chapter 01 – introduction to mikrotik routeros.pdf
TRANSCRIPT
-
Chapter 01 Introduction to MikroTik RouterOS
Outline :
Mikrotik Router OS
Installation
Mikrotik Login
Mikrotik Router OS
Mikrotik pertama kali dikembangkan di ibukota Latvia, Riga, pada tahun 1995. Awalnya
Mikrotik ditujukan untuk menjalankan ISP kecil dengan media wireless, namun saat ini
Mikrotik juga telah digunakan pada ISP berskala kecil sampai menengah.
Mikrotik merupakan aplikasi atau sistem operasi Router yang didesain berdasarkan
arsitektur hardware komputer personal. Ini membuat Mikrotik dapat diinstalasi pada
personal komputer desktop. Ini merupakan kelebihan Mikrotik dibanding sistem operasi
router lain yang tidak dapat dijalankan di mesin komputer desktop.
Selain dalam bentuk sistem operasi, Mikrotik juga dipasarkan dalam bentuk hardware
yang dinamakan Mikrotik RouterBoard. RouterBoard ini dipasarkan dalam berbagai
spesifikasi, sehingga dapat digunakan sesuai dengan kebutuhan di lapangan. Berikut
contoh dari beberapa seri RouterBoard :
-
Informasi lengkap tentang Mikrotik dapat di lihat pada web site www.mikrotik.com atau
www.mikrotik.co.id
Untuk fitur, Mikrotik memiliki fitur yang sangat lengkap antara lain :
Firewall dan Network Address Transation
Routing Statik maupun dinamik dengan RIPv1, RIPv2, OSPFv2 dan BGPv4
Pengaturan bandwidth
Pengaturan hotspot
Point to Point tunneling Protocol
IP Security (IPsec)
Web Proxy
Dynamic Host Configuration Protocol (DHCP)
Domain Name System (DNS)
Berbegai tools jaringan antara lain : traceroute; bandwidth test; ping flood; telnet; SSH; packet sniffer
Contoh spesifikasi dari RouterBoard adalah sebagai berikut :
Spesifikasi RouterBoard 750 :
CPU:AR7240 300MHz (overclock up to 400MHz) CPU
Memory:32MB DDR SDRAM onboard memory
Boot loader:RouterBOOT
Data storage:64MB onboard NAND memory chip
Ethernet:Five 10/100 ethernet ports (with switch chip)
miniPCI:none
Extras:Reset switch, Beeper
Serial port:no serial port
LEDs:Power, NAND activity, 5 Ethernet LEDs
Power options:Power over Ethernet: 9-28V DC (except power over datalines). Power jack: 9.28V DC
Dimensions:113x89x28mm. Weight without packaging and cables: 130g
Power consumption:Up to 3W
Operating System:MikroTik RouterOS v3, Level4 license
Spesifikasi RouterBoard 411AH :
1 port ethernet (1 untuk PoE)
1 slot minipci
1 buah Atheros MiniPCI Wireless 802.11a+b+g 54Mbps 2.4/5GHz
2 types ethernet cap
Power Adaptor 24 V
-
Power over Ethernet Spliter
Lisensi Mikrotik RouterOS AP Level 4 /CF
CPU:Atheros AR7161 680MHz
Memory:64MB DDR onboard memory chip
Root loader:RouterBOOT, 1Mbit Flash chip
Data storage:64MB onboard NAND memory chip
Ethernet ports:1 10/100 Mbit/s Fast Ethernet port supporting Auto-MDI/X
Serial ports:One DB9 RS232C asynchronous serial port
LEDs:Power, user LED
Power options:Power over Ethernet: 10..28V DC (except power over datalines);
Power jack:10..28V DC; Overvoltage protection
Dimensions:105mm x 105mm (4.13 in x 4.13 in)
Temperature:Operational: -20C to +70C (-4F to 158F)
Humidity:Operational: 70% relative humidity (non-condensing)
Currently supported OS:RouterOS 3.0
Spesifikasi RouterBoard 1100 1U :
- CPU: PowerPC MPC8544 network processor
- Memory: SODIMM DDR Slot, 512MB installed, support up to 1.5GB
- Boot loader: RouterBOOT, 1Mbit Flash chip
- Data storage: Onboard NAND memory chip
- Ethernet:13 pcs 10/100/1000 Mbit/s Gigabit Ethernet with Auto-MDI/X, includes
switch to enable auto by pass on 2 ports
- miniPCI: none
- Storage: One microSD slots
- Serial port: One DB9 RS232C asynchronous serial port
- Beeper:Present
- Power options: IEC C14 standart connector 110/220V
- Fan: Dual fan with failover support
- Case: 1U 19 rack mount - Operating System:MikroTik RouterOS v4, Level6 license
Dalam memilih RouterBoard spesifikasi yang perlu dipertimbangkan adalah sebagai
berikut :
Processor
Memori
Jumlah Interface
Dukungan mini PCI untuk wireless
Sedangkan untuk memilih Versi Mikrotik RouterOS, perlu dipertimbangkan lisensi yang
dapat dilihat pada tabel berikut :
-
Mikrotik Instalation
Mikrotik RouterOS dapat diinstal pada media sebagai berikut:
Harddisk
Compact Flash
DOM (Disk On Module)
USB Flash Disk
Routerboard
DOM dan RouterBoard
Mikrotik RouterOS dapat diinstal dengan menggunakan media CD atau dengan
menggunakan Netinstall. Jika menggunakan netinstall, harus menggunakan aplikasi
netinstall dan Router harus mendukung boot lewat jaringan.
-
Proses instalasi Mikrotik ROuterOS dengan menggunakan media CD tidak membutuhkan
waktu yang lama, namun instalasi mikrotik dilakukan dengan menu teks atau Command
Line Interpreter (CLI).
Berikut screenshoot instalasi RouterOS :
Kemudian pemilihan paket yang ingin disertakan dalam Mikrotik dapat dlakukan
dengan menekan tombol Arrow dan Spacebar. Bila ingin menyertakan semua paket instalasi dapat menggunakan tombol a. Proses instalasi dapat dilanjutkan dengan menekan tombol i.
-
Mikrotik Login
Untuk login kedalam mesin Mikrotik dapat dilakukan secara lokal maupun secara
remote. Bila akan melakukan login secara lokal maka kita harus menggunakan mode CLI
dengan mengisikan username dan password default dari Mikrotik.
Account default dari Mikrotik adalah username admin dengan null password.
Sedangkan IP Address default adalah 192.168.88.1/24, IP Address ini umumnya ada di
interface jaringan ether2.
Berikut topologi yang harus dibuat untuk mengakses MikroTik secara remote.
Untuk login ke dalam Mikrotik secara remote, terdapat beberapa cara, yaitu :
Telnet
Secure Shell atau SSH
HTTP/webbox
Winbox
FTP
MAC Telnet
Khusus untuk login remote dengan menggunakan Telnet, SSH, HTTP dan FTP, Mikrotik
-
sudah harus memiliki minimal sebuah IP Address. Penggunaan Winbox bisa dilakukan
tanpa IP Address dengan syarat Mikrotik berada dalam satu segmen jaringan dengan
Komputer yang akan melakukan remote. Untuk RouterBoard telah disediakan IP Address
default 192.168.88.1/24
Bila ingin melakukan remote akses dengan menggunakan IP Address maka, perintah
dasar untuk mengkonfigurasikan IP Address pada Mikrotik adalah sebagai berikut :
Untuk telnet dapat diaktifkan pada mesin Windows melalui tombol Start Run cmd
Jika ingin melakukan remote dengan menggunakan WinBox, aplikasi WinBox dapat
didownload pada url berikut : http://www.mikrotik.co.id/download.php
Untuk remote SSH, dibutuhkan aplikasi putty jika akan melakukan remote dari mesin
Windows. Aplikasi putty dapat di download pada url berikut :
http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe
-
Berikut tampilan WinBox yang melakukan remote ke Mikrotik baik dengan
menggunakan IP Address maupun MAC Address. Jika akan melakukan penggantian IP
Address pada interface MikroTik, disarankan untuk menggunakan MAC Address pada
saat akan login.
