chapter 01 – introduction to mikrotik routeros.pdf

Chapter 01 Introduction to MikroTik RouterOS

Outline :

Mikrotik Router OS

Installation

Mikrotik Login

Mikrotik Router OS

Mikrotik pertama kali dikembangkan di ibukota Latvia, Riga, pada tahun 1995. Awalnya

Mikrotik ditujukan untuk menjalankan ISP kecil dengan media wireless, namun saat ini

Mikrotik juga telah digunakan pada ISP berskala kecil sampai menengah.

Mikrotik merupakan aplikasi atau sistem operasi Router yang didesain berdasarkan

arsitektur hardware komputer personal. Ini membuat Mikrotik dapat diinstalasi pada

personal komputer desktop. Ini merupakan kelebihan Mikrotik dibanding sistem operasi

router lain yang tidak dapat dijalankan di mesin komputer desktop.

Selain dalam bentuk sistem operasi, Mikrotik juga dipasarkan dalam bentuk hardware

yang dinamakan Mikrotik RouterBoard. RouterBoard ini dipasarkan dalam berbagai

spesifikasi, sehingga dapat digunakan sesuai dengan kebutuhan di lapangan. Berikut

contoh dari beberapa seri RouterBoard :

Informasi lengkap tentang Mikrotik dapat di lihat pada web site www.mikrotik.com atau

www.mikrotik.co.id

Untuk fitur, Mikrotik memiliki fitur yang sangat lengkap antara lain :

Firewall dan Network Address Transation

Routing Statik maupun dinamik dengan RIPv1, RIPv2, OSPFv2 dan BGPv4

Pengaturan bandwidth

Pengaturan hotspot

Point to Point tunneling Protocol

IP Security (IPsec)

Web Proxy

Dynamic Host Configuration Protocol (DHCP)

Domain Name System (DNS)

Berbegai tools jaringan antara lain : traceroute; bandwidth test; ping flood; telnet; SSH; packet sniffer

Contoh spesifikasi dari RouterBoard adalah sebagai berikut :

Spesifikasi RouterBoard 750 :

CPU:AR7240 300MHz (overclock up to 400MHz) CPU

Memory:32MB DDR SDRAM onboard memory

Boot loader:RouterBOOT

Data storage:64MB onboard NAND memory chip

Ethernet:Five 10/100 ethernet ports (with switch chip)

miniPCI:none

Extras:Reset switch, Beeper

Serial port:no serial port

LEDs:Power, NAND activity, 5 Ethernet LEDs

Power options:Power over Ethernet: 9-28V DC (except power over datalines). Power jack: 9.28V DC

Dimensions:113x89x28mm. Weight without packaging and cables: 130g

Power consumption:Up to 3W

Operating System:MikroTik RouterOS v3, Level4 license

Spesifikasi RouterBoard 411AH :

1 port ethernet (1 untuk PoE)

1 slot minipci

1 buah Atheros MiniPCI Wireless 802.11a+b+g 54Mbps 2.4/5GHz

2 types ethernet cap

Power Adaptor 24 V

Power over Ethernet Spliter

Lisensi Mikrotik RouterOS AP Level 4 /CF

CPU:Atheros AR7161 680MHz

Memory:64MB DDR onboard memory chip

Root loader:RouterBOOT, 1Mbit Flash chip

Data storage:64MB onboard NAND memory chip

Ethernet ports:1 10/100 Mbit/s Fast Ethernet port supporting Auto-MDI/X

Serial ports:One DB9 RS232C asynchronous serial port

LEDs:Power, user LED

Power options:Power over Ethernet: 10..28V DC (except power over datalines);

Power jack:10..28V DC; Overvoltage protection

Dimensions:105mm x 105mm (4.13 in x 4.13 in)

Temperature:Operational: -20C to +70C (-4F to 158F)

Humidity:Operational: 70% relative humidity (non-condensing)

Currently supported OS:RouterOS 3.0

Spesifikasi RouterBoard 1100 1U :

- CPU: PowerPC MPC8544 network processor

- Memory: SODIMM DDR Slot, 512MB installed, support up to 1.5GB

- Boot loader: RouterBOOT, 1Mbit Flash chip

- Data storage: Onboard NAND memory chip

- Ethernet:13 pcs 10/100/1000 Mbit/s Gigabit Ethernet with Auto-MDI/X, includes

switch to enable auto by pass on 2 ports

- miniPCI: none

- Storage: One microSD slots

- Serial port: One DB9 RS232C asynchronous serial port

- Beeper:Present

- Power options: IEC C14 standart connector 110/220V

- Fan: Dual fan with failover support

- Case: 1U 19 rack mount - Operating System:MikroTik RouterOS v4, Level6 license

Dalam memilih RouterBoard spesifikasi yang perlu dipertimbangkan adalah sebagai

berikut :

Processor

Memori

Jumlah Interface

Dukungan mini PCI untuk wireless

Sedangkan untuk memilih Versi Mikrotik RouterOS, perlu dipertimbangkan lisensi yang

dapat dilihat pada tabel berikut :

Mikrotik Instalation

Mikrotik RouterOS dapat diinstal pada media sebagai berikut:

Harddisk

Compact Flash

DOM (Disk On Module)

USB Flash Disk

Routerboard

DOM dan RouterBoard

Mikrotik RouterOS dapat diinstal dengan menggunakan media CD atau dengan

menggunakan Netinstall. Jika menggunakan netinstall, harus menggunakan aplikasi

netinstall dan Router harus mendukung boot lewat jaringan.

Proses instalasi Mikrotik ROuterOS dengan menggunakan media CD tidak membutuhkan

waktu yang lama, namun instalasi mikrotik dilakukan dengan menu teks atau Command

Line Interpreter (CLI).

Berikut screenshoot instalasi RouterOS :

Kemudian pemilihan paket yang ingin disertakan dalam Mikrotik dapat dlakukan

dengan menekan tombol Arrow dan Spacebar. Bila ingin menyertakan semua paket instalasi dapat menggunakan tombol a. Proses instalasi dapat dilanjutkan dengan menekan tombol i.

Mikrotik Login

Untuk login kedalam mesin Mikrotik dapat dilakukan secara lokal maupun secara

remote. Bila akan melakukan login secara lokal maka kita harus menggunakan mode CLI

dengan mengisikan username dan password default dari Mikrotik.

Account default dari Mikrotik adalah username admin dengan null password.

Sedangkan IP Address default adalah 192.168.88.1/24, IP Address ini umumnya ada di

interface jaringan ether2.

Berikut topologi yang harus dibuat untuk mengakses MikroTik secara remote.

