Top Banner
Tutorial Step by step setting mikrotik MikroTik RouterOS™ adalah sistem operasi linux yang dapat digunakan untuk menjadikan komputer menjadi router network yang handal, mencakup berbagai fitur yang dibuat untuk ip network dan jaringan wireless, cocok digunakan oleh ISP dan provider hostspot. Ada pun fitur2 nya sbb: * Firewall and NAT - stateful packet filtering; Peer-to-Peer protocol filtering; source and destination NAT; classification by source MAC, IP addresses (networks or a list of networks) and address types, port range, IP protocols, protocol options (ICMP type, TCP flags and MSS), interfaces, internal packet and connection marks, ToS (DSCP) byte, content, matching sequence/frequency, packet size, time and more... * Routing - Static routing; Equal cost multi-path routing; Policy based routing (classification done in firewall); RIP v1 / v2, OSPF v2, BGP v4 * Data Rate Management - Hierarchical HTB QoS system with bursts; per IP / protocol / subnet / port / firewall mark; PCQ, RED, SFQ, FIFO queue; CIR, MIR, contention ratios, dynamic client rate equalizing (PCQ), bursts, Peer-to-Peer protocol limitation * HotSpot - HotSpot Gateway with RADIUS authentication and accounting; true Plug- and-Play access for network users; data rate limitation; differentiated firewall; traffic quota; real-time status information; walled-garden; customized HTML login pages; iPass support; SSL secure authentication; advertisement support * Point-to-Point tunneling protocols - PPTP, PPPoE and L2TP Access Concentrators and clients; PAP, CHAP, MSCHAPv1 and MSCHAPv2 authentication protocols; RADIUS authentication and accounting; MPPE encryption; compression for PPPoE; data rate limitation; differentiated firewall; PPPoE dial on demand * Simple tunnels - IPIP tunnels, EoIP (Ethernet over IP) * IPsec - IP security AH and ESP protocols; MODP Diffie-Hellman groups 1,2,5; MD5 and SHA1 hashing algorithms; DES, 3DES, AES-128, AES-192, AES-256 encryption algorithms; Perfect Forwarding Secrecy (PFS) MODP groups 1,2,5 * Proxy - FTP and HTTP caching proxy server; HTTPS proxy; transparent DNS and HTTP proxying; SOCKS protocol support; DNS static entries; support for caching on a separate drive; access control lists; caching lists; parent proxy support * DHCP - DHCP server per interface; DHCP relay; DHCP client; multiple DHCP networks; static and dynamic DHCP leases; RADIUS support * VRRP - VRRP protocol for high availability * UPnP - Universal Plug-and-Play support * NTP - Network Time Protocol server and client; synchronization with GPS system
82

Tutorial Mikrotik Komplet

Jul 01, 2015

Download

Documents

M Kecil Keneh
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: Tutorial Mikrotik Komplet

Tutorial Step by step setting mikrotik

MikroTik RouterOS™ adalah sistem operasi linux yang dapat digunakan untuk menjadikan komputer menjadi router network yang handal, mencakup berbagai fitur yang dibuat untuk ip network dan jaringan wireless, cocok digunakan oleh ISP dan provider hostspot.

Ada pun fitur2 nya sbb:

* Firewall and NAT - stateful packet filtering; Peer-to-Peer protocol filtering; source and destination NAT; classification by source MAC, IP addresses (networks or a list of networks) and address types, port range, IP protocols, protocol options (ICMP type, TCP flags and MSS), interfaces, internal packet and connection marks, ToS (DSCP) byte, content, matching sequence/frequency, packet size, time and more...

* Routing - Static routing; Equal cost multi-path routing; Policy based routing (classification done in firewall); RIP v1 / v2, OSPF v2, BGP v4

* Data Rate Management - Hierarchical HTB QoS system with bursts; per IP / protocol / subnet / port / firewall mark; PCQ, RED, SFQ, FIFO queue; CIR, MIR, contention ratios, dynamic client rate equalizing (PCQ), bursts, Peer-to-Peer protocol limitation

* HotSpot - HotSpot Gateway with RADIUS authentication and accounting; true Plug-and-Play access for network users; data rate limitation; differentiated firewall; traffic quota; real-time status information; walled-garden; customized HTML login pages; iPass support; SSL secure authentication; advertisement support

* Point-to-Point tunneling protocols - PPTP, PPPoE and L2TP Access Concentrators and clients; PAP, CHAP, MSCHAPv1 and MSCHAPv2 authentication protocols; RADIUS authentication and accounting; MPPE encryption; compression for PPPoE; data rate limitation; differentiated firewall; PPPoE dial on demand

* Simple tunnels - IPIP tunnels, EoIP (Ethernet over IP)

* IPsec - IP security AH and ESP protocols; MODP Diffie-Hellman groups 1,2,5; MD5 and SHA1 hashing algorithms; DES, 3DES, AES-128, AES-192, AES-256 encryption algorithms; Perfect Forwarding Secrecy (PFS) MODP groups 1,2,5

* Proxy - FTP and HTTP caching proxy server; HTTPS proxy; transparent DNS and HTTP proxying; SOCKS protocol support; DNS static entries; support for caching on a separate drive; access control lists; caching lists; parent proxy support

* DHCP - DHCP server per interface; DHCP relay; DHCP client; multiple DHCP networks; static and dynamic DHCP leases; RADIUS support

* VRRP - VRRP protocol for high availability

* UPnP - Universal Plug-and-Play support

* NTP - Network Time Protocol server and client; synchronization with GPS system

Page 2: Tutorial Mikrotik Komplet

* Monitoring/Accounting - IP traffic accounting, firewall actions logging, statistics graphs accessible via HTTP

* SNMP - read-only access

* M3P - MikroTik Packet Packer Protocol for Wireless links and Ethernet

* MNDP - MikroTik Neighbor Discovery Protocol; also supports Cisco Discovery Protocol (CDP)

* Tools - ping; traceroute; bandwidth test; ping flood; telnet; SSH; packet sniffer; Dynamic DNS update tool

Layer 2 connectivity

* Wireless - IEEE802.11a/b/g wireless client and access point (AP) modes; Nstreme and Nstreme2 proprietary protocols; Wireless Distribution System (WDS) support; virtual AP; 40 and 104 bit WEP; WPA pre-shared key authentication; access control list; authentication with RADIUS server; roaming (for wireless client); AP bridging

* Bridge - spanning tree protocol; multiple bridge interfaces; bridge firewalling, MAC

* VLAN - IEEE802.1q Virtual LAN support on Ethernet and wireless links; multiple VLANs; VLAN bridging

* Synchronous - V.35, V.24, E1/T1, X.21, DS3 (T3) media types; sync-PPP, Cisco HDLC, Frame Relay line protocols; ANSI-617d (ANDI or annex D) and Q933a (CCITT or annex A) Frame Relay LMI types

* Asynchronous - s*r*al PPP dial-in / dial-out; PAP, CHAP, MSCHAPv1 and MSCHAPv2 authentication protocols; RADIUS authentication and accounting; onboard s*r*al ports; modem pool with up to 128 ports; dial on demand

* ISDN - ISDN dial-in / dial-out; PAP, CHAP, MSCHAPv1 and MSCHAPv2 authentication protocols; RADIUS authentication and accounting; 128K bundle support; Cisco HDLC, x75i, x75ui, x75bui line protocols; dial on demand

* SDSL - Single-line DSL support; line termination and network termination modes

Instalasi dapat dilakukan pada Standard computer PC. PC yang akan dijadikan router mikrotikpun tidak memerlukan resource yang cukup besar untuk penggunaan standard, misalnya hanya sebagai gateway. berikut spec minimal nya :

* CPU and motherboard - bisa pake P1 ampe P4, AMD, cyrix asal yang bukan multi-prosesor

* RAM - minimum 32 MiB, maximum 1 GiB; 64 MiB atau lebih sangat dianjurkan, kalau mau sekalian dibuat proxy , dianjurkan 1GB... perbandingannya, 15MB di memori ada

Page 3: Tutorial Mikrotik Komplet

1GB di proxy..

* HDD minimal 128MB parallel ATA atau Compact Flash, tidak dianjurkan menggunakan UFD, SCSI, apa lagi S-ATA

*NIC 10/100 atau 100/1000

Untuk keperluan beban yang besar ( network yang kompleks, routing yang rumit dll) disarankan untuk mempertimbangkan pemilihan resource PC yang memadai.

Lebih lengkap bisa dilihat di www.mikrotik.com.

Meskipun demikian Mikrotik bukanlah free software, artinya kita harus membeli licensi terhadap segala fasiltas yang disediakan. Free trial hanya untuk 24 jam saja.

Kita bisa membeli software mikrotik dalam bentuk CD yang diinstall pada Hard disk atau disk on module (DOM). Jika kita membeli DOM tidak perlu install tetapi tinggal menancapkan DOM pada slot IDE PC kita.

Langkah-langkah berikut adalah dasar-dasar setup mikrotik yang dikonfigurasikan untuk jaringan sederhana sebagai gateway server.

1. Langkah pertama adalah install Mikrotik RouterOS pada PC atau pasang DOM.

2. Login Pada Mikrotik Routers melalui console : MikroTik v2.9.7 Login: admin <enter> Password: (kosongkan) <enter>

Sampai langkah ini kita sudah bisa masuk pada mesin Mikrotik. User default adalah admin dan tanpa password, tinggal ketik admin kemudian tekan tombol enter.

3. Untuk keamanan ganti password default [admin@Mikrotik] > password old password: ***** new password: ***** retype new password: ***** [admin@ Mikrotik]] >

4. Mengganti nama Mikrotik Router, pada langkah ini nama server akan diganti menjadi “Andre-Network” (nama ini sih bebas2 aja mo diganti) [admin@Mikrotik] > system identity set name=Andre-Network [admin@Andre-Network] >

5. Melihat interface pada Mikrotik Router [admin@Andre-Network] > interface print Flags: X - disabled, D - dynamic, R - running # NAME TYPE RX-RATE TX-RATE MTU 0 R ether1 ether 0 0 1500

Page 4: Tutorial Mikrotik Komplet

1 R ether2 ether 0 0 1500 [admin@Andre-Network] >

6. Memberikan IP address pada interface Mikrotik. Misalkan ether1 akan kita gunakan untuk koneksi ke Internet dengan IP 192.168.0.1 dan ether2 akan kita gunakan untuk network local kita dengan IP 172.16.0.1

[admin@Andre-Network] > ip address add address=192.168.0.1 netmask=255.255.255.0 interface=ether1 [admin@Andre-Network] > ip address add address=172.16.0.1 netmask=255.255.255.0 interface=ether2

7. Melihat konfigurasi IP address yang sudah kita berikan [admin@Andre-Network] >ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK BROADCAST INTERFACE 0 192.168.0.1/24 192.168.0.0 192.168.0.63 ether1 1 172.16.0.1/24 172.16.0.0 172.16.0.255 ether2 [admin@Andre-Network] >

8. Memberikan default Gateway, diasumsikan gateway untuk koneksi internet adalah 192.168.0.254 [admin@Andre-Network] > /ip route add gateway=192.168.0.254

9. Melihat Tabel routing pada Mikrotik Routers [admin@Andre-Network] > ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf # DST-ADDRESS PREFSRC G GATEWAY DISTANCE INTERFACE 0 ADC 172.16.0.0/24 172.16.0.1 ether2 1 ADC 192.168.0.0/26 192.168.0.1 ether1 2 A S 0.0.0.0/0 r 192.168.0.254 ether1 [admin@Andre-Network] >

10. Tes Ping ke Gateway untuk memastikan konfigurasi sudah benar [admin@Andre-Network] > ping 192.168.0.254 192.168.0.254 64 byte ping: ttl=64 time<1 ms 192.168.0.254 64 byte ping: ttl=64 time<1 ms 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max = 0/0.0/0 ms [admin@Andre-Network] >

11. Setup DNS pada Mikrotik Routers [admin@Andre-Network] > ip dns set primary-dns=192.168.0.10 allow-remoterequests=no [admin@Andre-Network] > ip dns set secondary-dns=192.168.0.11 allow-remoterequests=no

12. Melihat konfigurasi DNS [admin@Andre-Network] > ip dns print

Page 5: Tutorial Mikrotik Komplet

primary-dns: 192.168.0.10 secondary-dns: 192.168.0.11 allow-remote-requests: no cache-size: 2048KiB cache-max-ttl: 1w cache-used: 16KiB [admin@Andre-Network] >

13. Tes untuk akses domain, misalnya dengan ping nama domain [admin@Andre-Network] > ping yahoo.com 216.109.112.135 64 byte ping: ttl=48 time=250 ms 10 packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max = 571/571.0/571 ms [admin@Andre-Network] >

Jika sudah berhasil reply berarti seting DNS sudah benar.

14. Setup Masquerading, Jika Mikrotik akan kita pergunakan sebagai gateway server maka agar client computer pada network dapat terkoneksi ke internet perlu kita masquerading. [admin@Andre-Network]> ip firewall nat add action=masquerade outinterface= ether1 chain:srcnat [admin@Andre-Network] >

15. Melihat konfigurasi Masquerading [admin@Andre-Network]ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat out-interface=ether1 action=masquerade [admin@Andre-Network] >

Setelah langkah ini bisa dilakukan pemeriksaan untuk koneksi dari jaringan local. Dan jika berhasil berarti kita sudah berhasil melakukan instalasi Mikrotik Router sebagai Gateway server. Setelah terkoneksi dengan jaringan Mikrotik dapat dimanage menggunakan WinBox yang bisa di download dari Mikrotik.com atau dari server mikrotik kita.

Misal Ip address server mikrotik kita 192.168.0.1, via browser buka http://192.168.0.1 dan download WinBox dari situ. Jika kita menginginkan client mendapatkan IP address secara otomatis maka perlu kita setup dhcp server pada Mikrotik. Berikut langkah-langkahnya :

1.Buat IP address pool /ip pool add name=dhcp-pool ranges=172.16.0.10-172.16.0.20

2. Tambahkan DHCP Network dan gatewaynya yang akan didistribusikan ke client Pada contoh ini networknya adalah 172.16.0.0/24 dan gatewaynya 172.16.0.1 /ip dhcp-server network add address=172.16.0.0/24 gateway=172.16.0.1

3. Tambahkan DHCP Server ( pada contoh ini dhcp diterapkan pada interface ether2 ) /ip dhcp-server add interface=ether2 address-pool=dhcp-pool

Page 6: Tutorial Mikrotik Komplet

4. Lihat status DHCP server [admin@Andre-Network]> ip dhcp-server print Flags: X - disabled, I - invalid # NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP 0 X dhcp1 ether2 Tanda X menyatakan bahwa DHCP server belum enable maka perlu dienablekan terlebih dahulu pada langkah 5.

5. Jangan Lupa dibuat enable dulu dhcp servernya /ip dhcp-server enable 0

kemudian cek kembali dhcp-server seperti langkah 4, jika tanda X sudah tidak ada berarti sudah aktif.