End of chapter
-
Chapter 02 Basic Configuration
Outline :
Interface Configuration
IP Address
Default Gateway
DNS Server
Masquerade
ARP
Username
Identity
NTP Client
Monitoring
Backup
Interface Configuration
-
Untuk membangun sebuah Router dengan menggunakan MikroTik, maka dibutuhkan
minimal dua buah Interface. Jika menggunakan RouterBoard RB750, maka kita dapat
menggunakan 5 (lima) Interface.
Untuk melihat jumlah dan status Interface jaringan pada MikroTik, dapat digunakan
perintah :
[admin@MikroTik] > interface print Flags: D dynamic, X disabled, R running, S slave # NAME TYPE
MTU L2MTU
0 ether1-gateway ether 1500
1526
1 R ether2-local-master ether 1500
1524
2 ether3-local-slave ether 1500
1524
3 ether4-local-slave ether 1500
1524
4 ether5-local-slave ether 1500
1524
Untuk menshutdown sebuah Interface (misalnya interface ether1), dapat digunakan
perintah sebagai berikut :
[admin@MikroTik] > interface disable 0
[admin@MikroTik] > interface print
Flags: D dynamic, X disabled, R running, S slave
# NAME TYPE MTU L2MTU
0 X ether1-gateway ether 1500 1526
1 R ether2-local-master ether 1500 1524
2 ether3-local-slave ether 1500 1524
3 ether4-local-slave ether 1500 1524
4 ether5-local-slave ether 1500 1524
Secara default ether3, ether4 dan ether5 merupakan interface slave dari ether2. Ketiga
-
interface tersebut hanya berfungsi sebagai port switch yang menginduk ke interface
ether2.
IP Address
Berdasarkan topologi yang akan digunakan maka MikroTik Router yang akan
digunakan adalah MikroTik dengan 2 buah Interface. Interface ini terdiri dari :
Interface LAN (10.10.10.1/24), interface ini merupakan ether2 pada MikroTik dan akan terhubung dengan Jaringan Lokal (LAN)
Interface WAN (222.124.222.162/28), interface ini merupakan ether1 pada MikroTik dan akan terhubung ke jaringan publik (Internet) melalui ISP
Perintah yang dapat digunakan untuk melakukan konfigurasi IP Address pada Interface
adalah sebagai berikut :
[admin@MikroTik] >ip address add address=10.10.10.1/24 interface=ether2
[admin@MikroTik] >ip address add address=222.124.222.162/28 interface=ether1
Untuk memeriksa konfigurasi yang sudah dilakukan dapat digunakan perintah sebagai
berikut :
[admin@MikroTik] >ip address print
Flags: X disabled, I invalid, D dynamic
# ADDRESS NETWORK BROADCAST
INTERFACE
0 222.124.222.162/28 222.124.222.160 222.124.222.175 ether1
1 10.10.10.1/24 10.10.10.0 10.10.10.255 ether2
Bila menggunakan WinBox, maka konfigurasi dapat dilakukan melalui menu IP ->
Addresses
Default Gateway
-
Default Gateway merupakan router tetangga (biasanya ISP) yang merupakan path (jalur)
ke Internet. Pada skenario topologi yang digunakan Default Gateway bagi MikroTik
Router adalah Router ISP dengan IP Address 222.124.222.161
Perintah yang dapat digunakan untuk mengkonfigurasikan default gateway adalah
sebagai berikut :
[admin@MikroTik] >ip route add dst-address=0.0.0.0/0 gateway=222.124.222.161
Sedangkan untuk memeriksa konfigurasi default gateway pada tabel routing, dapat
digunakan perintah sebagai berikut :
[admin@MikroTik] > ip route print
Flags: X disabled, A active, D dynamic,
C connect, S static, r rip, b bgp, o ospf, m mme,
B blackhole, U unreachable, P prohibit
# DST-ADDRESS PREF-SRC GATEWAY
DISTANCE
0 A S 0.0.0.0/0 222.124.224.161
1
1 ADC 10.10.10.0/24 10.10.10.1 ether1
0
2 ADC 222.124.224.160/28 222.124.224.162 ether2 0
Bila menggunakan WinBox, konfigurasi dapat dilakukan melalui menu IP > Routes,
tab Routes > Add
DNS Server
Berdasarkan Skenario, maka DNS server yang digunakan adalah DNS Server ISP dengan
IP Address = 222.124.222.161
Perintah yang dapat digunakan adalah sebagai berikut :
[admin@MikroTik] > ip dns set servers=222.124.222.161 allow-remote-requests=yes
-
[admin@MikroTik] > ip dns print
servers:222.124.222.161
allow-remote-requests: yes
max-udp-packet-size: 512
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 5KiB
Setelah DNS dikonfigurasikan, pengujian dapat dilakukan dengan melakukan ping ke
sebuah situs Internet.
[admin@MikroTik] > ping www.google.com
216.239.61.104 64 byte ping: ttl=55 time=162 ms
216.239.61.104 64 byte ping: ttl=56 time=164 ms
216.239.61.104 64 byte ping: ttl=56 time=169 ms
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 162/165.0/169 ms
Bila menggunakan WinBox, konfigurasi dapat dilakukan melalui menu
IP>DNS>Static > Settings
Masquerade
Masquerade diperlukan untuk memberikan akses Internet kepada Client yang berada pada
jaringan lokal. Perintah yang dapat digunakan adalah sebagai berikut :
[admin@MikroTik] > ip firewall nat add chain=srcnat out-interface=ether1
action=masquerade
-
[admin@MikroTik] > ip firewall nat print
Flags: X disabled, I invalid, D dynamic
0 chain=srcnat action=masquerade out-interface=ether1
ARP (Address Resolution Protocol)
ARP merupakan protokol yang akan memetakan L2 Address (MAC Address) dengan L3
Address (IP Address). Pemetaan yang dilakukan oleh ARP dapat dilihat dengan perintah
sebagai berikut :
[admin@MikroTik] > ip arp print
Flags: X disabled, I invalid, H DHCP, D dynamic
# ADDRESS MAC-ADDRESS INTERFACE
0 D 10.10.10.2 00:0C:29:A0:BA:4F ether2
1 D 10.10.10.3 00:0C:29:E5:CE:D0 ether2
2 D 10.10.10.4 00:50:56:C0:00:01 ether2
Pemetaan IP dan MAC Address juga dapat dilakukan dengan perintah :
[admin@MikroTik] > ip arp add address=10.10.10.4 mac-address=00:11:22:33:44:55
interface=ether2
[admin@MikroTik] > ip arp print
Flags: X disabled, I invalid, H DHCP, D dynamic
# ADDRESS MAC-ADDRESS INTERFACE
0 D 10.10.10.2 00:0C:29:E5:CE:D0 ether2
1 D 10.10.10.3 00:50:56:C0:00:01 ether2
2 10.10.10.4 00:11:22:33:44:55 ether2
Bila menggunakan Winbox, maka untuk melihat tabel ARP dapat dilakukan melalui menu
-
IP>ARP
Username
Secara default MikroTik akan menggunakan admin sebagai username dan tanpa password (null password). User lain dapat ditambahkan dan dapat dikelompokkan
sebagai user yang dapat melakukan konfigurasi (write) maupun hanya untuk monitoring
(read).