Untuk login ke dalam Mikrotik secara remote, terdapat beberapa cara, yaitu :

Telnet

Secure Shell atau SSH

HTTP/webbox

Winbox

FTP

MAC Telnet

Khusus untuk login remote dengan menggunakan Telnet, SSH, HTTP dan FTP, Mikrotik

sudah harus memiliki minimal sebuah IP Address. Penggunaan Winbox bisa dilakukan

tanpa IP Address dengan syarat Mikrotik berada dalam satu segmen jaringan dengan

Komputer yang akan melakukan remote. Untuk RouterBoard telah disediakan IP Address

default 192.168.88.1/24

Bila ingin melakukan remote akses dengan menggunakan IP Address maka, perintah

dasar untuk mengkonfigurasikan IP Address pada Mikrotik adalah sebagai berikut :

Untuk telnet dapat diaktifkan pada mesin Windows melalui tombol Start Run cmd

Jika ingin melakukan remote dengan menggunakan WinBox, aplikasi WinBox dapat

didownload pada url berikut : http://www.mikrotik.co.id/download.php

Untuk remote SSH, dibutuhkan aplikasi putty jika akan melakukan remote dari mesin

Windows. Aplikasi putty dapat di download pada url berikut :

http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe

Berikut tampilan WinBox yang melakukan remote ke Mikrotik baik dengan

menggunakan IP Address maupun MAC Address. Jika akan melakukan penggantian IP

Address pada interface MikroTik, disarankan untuk menggunakan MAC Address pada

saat akan login.

End of chapter

Chapter 02 Basic Configuration

Outline :

Interface Configuration

IP Address

Default Gateway

DNS Server

Masquerade

ARP

Username

Identity

NTP Client

Monitoring

Backup

Interface Configuration

Untuk membangun sebuah Router dengan menggunakan MikroTik, maka dibutuhkan

minimal dua buah Interface. Jika menggunakan RouterBoard RB750, maka kita dapat

menggunakan 5 (lima) Interface.

Untuk melihat jumlah dan status Interface jaringan pada MikroTik, dapat digunakan

perintah :

[admin@MikroTik] > interface print Flags: D dynamic, X disabled, R running, S slave # NAME TYPE

MTU L2MTU

0 ether1-gateway ether 1500

1526

1 R ether2-local-master ether 1500

1524

2 ether3-local-slave ether 1500

1524


1524


1524

Untuk menshutdown sebuah Interface (misalnya interface ether1), dapat digunakan

perintah sebagai berikut :

[admin@MikroTik] > interface disable 0

[admin@MikroTik] > interface print

Flags: D dynamic, X disabled, R running, S slave

# NAME TYPE MTU L2MTU

0 X ether1-gateway ether 1500 1526

1 R ether2-local-master ether 1500 1524

2 ether3-local-slave ether 1500 1524



Secara default ether3, ether4 dan ether5 merupakan interface slave dari ether2. Ketiga

interface tersebut hanya berfungsi sebagai port switch yang menginduk ke interface

ether2.

IP Address

Berdasarkan topologi yang akan digunakan maka MikroTik Router yang akan

digunakan adalah MikroTik dengan 2 buah Interface. Interface ini terdiri dari :

Interface LAN (10.10.10.1/24), interface ini merupakan ether2 pada MikroTik dan akan terhubung dengan Jaringan Lokal (LAN)

Interface WAN (222.124.222.162/28), interface ini merupakan ether1 pada MikroTik dan akan terhubung ke jaringan publik (Internet) melalui ISP

Perintah yang dapat digunakan untuk melakukan konfigurasi IP Address pada Interface

adalah sebagai berikut :

[admin@MikroTik] >ip address add address=10.10.10.1/24 interface=ether2

[admin@MikroTik] >ip address add address=222.124.222.162/28 interface=ether1

Untuk memeriksa konfigurasi yang sudah dilakukan dapat digunakan perintah sebagai

berikut :

[admin@MikroTik] >ip address print

Flags: X disabled, I invalid, D dynamic

# ADDRESS NETWORK BROADCAST

INTERFACE

0 222.124.222.162/28 222.124.222.160 222.124.222.175 ether1

1 10.10.10.1/24 10.10.10.0 10.10.10.255 ether2

Bila menggunakan WinBox, maka konfigurasi dapat dilakukan melalui menu IP ->

Addresses

Default Gateway

Default Gateway merupakan router tetangga (biasanya ISP) yang merupakan path (jalur)

ke Internet. Pada skenario topologi yang digunakan Default Gateway bagi MikroTik

Router adalah Router ISP dengan IP Address 222.124.222.161

Perintah yang dapat digunakan untuk mengkonfigurasikan default gateway adalah

sebagai berikut :

[admin@MikroTik] >ip route add dst-address=0.0.0.0/0 gateway=222.124.222.161

Sedangkan untuk memeriksa konfigurasi default gateway pada tabel routing, dapat

digunakan perintah sebagai berikut :

[admin@MikroTik] > ip route print

Flags: X disabled, A active, D dynamic,

C connect, S static, r rip, b bgp, o ospf, m mme,

B blackhole, U unreachable, P prohibit

# DST-ADDRESS PREF-SRC GATEWAY

DISTANCE

0 A S 0.0.0.0/0 222.124.224.161

1

1 ADC 10.10.10.0/24 10.10.10.1 ether1

0

2 ADC 222.124.224.160/28 222.124.224.162 ether2 0

Bila menggunakan WinBox, konfigurasi dapat dilakukan melalui menu IP > Routes,

tab Routes > Add

DNS Server

Berdasarkan Skenario, maka DNS server yang digunakan adalah DNS Server ISP dengan

IP Address = 222.124.222.161

Perintah yang dapat digunakan adalah sebagai berikut :

[admin@MikroTik] > ip dns set servers=222.124.222.161 allow-remote-requests=yes

[admin@MikroTik] > ip dns print

servers:222.124.222.161

allow-remote-requests: yes

max-udp-packet-size: 512

cache-size: 2048KiB

cache-max-ttl: 1w

cache-used: 5KiB

Setelah DNS dikonfigurasikan, pengujian dapat dilakukan dengan melakukan ping ke

sebuah situs Internet.

[admin@MikroTik] > ping www.google.com

216.239.61.104 64 byte ping: ttl=55 time=162 ms



3 packets transmitted, 3 packets received, 0% packet loss

round-trip min/avg/max = 162/165.0/169 ms

Bila menggunakan WinBox, konfigurasi dapat dilakukan melalui menu

IP>DNS>Static > Settings

Masquerade

Masquerade diperlukan untuk memberikan akses Internet kepada Client yang berada pada

jaringan lokal. Perintah yang dapat digunakan adalah sebagai berikut :

[admin@MikroTik] > ip firewall nat add chain=srcnat out-interface=ether1

action=masquerade

[admin@MikroTik] > ip firewall nat print


0 chain=srcnat action=masquerade out-interface=ether1

ARP (Address Resolution Protocol)

ARP merupakan protokol yang akan memetakan L2 Address (MAC Address) dengan L3

Address (IP Address). Pemetaan yang dilakukan oleh ARP dapat dilihat dengan perintah

sebagai berikut :