6. Tes Dari client c:\>ping www.yahoo.com

untuk bandwith controller, bisa dengan sistem simple queue ataupun bisa dengan mangle [admin@Andre-Network] queue simple> add name=Komputer01 interface=ether2 target-address=172.16.0.1/24 max-limit=65536/131072 [admin@Andre-Network] queue simple> add name=Komputer02 interface=ether2 target-address=172.16.0.2/24 max-limit=65536/131072 dan seterusnya...

lengkap nya ada disini http://www.mikrotik.com/docs/ros/2.9/root/queue http://linux-ip.net/articles/Traffic.../overview.html http://luxik.cdi.cz/~devik/qos/htb/ http://www.docum.org/docum.org/docs/

2 ISP IN 1 ROUTER WITH LOADBALANCING

/ ip addressadd address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local comment="" \disabled=noadd address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255 interface=wlan2 \comment="" disabled=noadd address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255 interface=wlan1 \comment="" disabled=no/ ip firewall mangleadd chain=prerouting in-interface=Local connection-state=new nth=1,1,0 \action=mark-connection new-connection-mark=odd passthrough=yes comment="" \disabled=noadd chain=prerouting in-interface=Local connection-mark=odd action=mark-routing \new-routing-mark=odd passthrough=no comment="" disabled=no

Page 7: Tutorial Mikrotik Komplet

add chain=prerouting in-interface=Local connection-state=new nth=1,1,1 \action=mark-connection new-connection-mark=even passthrough=yes comment="" \disabled=noadd chain=prerouting in-interface=Local connection-mark=even action=mark-routing \new-routing-mark=even passthrough=no comment="" disabled=no/ ip firewall natadd chain=srcnat connection-mark=odd action=src-nat to-addresses=10.111.0.2 \to-ports=0-65535 comment="" disabled=noadd chain=srcnat connection-mark=even action=src-nat to-addresses=10.112.0.2 \to-ports=0-65535 comment="" disabled=no/ ip routeadd dst-address=0.0.0.0/0 gateway=10.111.0.1 scope=255 target-scope=10 routing-mark=odd \comment="" disabled=noadd dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10 routing-mark=even \comment="" disabled=noadd dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10 comment="" \disabled=no

Mangle/ ip addressadd address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local comment="" \disabled=noadd address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255 interface=wlan2 \comment="" disabled=noadd address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255 interface=wlan1 \comment="" disabled=no

router punya 2 upstream (WAN) interfaces dengan ip address 10.111.0.2/24 and 10.112.0.2/24.dan interface LAN dengan nama interface "Local" dan ip address 192.168.0.1/24.

/ ip firewall mangleadd chain=prerouting in-interface=Local connection-state=new nth=1,1,0 \action=mark-connection new-connection-mark=odd passthrough=yes comment="" \disabled=noadd chain=prerouting in-interface=Local connection-mark=odd action=mark-routing \new-routing-mark=odd passthrough=no comment="" disabled=noadd chain=prerouting in-interface=Local connection-state=new nth=1,1,1 \action=mark-connection new-connection-mark=even passthrough=yes comment="" \disabled=noadd chain=prerouting in-interface=Local connection-mark=even action=mark-routing \new-routing-mark=even passthrough=no comment="" disabled=no

NAT

Page 8: Tutorial Mikrotik Komplet

/ ip firewall natadd chain=srcnat connection-mark=odd action=src-nat to-addresses=10.111.0.2 \to-ports=0-65535 comment="" disabled=noadd chain=srcnat connection-mark=even action=src-nat to-addresses=10.112.0.2 \to-ports=0-65535 comment="" disabled=no

Routing/ ip routeadd dst-address=0.0.0.0/0 gateway=10.111.0.1 scope=255 target-scope=10 routing-mark=odd \comment="" disabled=noadd dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10 routing-mark=even \comment="" disabled=noadd dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10 comment="" \disabled=no comment="gateway for the router itself

1. instal pake cd mikrotik

a. boot dg cd mikrotik

b. setelah bisa boot pake iso linux, pilih beberapa paket yang dibutuhkan. (kalo bingung centang aja semua)

c ikuti aja langkahnya tekan (Yes) (Yes)

setelah restart, login : admin pass : (kosong)

trus copy paste aja tulisan berikut ;

DASAR_______________system identity set name=warnet.beenetuser set admin password=sukasukalu

ethernet____________________interface ethernet enable ether1interface ethernet enable ether2interface Ethernet set ether1 name=intranetinterface Ethernet set ether2 name=internet

IP ADDRESS_______________ip address add interface=internet address=XXXXX (dari ISP)ip address add interface=intranet address=192.168.0.1/24

route_______________ip route add gateway=XXXXX (dari ISP)

dns___________ip dns set primary-dns=XXXXX (dari ISP) 2 secondary-dns=XXXXX (dari ISP)

Page 9: Tutorial Mikrotik Komplet

nat & filter firewall standar_______________ip firewall nat add action=masquerade chain=srcnatip firewall filter add chain=input connection-state=invalid action=dropip firewall filter add chain=input protocol=udp action=acceptip firewall filter add chain=input protocol=icmp action=acceptip firewall filter add chain=input in-interface=intranet action=acceptip firewall filter add chain=input in-interface=internet action=accept

dhcp server______________________________________ip dhcp-server setupdhcp server interface: intranetdhcp address space: 192.168.0.0/24gateway for dhcp network: 192.168.0.1addresses to give out: 192.168.0.2-192.168.0.254dns servers: XXXXX (dari ISP),XXXXX (dari ISP)lease time: 3d

web proxy_________________________ip web-proxyset enabled=yesset src-address=0.0.0.0set port=8080set hostname=”proxy-apaaja”set transparent-proxy=yesset parent-proxy=0.0.0.0:0set cache-administrator=”silahkan.pannggil.operator”set max-object-size=4096KiBset cache-drive=systemset max-cache-size=unlimitedset max-ram-cache-size=unlimited

bikinredirect port ke transparant proxy__________________________/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080/ip firewall nat add chain=dstnat protocol=tcp dst-port=3128 action=redirect to-ports=8080/ip firewall nat add chain=dstnat protocol=tcp dst-port=8080 action=redirect to-ports=8080

PCQ ________________________/ip firewall mangle add chain=forward src-address=192.168.169.0/28 action=mark-connection new-connection-mark=client1-cm/ip firewall mangle add connection-mark=client1-cm action=mark-packet new-packet-mark=client1-pm chain=forward/queue type add name=downsteam-pcq kind=pcq pcq-classifier=dst-address/queue type add name=upstream-pcq kind=pcq pcq-classifier=src-address/queue tree add parent=intranet queue=downsteam-pcq packet-mark=client1-pm/queue tree add parent=internet queue=upstream-pcq packet-mark=client1-pm

simpel queue______________________________queue simple add name=kbu-01 target-addresses=192.168.0.11queue simple add name=kbu-02 target-addresses=192.168.0.12

Page 10: Tutorial Mikrotik Komplet

queue simple add name=kbu-03 target-addresses=192.168.0.13queue simple add name=kbu-04 target-addresses=192.168.0.14queue simple add name=kbu-05 target-addresses=192.168.0.15queue simple add name=kbu-06 target-addresses=192.168.0.16queue simple add name=kbu-07 target-addresses=192.168.0.17queue simple add name=kbu-08 target-addresses=192.168.0.18queue simple add name=kbu-09 target-addresses=192.168.0.19queue simple add name=kbu-10 target-addresses=192.168.0.20queue simple add name=xbilling target-addresses=192.168.0.2

BLOX SPAM____________________________/ip firewall filter add chain=forward dst-port=135-139 protocol=tcp action=drop/ip firewall filter add chain=forward dst-port=135-139 protocol=udp action=drop/ip firewall filter add chain=forward dst-port=445 protocol=tcp action=drop/ip firewall filter add chain=forward dst-port=445 protocol=udp action=drop/ip firewall filter add chain=forward dst-port=593 protocol=tcp action=drop/ip firewall filter add chain=forward dst-port=4444 protocol=tcp action=drop/ip firewall filter add chain=forward dst-port=5554 protocol=tcp action=drop/ip firewall filter add chain=forward dst-port=9996 protocol=tcp action=drop/ip firewall filter add chain=forward dst-port=995-999 protocol=udp action=drop/ip firewall filter add chain=forward dst-port=53 protocol=tcp action=drop/ip firewall filter add chain=forward dst-port=55 protocol=tcp action=drop

the best anti-ddos rule

/ip firewall filteradd action=add-src-to-address-list address-list=black_list \address-list-timeout=1d chain=input comment="Add ddos to adress list" \connection-limit=10,32 disabled=no protocol=tcpadd action=log chain=input comment="Log ddos" connection-limit=3,32 disabled=\no log-prefix="FILTER, DDOS DROPPED:" protocol=tcp src-address-list=\black_listadd action=tarpit chain=input comment="Tarpit ddos" connection-limit=3,32 \disabled=no protocol=tcp src-address-list=black_list

[toor@extreme] /ip firewall connection tracking> export# mar/13/2009 17:42:47 by RouterOS 3.20# software id = 4H1M-LTT#/ip firewall connection trackingset enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \tcp-close-wait-timeout=10s tcp-established-timeout=1d \tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s \tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=yes \tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s[toor@extreme] /ip firewall connection tracking>

chain=forward protocol=tcptcp-flags=syn,!fin,!rst,!psh,!ack,!urg,!ece,!cwr connection-limit=20,32

Page 11: Tutorial Mikrotik Komplet

limit=25,10 src-address-list=!Safe-List action=add-src-to-address-listaddress-list=tcp-syn-violators address-list-timeout=3h

Anti DDoS di Mikrotik

•Memang mencegah adalah lebih baik dari pada tidak sama sekali. begitu juga dengan dijaringan asal-asalan di tempat saya mencari makan , dengan bandwith yang sangat terbatas adalah sasaran empuk bagi para penjahat dan orang yang suka isegin di dunia cyber, bandwith yang saadanya ini jika di serang dengan DDos (bagi yang tidak mengerti DDos cari aja sendiri digoogle ya….. ). Apalagi yang nyerang mempunyai bandwith yang melimpah bisa dikatan jaringan di tempat saya ini akan mati total. Makanya kalau kamu tidak mempunyai bandwith sebesar punya mbah google, trus tiba-tiba akses internet kamu jadi lelet, lemot ping ke dns time out jangan langsung salahkan ISP dimana kamu berlangganan, silahkan di chek dulu di jaringan lokal kamu !!!!!, ehm

Tips cara mencegah bagaimana menghindari serangan DDos attach, di pasang di Mikrotik router. biarpun tidak menjamin 100% tapi mencegah adalah jalan terbaik dari pada tidak sama sekali…

kopi paste script dibawah ini:

ip firewall filter add chain=input protocol=tcp dst-port=1337 action= add-src-to-address-list address-list=DDOS address-list-timeout=15s comment=”" disabled=noip firewall filter add chain=input protocol=tcp dst-port=7331 src-address-list=knock action= add-src-to-address-list address-list=DDOS address-list-timeout=15m comment=”" disabled=no

ip firewall filter add chain=input connection-state=established action=accept comment=”accept established connection packets” disabled=noip firewall filter add chain=input connection-state=related action=accept comment=”accept related connection packets” disabled=noip firewall filter add chain=input connection-state=invalid action=drop comment=”drop Paket Invalid” disabled=no

ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment=”Mendetek serangan Port Scaner” disabled=noip firewall filter add chain=input protocol=tcp connection-limit=3,32 src-address-list=black_list action=tarpit comment=”Bikin kejutan ke ip penyerang” disabled=noip firewall filter add chain=input protocol=tcp connection-limit=10,32 action=add-src-to-address-list address-list=black_list address-list-timeout=1d comment=”Masukin ke karung Ip penyerang” disabled=no

ip firewall filter add chain=input protocol=icmp action=jump jump-target=ICMP comment=”jump chain ICMP” disabled=noip firewall filter add chain=input action=jump jump-target=services comment=”jump chain service” disabled=no

Page 12: Tutorial Mikrotik Komplet

ip firewall filter add chain=input dst-address-type=broadcast action=accept comment=”Allow Broadcast Traffic” disabled=no

ip firewall filter add chain=input action=log log-prefix=”Filter:” comment=”Catat kegiatan penyerang” disabled=no

ip firewall filter add chain=input src-address=Subnet WAN action=accept comment=”List Ip yang boleh akses ke router”ip firewall filter add chain=input src-address=Subnet Lan action=acceptip firewall filter add chain=input src-address=Subnet DMZ action=acceptip firewall filter add chain=input action=drop comment=”Blok Semua yang aneh2″ disabled=no

ip firewall filter add chain=ICMP protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept comment=”0:0 dan limit utk 5pac/s” disabled=noip firewall filter add chain=ICMP protocol=icmp icmp-options=3:3 limit=5,5 action=accept comment=”3:3 dan limit utk 5pac/s” disabled=noip firewall filter add chain=ICMP protocol=icmp icmp-options=3:4 limit=5,5 action=accept comment=”3:4 dan limit for 5pac/s” disabled=noip firewall filter add chain=ICMP protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept comment=”8:0 and limit utk 5pac/s” disabled=noip firewall filter add chain=ICMP protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept comment=”11:0 and limit utk 5pac/s” disabled=noip firewall filter add chain=ICMP protocol=icmp action=drop comment=”Blok semua yang aneh2″ disabled=no

ip firewall filter add chain=forward protocol=icmp comment=”Perbolehkan ping”ip firewall filter add chain=forward protocol=udp comment=”Perbolehkan ke udp”ip firewall filter add chain=forward src-address=Subnet WAN action=accept comment=”Akses hanya dari ip terdaftar”ip firewall filter add chain=forward src-address=Subnet LAN action=acceptip firewall filter add chain=forward src-address=Subnet DMZ action=acceptip firewall filter add chain=forward action=drop comment=”blok semua yang aneh2″

Semoga bermanfaat, jika anda mengalami hal seperti saya diatas jangan langsung salahkan ISP tempat anda berlangganan …..