Untuk melihat daftar user dalam sistem MikroTik, dapat digunakan perintah sebagai
berikut :
[admin@MikroTik] > user print
Flags: X disabled
# NAME GROUP ADDRESS
0 ;;; system default user
admin full 0.0.0.0/0
Address 0.0.0.0/0 menandakan bahwa user admin dapat mengakses MikroTik dari mana
saja, baik dari dalam jaringan internal (LAN) maupun dari Internet.
Sedangkan untuk memberikan password pada user admin dapat digunakan perintah sebagai berikut :
[admin@MikroTik] > user set 0 password=123456
Untuk menambahkan user baru (misalnya user=operator dengan password=123456)
dan hanya memberikan akses ke MikroTik dari dalam LAN, dapat digunakan perintah
sebagai berikut :
[admin@MikroTik] > user add name=operator group=read password=123456
address=10.10.10.0/24
[admin@MikroTik] > user print
Flags: X disabled
# NAME GROUP
ADDRESS
-
0 ;;; system default user
admin full 0.0.0.0/0
1 ijc-router read 10.10.10.0/24
Bila menggunakan WinBox, maka konfigurasi dapat dilakukan melalui menu
System>Users > Add
Identity
Identity dapat digunakan untuk membedakan mesin MikroTik dengan memberikan nama.
Perintah yang dapat digunakan adalah sebagai berikut :
[admin@MikroTik] > system identity set name=Ijc-router
[admin@Ijc-router] >
Bila menggunakan WinBox, dapat dilakukan melalui menu System>Identity
NTP (Network Time Protocol) Client
Network Time Protocol adalah protokol yang digunakan untuk sinkronisasi waktu (hari,
tanggal, bulan, tahun dan jam) antara perangkat-perangkat jaringan. Terutama perangkat
yang tidak memiliki battery, sedangkan perangkat tersebut harus bekerja dengan
memperhatikan waktu.
Untuk sinkronisasi waktu pada Mikrotik Router, dapat digunakan NTP Server untuk
Indonesia dengan server 203.160.128.3. IP Address dari NTP Server Indonesia dapat
dilihat pada http://www.pool.ntp.org/zone/id
Untuk menkonfigurasikan NTP client pada Router Mikrotik dapat digunakan perintah
sebagai berikut :
[admin@Ijc-router] > system ntp client set primary-ntp=203.160.128.3 enabled=yes
mode=unicast
[admin@Ijc-router] > system clock set time-zone-name=Asia/Makassar
-
[admin@Ijc-router] > system clock print
time: 17:57:06
date: feb/22/2011
time-zone-name: Asia/Makassar
gmt-offset: +08:00
Bila menggunakan WinBox, maka NTP Client dapat dikonfigurasikan melalui menu
System> NTP Client. Sedangkan untuk melihat apakah Mikrotik telah sinkron dengan
NTP Server dapat dilihat melalui menu System > Clock
Monitoring
Untuk melakukan monitoring dapat menggunakan perintah-perintah sebagai berikut :
[admin@Ijc-router] > tool ip-scan address-range=10.10.10.0/24 interface=ether2
Flags: D dhcp
ADDRESS MAC-ADDRESS TIME DNS SNMP
NETBIOS
10.10.10.3 00:50:56:C0:00:01 0ms
10.10.10.2 00:0C:29:E5:CE:D0 1ms
CLIENT2/WORKGROUP
10.10.10.1 00:0C:29:A0:BA:4F 0ms
CLIENT1/WORKGROUP
10.10.10.1 0ms
[admin@Ijc-router] > tool mac-scan ether2
MAC-ADDRESS ADDRESS AGE
00:0C:29:BD:16:12 255.255.255.255 0
00:50:56:C0:00:01 10.10.10.3 0
-
00:0C:29:A0:BA:4F 10.10.10.1 1
00:0C:29:E5:CE:D0 10.10.10.2 0
-
Chapter 03 Firewall
Outline :
Masquerade
Filtering (input dan output)
Address List
Secara umum firewall ditempatkan diantara jaringan lokal dan jaringan publik, ditujukan
untuk melindungi jaringan lokal dengan mebatasi traffik yang menuju router (input),
keluar dari router (output) dan melewati router (forward)
Masquerade
Router MikroTik yang akan digunakan sebagai Internet Gateway harus menjalankan NAT
(Network Address Translation), yaitu sebuah fungsi yang merubah field Source IP Private
dari sebuah packet data menjadi IP Address Publik.
-
Berdasarkan skenario, untuk menjalankan fungsi NAT bagi keseluruhan host dari jaringan
10.10.10.0/24 untuk semua jenis layanan Internet, maka dapat digunakan perintah sebagai
berikut :
[admin@MikroTik] > ip firewall nat add chain=srcnat src-address=10.10.10.0/24
action=masquerade
[admin@MikroTik] > ip firewall nat print
Flags: X disabled, I invalid, D dynamic
0 chain=srcnat action=masquerade src-address=10.10.10.0/24
Dapat juga menggunakan perintah masquerade dengan memilih outgoing interface
(dalam hal ini adalah ether1 yang akan digunakan untuk menuju Internet), seperti
berikut :
[admin@MikroTik] > ip firewall nat add chain=srcnat out-interface=ether1
action=masquerade
Bila menggunakan WinBox, maka konfigurasi dapat dilakukan melalui menu IP >
Firewall> NAT>Add
Jika diinginkan jaringan 10.10.10.0/24 hanya dapat mengakses layanan HTTP, maka
konfigurasi yang harus digunakan adalah sebagai berikut :
[admin@MikroTik] > ip firewall nat add chain=srcnat src-address=10.10.10.0/24
protocol=tcp dst-port=80 action=masqurade
[admin@MikroTik] > ip firewall nat print
Flags: X disabled, I invalid, D dynamic
0 chain=srcnat action=masquerade protocol=tcp src-address=10.10.10.0/24
dst-port=80
-
HTTP merupakan aplikasi yang menggunakan protocol TCP dengan destination port pada
server adalah 80
Untuk layanan mail atau Secure HTTP (https), maka konfigurasi tambahan yang harus
dilakukan adalah sebagai berikut :
[admin@MikroTik] > ip firewall nat add chain=srcnat src-address=10.10.10.0/24
protocol=tcp dst-port=443 action=masquerade
[admin@MikroTik] > ip firewall nat add chain=srcnat src-address=10.10.10.0/24
protocol=icmp action=masquerade
[admin@MikroTik] > ip firewall nat print
Flags: X disabled, I invalid, D dynamic
0 chain=srcnat action=masquerade protocol=tcp src-address=10.10.10.0/24
dst-port=80
1 chain=srcnat action=masquerade protocol=tcp src-address=10.10.10.0/24
dst-port=443
2 chain=srcnat action=masquerade protocol=icmp src-address=10.10.10.0/24
Bila terdapat bebarapa rule, maka Mikrotik akan mengeksekusi rule-rule tersebut dengan
prinsip top to bottom. Sehingga urutan dari rule sangat berpengaruh terhadap efektifitas rule yang diinginkan.