[admin@MikroTik] > ip arp print

Flags: X disabled, I invalid, H DHCP, D dynamic

# ADDRESS MAC-ADDRESS INTERFACE

0 D 10.10.10.2 00:0C:29:A0:BA:4F ether2

1 D 10.10.10.3 00:0C:29:E5:CE:D0 ether2

2 D 10.10.10.4 00:50:56:C0:00:01 ether2

Pemetaan IP dan MAC Address juga dapat dilakukan dengan perintah :

[admin@MikroTik] > ip arp add address=10.10.10.4 mac-address=00:11:22:33:44:55

interface=ether2

[admin@MikroTik] > ip arp print

Flags: X disabled, I invalid, H DHCP, D dynamic

# ADDRESS MAC-ADDRESS INTERFACE

0 D 10.10.10.2 00:0C:29:E5:CE:D0 ether2

1 D 10.10.10.3 00:50:56:C0:00:01 ether2

2 10.10.10.4 00:11:22:33:44:55 ether2

Bila menggunakan Winbox, maka untuk melihat tabel ARP dapat dilakukan melalui menu

IP>ARP

Username

Secara default MikroTik akan menggunakan admin sebagai username dan tanpa password (null password). User lain dapat ditambahkan dan dapat dikelompokkan

sebagai user yang dapat melakukan konfigurasi (write) maupun hanya untuk monitoring

(read).

Untuk melihat daftar user dalam sistem MikroTik, dapat digunakan perintah sebagai

berikut :

[admin@MikroTik] > user print

Flags: X disabled

# NAME GROUP ADDRESS

0 ;;; system default user

admin full 0.0.0.0/0

Address 0.0.0.0/0 menandakan bahwa user admin dapat mengakses MikroTik dari mana

saja, baik dari dalam jaringan internal (LAN) maupun dari Internet.

Sedangkan untuk memberikan password pada user admin dapat digunakan perintah sebagai berikut :

[admin@MikroTik] > user set 0 password=123456

Untuk menambahkan user baru (misalnya user=operator dengan password=123456)

dan hanya memberikan akses ke MikroTik dari dalam LAN, dapat digunakan perintah

sebagai berikut :

[admin@MikroTik] > user add name=operator group=read password=123456

address=10.10.10.0/24

[admin@MikroTik] > user print

Flags: X disabled

# NAME GROUP

ADDRESS

0 ;;; system default user

admin full 0.0.0.0/0

1 ijc-router read 10.10.10.0/24

Bila menggunakan WinBox, maka konfigurasi dapat dilakukan melalui menu

System>Users > Add

Identity

Identity dapat digunakan untuk membedakan mesin MikroTik dengan memberikan nama.


[admin@MikroTik] > system identity set name=Ijc-router

[admin@Ijc-router] >

Bila menggunakan WinBox, dapat dilakukan melalui menu System>Identity

NTP (Network Time Protocol) Client

Network Time Protocol adalah protokol yang digunakan untuk sinkronisasi waktu (hari,

tanggal, bulan, tahun dan jam) antara perangkat-perangkat jaringan. Terutama perangkat

yang tidak memiliki battery, sedangkan perangkat tersebut harus bekerja dengan

memperhatikan waktu.

Untuk sinkronisasi waktu pada Mikrotik Router, dapat digunakan NTP Server untuk

Indonesia dengan server 203.160.128.3. IP Address dari NTP Server Indonesia dapat

dilihat pada http://www.pool.ntp.org/zone/id

Untuk menkonfigurasikan NTP client pada Router Mikrotik dapat digunakan perintah

sebagai berikut :

[admin@Ijc-router] > system ntp client set primary-ntp=203.160.128.3 enabled=yes

mode=unicast

[admin@Ijc-router] > system clock set time-zone-name=Asia/Makassar

[admin@Ijc-router] > system clock print

time: 17:57:06

date: feb/22/2011

time-zone-name: Asia/Makassar

gmt-offset: +08:00

Bila menggunakan WinBox, maka NTP Client dapat dikonfigurasikan melalui menu

System> NTP Client. Sedangkan untuk melihat apakah Mikrotik telah sinkron dengan

NTP Server dapat dilihat melalui menu System > Clock

Monitoring

Untuk melakukan monitoring dapat menggunakan perintah-perintah sebagai berikut :

[admin@Ijc-router] > tool ip-scan address-range=10.10.10.0/24 interface=ether2

Flags: D dhcp

ADDRESS MAC-ADDRESS TIME DNS SNMP

NETBIOS

10.10.10.3 00:50:56:C0:00:01 0ms

10.10.10.2 00:0C:29:E5:CE:D0 1ms

CLIENT2/WORKGROUP

10.10.10.1 00:0C:29:A0:BA:4F 0ms

CLIENT1/WORKGROUP

10.10.10.1 0ms

[admin@Ijc-router] > tool mac-scan ether2

MAC-ADDRESS ADDRESS AGE

00:0C:29:BD:16:12 255.255.255.255 0

00:50:56:C0:00:01 10.10.10.3 0

00:0C:29:A0:BA:4F 10.10.10.1 1

00:0C:29:E5:CE:D0 10.10.10.2 0

Chapter 03 Firewall

Outline :

Masquerade

Filtering (input dan output)

Address List

Secara umum firewall ditempatkan diantara jaringan lokal dan jaringan publik, ditujukan

untuk melindungi jaringan lokal dengan mebatasi traffik yang menuju router (input),

keluar dari router (output) dan melewati router (forward)

Masquerade

Router MikroTik yang akan digunakan sebagai Internet Gateway harus menjalankan NAT

(Network Address Translation), yaitu sebuah fungsi yang merubah field Source IP Private

dari sebuah packet data menjadi IP Address Publik.

Berdasarkan skenario, untuk menjalankan fungsi NAT bagi keseluruhan host dari jaringan

10.10.10.0/24 untuk semua jenis layanan Internet, maka dapat digunakan perintah sebagai

berikut :

[admin@MikroTik] > ip firewall nat add chain=srcnat src-address=10.10.10.0/24

action=masquerade



0 chain=srcnat action=masquerade src-address=10.10.10.0/24

Dapat juga menggunakan perintah masquerade dengan memilih outgoing interface

(dalam hal ini adalah ether1 yang akan digunakan untuk menuju Internet), seperti

berikut :

[admin@MikroTik] > ip firewall nat add chain=srcnat out-interface=ether1

action=masquerade

Bila menggunakan WinBox, maka konfigurasi dapat dilakukan melalui menu IP >

Firewall> NAT>Add

Jika diinginkan jaringan 10.10.10.0/24 hanya dapat mengakses layanan HTTP, maka

konfigurasi yang harus digunakan adalah sebagai berikut :


protocol=tcp dst-port=80 action=masqurade



0 chain=srcnat action=masquerade protocol=tcp src-address=10.10.10.0/24

dst-port=80

HTTP merupakan aplikasi yang menggunakan protocol TCP dengan destination port pada

server adalah 80

Untuk layanan mail atau Secure HTTP (https), maka konfigurasi tambahan yang harus

dilakukan adalah sebagai berikut :


protocol=tcp dst-port=443 action=masquerade


protocol=icmp action=masquerade




dst-port=80


dst-port=443

2 chain=srcnat action=masquerade protocol=icmp src-address=10.10.10.0/24

Bila terdapat bebarapa rule, maka Mikrotik akan mengeksekusi rule-rule tersebut dengan

prinsip top to bottom. Sehingga urutan dari rule sangat berpengaruh terhadap efektifitas rule yang diinginkan.

