, seperti jika proxy error
set max-object-size=8192KiB
>>> ukuran maximal file yang akan disimpan sebagai cache (default 4096Kilobytes)
set cache-drive=system
>>> drive tempat penyimpanan cache
set max-cache-size=unlimited
>>> ukuran maximal hardisk yang akan dipakai sebagai penyimpan file cache (misalnya 3 kali total RAM atau unlimited)
set max-ram-cache-size=unlimited
>>> maximal ram yang akan digunakan untuk cache
[x] Membuat Rule NAT untuk transparent proxyMe-redirect port web ke transparent proxy:"Mengarahkan semua trafik yang menuju Port 80,3128,8000 kita belokkan menuju port 8080, yaitu portnya Web-Proxy"