MikroTik dapat membatasi akses jaringan (routing maupun NAT) berdasarkan waktu
(hari dan jam). Misalnya jika ingin memberikan akses HTTP (web) pada jaringan
10.10.10.0/24 hanya pada jam 08.00 14.30 untuk hari senin, selasa, rabu, kamis, jumat, sabtu, maka konfigurasi yang dapat digunakan
[admin@Ijc-router] > ip firewall nat add chain=srcnat src-address=10.10.10.0/24
protocol=tcp dst-port=80 action=masquerade
time=08:00:00-14:30:00,mon,tue,wed,thu,fri,sat
-
[admin@Ijc-router] > ip firewall nat print
Flags: X disabled, I invalid, D dynamic
0 chain=srcnat action=masquerade protocol=tcp src-address=10.10.10.0/24
dst-port=80 time=8h-14h30m,mon,tue,wed,thu,fri,sat
Untuk konfigurasi dengan menggunakan WinBox dapat melalui menu
IP>Firewall>NAT>Add>Extra
Filtering
Filter ditujukan untuk menentukan apakah sebuah paket yang ditujukan pada sebuah
interface router dapat diizinkan atau tidak. Umumnya ditujukan untuk meningkatkan
level keamanan dari Router. Filter tidak digunakan untuk memeriksa paket data yang
melewati router. Fungsi firewall untuk memeriksa data yang melewati router dilakukan
oleh NAT.
Berikut contoh penerapan filtering pada sisi Interface ether1 yang berhubungan ke
Internet. Filtering ini ditujukan untuk menutup port-port yang tidak dibutuhkan, sehingga
tingkat keamanan dapat ditingkatkan. Contoh port yang terbuka secara default pada router
MikroTik adalah 22 (ssh), 23 (telnet), 20 dan 21 (ftp), 80 (web), 8291 (WinBox).
[admin@Ijc-router] > ip firewall filter add chain=input in-interface=ether1
protocol=tcp dst-port=22 action=drop
[admin@Ijc-router] > ip firewall filter add chain=input in-interface=ether1
protocol=tcp dst-port=23 action=drop
[admin@Ijc-router] > ip firewall filter add chain=input in-interface=ether1
protocol=tcp dst-port=8291 action=drop
[admin@Ijc-router] > ip firewall filter add chain=input in-interface=ether1
protocol=icmp action=drop
-
[admin@Ijc-router] > ip firewall filter print
Flags: X disabled, I invalid, D dynamic
0 chain=input action=drop protocol=tcp in-interface=ether1 dst-port=22
1 chain=input action=drop protocol=tcp in-interface=ether1 dst-port=23
2 chain=input action=drop protocol=tcp in-interface=ether1 dst-port=8291
3 chain=input action=drop protocol=icmp in-interface=ether1
Jika ada sebuah paket yang akan diizinkan masuk ke interface ether1 (misalnya
mengizinkan host dengan IP Address 222.124.222.171), maka perintah yang diberikan
adalah perintah dengan action=accept seperti berikut :
[admin@Ijc-router] > ip firewall filter add chain=input in-interface=ether1
protocol=tcp dst-port=22 src-address=222.124.222.171 action=accept
Bila terdapat bebarapa rule, maka Mikrotik akan mengeksekusi rule-rule tersebut dengan
prinsip top to bottom. Sehingga urutan dari rule sangat berpengaruh terhadap efektifitas rule yang diinginkan.
Sedangkan untuk sisi Interface ether2 yang dihubungkan dengan jaringan lokal, berikut
contoh rule filtering yang dapat digunakan :
[admin@Ijc-router] > ip firewall filter add chain=input protocol=tcp dst-port=80
in-interface=ether2 action=accept
[admin@Ijc-router] > ip firewall filter add chain=input protocol=tcp dst-port=22
in-interface=ether2 src-address=10.10.10.2 action=accept
[admin@Ijc-router] > ip firewall filter add chain=input protocol=tcp dst-port=23
in-interface=ether2 src-address=10.10.10.2 action=accept
-
[admin@Ijc-router] > ip firewall filter add chain=input protocol=tcp dst-port=8291
in-interface=ether2 src=address=10.10.10.2 action=accept
[admin@Ijc-router] > ip firewall filter add chain=input protocol=icmp
in-interface=ether2 src=address=10.10.10.1 action=accept
[admin@Ijc-router] > ip firewall filter add chain=input protocol=udp dst-port=53
in-interface=ether2 action=accept
[admin@Ijc-router] > ip firewall filter add chain=input in-interface=ether2
action=drop
Bila terdapat bebarapa rule, maka Mikrotik akan mengeksekusi rule-rule tersebut dengan
prinsip top to bottom. Sehingga urutan dari rule sangat berpengaruh terhadap efektifitas rule yang diinginkan.
Address List
Fitur Address List pada Firewall MikroTik dapat digunakan untuk mengelompokkan IP
Address tertentu. Kelompok IP Address ini nantinya dapat digunakan oleh filter, NAT
maupun mangle dari firewall. Address List dapat dibuat secara manual (static) maupun
secara otomatis oleh MikroTik.
Contoh perintah untuk mendapatkan hasil Address List (dynamic) dari host yang pernah
mengakses MikroTik dengan menggunakan protokol SSH pada interfecae ether2 :
[admin@ijc-router] > ip firewall filter add chain=input in-interface=ether2
protocol=tcp dst-port=22 action=add-src-to-address-list address-list=akses ssh
[admin@ijc-router] > ip firewall address-list print
Flags: X disabled, D dynamic
# LIST
-
ADDRESS
0 D akses ssh 10.10.10.2
Jika ingin menggunakan IP Address pada Address list untuk tidak memberikan akses SSH,
maka dapat digunakan filter dengan perintah sebagai berikut :
[admin@ijc-router] > ip firewall filter add chain=input in-interface=ether2
protocol=tcp dst-port=22 action=drop src-address-list=akses ssh
[admin@ijc-router] > ip firewall filter print
Flags: X disabled, I invalid, D dynamic
0 chain=input action=add-src-to-address-list protocol=tcp address-list=akses ssh
address-list-timeout=0s in-interface=ether2 dst-port=22
1 chain=input action=drop protocol=tcp src-address-list=akses ssh
in-interface=ether2 dst-port=22
Jika ingin membuat Address List secara manual (static), maka dapat digunakan perintah
sebagai berikut :
[admin@ijc-router] > ip firewall address-list add address=10.10.10.0/24 list=akses ssh terlarang
[admin@ijc-router] > ip firewall address-list print
Flags: X disabled, D dynamic
# LIST
ADDRESS
1 akses ssh terlarang 10.10.10.0/24
-
Chapter 04 Web Proxy
Outline :
Basic Configuration
Traffic Filtering
Transparent Proxy
Untuk beberapa alasan dapat dikonfigurasikan sebuah proxy sebagai perantara client dan
web server. Dengan adanya proxy, client tidak akan berhubungan langsung dengan web
server di Internet.
Proxy ditujukan untuk membuat request atas nama client lain. Sehingga web server akan
mengetahui bahwa yang melakukan request adalah proxy server dan bukan client.
Proxy Server akan menerima Request HTTP dari Client, kemudian akan memforward
request tersebut ke web server. Web server akan menerima HTTP Request tadi dan
memberikan repsonse ke Proxy Server. Proxy Server akan meneruskan response dari web
server kepada Client yang melakukan Request awal.
Ada 3 keuntungan jika menerapkan proxy server pada suatu jaringan, yaitu :
Proxy Server dapat mengendalikan kontent (web content) yang diminta oleh Client.
Proxy Server dapat menghemat penggunaan bandwidth sampai 30% karena Proxy Server dapat menerapkan caching content.
Proxy Server dapat melakukan pengawasan (monitoring) aktifitas HTTP Request
-
yang dilakukan oleh Client.