MikroTik dapat membatasi akses jaringan (routing maupun NAT) berdasarkan waktu

(hari dan jam). Misalnya jika ingin memberikan akses HTTP (web) pada jaringan

10.10.10.0/24 hanya pada jam 08.00 14.30 untuk hari senin, selasa, rabu, kamis, jumat, sabtu, maka konfigurasi yang dapat digunakan

[admin@Ijc-router] > ip firewall nat add chain=srcnat src-address=10.10.10.0/24

protocol=tcp dst-port=80 action=masquerade

time=08:00:00-14:30:00,mon,tue,wed,thu,fri,sat

[admin@Ijc-router] > ip firewall nat print



dst-port=80 time=8h-14h30m,mon,tue,wed,thu,fri,sat

Untuk konfigurasi dengan menggunakan WinBox dapat melalui menu

IP>Firewall>NAT>Add>Extra

Filtering

Filter ditujukan untuk menentukan apakah sebuah paket yang ditujukan pada sebuah

interface router dapat diizinkan atau tidak. Umumnya ditujukan untuk meningkatkan

level keamanan dari Router. Filter tidak digunakan untuk memeriksa paket data yang

melewati router. Fungsi firewall untuk memeriksa data yang melewati router dilakukan

oleh NAT.

Berikut contoh penerapan filtering pada sisi Interface ether1 yang berhubungan ke

Internet. Filtering ini ditujukan untuk menutup port-port yang tidak dibutuhkan, sehingga

tingkat keamanan dapat ditingkatkan. Contoh port yang terbuka secara default pada router

MikroTik adalah 22 (ssh), 23 (telnet), 20 dan 21 (ftp), 80 (web), 8291 (WinBox).

[admin@Ijc-router] > ip firewall filter add chain=input in-interface=ether1

protocol=tcp dst-port=22 action=drop






protocol=icmp action=drop

[admin@Ijc-router] > ip firewall filter print


0 chain=input action=drop protocol=tcp in-interface=ether1 dst-port=22



3 chain=input action=drop protocol=icmp in-interface=ether1

Jika ada sebuah paket yang akan diizinkan masuk ke interface ether1 (misalnya

mengizinkan host dengan IP Address 222.124.222.171), maka perintah yang diberikan

adalah perintah dengan action=accept seperti berikut :


protocol=tcp dst-port=22 src-address=222.124.222.171 action=accept



Sedangkan untuk sisi Interface ether2 yang dihubungkan dengan jaringan lokal, berikut

contoh rule filtering yang dapat digunakan :

[admin@Ijc-router] > ip firewall filter add chain=input protocol=tcp dst-port=80

in-interface=ether2 action=accept


in-interface=ether2 src-address=10.10.10.2 action=accept


in-interface=ether2 src-address=10.10.10.2 action=accept


in-interface=ether2 src=address=10.10.10.2 action=accept

[admin@Ijc-router] > ip firewall filter add chain=input protocol=icmp

in-interface=ether2 src=address=10.10.10.1 action=accept

[admin@Ijc-router] > ip firewall filter add chain=input protocol=udp dst-port=53

in-interface=ether2 action=accept


action=drop



Address List

Fitur Address List pada Firewall MikroTik dapat digunakan untuk mengelompokkan IP

Address tertentu. Kelompok IP Address ini nantinya dapat digunakan oleh filter, NAT

maupun mangle dari firewall. Address List dapat dibuat secara manual (static) maupun

secara otomatis oleh MikroTik.

Contoh perintah untuk mendapatkan hasil Address List (dynamic) dari host yang pernah

mengakses MikroTik dengan menggunakan protokol SSH pada interfecae ether2 :

[admin@ijc-router] > ip firewall filter add chain=input in-interface=ether2

protocol=tcp dst-port=22 action=add-src-to-address-list address-list=akses ssh

[admin@ijc-router] > ip firewall address-list print

Flags: X disabled, D dynamic

# LIST

ADDRESS

0 D akses ssh 10.10.10.2

Jika ingin menggunakan IP Address pada Address list untuk tidak memberikan akses SSH,

maka dapat digunakan filter dengan perintah sebagai berikut :

[admin@ijc-router] > ip firewall filter add chain=input in-interface=ether2

protocol=tcp dst-port=22 action=drop src-address-list=akses ssh

[admin@ijc-router] > ip firewall filter print


0 chain=input action=add-src-to-address-list protocol=tcp address-list=akses ssh

address-list-timeout=0s in-interface=ether2 dst-port=22

1 chain=input action=drop protocol=tcp src-address-list=akses ssh

in-interface=ether2 dst-port=22

Jika ingin membuat Address List secara manual (static), maka dapat digunakan perintah

sebagai berikut :

[admin@ijc-router] > ip firewall address-list add address=10.10.10.0/24 list=akses ssh terlarang

[admin@ijc-router] > ip firewall address-list print

Flags: X disabled, D dynamic

# LIST

ADDRESS

1 akses ssh terlarang 10.10.10.0/24

Chapter 04 Web Proxy

Outline :

Basic Configuration

Traffic Filtering

Transparent Proxy

Untuk beberapa alasan dapat dikonfigurasikan sebuah proxy sebagai perantara client dan

web server. Dengan adanya proxy, client tidak akan berhubungan langsung dengan web

server di Internet.

Proxy ditujukan untuk membuat request atas nama client lain. Sehingga web server akan

mengetahui bahwa yang melakukan request adalah proxy server dan bukan client.

Proxy Server akan menerima Request HTTP dari Client, kemudian akan memforward

request tersebut ke web server. Web server akan menerima HTTP Request tadi dan

memberikan repsonse ke Proxy Server. Proxy Server akan meneruskan response dari web

server kepada Client yang melakukan Request awal.

Ada 3 keuntungan jika menerapkan proxy server pada suatu jaringan, yaitu :

Proxy Server dapat mengendalikan kontent (web content) yang diminta oleh Client.

Proxy Server dapat menghemat penggunaan bandwidth sampai 30% karena Proxy Server dapat menerapkan caching content.

Proxy Server dapat melakukan pengawasan (monitoring) aktifitas HTTP Request

yang dilakukan oleh Client.