Page 13: Tutorial Mikrotik Komplet

1. bersihin dulu isi route nya , dari winbox pilih ip route, trus di delete deh tuh gateway/route disitu, semuanya

2. bersihin juga manglenya, caranya ip firewal mangle print, kalo dari winbox pilih ip > firewall >mangle, abis itu delete2 semuanya tuh

3. bersihin juga nat nya, dari winbox, ip > firewall > nat , trus delete tuh isinya

4. selanjutnya ikutin langkah2 berikut ini ya slow down aja jangan sampe salah ketik, sebaiknya pake tab biar auto completing

penjelasan singkat

ada 3 interface

1.lokal=192.168.100.254/242.isp=202.182.54.74/303.fastnet=118.137.79.0/24 (nah nilai ini yang selalu di ubah2, hanya yg ini, yg lain kaga usah, ubahnya pake winbox aja)

/ip address (enter)add address=192.168.100.254/24 interface=lokal comment=”ip trafik lan” disabled=noadd address=202.182.54.74/30 interface=isp comment=”ip trafik indonesia” disabled=noadd address=118.137.79.0/24 interface=fastnet comment=”ip trafik luar” disabled=no

/ip firewall (enter)add chain=src-nat src-address=192.168.100.0/24 action=masquerade

/ip firewall mangle (enter)add action=mark-connection chain=prerouting comment=”" connection-state=new \disabled=no in-interface=Lokal new-connection-mark=fastnet \dst-address-list=!nice passthrough=yes

add action=mark-routing chain=prerouting comment=”" connection-mark=fastnet \disabled=no in-interface=Lokal new-routing-mark=fastnet passthrough=no \dst-address-list=!nice

add action=mark-connection chain=prerouting comment=”" connection-state=new \disabled=no in-interface=Lokal new-connection-mark=isp \passthrough=yes

add action=mark-routing chain=prerouting comment=”" connection-mark=isp \disabled=no in-interface=Lokal new-routing-mark=isp passthrough=no

/ip route (enter)add dst-address=0.0.0.0/0 gateway=118.137.79.1 scope=255 target-scope=10 comment=”gateway traffic internasional” disabled=noadd dst-address=0.0.0.0/0 gateway=202.182.54.73 scope=255 target-scope=10 comment=”gateway traffic IIX” mark=nice2 disabled=no

untuk simple queue nya ga usah diapa2in ya..awas loh..

Page 14: Tutorial Mikrotik Komplet

jangan lupa nyobainnya ntar malam aja, sambil ngopi n ngudut djarum super ya

Memisahkan bandwith lokal dan internasional menggunakan Mikrotik

Mei 16, 2008

Versi 3

Perubahan dari versi sebelumnya

1.Proses mangle berdasarkan address-list2.Pemisahan traffic Indonesia dan overseas lebih akurat

Berikut adalah skenario jaringan dengan Mikrotik sebagai router

Gambar 1. skenario jaringan

Penjelasan :

1.Mikrotik router dengan 2 network interface card (NIC) ether1 dan ether3, dimana ether1 adalah ethernet yang terhubung langsugn ke ISP dan ether3 adalah ethernet yang terhubung langsung dengan jaringan 192.168.2.0/24

2.Bandwith dari ISP misalnya 256 Kbps internasional dan 1024 Kbps lokal IIX.3.Kompuer 192.168.2.4 akan diberi alokasi bandwith 128 Kbps internasional dan

256 Kbps lokal IIX.

Pengaturan IP address list

Mulai Mikrotik RouterOs versi 2.9, dikenal dengan vitur yang disebut IP address list. Fitur ini adalah pengelompokan IP address tertentu dan setiap IP address tersebut bisa

Page 15: Tutorial Mikrotik Komplet

kita namai. Kelompok ini bisa digunakan sebagai parameter dalam mangle, firewall filter, NAT, maupun queue.

Mikrotik Indonesia telah menyediakan daftar IP address yang diavertise di OpenIXP dan IIX, yang bisa didownload dengan bebas di URL : http://www.mikrotik.co.id/getfile.php?nf=nice.rsc

File nice.rsc ini dibuat secara otomatis di server Mikrotik Indonesia setiap pagi sekitar pukul 05.30, dan meruapakan data yang telah dioptimasi untuk menghilangkan duplikat entry dan tumpang tindih subnet. Saat ini jumlah pada baris pada script tersebut berkisar 430 baris.

Contoh

# Script created by: Valens Riyadi @ www.mikrotik.co.id# Generated at 26 April 2007 05:30:02 WIB ... 431 lines

/ip firewall address-listadd list=nice address="1.2.3.4"rem [find list=nice]add list=nice address="125.162.0.0/16"add list=nice address="125.163.0.0/16"add list=nice address="152.118.0.0/16"add list=nice address="125.160.0.0/16"add list=nice address="125.161.0.0/16"add list=nice address="125.164.0.0/16"..dst...

Simpanlah file tersebut ke komputer anda dengan nama nice.rsc, lalu lakukan FTP ke router Mikrotik, dan uploadlah file tersebut di router. Contoh di bawah ini adalah proses upload MS DOS-Promt.

C:\>dir nice.*ftp 192.168.0.1admin********asciiput nice.rscbye Volume in drive C has no label. Volume Serial Number is 5418-6EEF

Directory of C:\

04/26/2007 06:42p 17,523 nice.rsc 1 File(s) 17,523 bytes 0 Dir(s) 47,038,779,392 bytes free

C:\>Connected to 192.168.0.1.220 R&D FTP server (MikroTik 2.9.39) readyUser (192.168.0.1:(none)):331 Password required for adminPassword:230 User admin logged inftp>200 Type set to Aftp>200 PORT command successful

Page 16: Tutorial Mikrotik Komplet

150 Opening ASCII mode data connection for '/nice.rsc'226 ASCII transfer completeftp: 17523 bytes sent in 0.00Seconds 17523000.00Kbytes/sec.ftp>221 Closing

C:\>

Setelah file di upload, import-lah file tersebut.

[admin@MikroTik] > import nice.rscOpening script file nice.rscScript file loaded and executed successfully

Pastikan bahwa proses import telah berlangsung dengan sukses, dengan mengecek Address-List pada menu IP – Firewall.

Pengaturan Mangle

Berikut adalah perintah untuk melakukan konfigurasi mangle yang bisa dilakukan lewat tampilan text pada MikrotikOs atau terminal pada Winbox.

/ip firewall mangle

Page 17: Tutorial Mikrotik Komplet

add chain=forward src-address-list=nice action=mark-connection new-connection-mark=mark-con-indonesia passtrough=yes comment=”mark all indonesia source connection traffic” disabled=no

add chain=forward src-address-list=nice action=mark-connection new-connection-mark=mark-con-indonesia passtrough=yes comment=”mark all indonesia destination connection traffic” disabled=no

add chain=forward src-address-list=!nice action=mark-connection new-connection-mark=mark-con-overseas passtrough=yes comment=”mark all overseas source connection traffic” disabled=no

add chain=forward src-address-list=!nice action=mark-connection new-connection-mark=mark-con-overseas passtrough=yes comment=”mark all overseas destination connection traffic” disabled=no

add chain=prerouting connection-mark=mark-con-indonesia action=mark-packet new-packet-mark=indonesia passtrough=yes comment=”mark all indonesia traffic” disabled=no

add chain=prerouting connection-mark=mark-con-overseas action=mark-packet new-packet-mark=overseas passtrough=yes comment=”mark all overseas traffic” disabled=no

Membuat simple queue

Langkah selanjutnya adalah mengatur bandwith melalui simple queue, untuk mengatur bandwith internasional 128 Kbps dan bandwith lokal IIX 256 Kbps pada komputer dengan IP 192.168.2.4 dapat dilakukan dengan perintah sebagai berikut.

queue simple

add name=kom1-indonesia target-address=192.168.2.4/32 dst-address=0.0.0.0/0 interface=all parent=none packet-marks=indonesia direction=both priority=8 queue=default/default limit-at=0/0 max-limit=256000/256000 total-queue=default disabled=no

add name=kom1-overeas target-address=192.168.2.4/32 dst-address=0.0.0.0/0 interface=all parent=none packet-marks=overseas direction=both priority=8 queue=default/default limit-at=0/0 max-limit=128000/128000 total-queue=default disabled=no]

Script di atas berarti hanya komputer dengan IP 192.168.2.4 saja yang dibatasi bandwithnya 128 Kbps internasional (overseas) dan 256 Kbps lokal IIX (Indonesia), sedangkan yang lainnya tidak dibatasi.

Pengecekan akhir

Setelah selesai, lakukanlah pengecekan dengan melakukan akses ke situs lokal maupun ke situs internasional, dan perhatikanlah counter baik pada firewall mangle maupun pada simple queue.

Page 18: Tutorial Mikrotik Komplet

Anda juga dapat mengembangkan queue type menggunakan pcq sehingga trafik pada setiap client dapat tersebar secara merata.

Selamat mencoba, semoga membantu yach…???

Memblokir Situs dengan MikrotikRouterOS

Untuk memblokir suatu situs dengan MikrotikRouterOS maka langkahnya adalah:

1. Aktifkan webproxynya[gungun@smanelaeuy] > ip web-proxy [enter][gungun@smanelaeuy] ip web-proxy> set enabled=yes max-ram-cache-size=none max-cache-size=1GB transparent-proxy=yes [enter]* sesuaikan dengan Hardware Anda!

2. Setelah aktif kemudian lakukan perintah[gungun@smanelaeuy] ip web-proxy > acc [enter][gungun@smanelaeuy] ip web-proxy access> add action=deny comment=”porn situs” url=”*sex*” [enter]*untuk yang berbau sexato klo tau alamatnya[gungun@smanelaeuy] ip web-proxy access> add action=deny comment=”porn situs” url=”www.17tahun.com” [enter]

Memanipulasi ToS ICMP & DNS di MikroTik

Tujuan :o Memperkecil delay ping dari sisi klien ke arah Internet.o Mempercepat resolving hostname ke ip address.

Asumsi : Klien-klien berada pada subnet 10.10.10.0/281. Memanipulasi Type of Service untuk ICMP Packet :> ip firewall mangle add chain=prerouting src-address=10.10.10.0/28 protocol=icmp action=mark-connection new-connection-mark=ICMP-CM passthrough=yes> ip firewall mangle add chain=prerouting connection-mark=ICMP-CM action=mark-packet new-packet-mark=ICMP-PM passthrough=yes> ip firewall mangle add chain=prerouting packet-mark=ICMP-PM action=change-tos new-tos=min-delay2. Memanipulasi Type of Service untuk DNS Resolving :> ip firewall mangle add chain=prerouting src-address=10.10.10.0/28 protocol=tcp dst-port=53 action=mark-connection new-connection-mark=DNS-CM passthrough=yes> ip firewall mangle add chain=prerouting src-address=10.10.10.0/28 protocol=udp dst-port=53 action=mark-connection new-connection-mark=DNS-CM passthrough=yes> ip firewall mangle add chain=prerouting connection-mark=DNS-CM action=mark-packet new-packet-mark=DNS-PM passthrough=yes> ip firewall mangle add chain=prerouting packet-mark=DNS-PM action=change-tos new-tos=min-delay3. Menambahkan Queue Type :> queue type add name=”PFIFO-64″ kind=pfifo pfifo-limit=644. Mengalokasikan Bandwidth untuk ICMP Packet :

Page 19: Tutorial Mikrotik Komplet

> queue tree add name=ICMP parent=INTERNET packet-mark=ICMP-PM priority=1 limit-at=8000 max-limit=16000 queue=PFIFO-645. Mengalokasikan Bandwidth untuk DNS Resolving :> queue tree add name=DNS parent=INTERNET packet-mark=DNS-PM priority=1 limit-at=8000 max-limit=16000 queue=PFIFO-646. Selamat Mencoba n Good Luck!!!

Queue dengan SRC-NAT dan WEB-PROXY

Pada penggunaan queue (bandwidth limiter), penentuan CHAIN pada MENGLE sangat menentukan jalannya sebuah rule. Jika kita memasang SRC-NAT dan WEB-PROXY pada mesin yang sama, sering kali agak sulit untuk membuat rule QUEUE yang sempurna. Penjelasan detail mengenai pemilihan CHAIN, dapat dilihat pada manual Mikrotik di sini.

Percobaan yang dilakukan menggunakan sebuah PC dengan Mikrotik RouterOS versi 2.9.28. Pada mesin tersebut, digunakan 2 buah interface, satu untuk gateway yang dinamai PUBLIC dan satu lagi untuk jaringan lokal yang dinamai LAN.[admin@instaler] > in prFlags: X - disabled, D - dynamic, R - running# NAME TYPE RX-RATE TX-RATE MTU0 R public ether 0 0 15001 R lan wlan 0 0 1500

Dan berikut ini adalah IP Address yang digunakan. Subnet 192.168.0.0/24 adalah subnet gateway untuk mesin ini.[admin@instaler] > ip ad prFlags: X - disabled, I - invalid, D - dynamic# ADDRESS NETWORK BROADCAST INTERFACE0 192.168.0.217/24 192.168.0.0 192.168.0.255 public1 172.21.1.1/24 172.21.1.0 172.21.1.255 lan

Fitur web-proxy dengan transparan juga diaktifkan.[admin@instaler] > ip web-proxy prenabled: yessrc-address: 0.0.0.0port: 3128hostname: “proxy”transparent-proxy: yesparent-proxy: 0.0.0.0:0cache-administrator: “webmaster”max-object-size: 4096KiBcache-drive: systemmax-cache-size: nonemax-ram-cache-size: unlimitedstatus: runningreserved-for-cache: 0KiBreserved-for-ram-cache: 154624KiB

Fungsi MASQUERADE diaktifkan, juga satu buah rule REDIRECTING untuk membelokkan traffic HTTP menuju ke WEB-PROXY

Page 20: Tutorial Mikrotik Komplet

[admin@instaler] ip firewall nat> prFlags: X - disabled, I - invalid, D - dynamic0 chain=srcnat out-interface=publicsrc-address=172.21.1.0/24 action=masquerade1 chain=dstnat in-interface=lan src-address=172.21.1.0/24protocol=tcp dst-port=80 action=redirect to-ports=3128

Berikut ini adalah langkah terpenting dalam proses ini, yaitu pembuatan MANGLE. Kita akan membutuhkan 2 buah PACKET-MARK. Satu untuk paket data upstream, yang pada contoh ini kita sebut test-up. Dan satu lagi untuk paket data downstream, yang pada contoh ini kita sebut test-down.

Untuk paket data upstream, proses pembuatan manglenya cukup sederhana. Kita bisa langsung melakukannya dengan 1 buah rule, cukup dengan menggunakan parameter SRC-ADDRESS dan IN-INTERFACE. Di sini kita menggunakan chain prerouting. Paket data untuk upstream ini kita namai test-up.

Namun, untuk paket data downstream, kita membutuhkan beberapa buah rule. Karena kita menggunakan translasi IP/masquerade, kita membutuhkan Connection Mark. Pada contoh ini, kita namai test-conn.

Kemudian, kita harus membuat juga 2 buah rule. Rule yang pertama, untuk paket data downstream non HTTP yang langsung dari internet (tidak melewati proxy). Kita menggunakan chain forward, karena data mengalir melalui router.

Rule yang kedua, untuk paket data yang berasal dari WEB-PROXY. Kita menggunakan chain output, karena arus data berasal dari aplikasi internal di dalam router ke mesin di luar router.

Paket data untuk downstream pada kedua rule ini kita namai test-down.