Basic Configuration
Untuk mengaktifkan service proxy pada Mikrotik, perintah yang dapat digunakan adalah
sebagai berikut :
[admin@Ijc-router] > ip proxy set enabled=yes port=8080
[email protected] cache-on-disk=yes
cache-on-disk merupakan opsi untuk memfungsikan hardisk maupun memosri dari
MikroTik untuk menyimpan content-content yang sudah pernah diakses oleh user.
Sehingga jika ada user lain yang meminta content tersebut, MikroTik tidak perlu lagi
mengambilnya dari Internet.
Bila menggunakan WinBox, maka konfigurasi dapat dilakukan melalui menu IP >Web
Proxy>Web Proxy Setting
Dalam menjalankan service proxy, hak yang sangat perlu untuk diperhatikan adalah
Access Control dari proxy. Jika Access Control tidak dikonfigurasikan dengan baik, maka
akan terjadi open proxy, dimana proxy dapat digunakan oleh pengguna dari jaringan lain.
Contoh konfigurasi Access Control dari proxy, sehingga hanya dapat digunakan oleh
jaringan 10.10.10.0/24 yang merupakan jaringan internal (LAN).
[admin@Ijc-router]> ip proxy access add src-address=10.10.10.0/24 action=allow
[admin@Ijc-router]> ip proxy access add src-address=0.0.0.0/0 action=deny
Urutan dari Access Control sangat penting untuk efektifitas dari konfigurasi yang
diinginkan.
Traffic Filtering
-
Untuk melakukan pembatasan traffic HTTP terhadap ekstensi file tertentu, misalnya rar,
maka perintah yang dapat digunakan adalah perintah dengan action=deny seperti berikut :
[admin@Ijc-router]> ip proxy access add src-address=10.10.10.0/24 path=:.rar
action=deny
Jika filtering ditujukan melakukan pemblokiran berdasarkan alamat URL yang dituju oleh
browser, maka perintah yang dapat digunakan adalah sebagai berikut :
[admin@Ijc-router]> ip proxy access add src-address=10.10.10.0/24
dst-host=www.playboy.com action=deny
Dalam pemblokiran URL, juga dapat digunakan filter berdasarkan kata yang ada dalam
URL tersebut. Perintah yang dapat digunakan adalah sebagai berikut :
[admin@Ijc-router]> ip proxy access add src-address=10.10.10.0/24 dst-host=*porn*
action=deny
Dalam melakukan pemblokiran akses HTTP, juga dapat dikombinasikan dengan teknik
redirect ke web site tertentu. Sebagai contoh, jika ada user yang akan mengakses
www.facebook.com, maka user tersebut akan dialihkan ke www.google.com. Perintah
yang dapat digunakan adalah sebagai berikut :
[admin@Ijc-router]> ip proxy access add src-address=10.10.10.0/24
dst-host=www.facebook.com redirect-to=www.google.com action=deny
Transparent Proxy
Pada umumnya jika sebuah Internet Gateway di suatu jaringan menerapklan proxy, maka
browser yang ada di dalam jaringan tersebut harus dikonfigurasikan penggunakan proxy
secara manual. Konfigurasi pada browser ini adalah IP Address dan port yang digunakan
oleh proxy server.
Jika tidak ingin melakukan konfigurasi proxy client secara manual disetiap browser,
maka pada MikroTik digunakan teknik Transparent Proxy. Teknik ini meredirect
(mengalihkan) trafik HTTP (destination port 80) ke port yang digunakan Proxy
(umumnya 8080 atau 3128).
Konfigurasi untuk meredirect trafik HTTP tersebut dilakukan pada firewall (NAT)
dengan chain=dstnat, action=redirect seperti berikut :
[admin@Ijc-router]> ip firewall nat add chain=dstnat protocol=tcp
-
src-address=10.10.10.0/24 dst-port=80 action=redirect to-ports=8080
[admin@Ijc-router]> ip firewall nat print
Flags: X disabled, I invalid, D dynamic
0 chain=dstnat action=redirect to-ports=8080 protocol=tcp
src-address=10.10.10.0/24 dst-port=80
1 chain=srcnat action=masquerade src-address=10.10.10.0/24
Perlu diingat, bahwa rule redirect harus ditempatkan di atas dari rule masquerade untuk
HTTP. Jika rule redirect ditempatkan dibawah dari rule masquarade yang ada, maka rule
redirect ini tidak akan digunakan oleh MikroTik, karena semua traffic HTTP sudah
ditangani oleh rule masquarade tadi.
-
Chapter 05 DHCP Server
Outline :
DHCP Server
DHCP Client
Basic Configuration
DHCP Server digunakan sebagai teknik pembagian IP Address secara dinamik. DHCP
Server dapat diaktifkan pada MikroTik sehingga host atau client tidak perlu
mengkonfigurasikan IP Address secara manual. Client hanya akan melakukan request
kepada MikroTik. Konfigurasi IP Address ini meliputi IP Address, subnetmask, default
gateway dan DNS Server.
Pada topologi yang digunakan sebelumnya host-host yang membutuhkan IP terhubung
ke interface ether2 dari MikroTik. Sehingga untuk mengaktifkan DHCP Server pada
interface ether2 MikroTik dapat digunakan perintah sebagai berikut :
[admin@Ijc-router]> ip dhcp-server setup
Select interface to run DHCP server on
dhcp server interface: ether2
Select network for DHCP addresses
dhcp address space: 10.10.10.0/24
Select gateway for given network
gateway for dhcp network: 10.10.10.1
Select pool of ip addresses given out by DHCP server
addresses to give out: 10.10.10.20-10.10.10.30
-
Select DNS servers
dns servers: 10.10.10.1
Select lease time
lease time: 1d
[admin@Ijc-router]>
dhcp address space adalah network address yang digunakan pada LAN, gateway for
dhcp network merupakan IP Address yang berfungsi sebagai gateway pada jaringan
tersebut. Address to give out adalah kumpulan IP Address yang akan dibagikan ke
host-host yang membutuhkan IP Address. Sedangkan dns server adalah router atau server
yang berfungsi sebagai DNS Server bagi host-host dalam jaringan.
Jika menggunakan WinBox, maka DHCP Server dapat diaktifkan melalui menu
IP>DHCP Server > DHCP Setup.
Teknik DHCP Server memungkinkan setiap host akan mendapatkan IP Address yang
berbeda setiap kali mengajukan permintaan IP Address. Namun DHCP Server dapat
mengalokasikan IP Address tertentu untuk client tertentu berdasarkan MAC Address dari
client tersebut.
Berikut perintah yang dapat digunakan :
[admin@Ijc-router]> ip dhcp-server lease print
Flags: X disabled, R radius, D dynamic, B blocked
# ADDRESS MAC-ADDRESS HOST-NAME
SERVER STATUS
0 D 10.10.10.30 00:26:22:8F:6A:D1 acer-295bf dhcp1 bound
-
[admin@Ijc-router] > ip dhcp-server lease make-static 0
[admin@Ijc-router] > ip dhcp-server lease print
Flags: X disabled, R radius, D dynamic, B blocked
# ADDRESS MAC-ADDRESS HOST-NAME
SERVER STATUS
0 10.10.10.30 00:26:22:8F:6A:D1 acer-295bf dhcp1 bound
Pada WinBox menu yang dapat digunakan ada pada IP > DHCP Server>Leases>Make
Static
Penggunaan teknik Mapping Static ini juga dapat digunakan jika ingin memasukkan IP
Address tertentu untuk digunakan oleh MAC Address tertentu pula, perintah yang dapat
digunakan adalah sebagai berikut :
[admin@Ijc-router]>ip dhcp-server lease add mac-address=00:18:F3:1F:64:E7
address=10.10.10.27
[admin@Ijc-router]> ip dhcp-server lease print
Flags: X disabled, R radius, D dynamic, B blocked
# ADDRESS MAC-ADDRESS RATE-LIMIT
STATUS
0 10.10.10.27 00:18:F3:1F:64:E7
[admin@Ijc-router]>
Dengan menggunakan WinBox, dapat dilakukan melalui menu IP > DHCP Server >
Leases > Add
Pengamanan terhadap jaringan yang menggunakan DHCP Server dapat dilakukan dengan
tidak memberikan koneksi jaringan bagi host yang mengkonfigurasikan IP Address secara
manual.