Basic Configuration

Untuk mengaktifkan service proxy pada Mikrotik, perintah yang dapat digunakan adalah

sebagai berikut :

[admin@Ijc-router] > ip proxy set enabled=yes port=8080

[email protected] cache-on-disk=yes

cache-on-disk merupakan opsi untuk memfungsikan hardisk maupun memosri dari

MikroTik untuk menyimpan content-content yang sudah pernah diakses oleh user.

Sehingga jika ada user lain yang meminta content tersebut, MikroTik tidak perlu lagi

mengambilnya dari Internet.

Bila menggunakan WinBox, maka konfigurasi dapat dilakukan melalui menu IP >Web

Proxy>Web Proxy Setting

Dalam menjalankan service proxy, hak yang sangat perlu untuk diperhatikan adalah

Access Control dari proxy. Jika Access Control tidak dikonfigurasikan dengan baik, maka

akan terjadi open proxy, dimana proxy dapat digunakan oleh pengguna dari jaringan lain.

Contoh konfigurasi Access Control dari proxy, sehingga hanya dapat digunakan oleh

jaringan 10.10.10.0/24 yang merupakan jaringan internal (LAN).

[admin@Ijc-router]> ip proxy access add src-address=10.10.10.0/24 action=allow

[admin@Ijc-router]> ip proxy access add src-address=0.0.0.0/0 action=deny

Urutan dari Access Control sangat penting untuk efektifitas dari konfigurasi yang

diinginkan.

Traffic Filtering

Untuk melakukan pembatasan traffic HTTP terhadap ekstensi file tertentu, misalnya rar,

maka perintah yang dapat digunakan adalah perintah dengan action=deny seperti berikut :

[admin@Ijc-router]> ip proxy access add src-address=10.10.10.0/24 path=:.rar

action=deny

Jika filtering ditujukan melakukan pemblokiran berdasarkan alamat URL yang dituju oleh

browser, maka perintah yang dapat digunakan adalah sebagai berikut :

[admin@Ijc-router]> ip proxy access add src-address=10.10.10.0/24

dst-host=www.playboy.com action=deny

Dalam pemblokiran URL, juga dapat digunakan filter berdasarkan kata yang ada dalam

URL tersebut. Perintah yang dapat digunakan adalah sebagai berikut :

[admin@Ijc-router]> ip proxy access add src-address=10.10.10.0/24 dst-host=*porn*

action=deny

Dalam melakukan pemblokiran akses HTTP, juga dapat dikombinasikan dengan teknik

redirect ke web site tertentu. Sebagai contoh, jika ada user yang akan mengakses

www.facebook.com, maka user tersebut akan dialihkan ke www.google.com. Perintah

yang dapat digunakan adalah sebagai berikut :


dst-host=www.facebook.com redirect-to=www.google.com action=deny

Transparent Proxy

Pada umumnya jika sebuah Internet Gateway di suatu jaringan menerapklan proxy, maka

browser yang ada di dalam jaringan tersebut harus dikonfigurasikan penggunakan proxy

secara manual. Konfigurasi pada browser ini adalah IP Address dan port yang digunakan

oleh proxy server.

Jika tidak ingin melakukan konfigurasi proxy client secara manual disetiap browser,

maka pada MikroTik digunakan teknik Transparent Proxy. Teknik ini meredirect

(mengalihkan) trafik HTTP (destination port 80) ke port yang digunakan Proxy

(umumnya 8080 atau 3128).

Konfigurasi untuk meredirect trafik HTTP tersebut dilakukan pada firewall (NAT)

dengan chain=dstnat, action=redirect seperti berikut :

[admin@Ijc-router]> ip firewall nat add chain=dstnat protocol=tcp

src-address=10.10.10.0/24 dst-port=80 action=redirect to-ports=8080

[admin@Ijc-router]> ip firewall nat print


0 chain=dstnat action=redirect to-ports=8080 protocol=tcp

src-address=10.10.10.0/24 dst-port=80

1 chain=srcnat action=masquerade src-address=10.10.10.0/24

Perlu diingat, bahwa rule redirect harus ditempatkan di atas dari rule masquerade untuk

HTTP. Jika rule redirect ditempatkan dibawah dari rule masquarade yang ada, maka rule

redirect ini tidak akan digunakan oleh MikroTik, karena semua traffic HTTP sudah

ditangani oleh rule masquarade tadi.

Chapter 05 DHCP Server

Outline :

DHCP Server

DHCP Client

Basic Configuration

DHCP Server digunakan sebagai teknik pembagian IP Address secara dinamik. DHCP

Server dapat diaktifkan pada MikroTik sehingga host atau client tidak perlu

mengkonfigurasikan IP Address secara manual. Client hanya akan melakukan request

kepada MikroTik. Konfigurasi IP Address ini meliputi IP Address, subnetmask, default

gateway dan DNS Server.

Pada topologi yang digunakan sebelumnya host-host yang membutuhkan IP terhubung

ke interface ether2 dari MikroTik. Sehingga untuk mengaktifkan DHCP Server pada

interface ether2 MikroTik dapat digunakan perintah sebagai berikut :

[admin@Ijc-router]> ip dhcp-server setup

Select interface to run DHCP server on

dhcp server interface: ether2

Select network for DHCP addresses

dhcp address space: 10.10.10.0/24

Select gateway for given network

gateway for dhcp network: 10.10.10.1

Select pool of ip addresses given out by DHCP server

addresses to give out: 10.10.10.20-10.10.10.30

Select DNS servers

dns servers: 10.10.10.1

Select lease time

lease time: 1d

[admin@Ijc-router]>

dhcp address space adalah network address yang digunakan pada LAN, gateway for

dhcp network merupakan IP Address yang berfungsi sebagai gateway pada jaringan

tersebut. Address to give out adalah kumpulan IP Address yang akan dibagikan ke

host-host yang membutuhkan IP Address. Sedangkan dns server adalah router atau server

yang berfungsi sebagai DNS Server bagi host-host dalam jaringan.

Jika menggunakan WinBox, maka DHCP Server dapat diaktifkan melalui menu

IP>DHCP Server > DHCP Setup.

Teknik DHCP Server memungkinkan setiap host akan mendapatkan IP Address yang

berbeda setiap kali mengajukan permintaan IP Address. Namun DHCP Server dapat

mengalokasikan IP Address tertentu untuk client tertentu berdasarkan MAC Address dari

client tersebut.