Jangan lupa, parameter passthrough hanya diaktifkan untuk connection mark saja.[admin@instaler] > ip firewall mangle printFlags: X - disabled, I - invalid, D - dynamic0 ;;; UP TRAFFICchain=prerouting in-interface=lansrc-address=172.21.1.0/24 action=mark-packetnew-packet-mark=test-up passthrough=no

1 ;;; CONN-MARKchain=forward src-address=172.21.1.0/24action=mark-connectionnew-connection-mark=test-conn passthrough=yes

2 ;;; DOWN-DIRECT CONNECTIONchain=forward in-interface=publicconnection-mark=test-conn action=mark-packetnew-packet-mark=test-down passthrough=no

3 ;;; DOWN-VIA PROXYchain=output out-interface=lan

Page 21: Tutorial Mikrotik Komplet

dst-address=172.21.1.0/24 action=mark-packetnew-packet-mark=test-down passthrough=no

Untuk tahap terakhir, tinggal mengkonfigurasi queue. Di sini kita menggunakan queue tree. Satu buah rule untuk data dowstream, dan satu lagi untuk upstream. Yang penting di sini, adalah pemilihan parent. Untuk downstream, kita menggunakan parent lan, sesuai dengan interface yang mengarah ke jaringan lokal, dan untuk upstream, kita menggunakan parent global-in.[admin@instaler] > queue tree prFlags: X - disabled, I - invalid0 name=”downstream” parent=lan packet-mark=test-downlimit-at=32000 queue=default priority=8max-limit=32000 burst-limit=0burst-threshold=0 burst-time=0s

1 name=”upstream” parent=global-inpacket-mark=test-up limit-at=32000queue=default priority=8max-limit=32000 burst-limit=0burst-threshold=0 burst-time=0s

Variasi lainnya, untuk bandwidth management, dimungkinkan juga kita menggunakan tipe queue PCQ, yang bisa secara otomatis membagi trafik per client.

Blocking Virus di Firewall Mikrotik

1;;; BLOCK SPAMMERS OR INFECTED USERSchain=forward protocol=tcp dst-port=25 src-address-list=spammeraction=drop

2;;; Detect and add-list SMTP virus or spammerschain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 src-address-list=!spammer action=add-src-to-address-listaddress-list=spammer address-list-timeout=1d

/ip firewall nat chain=srcnat out-interface=”your interface which provides internet” src-address=”network 1? action=masquerade

you need to add chains for each subnet you have ,for the head office subnet you need to add this

/ip firewall nat chain=srcnat out-interface=”your interface which provides internet” action=masquerade

/ ip firewall mangleadd chain=prerouting dst-address=202.168.47.17 protocol=udp dst-port=5060-5080 \action=mark-connection new-connection-mark=voip-con passthrough=yes \comment=”” disabled=noadd chain=prerouting dst-address=202.168.47.17 protocol=udp \dst-port=19000-20000 action=mark-connection new-connection-mark=voip-con \passthrough=yes comment=”” disabled=no

Page 22: Tutorial Mikrotik Komplet

add chain=prerouting connection-mark=voip-con action=mark-packet \new-packet-mark=voip passthrough=no comment=”” disabled=noadd chain=prerouting protocol=tcp dst-port=22-23 action=mark-connection \new-connection-mark=sshtelnet-con passthrough=yes comment=”” disabled=noadd chain=prerouting connection-mark=sshtelnet-con action=mark-packet \new-packet-mark=sshtelnet passthrough=no comment=”” disabled=noadd chain=prerouting p2p=all-p2p action=mark-connection \new-connection-mark=p2p-con passthrough=yes comment=”” disabled=noadd chain=prerouting connection-mark=p2p-con action=mark-packet \new-packet-mark=p2p passthrough=no comment=”” disabled=noadd chain=prerouting action=mark-connection new-connection-mark=everything-con \passthrough=yes comment=”” disabled=noadd chain=prerouting connection-mark=everything-con action=mark-packet \new-packet-mark=everything passthrough=yes comment=”” disabled=no

Setting Mikrotik RouterOS PPPoE Client Sebagai Internet Gateway Telkom Speedy

Kmareen nyoba - nyoba gimana seeh dial speedy melalui mikrotik dan apa keuntungannya dibandingkan dengan dial melalui modem adsl nya, kalo mencoba sesuatu harus ada keuntungannya donk, masa kita mencoba sesuatu dengan sia sia, maka waktu dan tenaga kita akan terbuang dengan sia - sia juga, betul tidak..?

Langkah pertama

sebelum langkah kedua kita jalankan alangkah baiknya langkah pertama kita lakuin dulu, khan gak mungkin langkah ketiga dulu baru ke dua :D. untuk modem ADSL yang saya gunakan JK Network, dan mikrotiknya saya gunakan versi 2.9.xx (belakangnya diumpetin).

topology yang digunakan sbb :

(INTERNET) — [Modem adsl] —- [Mikrotik] —-[Client]

diasumsikan client dapat berkomunikasi dengan radio tanpa halangan atau settingan IP address dan Nat nya sudah jalan..!

pertama - tama kita fungsikan modem sebagai bridge bukan sebagai router sebab fungsi router akan di handle oleh mikrotik. pilih menu WAN kemudian klik tombol add

(Klik Untuk memperbesar)

kemudian isi VPI dan VCI dengan 8 dan 81

Page 23: Tutorial Mikrotik Komplet

setelah itu pilih menu bridging dan masukkan nama service nya setelah semua dilakuakan klik tombol save

reboot modem maka modem saat ini sudah berfungsi sebagai bridge.

Langkah kedua

Langkah yang kedua baru kita konfigurasi / setting mikrotiknya sebagai modemnya .

masuk sebagai admin ke winbox mikrotik lalu pilih menu PPP.setelah itu akan keluar window PPP klik gambar + di window tersebut dan pilih PPPoE client

Page 24: Tutorial Mikrotik Komplet

Isikan nama service lalu pilih interface yang terhubung langsung ke modem.

setelah itu pilih tab Dial Out isikan username yang diberikan telkom beseta passwordnya, biarkan field yang lainnya bernilai default

lalu tahap akhir klik tombol OK maka secara otomatis mikrotik akan DIAL ke telkom.

– END SETTING —-

Page 25: Tutorial Mikrotik Komplet

keunggulannya menggunakan mikrotik sebagai modem ketimbang modem ADSL biasa :

•Proses dial nya lebih cepat dibandingkan dengan menggunakan modem adsl biasa, biasanya mikrotik mendapatkan status connected dalam waktu kurang dari 15 detik, jika modem biasanya membutuhkan waktu relatif lama sekitar 2 - 4 menit.

•Modem akan lebih stabil karena yang bertindak sebagai modem adalah PC yang mempunyai resource cukup tinggi dan kemampuan yang handal untuk bekerja 24 jam sehari.

•Administrator dapat meremote mikrotiknya dan mengkonfigurasi firewal, simple queque, load balancing, dll dari jaringan external tanpa harus melakukan port forwarding.

•Modem akan lebih awet karena tidak bekerja terlalu berat, ditandainya tidak terlalu panas nya modem ketika jaringan internet dalam keadaan UP.

Setting Mikrotik RouterOS PPPoE Client Sebagai Internet Gateway Telkom Speedy

Kita mulai setup dari modem adsl nya sebagai brigding protocol mode. Settingnya dapat anda temukan dari manual masing-masing modem. Contoh setting bridging protocol pada modem TECOM AR1031 pada menu Advance setup > WAN.

Ikuti petunjuk gambar dibawah ini kemudian lakukan save/reboot.

Page 26: Tutorial Mikrotik Komplet

Selesai setting modem sebagai bridging yang tidak menyimpan password dan user ID anda di modem, bagi anda yang ingin mencoba mengganti IP address default modem bisa di konfigurasi terlebih dahulu melalui PC client.

Caranya : kita ubah terlebih dahulu IP modem pada Advance Setup > LAN IP Address contoh 192.168.100.1 lakukan save/reboot. Kemudian lakukan pengubahan selanjutnya di IP client PC ke 192.168.100.2 selesai. Silahkan anda coba ketik di web browser anda IP modem (192.168.100.1). Berhasil?

Kita lanjut ke CPU Mikrotik RouterOS nya.

Tentukan IP Address masing-masing LAN card anda, misal LAN connector dari modem 202.202.202.202 (public), dan 192.168.100.1 ke jaringan lokal anda (lokal). Lakukan perintah ini terlebih dahulu jika anda ingin menspesifikasikan nama ethernet card anda.

/interface ethernet set ether1 name=public

/interface ethernet set ether2 name=lokal

Pastikan kembali dalam menentukan nama dan alur kabel tersebut, kemudian kita lanjut ke setting IP Address.

/ip address add address=202.x.x.x/24 interface=public

/ip address add address=192.168.100.1/24 interface=lokal

/ip address> print

Pastikan LAN card anda tidak dalam posisi disabled. Selanjutnya anda bisa memasukkan entry PPPoE Client.

/interface pppoe-client add name=pppoe-user-mike user=mike password=123 interface=public service-name=internet disabled=no

Page 27: Tutorial Mikrotik Komplet

Sebetulnya perintah diatas dapat anda lakukan di winbox, jika ingin lebih mudah sambil cek koneksi jaringan anda ke mikrotik. Menentukan Gateway dan Routingnya dilanjutkan ke masquerading

/ip route add gateway=125.168.125.1 (IP Gateway Telkom Speedy anda)

/ip route print

IP gateway diatas belum tentu sama, lihat terlebih dahulu ip PPPoE client anda. Jika anda belum yakin 100% ip client anda dan gateway nya, lakukan login dan dialing melalui modem anda terlebih dahulu bukan pada mode bridging seperti diatas. Pada menu Device Info akan tampil informasi Default Gateway dan IP client pppoe anda. Ok?

Selanjutnya masquerading, untuk penerusan perintah dari routing yang diteruskan ke nat firewall mikrotik untuk proses routing ke semua client yang terkoneksi

/ip firewall nat add chain=srcnat action=masquerade

Selesai.. tahap routing sudah terlaksanakan. Coba lakukan ping ke mikrotik dan gateway nya. Jika anda ingin sharing ke komputer client jangan lupa masukkan ip gateway pada settingan Network Connection (windows) sesuai dengan IP lokal pada mikrotik anda.

Banyak sekali settingan mikrotik yang dapat anda pelajari dari berbagai sumber. Jika terkesan terlalu rumit dengan sistem pengetikan anda bisa melakukannya dengan winbox mode, setiap tutorial yang anda butuhkan pun dapat anda copy dan paste ke winbox nya mikrotik.

Setting DNS dan Web Proxy Transparant

Input DNS dan web-proxy pun terasa lebih mudah di winbox mode, masukkan primary, secondary dan allow remote request nya, atau dengan perintah di terminal winbox.

/ip dns set primary-dns=203.130.206.250

/ip dns set primary-dns=202.134.2.5

/ip dns allow-remote-request=yes

/ip web-proxy set enabled=yes port=8080 hostname=proxy.koe transparent-proxy=yes

/ip firewall nat add in-interface=lokal dst-port=80 protocol=tcp action=redirect to-ports=8080 chain=dstnat dst-address=!192.168.100.1/24

Page 28: Tutorial Mikrotik Komplet

Setting MIKROTIK SDSL SPEEDY – BANDWITH MANAGEMENT Sebelumnya saya gambarkan dulu skema jaringannya:

LAN —> Mikrotik RouterOS —> Modem ADSL —> INTERNET

Untuk LAN, kita pake kelas C, dengan network 192.168.0.0/24. Untuk Mikrotik RouterOS, kita perlu dua ethernet card. Satu (ether1 – 192.168.1.2/24) untuk sambungan ke Modem ADSL dan satu lagi (ether2 – 192.168.0.1/24) untuk sambungan ke LAN. Untuk Modem ADSL, IP kita set 192.168.1.1/24.

Sebelum mengetikkan apapun, pastikan Anda telah berada pada root menu dengan mengetikkan “/”

Set IP untuk masing²ethernet card

ip address add address=192.168.1.2/24 interface=ether1

ip address add address=192.168.0.1/24 interface=ether2

Untuk menampilkan hasil perintah di atas ketikkan perintah berikut:

ip address print

Kemudian lakukan testing dengan mencoba nge-ping ke gateway atau ke komputer yg ada pada LAN. Jika hasilnya sukses, maka konfigurasi IP Anda sudah benar

ping 192.168.1.1

ping 192.168.0.10

Menambahkan Routing

ip route add gateway=192.168.1.1

Setting DNS

ip dns set primary-dns=202.134.1.10 allow-remote-requests=yes

ip dns set secondary-dns=202.134.0.155 allow-remote-requests=yes

Karena koneksi ini menggunakan Speedy dari Telkom, maka DNS yg aq pake ya punya Telkom. Silahkan sesuaikan dengan DNS provider Anda.

Setelah itu coba Anda lakukan ping ke yahoo.com misalnya:

ping yahoo.com

Jika hasilnya sukses, maka settingan DNS sudah benar

Source NAT (Network Address Translation) / Masquerading

Page 29: Tutorial Mikrotik Komplet

Agar semua komputer yg ada di LAN bisa terhubung ke internet juga, maka Anda perlu menambahkan NAT (Masquerade) pada Mikrotik.

ip firewall nat add chain=srcnat action=masquerade out-interface=ether1

Sekarang coba lakukan ping ke yahoo.com dari komputer yang ada di LAN

ping yahoo.com

Jika hasilnya sukses, maka setting masquerade sudah benar

DHCP (DynamicHost Configuration Protocol)

Karena alasan supaya praktis, temenku pengin pake DHCP Server. Biar klo tiap ada klien yang konek, dia ga perlu setting IP secara manual. Tinggal obtain aja dari DHCP Server, beres dah. Untungnya Mikrotik ini juga ada fitur DHCP Servernya. Jadi ya ga ada masalah..

Membuat IP Address Pool

ip pool add name=dhcp-pool ranges=192.168.0.2-192.168.0.254

Menambahkan DHCP Network

ip dhcp-server network add address=192.168.0.0/24 gateway=192.168.0.1 dns-server=202.134.1.10,202.134.0.155

Menambahkan Server DHCP

ip dhcp-server add name=DHCP_LAN disabled=no interface=ether2 address-pool=dhcp-pool

Sekarang coba lakukan testing dari komputer klien, untuk me-request IP Address dari Server DHCP. Jika sukses, maka sekali lagi, settingannya udah bener

Bandwidth Control

Agar semua komputer klien pada LAN tidak saling berebut bandwidth, maka perlu dilakukan yg namanya bandwidth management atau bandwidth control

Model yg saya gunakan adalah queue trees. Untuk lebih jelas apa itu, silahkan merujuk ke situsnya Mikrotik

Kondisinya seperti ini:

Koneksi Speedy kan katanya speednya sampe 384/64 Kbps (Download/Upload), nah kondisi itu sangat jarang tercapai. Jadi kita harus cari estimasi rata²nya. Maka saya ambil minimalnya untuk download bisa dapet sekitar 300 Kbps dan untuk upload aq alokasikan 50 Kbps. Sedangkan untuk yg maksimumnya, untuk download kira² 380 Kbps dan upload 60 Kbps.

Page 30: Tutorial Mikrotik Komplet

Lalu, jumlah komputer klien yang ada saat ini adalah 10 buah. Jadi harus disiapkan bandwidth itu untuk dibagikan kepada 10 klien tersebut.