[admin@Ijc-router] > ip dhcp-server print
Flags: X disabled, I invalid
-
# NAME INTERFACE RELAY ADDRESS-POOL
LEASE-TIME ADD-ARP
0 dhcp1 ether2 dhcp_pool1 3d
no
[admin@Ijc-router] > ip dhcp-server set 0 add-arp=yes
[admin@Ijc-router] > interface ethernet print
Flags: X disabled, R running, S slave
# NAME MTU MAC-ADDRESS ARP
0 R ether1 1500 00:0C:29:BD:16:08 enabled
1 R ether2 1500 00:0C:29:BD:16:12 enabled
[admin@Ijc-router] > interface ethernet set 1 arp=reply-only
[admin@Ijc-router] > interface ethernet print
Flags: X disabled, R running, S slave
# NAME MTU MAC-ADDRESS ARP
0 R ether1 1500 00:0C:29:BD:16:08 enabled
1 R ether2 1500 00:0C:29:BD:16:12 reply-only
-
DHCP Client
ISP tertentu juga menerapkan DHCP Client terhadap pelangganya, terutama pelanggan
personal. Sehingga router MikroTik akan menjadi client terhadap DHCP Server milik
ISP.
Pada skenario, interface yang terhubung ke ISP adalah ether1. Interface ini tidak akan
dikonfigurasikan IP Address secara statik seperti pada konfigurasi sebelumnya. Ether1
akan mendapatkan IP Address secara otomatis (dinamik) dari ISP, perintah yang dapat
digunakan adalah sebagai berikut.
Perintah yang dapat digunakan adalah sebagai berikut :
[admin@Ijc-router]> ip address print
Flags: X disabled, I invalid, D dynamic
# ADDRESS NETWORK BROADCAST
INTERFACE
0 10.10.10.100/24 10.10.10.0 10.10.10.255 ether2
[admin@Ijc-router]> ip dhcp-client add interface=ether1 disabled=no
[admin@Ijc-router]> ip dhcp-client print
Flags: X disabled, I invalid
# INTERFACE USE ADD STATUS
ADDRESS
0 ether1 yes yes bound
222.124.223.172/28
-
[admin@Ijc-router]> ip address print
Flags: X disabled, I invalid, D dynamic
# ADDRESS NETWORK BROADCAST
INTERFACE
0 10.10.10.100/24 10.10.10.0 10.10.10.255 ether2
1 D 222.124.223.172/28 222.124.223.160 222.124.223.175 ether1
Jika menggunakan WinBox, konfigurasi dapat dilakukan melalui menu IP > DHCP
Client>Add
-
Chapter 06 Quality of Service (QoS)
Outline :
Simple Bandwidth Management
Shared Bandwidth Management
Application Bandwidth Management
Skenario yang digunakan adalah jaringan lokal 10.10.10.0/24 yang memiliki alokasi
bandwitdh total 512 kbps (upload) dan 512 kbps (download). Client yang digunakan
adalah client 1 (10.10.10.2) dan client 2 (10.10.10.3)
Simple Bandwidth Management
Dengan menggunakan static bandwidth control maka alokasi bandwidth untuk
masing-masing client akan tetap. Misalnya client 1 akan mendapatkan alokasi bandwidth
yaitu sebesar 256kbps/256kbps, begitu juga dengan client 2.
Perintah yang dapat digunakan adalah sebagai berikut :
[admin@Ijc-router]> queue simple add name=limit-1 target-addresses=10.10.10.1
max-limit=256000/256000
[admin@Ijc-router]> queue simple add name=limit-2 target-addresses=10.10.10.2
max-limit=256000/256000
[admin@Ijc-router]> queue simple print
Flags: X disabled, I invalid, D dynamic
0 name=limit-1 target-addresses=10.10.10.1/32 dst-address=0.0.0.0/0 interface=all parent=none direction=both priority=8 queue=default-small/default-small
limit-at=0/0 max-limit=256k/256k burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s
total-queue=default-small
1 name=limit-2 target-addresses=10.10.10.1/32 dst-address=0.0.0.0/0 interface=all parent=none direction=both priority=8queue=default-small/default-small
-
limit-at=0/0 max-limit=256k/256k burst-limit=0/0 burst-threshold=0/0burst-time=0s/0s
total-queue=default-small
Bila menggunakan WinBox maka konfigurasi dapat dilakukan melalui menu Queue >
Simple Queues > Add
Pengujian atau monitoring terhadap aktifitas bandwidth yang sudah dibatasi dapat dilihat
dengan menggunakan menu torch, dan interface yang dimonitor adalah interface ether2,
karena interface ini yang terhubung ke jaringan lokal. Perintah yang dapat digunakan
adalah sebagai berikut :
[admin@Ijc-router] >tool torch ether2 src-address=10.10.10.0/24
Shared Bandwidth Management
Dengan menggunakan shared bandwidth control, maka alokasi bandwidth untuk tiap
client akan bervariasi, tergantung aktif tidaknya client lain dalam sebuah jaringan.
Dalam skenario, berikut client 1 dan client 2 masing-masing akan mendapatkan alokasi
bandwidth 256kbps/256kbps. Sehingga total bandwitdh untuk 2 client tersebut adalah
512kbps/512kbps. Jika client 1 tidak menggunakan alokasi bandiwidthnya, maka jatah
bandwidthnya akan diberikan kepada client yang lain, sehingga client 2 akan
mendapatkan alokasi bandwidth maksimum 256kbps/256kbps.
Konfigurasi yang pertama kali dilakukan adalah konfigurasi untuk membatasi
penggunaan bandwidth untuk kedua client sekaligus. Konfigurasi ini juga berfungsi
sebagai pembatasan bandiwidth parent. Perintah yang dapat digunakan adalah sebagai
berikut :
[admin@Ijc-router] > queue simple add name=limit-all
target-addresses=10.10.10.0/24 max-limit=512000/512000
Selanjutnya dibuat konfigurasi untuk membatasi pemakaian bandiwidth setiap client
dengan menggunakan konfigurasi sebelumnya sebagai parent. Perintah yang dapat
digunakan adalah sebagai berikut :
[admin@Ijc-router] > queue simple add name=limit-1 target-addresses=10.10.10.1
max-limit=512000/512000 limit-at=256000/256000 parent=limit-all
-
[admin@Ijc-router] > queue simple add name=limit-2 target-addresses=10.10.10.2
max-limit=512000/512000 limit-at=256000/256000 parent=limit-all
[admin@Ijc-router] > queue simple print
Flags: X disabled, I invalid, D dynamic
0 name=limit-all target-addresses=10.10.10.0/24 dst-address=0.0.0.0/0 interface=all parent=none direction=both priority=8 queue=default-small/default-small
limit-at=0/0 max-limit=512k/512k burst-limit=0/0 burst-threshold=0/0burst-time=0s/0s
total-queue=default-small
1 name=limit-1 target-addresses=10.10.10.1/32 dst-address=0.0.0.0/0 interface=all parent=limit-all direction=bothpriority=8
queue=default-small/default-small limit-at=128k/128k max-limit=512k/512k
burst-limit=0/0burst-threshold=0/0 burst-time=0s/0s total-queue=default-small
2 name=limit-2 target-addresses=10.10.10.2/32 dst-address=0.0.0.0/0 interface=all parent=limit-all direction=bothpriority=8
queue=default-small/default-small limit-at=128k/128k max-limit=512k/512k
burst-limit=0/0burst-threshold=0/0 burst-time=0s/0s total-queue=default-small
Application Bandwidth Management
Pengaturan bandwidth juga dapat dilakukan dengan melihat jenis aplikasi yang akan
dibatasi, misalnya aplikasi HTTP (web) akan dibatasi pemakaian bandwidthnya untuk
keseluruhan client dalam jaringan. Untuk memisahkan jenis aplikasi yang diakses oleh
client, maka perlu dilakukan penandaan paket data dari aplikasi tersebut (mangle).