Berikut perintah yang dapat digunakan :

[admin@Ijc-router]> ip dhcp-server lease print

Flags: X disabled, R radius, D dynamic, B blocked

# ADDRESS MAC-ADDRESS HOST-NAME

SERVER STATUS

0 D 10.10.10.30 00:26:22:8F:6A:D1 acer-295bf dhcp1 bound

[admin@Ijc-router] > ip dhcp-server lease make-static 0

[admin@Ijc-router] > ip dhcp-server lease print


# ADDRESS MAC-ADDRESS HOST-NAME

SERVER STATUS

0 10.10.10.30 00:26:22:8F:6A:D1 acer-295bf dhcp1 bound

Pada WinBox menu yang dapat digunakan ada pada IP > DHCP Server>Leases>Make

Static

Penggunaan teknik Mapping Static ini juga dapat digunakan jika ingin memasukkan IP

Address tertentu untuk digunakan oleh MAC Address tertentu pula, perintah yang dapat

digunakan adalah sebagai berikut :

[admin@Ijc-router]>ip dhcp-server lease add mac-address=00:18:F3:1F:64:E7

address=10.10.10.27

[admin@Ijc-router]> ip dhcp-server lease print


# ADDRESS MAC-ADDRESS RATE-LIMIT

STATUS

0 10.10.10.27 00:18:F3:1F:64:E7

[admin@Ijc-router]>

Dengan menggunakan WinBox, dapat dilakukan melalui menu IP > DHCP Server >

Leases > Add

Pengamanan terhadap jaringan yang menggunakan DHCP Server dapat dilakukan dengan

tidak memberikan koneksi jaringan bagi host yang mengkonfigurasikan IP Address secara

manual.

[admin@Ijc-router] > ip dhcp-server print

Flags: X disabled, I invalid

# NAME INTERFACE RELAY ADDRESS-POOL

LEASE-TIME ADD-ARP

0 dhcp1 ether2 dhcp_pool1 3d

no

[admin@Ijc-router] > ip dhcp-server set 0 add-arp=yes

[admin@Ijc-router] > interface ethernet print

Flags: X disabled, R running, S slave

# NAME MTU MAC-ADDRESS ARP

0 R ether1 1500 00:0C:29:BD:16:08 enabled


[admin@Ijc-router] > interface ethernet set 1 arp=reply-only

[admin@Ijc-router] > interface ethernet print

Flags: X disabled, R running, S slave

# NAME MTU MAC-ADDRESS ARP


1 R ether2 1500 00:0C:29:BD:16:12 reply-only

DHCP Client

ISP tertentu juga menerapkan DHCP Client terhadap pelangganya, terutama pelanggan

personal. Sehingga router MikroTik akan menjadi client terhadap DHCP Server milik

ISP.

Pada skenario, interface yang terhubung ke ISP adalah ether1. Interface ini tidak akan

dikonfigurasikan IP Address secara statik seperti pada konfigurasi sebelumnya. Ether1

akan mendapatkan IP Address secara otomatis (dinamik) dari ISP, perintah yang dapat

digunakan adalah sebagai berikut.


[admin@Ijc-router]> ip address print



INTERFACE

0 10.10.10.100/24 10.10.10.0 10.10.10.255 ether2

[admin@Ijc-router]> ip dhcp-client add interface=ether1 disabled=no

[admin@Ijc-router]> ip dhcp-client print

Flags: X disabled, I invalid

# INTERFACE USE ADD STATUS

ADDRESS

0 ether1 yes yes bound

222.124.223.172/28

[admin@Ijc-router]> ip address print



INTERFACE

0 10.10.10.100/24 10.10.10.0 10.10.10.255 ether2

1 D 222.124.223.172/28 222.124.223.160 222.124.223.175 ether1

Jika menggunakan WinBox, konfigurasi dapat dilakukan melalui menu IP > DHCP

Client>Add

Chapter 06 Quality of Service (QoS)

Outline :

Simple Bandwidth Management

Shared Bandwidth Management

Application Bandwidth Management

Skenario yang digunakan adalah jaringan lokal 10.10.10.0/24 yang memiliki alokasi

bandwitdh total 512 kbps (upload) dan 512 kbps (download). Client yang digunakan

adalah client 1 (10.10.10.2) dan client 2 (10.10.10.3)

Simple Bandwidth Management

Dengan menggunakan static bandwidth control maka alokasi bandwidth untuk

masing-masing client akan tetap. Misalnya client 1 akan mendapatkan alokasi bandwidth

yaitu sebesar 256kbps/256kbps, begitu juga dengan client 2.


[admin@Ijc-router]> queue simple add name=limit-1 target-addresses=10.10.10.1

max-limit=256000/256000

[admin@Ijc-router]> queue simple add name=limit-2 target-addresses=10.10.10.2

max-limit=256000/256000

[admin@Ijc-router]> queue simple print


0 name=limit-1 target-addresses=10.10.10.1/32 dst-address=0.0.0.0/0 interface=all parent=none direction=both priority=8 queue=default-small/default-small

limit-at=0/0 max-limit=256k/256k burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s

total-queue=default-small

1 name=limit-2 target-addresses=10.10.10.1/32 dst-address=0.0.0.0/0 interface=all parent=none direction=both priority=8queue=default-small/default-small

limit-at=0/0 max-limit=256k/256k burst-limit=0/0 burst-threshold=0/0burst-time=0s/0s


Bila menggunakan WinBox maka konfigurasi dapat dilakukan melalui menu Queue >

Simple Queues > Add

Pengujian atau monitoring terhadap aktifitas bandwidth yang sudah dibatasi dapat dilihat

dengan menggunakan menu torch, dan interface yang dimonitor adalah interface ether2,

karena interface ini yang terhubung ke jaringan lokal. Perintah yang dapat digunakan

adalah sebagai berikut :

[admin@Ijc-router] >tool torch ether2 src-address=10.10.10.0/24

Shared Bandwidth Management

Dengan menggunakan shared bandwidth control, maka alokasi bandwidth untuk tiap

client akan bervariasi, tergantung aktif tidaknya client lain dalam sebuah jaringan.

Dalam skenario, berikut client 1 dan client 2 masing-masing akan mendapatkan alokasi

bandwidth 256kbps/256kbps. Sehingga total bandwitdh untuk 2 client tersebut adalah

512kbps/512kbps. Jika client 1 tidak menggunakan alokasi bandiwidthnya, maka jatah

bandwidthnya akan diberikan kepada client yang lain, sehingga client 2 akan

mendapatkan alokasi bandwidth maksimum 256kbps/256kbps.