Perhitungan untuk masing² klien seperti ini:

Minimal Download: 300 / 10 * 1024 = 30720 bps

Maximal Download: 380 / 10 * 1024 = 38912 bps

Minimal Upload: 50 / 10 * 1024 = 5120 bps

Maximal Upload: 60 / 10 * 1024 = 6144 bps

Selanjutnya kita mulai konfigurasinya:

Tandai semua paket yg asalnya dari LAN

ip firewall mangle add src-address=192.168.0.0/24 action=mark-connection new-connection-mark=Clients-con chain=prerouting

ip firewall mangle add connection-mark=Clients-con action=mark-packet new-packet-mark=Clients chain=prerouting

Menambahkan rule yg akan membatasi kecepatan download dan upload

queue tree add name=Clients-Download parent=ether2 packet-mark=Clients limit-at=30720 max-limit=38912

queue tree add name=Clients-Upload parent=ether1 packet-mark=Clients limit-at=5120 max-limit=6144

Sekarang coba lakukan test download dari beberapa klien, mestinya sekarang tiap2 klien akan berbagi bandwidthnya. Jika jumlah klien yg online tidak sampai 10, maka sisa bandwidth yang nganggur itu akan dibagikan kepada klien yg online.

Graphing

Mikrotik ini juga dilengkapi dengan fungsi monitoring traffic layaknya MRTG biasa. Jadi kita bisa melihat berapa banyak paket yg dilewatkan pada PC Mikrotik kita.

tool graphing set store-every=5min

Berikutnya yang akan kita monitor adalah paket² yg lewat semua interface yg ada di PC Mikrotik kita, klo di komputerku ada ether1 dan ether2.

tool graphing interface add-interface=all store-on-disk=yes

Sekarang coba arahkan browser anda ke IP Router Mikrotik. Klo aq di sini:

http://192.168.0.1/graphs/

Page 31: Tutorial Mikrotik Komplet

Nanti akan ada pilihan interface apa aja yg ada di router Anda. Coba klik salah satu, maka Anda akan bisa melihat grafik dari paket2 yg lewat pada interface tersebut.

Dari tutorial diatas saya cuma sampai mengambil langkah pada setting penambahan NAT ( masquerade ) saja. Karena menurut saya DHCP yang sifatnya berubah ubah jadi nanti saat mau limit BW nya terkadang ip tidak sama. CMIIW. dan untuk setting limit saya melakukannya pada remote winbox yang lebih mudah, nah pertanyaan untuk saya sendiri. Kapan graph tool nya kamu install nak ? hehehhee… ok semoga berguna semuanya.

Membatasi inetan di kantor........dengan mikrotik..

Lanjut ah, sharing cara membatasi inetan dikantor....lagi-lagi dengan mikrotik. Kantor saya gak terlalu gede sih, denga jumlah PC dalam jaringan LAN ada sekitar 65 buah. Saya memakai ip range 192.168.0.1/24, dengan gateway saya taruh di 192.168.0.1 ya itu mikrotik sebagai gatewayya. Dari range IP tersebut ternyata sama boss tidak diijinkan semuanya dapat mengakses inet....hehe...hehe...dan agak parahnya IP yang boleh inetan itu acak alias tidak berurutan, sebagai tambahan saya memakai DHCP untuk pengaturan IP (biar gak pusing nyatetin IP klo ada perubahan cpu atau ada tambahan cpu). Kayaknya cukup untuk alasan pembatasan inetnya, kita lanjut ke settingnya...

Oh....ya semua setting dilakukan menggunakan winbox.exe soalnya bisa-nya itu je...

1.Login ke mikrotik menggunakan winbox.2.masuk ke menu /ip firewall address-list3.klik add (tanda plus)4.isikan name dengan yg unik, misalkan INET lalu isikan ip dengan ip yang punya

akses inetan.5.ulangi langkah 4 sehingga semua ip yang punya akses inetan tercatat dengan

nama address-list yang sama.6.selanjutnya kita mengubah setting masquerade kita, yang awalnya src-address

diisi dengan full range ip client. Diganti dengan cara mengosongkan src-address di tab general dan pindah ke tab advanced kemudian mengisikan src-address list dengan list ip yang baru kita buat.

7.langkah 6 akan mengakibatkan ip-ip diluar ip adress-list tidak akan dimasquerade dan sudah tentu tidak akan bisa inetan....sesuai dengan kemauan kita khan ???

8.untuk lebih memastikan lagi, sebaiknya dibuatkan rule difilter rule dengan chain forward, lalu in-interface=interface yang mengarah ke client, kemudian ke tab advanced pada bagian src-address list= ip list yang baru dibuat, kemudian beri tanda seru (pentung) disamping kirinya dan untuk action=drop. rule ini ditaruh dipaling atas.

9.langkah ke 8 akan berakibat semua ip diluar list tidak akan diforward/diteruskan permintaannya.

Page 32: Tutorial Mikrotik Komplet

Lock IP dan MAC address client di Mikrotik....

Mungkin anda pernah mengalami, ada client nakal yang coba-coba memakai ip komputer admin untuk mendapatkan akses inet tanpa batas........wuih suuuuuebelnya....bukan apa-apa sich, tapi yang kena marah oleh atasan tentu yang mengatur akses inetnya (baca: saya).

Bagi anda yang menggunakan Mikrotik sebagai pengatur (gateway/router/web-proxy) akses ditempat anda, mungkin ini ada sedikit cara untuk mengatasi agar ip-ip yang mempunyai akses inet tidak bisa saling dipertukarkan...

Kita langsung ke TKP aja, yuk.....

1.Login ke Mikrotik menggunakan winbox (maaf bagi CLI mania....saya bisanya GUI..hehehehe).

2.Pastikan semua client sudah ON semua, karena kita akan merekam mac-address menggunakan IP SCAN yang ada diwinbox.

3.Masuk ke menu IP-->Firewall kebagian tab address-list

4.5.Isikan nama sesuai keinginan anda asal mudah diingat, kemudian IP client.

Prosedur ini dilakukan untuk semua client dengan nama address-list yang sama. Jika semua client sudah dimasukan ke dalam address-list selanjutnya menuju tab: NAT

6.

Page 33: Tutorial Mikrotik Komplet

7.Gambar diatas adalah merubah rule/script dari nat-masquerade yang sudah ada, dimana biasanya di bagian general untuk src-address diisikan range ip client. Untuk kali ini dirubah, sehingga hanya client yang ada di address-list saja yang akan dimasquerade.

8.Langkah selanjutnya adalah merekam mac-address dari client kita, untuk itu kita menggunakan tools ip-scan. menuju menu tools dan pilih ip-scan

9.10.Interface dipilih interface yang ada dimikrotik yang mengarah ke LAN, untuk

address range silahkan disesuaikan dengan ip-range client anda. Setelah itu silahkan klik start, dan tunggu beberapa saat. Setelah semua ip berhasil ditampilkan, biarkan tool ip-scan (tidak usah di close), kemudian menuju menu IP-->ARP

11.12.Maka didalam ARP list akan muncul ip dan mac-address dari client. Selanjutnya

adalah membuat agar arp-list menjadi static dengan cara meng-klik kanan setiap pasangan ip dan mac-address tersebut dan pilih option make statik. Ini dilakukan untuk semua ip yang muncul. Setelah semua menjadi statik selanjutnya menuju menu INTERFACES

Page 34: Tutorial Mikrotik Komplet

13.14.Pilih interface yang menuju klien, klik kiri dua kali sehingga muncul gambar

seperti diatas. Kemudian pada option ARP dipilih reply-only15.Selesai

Mengamankan web-proxy kita..... Setelah kita berhasil menggabungkan smoothwall dengan mikrotik. Apabila koneksi kita menggunakan speedy yang memiliki bandwidth uploadnya yang kecil, sudah selayaknya agar kita mengamankan web-proxy ini supaya hanya client lokal kita saja yang menggunakannya. Apabila ada client dari luar (dari WAN) ikut juga menikmati web-proxy ini maka dijamin koneksi inet kita akan loyo dikarenakan Bandwidth upload kita habis terpakai oleh client luar ini....jadi berhati-hati lah!!!Langkah pengamanan ini sebenarnya tidak hanya diperuntukan bagi pemakai yang menggunakan koneksi speedy (dengan mengeset modem sebagai bridge modem), tetapi juga koneksi yang lainnya, dengan menyesuaikan parameter "in-interface" disesuaikan dengan jenis koneksi WAN-nya.Kita lanjut ke tujuan utama kita:

1.Login ke Winbox kemudian masuk ke menu IP-->Firewall-->Filter

2.3.Ikuti option-option diatas,untuk jenis koneksi selain speedy tinggal menyesuaikan

"in-interface", dimana interface yang digunakan adalah interface mikrotik yang mengarah ke WAN/internet, kemudian pindah ke tab action, diisikan drop.

Page 35: Tutorial Mikrotik Komplet

4.Langkah ke-2 diulang untuk port-port:3128,8085.Selesai

Setting VPN di mikrotik memakai PPtP...

Pengantar..

Sebenernya agak males untuk menulis masalah setting VPN ini, dikarenakan banyak yang sudah mengulasnya secara mendalam. Kemudian atas permintaan seorang teman dan adanya ketersediaan waktu akhirnya saya tulis juga. Namun VPN yang akan saya setting hanya menggunakan satu jenis yaitu PPtP (Point to Point tuneling protocol)

Asumsi..

1.Jaringan inet anda dengan menggunakan gateway/router mikrotik sudah berjalan dengan baik dan juga memiliki ip public.

2.IP pool untuk VPN : 192.168.15.1-192.168.15.503.IP Mikrotik yang mengarah ke LAN :192.168.0.245

Action...

1.silahkan login ke mikrotik anda dengan menggunakan winbox...2.kemudian kita masuk ke modul Ip-->Pool

3.4.untuk nama bisa diberikan sesuai dengan keinginan anda, yang penting mudah

diingat5.untuk address dimasukan : 192.168.15.1-192.168.15.50 dan next pool=none lalu

klik OK6.Selanjutnya kita masuk ke modul PPP ke tab profiles, lalu klik tanda plus..

Page 36: Tutorial Mikrotik Komplet

7.Untuk nama silahkan cari yang unik, kemudian local address diisikan dengan ip mikrotik yang mengarah ke LAN dan DNS server diberi ip yang sama (dengan catatan pada setting DNS di mikrotik pada option allow remote request di ceklist) lalu klik OK

8.Selanjutnya kita pindah ke tab secrets masih pada modul PPP, kemudian diklik tanda plus-nya

9.

10.Pada bagian ini untuk memberikan akses/username untuk menggunakan atau login ke VPN kita, silahkan berikan username dan password yang unik. Untuk service silahkan klik pptp dan profile diisi dengan profile yang sudah dibuat tadi..lalu diklik OK

11.Setelah bagian ini selesai kemudian kita masuk ke TAB interface dan klik pada bagian PPTP Server

Page 40: Tutorial Mikrotik Komplet

Setting Linksys AG241 dan Mikrotik untuk akses speedy

Pengantar...

Kenapa yang digunakan adalah Linksys AG241 tidak yang lain? jawabnya simpel, dikantor saya pakenya ini. Kenapa harus ada mikrotik juga, pake linksys AG 241 juga sudah cukup klo cuma mau share internet? jawabnya simpel juga, karena pengaturan yang "agak" ruwet untuk kebutuhan share internet dikantor dan hal ini tidak dapat dipenuhi oleh sebuah linksys AG241.Untuk kali ini linksys AG241 difungsikan sebagai bridge, sedangkan dial dilakukan oleh mikrotik. Beberapa hal yang menguntungkan jika dial dengan mikrotik :

1.Kita dapat memanage mikrotiknya secara langsung. Jika yang dial modem maka kita harus mengeset modem agar memforward ip dari speedy ke ip mikrotik.

2.Kerja modem tidak terlalu berat sehingga akan berdampak pada penurunan suhu modem (pernah mengalami modem panas ??) dan secara tidak langsung akan berdampak pada umur pemakaian dari modem itu sendiri.

3.konfigurasi filter yang lebih banyak jika menggunakan mikrotik

disamping keuntungan, juga ada beberepa kerugiannya:

1.dibutuhkan biaya tambahan untuk pc yang akan diinstall mikrotik.2.dibutuhkan keahlian tambahan dalam mengkonfigurasi mikrotik.3.dengan ada adanya tambahan device tentunya akan bertambah konsumsi

listriknya, dengan kata lain ...tambahan biaya lagi :D

Kebutuhan....

1.account speedy yang masih aktif....2.modem linksys AG2413.Pc yang sudah terinstall dengan mikrotik dan modul ppp juga sudah terinstall...4.kabel utp yang sudah dipatch straight untuk koneksi dari modem ke mikrotik.5.Sebuah PC untuk mengkonfigure modem linksys AG241

Asumsi..

Topologi jaringan :|Inet|----|Modem|----|Mikrotik|----|switch|----|Client|

1.Ip modem (standar) :192.168.1.1/255.255.255.02.Ip mikrotik yang mengarah ke modem :192.168.1.2/255.255.255.03.Ip mikrotik yang mengarah ke switch :192.168.0.1/255.255.255.04.Dimikrotik ada minimal 2 buah Lancard, 1 yang mengarah ke modem kita

namakan WAN dan 1 lagi yang mengarah ke switch kita namakan LAN

action..

modem AG241.

Page 41: Tutorial Mikrotik Komplet

1.Modem AG241 dihubungkan dengan PC menggunakan kabel UTP yang sudah disiapkan

2.IP PC dirubah disesuaikan dengan IP modem, misalkan menjadi :192.168.1.3/255.255.255.0

3.Modem dihidupkan dengan memasang adaptor ke sumber listrik, dan keluaran adaptor disambungkan ke modem.

4.Silahkan buka browser kesayangan anda, kemudian isikan 192.168.1.1 di url browser anda, maka akan muncul dialog untuk memasukan username dan password untuk masuk ke dalam menu configurasi modem. Pada keadaan standar isikan username dan password dengan admin

5.masuk ke tab setup

6.

7.8.Setting gambar diatas untuk daerah jakarta tepatnya daerah bekasi, untuk daerah

lainnya tinggal menyesuaikan VPI dan VCI saja

Mikrotik

1.PC dihubungkan ke switch yang terhubung dengan mikrotik (lihat topologi diatas) dan rubah kembali ip PC disesuaikan dengan IP yang ada, misalkan :192.168.0.3/255.255.255.0

2.Login kedalam mikrotik menggunakan winbox3.klik menu ppp, klik tanda plus pilih pppoe client

Page 42: Tutorial Mikrotik Komplet

4.Pada tab general ini yang diisi hanya bagian interface, dipilih WAN5.pindah ke tab dial out

6.Pada tab dial out, yang diisi hanyalah username dan password saja. isikan username dan password dari account speedy anda.

7.Dial on demand, jika anda menginginkan mikrotik untuk dial ke speedy jika ada permintaan dari client untuk akses ke internet (cocok untuk account non unlimited) silahkan untuk diceklist. jika menginginkan agar mikrotik selalul terhubung dengan internet silahkan jangan diceklist bagian ini.