Contoh skenario yang akan digunakan adalah membatasi pemakaian bandiwidth untuk
aplikasi web sebesar 128 kbps bagi semua client yang ada dalam jaringan.
Tahap pertama yang dilakukan adalah penandaan paket (mangle) HTTP dari setiap client,
dapat digunakan perintah sebagai berikut :
-
[admin@Ijc-router] > ip firewall mangle add chain=prerouting
src-address=10.10.10.0/24 protocol=tcp dst-port=80 action=mark-connection
new-connection-mark=http-con
[admin@Ijc-router] > ip firewall mangle add chain=prerouting
connection-mark=http-con action=mark-packet new-packet-mark=http
[admin@Ijc-router] > ip firewall mangle print
Flags: X disabled, I invalid, D dynamic
0 chain=prerouting action=mark-connection new-connection-mark=http-con
passthrough=yes protocol=tcpsrc-address=10.10.10.0/24 dst-port=80
1 chain=prerouting action=mark-packet new-packet-mark=http passthrough=yes
connection-mark=http-con
Dilanjutkan dengan melakukan pembatasan penggunaan bandwidth untuk aplikasi HTTP
untuk jaringan 10.10.10.0/24. Perintah yang dapat digunakan adalah sebagai berikut :
[admin@Ijc-router] > queue simple add name=limit-http
target-addresses=10.10.10.0/24 packet-marks=http max-limit=128000/128000
[admin@Ijc-router] > queue simple add name=all-network
target-addresses=10.10.10.0/24 max-limit=512000/512000
-
[admin@Ijc-router] > queue simple print
Flags: X disabled, I invalid, D dynamic
0 name=limit-http target-addresses=10.10.10.0/24 dst-address=0.0.0.0/0 interface=all parent=none packet-marks=http direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=128k/128k
burst-limit=0/0burst-threshold=0/0 burst-time=0s/0s total-queue=default-small
-
Chapter 07 Scripting and Scheduler
Outline :
Automatic Backup
Proxy Access
Mikrotik memiliki fitur scripting yang umum digunakan untuk membuat daftar
perintah-perintah yang akan dijalankan oleh MikroTik secara otomatis. Penggunaan
scripting ini dapat dikombinasikan dengan fitur Scheduler (penjadwalan) sehingga daftar
perintah yang dibuat melalui fitur scripting dapat dijalankan pada waktu-waktu tertentu,
juga dapat dijalankan berulang kali sesuai kebutuhan.
Automatic Backup
Jika ingin melakukan backup konfigurasi secara berkala dan otomatis, maka dapat
dilakukan dengan bantuan penjadwalan (scheduler).
Contoh jika diinginkan MikroTik akan melakukan backup setiap hari sabtu pada pukul
17.00, maka perintah yang dapat dilakukan untuk membuat script otomatis adalah sebagai
berikut :
[admin@Ijc-router] > system script add name=backup source=/system backup save
Selanjutnya dilakukan pembuatan penjadwalan agar script tersebut dapat dijalankan pada
waktu-waktu tertentu dan secara berulang (misalnya setiap hari Sabtu pukul 17.00).
Contoh perintah yang dapat digunakan adalah sebagai berikut :
[admin@Ijc-router] > system scheduler add name=backup-sabtu start-time=17:00:00
interval=7d start-date=mar/26/2011 on-event=backup
Proxy Access
Secara default proxy pada MikroTik tidak dapat melakukan pembatasan akses
berdasarkan waktu. Sehingga untuk melakukan penggunaan access control pada proxy
-
berdasarkan alokasi waktu, (misalnya terdapat web site tertentu yang diblokir pada
jam-jam tertentu) dapat digunakan fitur script dan scheduler
Skenario berikut adalah pemblokiran situs www.facebook.com dari jam 08.00 17.00.
Konfigurasi pertama yang dilakukan adalah membuat Access Control pada proxy untuk
memblokir akses ke facebook. Opsi yang digunakan adalah dst-host=www.facebook.com
dengan action=deny. Juga diberikan comment=facebook yang akan digunakan oleh fitur
scripting sebagai pengena Access Control.
[admin@Ijc-router]> ip proxy access add src-address=10.10.10.0/24
dst-host=www.facebook.com action=deny comment=facebook
[admin@Ijc-router]> ip proxy access add src-address=10.10.10.0/24 action=allow
[admin@Ijc-router]> ip proxy access add src-address=0.0.0.0/24 action=deny
Kemudian dilakukan pembuatan script untuk memberikan akses facebook dan sekaligus
menutup akses facebook. Script untuk menutup akses ke facebook berupa script yang
akan meng-enable baris dengan comment=facebook pada Access Control proxy.
Sedangkan script untuk membuka akses ke facebook berupa script yang akan
meng-disable baris degan comment=facebook tadi. Perintah yang dapat digunakan
perintah sebagai berikut :
[admin@Ijc-router] > system script add name=blok-fb source=ip proxy access enable [/ip proxy access find comment=facebook]
[admin@Ijc-router] > system script add name=buka-fb source=ip proxy access disable [/ip proxy access find comment=facebook]
[admin@Ijc-router] > system script print
Flags: I invalid
0 name=blok-fb owner=admin
-
policy=ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive
last-started=mar/28/2008 11:25:54 run-count=0
source=ip proxy access enable [/ip proxy access find comment =facebook]
1 name=buka-fb owner=admin
policy=ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive
last-started=mar/28/2008 11:25:52 run-count=0
source=ip proxy access disable [/ip proxy access find comment=facebook]
Sedangkan untuk penjadwalan sesuai dengan waktu yang diinginkan, dapat dibuat dengan
menjalankan script name=blok-fb pada jam 08.00.00 dan menjalankan script
name=buka-fb pada jam 17.00.00 seperti berikut :
[admin@Ijc-router] > system scheduler add name=jadwal-blok-fb start-time=08:00:00
interval=24:00:00 on-event=blok-fb
[admin@Ijc-router] > system scheduler add name=jadwal-buka-fb start-time=17:00:00
interval=24:00:00 on-event=buka-fb
[admin@Ijc-router] > system scheduler print
Flags: X disabled
# NAME START-DATE START-TIME INTERVAL ON-EVENT
RUN-COUNT
0 jadwal-blok-fb mar/28/2008 08:00:00 1d blok-fb 0
1 jadwal-buka-fb mar/28/2008 17:00:00 1d buka-fb
0
-
Chapter 08 Multiple ISP
Outline :
Routing Mark
Load Balancing
Fail Over
Sebuah jaringan bisa saja mendapatkan layanan Internet dari dua atau lebih ISP yang
berbeda. Pada kondisi ini Router MikroTik akan menggunakan dua atau lebih gateway.