Konfigurasi yang pertama kali dilakukan adalah konfigurasi untuk membatasi

penggunaan bandwidth untuk kedua client sekaligus. Konfigurasi ini juga berfungsi

sebagai pembatasan bandiwidth parent. Perintah yang dapat digunakan adalah sebagai

berikut :

[admin@Ijc-router] > queue simple add name=limit-all

target-addresses=10.10.10.0/24 max-limit=512000/512000

Selanjutnya dibuat konfigurasi untuk membatasi pemakaian bandiwidth setiap client

dengan menggunakan konfigurasi sebelumnya sebagai parent. Perintah yang dapat

digunakan adalah sebagai berikut :

[admin@Ijc-router] > queue simple add name=limit-1 target-addresses=10.10.10.1

max-limit=512000/512000 limit-at=256000/256000 parent=limit-all

[admin@Ijc-router] > queue simple add name=limit-2 target-addresses=10.10.10.2

max-limit=512000/512000 limit-at=256000/256000 parent=limit-all

[admin@Ijc-router] > queue simple print


0 name=limit-all target-addresses=10.10.10.0/24 dst-address=0.0.0.0/0 interface=all parent=none direction=both priority=8 queue=default-small/default-small

limit-at=0/0 max-limit=512k/512k burst-limit=0/0 burst-threshold=0/0burst-time=0s/0s


1 name=limit-1 target-addresses=10.10.10.1/32 dst-address=0.0.0.0/0 interface=all parent=limit-all direction=bothpriority=8

queue=default-small/default-small limit-at=128k/128k max-limit=512k/512k

burst-limit=0/0burst-threshold=0/0 burst-time=0s/0s total-queue=default-small

2 name=limit-2 target-addresses=10.10.10.2/32 dst-address=0.0.0.0/0 interface=all parent=limit-all direction=bothpriority=8

queue=default-small/default-small limit-at=128k/128k max-limit=512k/512k


Application Bandwidth Management

Pengaturan bandwidth juga dapat dilakukan dengan melihat jenis aplikasi yang akan

dibatasi, misalnya aplikasi HTTP (web) akan dibatasi pemakaian bandwidthnya untuk

keseluruhan client dalam jaringan. Untuk memisahkan jenis aplikasi yang diakses oleh

client, maka perlu dilakukan penandaan paket data dari aplikasi tersebut (mangle).

Contoh skenario yang akan digunakan adalah membatasi pemakaian bandiwidth untuk

aplikasi web sebesar 128 kbps bagi semua client yang ada dalam jaringan.

Tahap pertama yang dilakukan adalah penandaan paket (mangle) HTTP dari setiap client,

dapat digunakan perintah sebagai berikut :

[admin@Ijc-router] > ip firewall mangle add chain=prerouting

src-address=10.10.10.0/24 protocol=tcp dst-port=80 action=mark-connection

new-connection-mark=http-con

[admin@Ijc-router] > ip firewall mangle add chain=prerouting

connection-mark=http-con action=mark-packet new-packet-mark=http

[admin@Ijc-router] > ip firewall mangle print


0 chain=prerouting action=mark-connection new-connection-mark=http-con

passthrough=yes protocol=tcpsrc-address=10.10.10.0/24 dst-port=80

1 chain=prerouting action=mark-packet new-packet-mark=http passthrough=yes

connection-mark=http-con

Dilanjutkan dengan melakukan pembatasan penggunaan bandwidth untuk aplikasi HTTP

untuk jaringan 10.10.10.0/24. Perintah yang dapat digunakan adalah sebagai berikut :

[admin@Ijc-router] > queue simple add name=limit-http

target-addresses=10.10.10.0/24 packet-marks=http max-limit=128000/128000

[admin@Ijc-router] > queue simple add name=all-network

target-addresses=10.10.10.0/24 max-limit=512000/512000

[admin@Ijc-router] > queue simple print


0 name=limit-http target-addresses=10.10.10.0/24 dst-address=0.0.0.0/0 interface=all parent=none packet-marks=http direction=both priority=8

queue=default-small/default-small limit-at=0/0 max-limit=128k/128k


Chapter 07 Scripting and Scheduler

Outline :

Automatic Backup

Proxy Access

Mikrotik memiliki fitur scripting yang umum digunakan untuk membuat daftar

perintah-perintah yang akan dijalankan oleh MikroTik secara otomatis. Penggunaan

scripting ini dapat dikombinasikan dengan fitur Scheduler (penjadwalan) sehingga daftar

perintah yang dibuat melalui fitur scripting dapat dijalankan pada waktu-waktu tertentu,

juga dapat dijalankan berulang kali sesuai kebutuhan.

Automatic Backup

Jika ingin melakukan backup konfigurasi secara berkala dan otomatis, maka dapat

dilakukan dengan bantuan penjadwalan (scheduler).

Contoh jika diinginkan MikroTik akan melakukan backup setiap hari sabtu pada pukul

17.00, maka perintah yang dapat dilakukan untuk membuat script otomatis adalah sebagai

berikut :

[admin@Ijc-router] > system script add name=backup source=/system backup save

Selanjutnya dilakukan pembuatan penjadwalan agar script tersebut dapat dijalankan pada

waktu-waktu tertentu dan secara berulang (misalnya setiap hari Sabtu pukul 17.00).

Contoh perintah yang dapat digunakan adalah sebagai berikut :

[admin@Ijc-router] > system scheduler add name=backup-sabtu start-time=17:00:00

interval=7d start-date=mar/26/2011 on-event=backup

Proxy Access

Secara default proxy pada MikroTik tidak dapat melakukan pembatasan akses

berdasarkan waktu. Sehingga untuk melakukan penggunaan access control pada proxy

berdasarkan alokasi waktu, (misalnya terdapat web site tertentu yang diblokir pada

jam-jam tertentu) dapat digunakan fitur script dan scheduler

Skenario berikut adalah pemblokiran situs www.facebook.com dari jam 08.00 17.00.

Konfigurasi pertama yang dilakukan adalah membuat Access Control pada proxy untuk

memblokir akses ke facebook. Opsi yang digunakan adalah dst-host=www.facebook.com

dengan action=deny. Juga diberikan comment=facebook yang akan digunakan oleh fitur

scripting sebagai pengena Access Control.


dst-host=www.facebook.com action=deny comment=facebook

[admin@Ijc-router]> ip proxy access add src-address=10.10.10.0/24 action=allow

[admin@Ijc-router]> ip proxy access add src-address=0.0.0.0/24 action=deny

Kemudian dilakukan pembuatan script untuk memberikan akses facebook dan sekaligus

menutup akses facebook. Script untuk menutup akses ke facebook berupa script yang

akan meng-enable baris dengan comment=facebook pada Access Control proxy.

Sedangkan script untuk membuka akses ke facebook berupa script yang akan

meng-disable baris degan comment=facebook tadi. Perintah yang dapat digunakan


[admin@Ijc-router] > system script add name=blok-fb source=ip proxy access enable [/ip proxy access find comment=facebook]

[admin@Ijc-router] > system script add name=buka-fb source=ip proxy access disable [/ip proxy access find comment=facebook]

[admin@Ijc-router] > system script print

Flags: I invalid

0 name=blok-fb owner=admin

policy=ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive

last-started=mar/28/2008 11:25:54 run-count=0

source=ip proxy access enable [/ip proxy access find comment =facebook]

1 name=buka-fb owner=admin

policy=ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive

last-started=mar/28/2008 11:25:52 run-count=0

source=ip proxy access disable [/ip proxy access find comment=facebook]

Sedangkan untuk penjadwalan sesuai dengan waktu yang diinginkan, dapat dibuat dengan

menjalankan script name=blok-fb pada jam 08.00.00 dan menjalankan script

name=buka-fb pada jam 17.00.00 seperti berikut :

[admin@Ijc-router] > system scheduler add name=jadwal-blok-fb start-time=08:00:00

interval=24:00:00 on-event=blok-fb

[admin@Ijc-router] > system scheduler add name=jadwal-buka-fb start-time=17:00:00

interval=24:00:00 on-event=buka-fb

[admin@Ijc-router] > system scheduler print

Flags: X disabled

# NAME START-DATE START-TIME INTERVAL ON-EVENT

RUN-COUNT

0 jadwal-blok-fb mar/28/2008 08:00:00 1d blok-fb 0

1 jadwal-buka-fb mar/28/2008 17:00:00 1d buka-fb

0

Chapter 08 Multiple ISP

Outline :

Routing Mark

Load Balancing

Fail Over

Sebuah jaringan bisa saja mendapatkan layanan Internet dari dua atau lebih ISP yang

berbeda. Pada kondisi ini Router MikroTik akan menggunakan dua atau lebih gateway.