8.add default route, pada mikrotik akan ditambahkan default route yang telah disetting oleh speedy

9.Untuk Use peer DNS saya tidak begitu mengetahui jadi biarkan tidak diceklist10.untuk bagian allow silahkan di checklist semuanya lalu klik OK11.Klik menu IP-->firewall pilih tab NAT

Page 43: Tutorial Mikrotik Komplet

12.Pilih chain :srcnat, src.address:192.168.0.0/24, out.interface=pppoe-out2, kemudian pindah ke tab action

13.untuk action silahkan pilih: masquerade

Remote Mikrotik bagi pengguna ip public dynamis....

Pengantar...

Bagi anda sekalian pengguna ISP Tel**m aka Speeda, yang berlangganan paket opis atau paket lainnya yang diberikan IP dinamis dan menggunakan Mikrotik sebagai routernya ( jadi modem ADSL diconfigure sebagai "Bridge Mode only" dan dial dilakukan oleh mikrotik) dan berhasrat untuk meremote mikrotiknya dari jaringan internet, tentunya akan kesulitan. Dikarenakan IP yang berubah jika modem/mikrotiknya direstart.

Page 44: Tutorial Mikrotik Komplet

Dengan bantuan sebuah website (disini websitenya) kita dapat meremote mikrotik kita tanpa perlu memikirkan berapa ip account speda kita.....

Action...Sebelum action dilakukan diasumsikan bahwa tidak ada masalah dalam hal koneksi internetnya dimana yang dial adalah mikrotik..Selanjutnya silahkan buat account di website tadi, buat sebuah subdomain yang ditawarkan diwebsite tersebut dan aktifkan service dns-nya.Untuk mengetesnya silahkan ping subdomain yang baru anda buat tadi...klo berhasil akan ada reply dari ip account speda andaSetelah account dibuat (berarti anda telah memiliki username dan password untuk website tersebut) kita beralih ke mikrotik....

Mikrotik...Login ke Mikrotik anda melalui winbox...Masuk kemenu /System/Scripts...Klik add....dan masukan script ini :Untuk mikrotik v2.9.xx

:log info "DDNS: Begin":global ddns-user "YOURUSERID":global ddns-pass "YOURPASSWORD":global ddns-host "*1":global ddns-interface "EXACTINTERFACENAME"

:global ddns-ip [ /ip address get [/ip address find interface=$ddns-interface] address ]

:if ([ :typeof $ddns-lastip ] = nil ) do={ :global ddns-lastip 0.0.0.0/0 }

:if ([ :typeof $ddns-ip ] = nil ) do={

:log info ("DDNS: No ip address present on " . $ddns-interface . ", please check.")

} else={

:if ($ddns-ip != $ddns-lastip) do={

:log info "DDNS: Sending UPDATE!":log info [ /tool dns-update name=$ddns-host address=[:pick $ddns-ip 0 [:find $ddns-ip "/"] ] key-name=$ddns-user key=$ddns-pass ]:global ddns-lastip $ddns-ip

} else={

:log info "DDNS: No change"

}

}

:log info "DDNS: End"Untuk Mikrotik v3.x.x# Define User Variables:global ddnsuser "CHANGEIPUSERID":global ddnspass "CHANGEIPPASSWORD":global ddnshost "FREEHOSTNAME.TOUPDATE.TLD"

Page 45: Tutorial Mikrotik Komplet

# Define Global Variables:global ddnsip:global ddnslastip:if ([ :typeof $ddnslastip ] = nil ) do={ :global ddnslastip "0" }

:global ddnsinterface:global ddnssystem ("mt-" . [/system package get system version] )

# Define Local Variables:local int

# Loop thru interfaces and look for ones containing# default gateways without routing-marks:foreach int in=[/ip route find dst-address=0.0.0.0/0 active=yes ] do={:if ([:typeof [/ip route get $int routing-mark ]] != str ) do={ :global ddnsinterface [/ip route get $int interface]}}

# Grab the current IP address on that interface.:global ddnsip [ /ip address get [/ip address find interface=$ddnsinterface ] address ]

# Did we get an IP address to compare?:if ([ :typeof $ddnsip ] = nil ) do={:log info ("DDNS: No ip address present on " . $ddnsinterface . ", please check.")} else={

:if ($ddnsip != $ddnslastip) do={

:log info "DDNS: Sending UPDATE!":log info [ :put [/tool dns-update name=$ddnshost address=[:pick $ddnsip 0 [:find $ddnsip "/"] ] key-name=$ddnsuser key=$ddnspass ] ]:global ddnslastip $ddnsip

} else={:log info "DDNS: No update required."}

}

# End of scriptKemudian beri nama script sesuai dengan keinginan anda, lalu klik OKSetelah script dibuat selanjutnya kita membuat scheduller, agar secara periodik mikrotik kita mengupdate subdomain yang dibuat di website "tersebut".Masih di winbox, masuk ke menu /system/scheduler :Klik add...beri nama schedulernya....atur tanggal dimulainya scheduler....atur jamnya....atur periodenya...mau setiap menit..setiap jam atau setiap hari....

Page 46: Tutorial Mikrotik Komplet

Pada bagian On Event, tuliskan nama script yang anda buat tadi.

Selesai,selamat mencoba.

Menggabungkan Smoothwall dgn Mikrotik

Pengantar

Tidak bisa dipungkiri jika keberadaan webproxy (jika diconfigure dengan baik, dan ini bagi beberapa orang merupakan keasikan tersendiri atau juga merupakan beban tersendiri dikarenakan banyaknya parameter yang terdapat didalam squid webproxy yang dapat diconfigure. Perbedaan configure ini akan memberikan efek yang berbeda pula.)Untuk rekan-rekan yang tidak ingin ambil pusing dengan configure-configure tersebut, kecuali anda ingin "bermain-main" dengan parameter yang ada disquid, anda dapat menggunakan smoothwall atau ipcop. Memang Smoothwall atau IPCOP sesungguhnya merupakan operating sistem berbasis linux yang dikhususkan sebagai Gateway internet. Gateway ini menjembatani antara LAN dengan Internet. Namun kali ini saya akan menggabungkan kemampuan dari Mikrotik dengan kemampuan webproxy dari smoothwall. Smoothwall yang saya gunakan merupakan versi freeware atau versi community.Satu hal kenapa saya lebih memilih Smoothwall dibandingkan IPCOP adalah Dikarenakan hardware ditempat saya rata-rata sudah pakai P4, maka kernel 2.6 menjadi pilihan saya. Hal ini hanya dipenuhi oleh smoothwall sedangkan IPCOP masih berkutat pada kernel 2.4.Mikrotik digunakan sebagai gateway dan bandwidth management dikarenakan dihal

Page 47: Tutorial Mikrotik Komplet

tersebut mikrotik mempunyai nilai lebihnya.

Skema Jaringan| Inet Cloud |-------| Modem |-----| Mikrotik |------| Switch |-------| LAN |-----------------------------------------|-----------------------------------------|-----------------------------------------|-----------------------------------| Smoothwall |Asumsi

1.Mikrotik telah terinstall dan berjalan dengan baik.2.Client LAN telah sukses berinternetan.3.Mikrotik dan Smoothwall terletak di mesin yang berbeda.4.Untuk kasus saya,menggunakan koneksi speda (koneksi yang lain juga gpp, sama

saja pada intinya).5.Smoothwall diletakan sejajar mikrotik dikarenakan dari uji coba saya dengan

skema yang diatas lebih cocok buat saya, dibandingkan dengan skema dimana smoothwall berada sejajar client.

6.Ada baiknya untuk komputer yang akan digunakan sebagai webproxy memiliki spesifikasi, memory minimum 256 MB lebih dari itu lebih baik dianjurkan untuk memakai 1 GB. untuk Processor tidak terlalu signifikan. Untuk hardisk sebaiknya memakai SATA atau SCSI, dikarenakan untuk squid webproxy kekuatan dan kecepatan dari hardisk sangat menentukan "efek speed" dari browsing client. jikalau tidak ada SATA atau SCSI maka apa boleh buat memakai hardisk PATA.

7.Topologi pada smoothwall adalah green + red, jadi diperlukan 2 buah lancard di dalam mesin yang akan diinstall smoothwall

Peralatan Tempur

1.Smoothwall CD, dapat didonlot disini

2.putty, dapat didonlot disini3.Winscp, dapat didonlot disini4.advproxy, dapat didonlot disini5.urlfilter, dapat didonlot disini6.calamaris webproxy report, dapat didonlot disini7.Kopi/teh dan cemilan, silahkan cari ditoko terdekat :D

Action

Setelah ISO smoothwall didonlot kemudian di burning ke cd dengan program burning kesayangan anda. Untuk putty, winscp, advproxy, urlfilter dan calamaris dapat disimpan dikomputer lain yang nantinya meremote smoothwall. Karena paket-paket ini akan diinstall melalui komputer remote.Atur Bios Komputer yang akan diinstall Smoothwall agar dapat booting awal langsung dari CDROM, kemudian masukan cd Smoothwallnya.Tampilan awal Installasi Smoothwall :

Page 48: Tutorial Mikrotik Komplet

Setelah di ENTER maka akan muncul :

Lalu

Tekan OK, lalu tekan enter dua kali sehingga akan muncul...

Jika anda sebelumnya pernah menginstall smoothwall dan menyimpan backup config-nya kedalam floopydisk, maka ketika tampilan dibawah ini muncul masukan floopy disk backup dan tekan yes.

Page 49: Tutorial Mikrotik Komplet

Jika untuk pertama kali menginstall smoothwall maka cukup tekan tombol No.kemudian pilih keyboard mapping dan isikan nama dari smoothwall anda (hostname). Tahap selanjutnya adalah memilih "security policy" dikarenakan smoothwall kita nantinya berada didalam "zona aman" mikrotik maka kita biarkan security policy berada di open

kemudian masuk ke pemilihan topologi smoothwall

pilih green + red

Kemudian muncul tampilan konfirmasi untuk mengubah config network

Page 50: Tutorial Mikrotik Komplet

klik OK, lakukan probe untuk mendeteksi secara otomatis kartu jaringan anda

Setelah semua kartu jaringan terdeteksi, kemudian kita berikan IP-nya

Untuk kasus saya ini IP untuk GREEN dan RED diisikan IP dalam satu subnet, jadi misalkan untuk GREEN diberikan 192.168.10.2/255.255.255.0 (dengan asumsi untuk kartu jaringan dimikrotik yang mengarah ke smoothwall diberikan ip 192.168.10.1) maka untuk RED diberikan IP 192.168.10.3/255.255.255.0 dengan pilihan secara statik.

Kemudian ....

Isikan DNS dan default gatewaynya, untuk default gateway isikan ip mikrotik yang mengarah ke smoothwall (dalam kasus saya adalah 192.168.10.1). Untuk DNS bisa memakai IP mikrotik dengan catatan option "allow remote request"-nya di checklist/dipilih atau bisa memakai DNS yang diberikan oleh ISP.Untuk selanjutnya akan muncul screen...

Page 51: Tutorial Mikrotik Komplet

Dikarenakan akan menggunakan addons advproxy dkk, maka untuk section ini langsung saja klik finished.

Isikan password yang anda inginkan untuk mengakses smoothwall melalui web browser (user: admin)

Isikan password yang anda inginkan untuk mengakses smoothwall melalui terminal (user: root).

Installasi telah selesai, Klik OK untuk reboot.silahkan antara mikrotik dan smoothwall saling dihubungkan dengan kabel jaringan secara cross, untuk mengetesnya silahkan saling ping dari kedua sisi, apakah sudah ada reply atau belum.Setelah semua saling reply, saatnya.....

Configuring Smoothwall.....

Untuk selanjutnya kita dapat mengconfigure smoothwall melalui web browser, dengan

Page 52: Tutorial Mikrotik Komplet

mengetikip_smoothwall:81 di browser, sehingga akan muncul dibrowser anda seperti ini.

Setelah masuk ke configure smoothwall, langsung aja masuk ke tab service-->remote access..

ceklist bagian ssh, kemudian save...Kemudian masuk ke tab maintenance --> updatesuntuk mengupdates smoothwall agar segala bugs yang ada dapat ditambal melalui updates ini..

Jika koneksi keinternet anda tidak bermasalah maka akan terdapat updates-updates yang berasal dari websitenya smoothwall. Yang perlu diingat adalah setiap kali melakukan updates maka Mods-mods atau addons yang telah kita pasang wajib di uninstall dan install lagi, jika tidak dilakukan maka addons tidak dapat berjalan sebagaimana mestinya. Setelah semua updates didonlot kemudian diinstall dan kemudian smoothwall akan meminta reboot..untuk mengetahui apakah updates-updates tadi telah terinstall dapat dilihat di tab yang

Page 53: Tutorial Mikrotik Komplet

sama, maka akan muncul selain updates terbaru dari website smootwall (jika ada yang baru dan kita belum menginstallnya..) juga updates-updates yang telah terinstall oleh kita.

Installing Addons...

untuk menginstall addons (setelah kita donlot semua addons yang diperlukan) kita memerlukan peralatan tempur putty untuk menjalankan terminal smoothwall secara remote dari komputer lainnya dan juga winscp untuk memindahkan file-file addons dari komputer remote ke komputer smoothwall.

Install advproxyGunakan winscp untuk memindahkan file advproxy ke smoothwall (biasanya ditaruh difolder /tmp).login melalui ssh dengan user root, untuk windows bisa menggunakan putty dengan port ssh 222uncompress advproxytar –xzf swe3-nn-advproxy-version.tar.gzmasuk ke direktory hasil uncompress tadi dan jalankan:./installsetelah selesai install, melalui browser masuk ke smoothwall dan di tab service sudah web-proxy.

Page 54: Tutorial Mikrotik Komplet

untuk option yang diceklist silahkan melihat gambar diatas, untuk proxyport bisa memakai 8080 atau 3128 (port standar untuk webproxy, walaupun memakai yang lainnya juga gpp. Akan tetapi demi kelancaran dan keamanan lebih baik memakai satu diantara dua port tadi) memory cache size (MB) = 8Minimal object size (KB) = 0Hardisk cache size (MB) = 10000 ( hardisk yang saya pake 80 GB SATA)Maximum object size (KB) = 128000memory replacement policy = heap GDSFcache replacement policy = heap LFUDAuntuk option yang lain dibiarkan standard bawaan smoothwall ajabuat file di /var/smoothwall/proxy/store_url_rewrite.pldan isikan dengan :#!/usr/bin/perl

$|=1;while (<>) {@X = split;$url = $X[0];$url =~s@^http://(.*?)/get_video\?(.*)video_id=(.*?)&.*@squid://videos.youtube.INTERNAL/ID=$3@;$url =~s@^http://(.*?)/get_video\?(.*)video_id=(.*?)$@squid://videos.youtube.INTERNAL/ID=$3@;$url =~s@^http://(.*?)/videodownload\?(.*)docid=(.*?)$@squid://videos.google.INTERNAL/ID=$3@;$url =~s@^http://(.*?)/videodownload\?(.*)docid=(.*?)&.*@squid://videos.google.INTERNAL/ID=$3@;$url =~s@^http://(.*?)/albums\?&.*@squid://images.photobucket.INTERNAL/ID=$3@;#print "$url\n"; }$url =~s@^http://(.*?)/albums\?$@squid://images.photobucket.INTERNAL/ID=$3@;$url =~s@^http://(.*?)/albums\?&.*@squid://videos.photobucket.INTERNAL/ID=$3@;$url =~s@^http://(.*?)/albums\?$@squid://videos.photobucket.INTERNAL/ID=$3@;print "$url\n"; }ubah kepemilikan file ke 755

edit file /var/smoothwall/proxy/advanced/acls/include.acldan tambahkan iniacl store_rewrite_list url_regex ^http://(.*?)/get_video\?acl store_rewrite_list url_regex ^http://(.*?)/videodownload\?