Untuk dapat memanfaatkan dua gateway atau lebih dapat dilakukan memisahkan trafik
dari host tertentu ke sebuah ISP.
Skenario jaringan yang digunakan adalah sebagai berikut :
Skenario yang dijalankan adalah sebagai berikut :
Host 10.10.10.2 dan 10.10.10.3 menggunakan ISP 1
Host 10.10.10.4 dan 10.10.10.5 menggunakan ISP 2
-
Routing Mark
Untuk memisahkan traffic dari keempat host, setiap paket dari host harus diberikan mark
(tanda) dengan menggunakan fitur mangle pada firewall. Marking atau tanda dari setiap
paket data yang keluar dari setiap client akan menjadi dasar untuk membelokkan (routing)
paket tersebut ke gateway (ISP) yang diinginkan.
Ether 3 difungsikan untuk terhubung ke ISP. Konfigurasi IP Address dari masing-masing
interface adalah sebagai berikut :
[admin@ijc-router] >ip address add address=222.124.224.162/28 interface=ether1
[admin@ijc-router] >ip address add address=10.10.10.1/24 interface=ether2
[admin@ijc-router] >ip address add address=60.1.1.2/28 interface=ether3
[admin@ijc-router] >ip address print
Flags: X disabled, I invalid, D dynamic
# ADDRESS NETWORK BROADCAST
INTERFACE
0 222.124.222.162/28 222.124.222.160 222.124.222.175 ether1
1 10.10.10.1/24 10.10.10.0 10.10.10.255 ether2
2 60.1.1.2/28 60.1.1.0 60.1.1.7 ether3
Karena ether1 dan ether3 digunakan untuk berhubungan ke Internet melalui ISP, maka
konfigurasi NAT harus dilakukan dua kali, masing-masing untuk out-interface=ether1 dan
out-interface=ether3, perintah yang dapat digunakan adalah sebagai berikut :
[admin@ijc-router] >ip firewall nat add chain=srcnat out-interface=ether1
action=masquerade
[admin@ijc-router] >ip firewall nat add chain=srcnat out-interface=ether3
action=masquerade
[admin@ijc-router] >ip firewall nat print
Flags: X disabled, I invalid, D dynamic
-
0 chain=srcnat action=masquerade out-interface=ether1
1 chain=srcnat action=masquerade out-interface=ether3
Selanjutnya dilakukan penandaan paket data yang akan keluar dari client 1 dan client 2,
misalnya paket tersebut ditandai dengan label isp-1. Perintah yang digunakan adalah
sebagai berikut :
[admin@ijc-router] >ip firewall mangle add chain=prerouting src-address=10.10.10.2
action=mark-routing new-routing-mark=isp-1
[admin@ijc-router] >ip firewall mangle add chain=prerouting src-address=10.10.10.3
action=mark-routing new-routing-mark=isp-1
Kemudian dilakukan penandaan paket data yang akan keluar dari client 3 dan client 4,
misalnya paket tersebut ditandai dengan label isp-2. Perintah yang digunakan adalah
sebagai berikut :
[admin@ijc-router] >ip firewall mangle add chain=prerouting src-address=10.10.10.4
action=mark-routing new-routing-mark=isp-2
[admin@ijc-router] >ip firewall mangle add chain=prerouting src-address=10.10.10.5
action=mark-routing new-routing-mark=isp-2
[admin@ijc-router] >ip firewall mangle print
Flags: X disabled, I invalid, D dynamic
0 chain=prerouting action=mark-routing new-routing-mark=isp-1
passthrough=yes src-address=10.10.10.2
-
1 chain=prerouting action=mark-routing new-routing-mark=isp-1
passthrough=yes src-address=10.10.10.3
2 chain=prerouting action=mark-routing new-routing-mark=isp-2
passthrough=yes src-address=10.10.10.4
3 chain=prerouting action=mark-routing new-routing-mark=isp-2
passthrough=yes src-address=10.10.10.5
Load Balancing
Untuk mengarahkan traffic dari client 10.10.10.2 dan 10.10.10.3 ke ISP 1, maka perintah
yang dapat digunakan adalah sebagai berikut :
[admin@ijc-router] > ip route add dst-address=0.0.0.0/0 gateway=222.124.222.161
routing-mark=isp-1
Sedangkan untuk mengarahkan traffic dari host 10.10.10.4 dan 10.10.10.5 ke ISP 2, maka
perintah yang dapat digunakan adalah sebagai berikut :
[admin@ijc-router] >iproute add dst-address=0.0.0.0/0 gateway=60.1.1.1
routing-mark=isp-2
Selangkapnya traffic routing adalah sebagai berikut :
[admin@ijc-router] >ip route print
Flags: X disabled, A active, D dynamic, C connect, S static, r rip, b bgp, o ospf, m mme,
B blackhole, U unreachable, P prohibit
# DST-ADDRESS PREF-SRC GATEWAY
DISTANCE
0 A S 0.0.0.0/0 222.124.222.161 1
-
1 A S 0.0.0.0/0 60.1.1.1 1
2 ADC 10.10.10.0/24 10.10.10.100 ether2 0
3 ADC 60.1.1.0/28 60.1.1.2 ether3 0
4 ADC 222.124.222.160/28 222.124.222.162 ether1 0
Untuk memonitor traffic dapat menggunakan WinBox, melalui menu Interface >
Ethernet, seperti pada gambar di bawah ini :
Fail Over
Dalam kondisi normal konfigurasi semula telah memungkinkan adanya fitur fail over jika
salah satu dari ISP down. Namun jika dalam kondisi normal hanya diinginkan satu ISP
yang digunakan sedangkan ISP kedua hanya menjadi cadangan maka kita dapat
mengkonfigurasikan distance pada entry routing dengan nilai terendah yang menjadi
prioritas.
Fail over dapat dibuat dengan memanfaatkan protocol ICMP dan nilai Administrative
Distance dari setiap entry routing.
Perintah yang dapat digunakan adalah sebagai berikut :
[admin@ijc-router] >ip route add dst-address=0.0.0.0/0 gateway=222.124.222.161
routing-mark=isp-1 check-gateway=ping
-
[admin@ijc-router] >ip route add dst-address=0.0.0.0/0 gateway=60.1.1.1
routing-mark=isp-2 check-gateway=ping
Sedangkan entry fail overjika link ke ISP 1 terputus dapat dibuat dengan menggunakan
perintah sebagai berikut :
[admin@ijc-router] >ip route add dst-address=0.0.0.0/0 gateway=60.1.1.1
routing-mark=isp-1 check-gateway=ping distance=10
Sedangkan entry fail overjika link ke ISP 2terputus dapat dibuat dengan menggunakan
perintah sebagai berikut :
[admin@ijc-router] >ip route add dst-address=0.0.0.0/0 gateway=222.124.222.161
routing-mark=isp-2 check-gateway=ping distance=10
Untuk melihat berfungsinya fail over, dapat menggunakan perintah sebagai berikut :
[admin@ijc-router] >ip route print
Flags: X disabled, A active, D dynamic, C connect, S static, r rip, b bgp, o ospf, m mme, B blackhole, U unreachable, P prohibit
# DST-ADDRESS PREF-SRC GATEWAY
DISTANCE
0 A S 0.0.0.0/0 222.124.222.161 1
1 S 0.0.0.0/0 60.1.1.1 10
2 S 0.0.0.0/0 60.1.1.1 1
3 A S 0.0.0.0/0 222.124.222.161 10
4 ADC 10.10.10.0/24 10.10.10.100 ether2 0
5 ADC 60.1.1.0/28 60.1.1.2 ether3 0
6 ADC 222.124.222.160/28 222.124.222.162 ether1 0