Untuk dapat memanfaatkan dua gateway atau lebih dapat dilakukan memisahkan trafik

dari host tertentu ke sebuah ISP.

Skenario jaringan yang digunakan adalah sebagai berikut :

Skenario yang dijalankan adalah sebagai berikut :

Host 10.10.10.2 dan 10.10.10.3 menggunakan ISP 1

Host 10.10.10.4 dan 10.10.10.5 menggunakan ISP 2

Routing Mark

Untuk memisahkan traffic dari keempat host, setiap paket dari host harus diberikan mark

(tanda) dengan menggunakan fitur mangle pada firewall. Marking atau tanda dari setiap

paket data yang keluar dari setiap client akan menjadi dasar untuk membelokkan (routing)

paket tersebut ke gateway (ISP) yang diinginkan.

Ether 3 difungsikan untuk terhubung ke ISP. Konfigurasi IP Address dari masing-masing

interface adalah sebagai berikut :

[admin@ijc-router] >ip address add address=222.124.224.162/28 interface=ether1



[admin@ijc-router] >ip address print



INTERFACE

0 222.124.222.162/28 222.124.222.160 222.124.222.175 ether1

1 10.10.10.1/24 10.10.10.0 10.10.10.255 ether2

2 60.1.1.2/28 60.1.1.0 60.1.1.7 ether3

Karena ether1 dan ether3 digunakan untuk berhubungan ke Internet melalui ISP, maka

konfigurasi NAT harus dilakukan dua kali, masing-masing untuk out-interface=ether1 dan

out-interface=ether3, perintah yang dapat digunakan adalah sebagai berikut :

[admin@ijc-router] >ip firewall nat add chain=srcnat out-interface=ether1

action=masquerade

[admin@ijc-router] >ip firewall nat add chain=srcnat out-interface=ether3

action=masquerade

[admin@ijc-router] >ip firewall nat print




Selanjutnya dilakukan penandaan paket data yang akan keluar dari client 1 dan client 2,

misalnya paket tersebut ditandai dengan label isp-1. Perintah yang digunakan adalah

sebagai berikut :

[admin@ijc-router] >ip firewall mangle add chain=prerouting src-address=10.10.10.2

action=mark-routing new-routing-mark=isp-1



Kemudian dilakukan penandaan paket data yang akan keluar dari client 3 dan client 4,

misalnya paket tersebut ditandai dengan label isp-2. Perintah yang digunakan adalah

sebagai berikut :





[admin@ijc-router] >ip firewall mangle print


0 chain=prerouting action=mark-routing new-routing-mark=isp-1

passthrough=yes src-address=10.10.10.2







Load Balancing

Untuk mengarahkan traffic dari client 10.10.10.2 dan 10.10.10.3 ke ISP 1, maka perintah

yang dapat digunakan adalah sebagai berikut :

[admin@ijc-router] > ip route add dst-address=0.0.0.0/0 gateway=222.124.222.161

routing-mark=isp-1

Sedangkan untuk mengarahkan traffic dari host 10.10.10.4 dan 10.10.10.5 ke ISP 2, maka

perintah yang dapat digunakan adalah sebagai berikut :

[admin@ijc-router] >iproute add dst-address=0.0.0.0/0 gateway=60.1.1.1

routing-mark=isp-2

Selangkapnya traffic routing adalah sebagai berikut :

[admin@ijc-router] >ip route print

Flags: X disabled, A active, D dynamic, C connect, S static, r rip, b bgp, o ospf, m mme,

B blackhole, U unreachable, P prohibit


DISTANCE

0 A S 0.0.0.0/0 222.124.222.161 1

1 A S 0.0.0.0/0 60.1.1.1 1

2 ADC 10.10.10.0/24 10.10.10.100 ether2 0

3 ADC 60.1.1.0/28 60.1.1.2 ether3 0

4 ADC 222.124.222.160/28 222.124.222.162 ether1 0

Untuk memonitor traffic dapat menggunakan WinBox, melalui menu Interface >

Ethernet, seperti pada gambar di bawah ini :

Fail Over

Dalam kondisi normal konfigurasi semula telah memungkinkan adanya fitur fail over jika

salah satu dari ISP down. Namun jika dalam kondisi normal hanya diinginkan satu ISP

yang digunakan sedangkan ISP kedua hanya menjadi cadangan maka kita dapat

mengkonfigurasikan distance pada entry routing dengan nilai terendah yang menjadi

prioritas.

Fail over dapat dibuat dengan memanfaatkan protocol ICMP dan nilai Administrative

Distance dari setiap entry routing.


[admin@ijc-router] >ip route add dst-address=0.0.0.0/0 gateway=222.124.222.161

routing-mark=isp-1 check-gateway=ping


routing-mark=isp-2 check-gateway=ping

Sedangkan entry fail overjika link ke ISP 1 terputus dapat dibuat dengan menggunakan



routing-mark=isp-1 check-gateway=ping distance=10

Sedangkan entry fail overjika link ke ISP 2terputus dapat dibuat dengan menggunakan



routing-mark=isp-2 check-gateway=ping distance=10

Untuk melihat berfungsinya fail over, dapat menggunakan perintah sebagai berikut :

[admin@ijc-router] >ip route print

Flags: X disabled, A active, D dynamic, C connect, S static, r rip, b bgp, o ospf, m mme, B blackhole, U unreachable, P prohibit


DISTANCE

0 A S 0.0.0.0/0 222.124.222.161 1

1 S 0.0.0.0/0 60.1.1.1 10

2 S 0.0.0.0/0 60.1.1.1 1

3 A S 0.0.0.0/0 222.124.222.161 10

4 ADC 10.10.10.0/24 10.10.10.100 ether2 0

5 ADC 60.1.1.0/28 60.1.1.2 ether3 0

6 ADC 222.124.222.160/28 222.124.222.162 ether1 0

chapter 01 – introduction to mikrotik routeros.pdf

Documents

up to 3w operating system

1mbit flash chip data

11a b g 54mbps 2

atheros ar7161 680mhz

4f to 158f humidity

5 ethernet leds power

user led power options

no serial port leds