Page 55: Tutorial Mikrotik Komplet

acl store_rewrite_list url_regex ^http://i(.*?).photobucket.com/albums/(.*?)/(.*?)/(.*?)\?acl store_rewrite_list url_regex ^http://vid(.*?).photobucket.com/albums/(.*?)/(.*?)\?

# The keyword for all youtube video files are "get_video?", "videodownload?" and "videoplaybeck?id"# The "\.(jp(e?g|e|2)|gif|png|tiff?|bmp|ico|flv)\?" is only for pictures and other videos#acl store_rewrite_list urlpath_regex \/(get_video\?|videodownload\?|videoplayback\?id) \.(jp(e?g|e|2)|gif|png|tiff?|bmp|ico|flv)\? \/ads\?#acl store_rewrite_list_web url_regex ^http:\/\/([A-Za-z-]+[0-9]+)*\.[A-Za-z]*\.[A-Za-z]*#acl store_rewrite_list_path urlpath_regex \.(jp(e?g|e|2)|gif|png|tiff?|bmp|ico|flv)$#acl store_rewrite_list_web_CDN url_regex ^http:\/\/[a-z]+[0-9]\.google\.com doubleclick\.net

#add this line before cache deny#acl QUERY2 urlpath_regex get_video\? videoplayback\? \.(jp(e?g|e|2)|gif|png|tiff?|bmp|ico|flv)\?#cache allow QUERY2#cache allow store_rewrite_list_web_CDN#cache deny url that has cgi-bin and ? this is the default for below squid 2.7 version#acl QUERY urlpath_regex cgi-bin \?#cache deny QUERY

#storeurl_access allow store_rewrite_list#this is not related to youtube video its only for CDN pictures#storeurl_access allow store_rewrite_list_web_CDN#storeurl_access allow store_rewrite_list_web store_rewrite_list_path#storeurl_access deny all#rewrite_program path is base on windows so use use your own path#storeurl_rewrite_program /var/smoothwall/proxy/google_cache.pl#storeurl_rewrite_children 1#storeurl_rewrite_concurrency 10

#http_access allow manager localhostcache allow store_rewrite_listcache allow allstoreurl_access allow store_rewrite_liststoreurl_access deny allstoreurl_rewrite_program /var/smoothwall/proxy/store_url_rewrite.plstoreurl_rewrite_children 1storeurl_rewrite_concurrency 10

acl file_terlarang url_regex -i hot_indonesia.exeacl file_terlarang url_regex -i hotsurprise_id.exeacl file_terlarang url_regex -i best-mp3-download.exeacl file_terlarang url_regex -i R32.exeacl file_terlarang url_regex -i rb32.exeacl file_terlarang url_regex -i mp3.exeacl file_terlarang url_regex -i HOTSEX.exeacl file_terlarang url_regex -i Browser_Plugin.exeacl file_terlarang url_regex -i DDialer.exeacl file_terlarang url_regex -i od-teen

Page 56: Tutorial Mikrotik Komplet

acl file_terlarang url_regex -i URLDownload.exeacl file_terlarang url_regex -i od-stnd67.exeacl file_terlarang url_regex -i Download_Plugin.exeacl file_terlarang url_regex -i od-teen52.exeacl file_terlarang url_regex -i malaysexacl file_terlarang url_regex -i edita.htmlacl file_terlarang url_regex -i info.exeacl file_terlarang url_regex -i run.exeacl file_terlarang url_regex -i Lovers2Goacl file_terlarang url_regex -i GlobalDialeracl file_terlarang url_regex -i WebDialeracl file_terlarang url_regex -i britneynudeacl file_terlarang url_regex -i download.exeacl file_terlarang url_regex -i backup.exeacl file_terlarang url_regex -i GnoOS2003acl file_terlarang url_regex -i wintrim.exeacl file_terlarang url_regex -i MPREXE.EXEacl file_terlarang url_regex -i exengd.EXEacl file_terlarang url_regex -i xxxvideo.exeacl file_terlarang url_regex -i Save.exeacl file_terlarang url_regex -i ATLBROWSER.DLLacl file_terlarang url_regex -i NawaL_rmacl file_terlarang url_regex -i Socks32.dllacl file_terlarang url_regex -i Sc32Lnch.exeacl file_terlarang url_regex -i dat0.exehttp_access deny file_terlarang

#youtube's videosrefresh_pattern -i (get_video\?|videodownload\?|videoplayback\?) 161280 50000% 525948 override-expire ignore-reload#and for picturesrefresh_pattern -i \.(jp(e?g|e|2)|gif|png|tiff?|bmp|ico|flv)(\?|$) 161280 3000% 525948 override-expire reload-into-imsrefresh_pattern ^http://(.*?)/get_video\? 10080 90% 999999 override-expire ignore-no-cache ignore-privaterefresh_pattern ^http://(.*?)/videodownload\? 10080 90% 999999 override-expire ignore-no-cache ignore-privaterefresh_pattern ^http://i(.*?).photobucket.com/albums/(.*?)/(.*?)/(.*?)\? 43200 90% 999999 override-expire ignore-no-cache ignore-privaterefresh_pattern ^http://vid(.*?).photobucket.com/albums/(.*?)/(.*?)\? 43200 90% 999999 override-expire ignore-no-cache ignore-privaterefresh_pattern -i (/cgi-bin/|\?) 0 0% 0refresh_pattern -i \.(swf|png|jpg|jpeg|bmp|tiff|png|gif) 43200 90% 129600 reload-into-ims override-lastmodrefresh_pattern -i \.(mov|mpg|mpeg|flv|avi|mp3|3gp|sis|wma) 43200 90% 129600 reload-into-ims override-lastmodrefresh_pattern -i \.(zip|rar|tgz|bin|ace|bz|bz2|tar|gz|exe) 43200 90% 129600 reload-into-ims override-lastmodrefresh_pattern -i (.*html$|.*htm|.*shtml|.*aspx|.*asp) 43200 90% 1440 reload-into-ims override-lastmodrefresh_pattern -i \.(class|css|js|gif|jpg)$ 10080 90% 43200 override-expire

Page 57: Tutorial Mikrotik Komplet

refresh_pattern -i \.(jpe|tif)$ 10080 90% 43200 override-expirerefresh_pattern -i \.(mpe|wmv|wav|au|mid)$ 10080 90% 43200 override-expirerefresh_pattern -i \.(arj|lha|lzh)$ 10080 90% 43200 override-expirerefresh_pattern -i \.(hqx|pdf|rtf|doc|swf)$ 10080 90% 43200 override-expirerefresh_pattern -i \.(inc|cab|ad|txt|dll)$ 10080 90% 43200 override-expirerefresh_pattern -i \.(asp|acgi|pl|shtml|php3|php)$ 2 20% 4320 reload-into-imsrefresh_pattern ^http://*.google.*/.* 720 90% 4320 reload-into-ims override-lastmodrefresh_pattern ^http://*korea.*/.* 720 90% 4320 reload-into-ims override-lastmodrefresh_pattern ^http://*.akamai.*/.* 720 90% 4320 reload-into-ims override-lastmodrefresh_pattern ^http://*.windowsmedia.*/.* 720 90% 4320 reload-into-ims override-lastmodrefresh_pattern ^http://*.googlesyndication.*/.* 720 90% 4320 reload-into-ims override-lastmodrefresh_pattern ^http://*.plasa.*/.* 720 90% 4320 reload-into-ims override-lastmodrefresh_pattern ^http://*.telkom.*/.* 720 90% 4320 reload-into-ims override-lastmodrefresh_pattern ^http://*.friendster.com/.* 720 90% 10080 reload-into-ims override-lastmodrefresh_pattern ^http://*.facebook.com/.* 720 90% 10080 reload-into-ims override-lastmodrefresh_pattern ^http://*.blogspot.*/.* 720 90% 10080refresh_pattern ^http://*.wikipedia.*/.* 720 90% 10080refresh_pattern ^http://*.wordpress.*/.* 720 90% 10080refresh_pattern ^http://*.bhinneka.*/.* 720 90% 10080refresh_pattern ^http://*.okezone.*/.* 720 90% 10080refresh_pattern ^http://*.multiplay.*/.* 720 90% 10080refresh_pattern ^http://*.blogger.*/.* 720 90% 10080refresh_pattern ^gopher: 1440 0% 1440refresh_pattern ^ftp: 43200 90% 129600 reload-into-ims override-expirerefresh_pattern ^http://www.detiksport.com/.* 180 35% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.kompas.com/.* 180 35% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.detiknews.com/.* 180 35% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.photobucket.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.detikhot.com/.* 180 35% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.kapanlagi.com/.* 180 35% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.okezone.com/.* 180 35% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.indowebster.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.telkomspeedy.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.imagevenue.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.flickr.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.imageshack.us/.* 180 100% 4320 override-expire override-

Page 58: Tutorial Mikrotik Komplet

lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.usercash.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.googlesyndication.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.co.cc/.* 180 35% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.21cineplex.com/.* 180 35% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.saatchi-gallery.co.uk/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.onemanga.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.jobsdb.com/.* 180 35% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.imeem.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.download.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.amazon.com/.* 180 35% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.friendster-layouts.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.geocities.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.redtube.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.files.wordpress.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://indonetwork.co.id/.* 180 35% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://gudanglagu.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://megaupload.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.karir.com/.* 180 35% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.myspace.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.multiply.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.rapidshare.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.4shared.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.ziddu.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.kaskus.com/.* 180 35% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://www.kaskus.us/.* 180 35% 4320 override-expire override-lastmod ignore-reload reload-into-ims

Page 59: Tutorial Mikrotik Komplet

refresh_pattern ^http://www.friendster.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://mail.yahoo.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://login.yahoo.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://mail.yahoo.co.id/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://mail.google.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://*.yahoo.*/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://*.yahoo.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://*.yahoo.co.id/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://*.akamai.net/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://*.yimg.*/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://*.gmail.*/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern ^http://*.detik.*/.* 180 35% 4320 override-expire override-lastmod ignore-reload reload-into-imsrefresh_pattern . 0 20% 4320

#opsi zphzph_mode toszph_local 0x30zph_parent 0zph_option 136

#opsi yg lainquick_abort_min 0quick_abort_max 0quick_abort_pct 100ie_refresh offclient_lifetime 2 hours#ipcache_size 4096#ipcache_low 90#ipcache_high 95maximum_object_size_in_memory 64 KBdari browser masuk ke tab web proxy lalu klik save and restart

Install UrlfilterDengan cara yang sama, pindahkan file urlfilter hasil donlot ke folder /tmp dengan menggunakan winscp, lalu uncompresslogin melalui ssh dengan user root, untuk windows bisa menggunakan putty dengan port ssh 222uncompress urlfiltertar -xzf sw3-nn-urlfilter-version.tar.gz

Page 60: Tutorial Mikrotik Komplet

masuk kedirektory hasil uncompress dan jalankan./installsetelah selesai install, melalui browser masuk ke smoothwall dan di tab service dibagian service sudah terdapat option url filter.

Untuk update blacklist-nya bisa disinisetelah semua option yang diinginkan untuk difilter kemudian di save.untuk menggabungkan dengan advproxy (dibagian paling bawah tab web-proxy terdapat option url filter) silahkan diceklist dan klik save and restart web-proxy nya.

Install calamaris webproxy reportingDengan cara yang sama, pindahkan file urlfilter hasil donlot ke folder /tmp dengan menggunakan winscp, lalu uncompresslogin melalui ssh dengan user root, untuk windows bisa menggunakan putty dengan port ssh 222uncompress urlfiltertar -xzf sw3-nn-calamaris-version.tar.gz

Page 61: Tutorial Mikrotik Komplet

masuk kedirektory hasil uncompress dan jalankan./installSetelah berhasil install maka di tab logs (dilihat melalui browser) akan terdapat tab proxy report.

sedikit tuning......edit file /etc/rc.d/rc.firewall.up dengan...# set network tweaksecho 49152 > /proc/sys/fs/file-maxecho 262144 > /proc/sys/net/core/rmem_defaultecho 262144 > /proc/sys/net/core/rmem_maxecho 262144 > /proc/sys/net/core/wmem_defaultecho 262144 > /proc/sys/net/core/wmem_maxecho 4096 87380 8388608 > /proc/sys/net/ipv4/tcp_rmemecho 4096 65536 8388608 > /proc/sys/net/ipv4/tcp_wmemecho 4096 4096 4096 > /proc/sys/net/ipv4/tcp_memecho 1 > /proc/sys/net/ipv4/tcp_low_latencyecho 4000 > /proc/sys/net/core/netdev_max_backlogecho 1024 65000 > /proc/sys/net/ipv4/ip_local_port_rangeecho 16384 > /proc/sys/net/ipv4/tcp_max_syn_backloglalu reboot smoothwall-nya..

Untuk mengetest silahkan di browser client di isikan proxy secara manual dan dicoba untuk browsing..

Transparent proxy....

Masukan rule ini melalui terminal mikrotik :/ip firewall natadd action=dst-nat chain=dstnat comment="" disabled=no dst-port=80 \in-interface=LAN protocol=tcp src-address-list=LAN to-addresses=\192.168.10.2 to-ports=8080ini untuk membuat agar client tidak perlu memasukan secara manual setting port proxy kedalam browsernya (transparent) dan memaksa semua trafik http (port 80) untuk di dst-nat ke ip smoothwall (192.168.10.2 itu ip smoothwall, silahkan sesuaikan dengan jaringan anda)

Load Balancing Dual DSL Speedy di Satu Router

Jumat, 7 September 2007M24 Syaban 1428H

•data recovery •Dating •Laura Ashley •HP Compaq RAM Memory Upgrade •Psychic

Banyak pertanyaan dari teman-teman, terutama para operator warnet, admin jaringan sekolah/kampus dan korporasi tentang load balancing dua atau lebih koneksi internet. Cara praktikal sebenarnya banyak dijumpai jika kita cari di internet,

Page 62: Tutorial Mikrotik Komplet

namun banyak yang merasa kesulitan pada saat diintegrasikan. Penyebab utamanya adalah karena kurang mengerti konsep jaringan, baik di layer 2 atau di layer 3 protokol TCP/IP. Dan umumnya dual koneksi, atau multihome lebih banyak diimplementasikan dalam protokol BGP. Protokol routing kelas ISP ke atas, bukan protokol yang dioprek-oprek di warnet atau jaringan kecil.

Berikut beberapa konsep dasar yang sering memusingkan:

1. UnicastProtokol dalam trafik internet yang terbanyak adalah TCP, sebuah komunikasi antar host di internet (praktiknya adalah client-server, misal browser anda adalah client maka google adalah server). Trafik ini bersifat dua arah, client melakukan inisiasi koneksi dan server akan membalas inisiasi koneksi tersebut, dan terjadilah TCP session (SYN dan ACK).

2. Destination-addressDalam jaringan IP kita mengenal router, sebuah persimpangan antara network address dengan network address yang lainnya. Makin menjauh dari pengguna persimpangan itu sangat banyak, router-lah yang mengatur semua trafik tersebut. Jika dianalogikan dengan persimpangan di jalan, maka rambu penunjuk jalan adalah routing table. Penunjuk jalan atau routing table mengabaikan “anda datang dari mana”, cukup dengan “anda mau ke mana” dan anda akan diarahkan ke jalan tepat. Karena konsep inilah saat kita memasang table routing cukup dengan dua parameter, yaitu network address dan gateway saja.

3. Source-addressSource-address adalah alamat IP kita saat melakukan koneksi, saat paket menuju ke internet paket akan melewati router-router ISP, upstream provider, backbone internet dst hingga sampai ke tujuan (SYN). Selanjutnya server akan membalas koneksi (ACK) sebaliknya hingga kembali ke komputer kita. Saat server membalas koneksi namun ada gangguan saat menuju network kita (atau ISPnya) maka komputer kita sama sekali tidak akan mendeteksi adanya koneksi. Seolah-olah putus total, walaupun kemungkinan besar putusnya koneksi hanya satu arah.

4. Default gatewaySaat sebuah router mempunyai beberapa interface (seperti persimpangan, ada simpang tiga, simpang empat dan simpang lima) maka tabel routing otomatis akan bertambah, namun default router atau default gateway hanya bisa satu. Fungsinya adalah mengarahkan paket ke network address yang tidak ada dalam tabel routing (network address 0.0.0.0/0).

5. Dua koneksiPermasalahan umumnya muncul di sini, saat sebuah router mempunyai dua koneksi ke internet (sama atau berbeda ISP-nya). Default gateway di router tetap hanya bisa satu, ditambah pun yang bekerja tetap hanya satu. Jadi misal router NAT anda terhubung ke ISP A melalui interface A dan gateway A dan ke ISP B melalui interface B dan gateway B, dan default gateway ke ISP A, maka trafik downlink hanya akan datang dari ISP A saja. Begitu juga sebaliknya jika dipasang default gateway ke ISP B.

Bagaimana menyelesaikan permasalahan tersebut?Konsep utamanya adalah source-address routing. Source-address routing ibaratnya

Page 63: Tutorial Mikrotik Komplet

anda dicegat di persimpangan oleh polisi dan polisi menanyakan “anda dari mana?” dan anda akan ditunjukkan ke jalur yang tepat.

Pada router NAT (atau router pada umumnya), source-address secara default tidak dibaca, tidak dipertimbangkan. Jadi pada kasus di atas karena default gateway ke ISP A maka NAT akan meneruskan paket sebagai paket yang pergi dari IP address interface A (yang otomatis akan mendapat downlink dari ISP A ke interface A dan diteruskan ke jaringan dalam).

Dalam jaringan yang lebih besar (bukan NAT), source-address yang melewati network lain disebut sebagai transit (di-handle dengan protokol BGP oleh ISP). Contoh praktis misalnya anda membeli bandwidth yang turun dari satelit melalui DVB, namun koneksi uplink menggunakan jalur terestrial (dial-up, leased-line atau fixed-wireless). Dalam kasus ini paket inisiasi koneksi harus menjadi source-address network downlink DVB, agar bandwidth downlink dari internet mengarah DVB receiver, bukan ke jalur terestrial.

Di lingkungan Linux, pengaturan source-address bisa dilakukan oleh iproute2. Iproute2 akan bekerja sebelum diteruskan ke table routing. Misal kita mengatur dua segmen LAN internal agar satu segmen menjadi source-address A dan satu segmen lainnya menjadi source-address B, agar kedua koneksi ke ISP terutilisasi bersamaan.

Penerapan utilisasi dua koneksi tersebut bisa mengambil tiga konsep, yaitu round-robin, loadbalance atau failover.

6. Round-robinMisalkan anda mempunyai tiga koneksi internet di satu router NAT, koneksi pertama di sebut Batman, koneksi kedua disebut Baskin dan koneksi ketiga disebut Williams, maka konsep round-robin adalah sang Robin akan selalu berpindah-pindah secara berurutan mengambil source-address (bukan random). Misal ada satu TCP session dari komputer di jaringan internal, maka koneksi TCP tersebut tetap di source-address pertama hingga sesi TCP selesai (menjadi Batman & Robin). Saat TCP session Batman & Robin tersebut belum selesai, ada ada request koneksi baru dari jaringan, maka sang Robin akan mengambil source-address koneksi berikutnya, menjadi Baskin & Robin. Dan seterusnya sang Robin akan me-round-round setiap koneksi tanpa memperhatikan penuh atau tidaknya salah satu koneksi.

Pasti anda sedang pusing membaca kalimat di atas, atau sedang tertawa terbahak-bahak.

7. LoadbalanceKonsep loadbalance mirip dengan konsep round-robin di atas, hanya saja sang Robin dipaksa melihat utilisasi ketiga koneksi tersebut di atas. Misalkan koneksi Batman & Robin serta Baskin & Robin sudah penuh, maka koneksi yang dipilih yang lebih kosong, dan koneksi yang diambil menjadi Robin Williams. Request koneksi berikutnya kembali sang Robin harus melihat dulu utilisasi koneksi yang ada, apakah ia harus menjadi Batman & Robin, Baskin & Robin atau Robin Williams, agar semua utilisasi koneksi seimbang, balance.

8. FailoverKonsep fail-over bisa disebut sebagai backup otomatis. Misalkan kapasitas link terbesar adalah link Batman, dan link Baskin lebih kecil. Kedua koneksi tersebut terpasang

Page 64: Tutorial Mikrotik Komplet

online, namun koneksi tetap di satu link Batman & Robin, sehingga pada saat link Batman jatuh koneksi akan berpindah otomatis ke link Baskin, menjadi Baskin & Robin hingga link Batman up kembali.

*makan es krim Haagendaz dulu*

Tools NAT yang mempunyai ketiga fitur di atas adalah Packet Firewall (PF) di lingkungan BSD, disebut dengan nat pool. Saya belum menemukan implementasi yang bagus (dan cukup mudah) di Linux dengan iproute2.

*Uraian panjang di atas hanyalah kata sambutan sodara-sodara…*

Berikut contoh implementasi load balance dua koneksi sesuai judul di atas. Dijalankan di mesin OpenBSD sebagai NAT router dengan dua koneksi DSL Telkom, interface ethernet sk0 dan sk1.

1. Aktifkan forwarding di /etc/sysctl.conf

net.inet.ip.forwarding=1

2. Pastikan konfigurasi interface dan default routing kosong, hanya filename saja

# /etc/hosts.sk0# /etc/hosts.sk1# /etc/hostname.sk0# /etc/hostname.sk1# /etc/mygate

Script koneksi DSL Speedy, pppoe0 untuk koneksi pertama dan pppoe1 untuk koneksi kedua. Sesuaikan interface, username dan passwordnya. Jangan lupa, gunakan indent tab.

# /etc/ppp/ppp.confdefault: set log Phase Chat LCP IPCP CCP tun command set redial 15 0 set reconnect 15 10000pppoe0: set device "!/usr/sbin/pppoe -i sk0" disable acfcomp protocomp deny acfcomp set mtu max 1492 set mru max 1492 set crtscts off set speed sync enable lqr set lqrperiod 5 set cd 5 set dial set login set timeout 0 set authname [email protected] set authkey asaljangandejek add! default HISADDR enable dns enable mssfixup

Page 65: Tutorial Mikrotik Komplet

pppoe1: set device "!/usr/sbin/pppoe -i sk1" disable acfcomp protocomp deny acfcomp set mtu max 1492 set mru max 1492 set crtscts off set speed sync enable lqr set lqrperiod 5 set cd 5 set dial set login set timeout 0 set authname [email protected] set authkey vikingboneksamasaja add! default HISADDR enable dns enable mssfixup

3. Aktifkan interface sk0 dan sk1

# ifconfig sk0 up# ifconfig sk1 up

4. Jalankan PPPoE, Point to Point Protocol over Ethernet.

# ppp -ddial pppoe0# ppp -ddial pppoe1

5. Jika koneksi Speedy berhasil, IP address dari Speedy akan di-binding di interface tunneling tun0 dan tun1

# ifconfigtun0: flags=8051 mtu 1492 groups: tun egress inet 125.xxx.xxx.113 --> 125.163.72.1 netmask 0xfffffffftun1: flags=8051 mtu 1492 groups: tun inet 125.xxx.xxx.114 --> 125.163.72.1 netmask 0xffffffff

6. Dan default gateway akan aktif

# netstat -nr |moreRouting tablesInternet:Destination Gateway Flags Refs Use Mtu Interfacedefault 125.163.72.1 UGS 7 17529 - tun0

7. Serta konfigurasi resolver DNS pun akan terisi

# cat /etc/resolv.conflookup file bindnameserver 202.134.2.5nameserver 203.130.196.5

8. Aktifkan Packet Firewall pf

Page 66: Tutorial Mikrotik Komplet

# /etc/rc.confpf=”YES”

9. Script Packet Firewall NAT dan balancing dengan round-robin (ganti round-robin dengan loadbalance jika lebih sesuai dengan kebutuhan anda). Baris yang di-indent masih termasuk baris di atasnya. Entah kenapa tag <pre> malah menghilangkan karakter backslash (\).

# /etc/pf.conflan_net = "10.0.0.0/8"int_if = "vr0"ext_if1 = "tun0"ext_if2 = "tun1"ext_gw1 = "125.163.72.1"ext_gw2 = "125.163.72.1"# scrub allscrub in all# nat outgoing connections on each internet interfacenat on $ext_if1 from $lan_net to any -> ($ext_if1)nat on $ext_if2 from $lan_net to any -> ($ext_if2)# pass all outgoing packets on internal interfacepass out on $int_if from any to $lan_net# pass in quick any packets destined for the gateway itselfpass in quick on $int_if from $lan_net to $int_if# load balance outgoing tcp traffic from internal network.pass in on $int_if route-to \ { ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \ proto tcp from $lan_net to any flags S/SA modulate state# load balance outgoing udp and icmp traffic from internal networkpass in on $int_if route-to \ { ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \ proto { udp, icmp } from $lan_net to any keep state# general "pass out" rules for external interfacespass out on $ext_if1 proto tcp from any to any flags S/SA modulate statepass out on $ext_if1 proto { udp, icmp } from any to any keep statepass out on $ext_if2 proto tcp from any to any flags S/SA modulate statepass out on $ext_if2 proto { udp, icmp } from any to any keep state

10. Aktifkan script yang diperlukan di /etc/rc.local agar setiap reboot langsung bekerja.

ifconfig sk0 upifconfig sk1 up# aktifkan speedyppp -ddial pppoe0ppp -ddial pppoe1

PF akan langsung bekerja membaca /etc/pf.conf.Jika harus me-restart koneksi DSL Speedy, pastikan pppoe dimatikan dulu

# pkill ppp

Jika tidak, maka ppp akan membuat tunneling baru menjadi tun2, tun3 dan seterusnya.

11. Untuk memantau fungsi nat pool round-robin di atas bekerja atau tidak, bisa menggunakan tools pftop yang bisa diambil di http://www.eee.metu.edu.tr/~canacar/pftop/

Page 67: Tutorial Mikrotik Komplet

Jika anda mengoptimasikan koneksi jaringan juga dengan menggunakan proxy, misalnya Squid, maka proxy Squid jangan dipasang juga di mesin router NAT tersebut, sebab saat Squid mengakses halaman web ke internet; oleh PF dianggap bukan sebagai koneksi NAT, jadi tidak akan di-balance, dan akan stay mengambil interface utama dan default gateway pertama. Simpanlah mesin proxy/squid di belakang router NAT, agar koneksi proxy ke internet menjadi trafik NAT yang akan di-balance oleh script PF di atas.

Memisahkan Bandwidth Lokal dan International menggunakan Mikrotik

From SpeedyWikiJump to: navigation, search Written by [email protected] http://www.datautama.net.idWednesday, 08 November 2006

Versi 3

Perubahan dari versi sebelumnya:

1.Proses mangle berdasarkan address-list 2.Pemisahan traffic Indonesia dan overseas lebih akurat

Semakin berkembangnya konten Internet lokal di Indonesia telah memberikan peluang bisnis baru dalam industri Internet di Indonesia. Saat ini banyak Internet Service Provider (ISP) yang menawarkan paket bandwidth lokal atau IIX yang lebih besar dibandingkan bandwidth Internet Internasional, hal ini seiring dengan semakin banyaknya pengelola RT/RW-net yang mampu menyediakan layanan koneksi Internet yang lebih terjangkau bagi lingkungan sekitarnya.

Permasalahan umum yang terjadi pada jaringan RT/RW-net adalah masalah pengaturan bandwidth. Pada umumnya pengelola RT/RW-net akan kesulitan pada saat ingin memisahkan antara traffic lokal dengan traffic internasional karena umumnya jaringan RT/RW-net hanya menggunakan static routing, berbeda dengan ISP yang mampu membangun jaringan yang lebih komplek menggunakan protocol routing BGP sehingga ISP dapat dengan mudah memisahkan antara traffic local dan internasional.

Untuk memisahkan traffic lokal dengan traffic internasional tersebut RT/RW-net dapat dengan mudah menggunakan PC Router + Sistem Operasi Mikrotik, Mikrotik sebenarnya adalah linux yang sudah di buat sedemikian rupa oleh pengembangnya sehingga sangat mudah diinstall dan di konfigur dengan banyak sekali fitur dan fungsi. Untuk lebih lanjut mengenai mikrotik dapat dilihat pada situs webnya http://www.mikrotik.com atau http://www.mikrotik.co.id

Berikut adalah sekenario jaringan dengan Mikrotik sebagai router

Page 68: Tutorial Mikrotik Komplet

Gambar 1. Skenario Jaringan

Penjelasan:

1.Mikrotik Router dengan 2 Network Interface Card (NIC) Ether1 dan Ether3, dimana Ether1 adalah Ethernet yang terhubung langsung ke ISP dan Ether3 adalah Ethernet yang terhubung langsung dengan jaringan 192.168.2.0/24

2.Bandwidth dari ISP misalnya 256Kbps internasional dan 1024Kbps lokal IIX 3.Komputer 192.168.2.4 akan diberi alokasi bandwidth 128Kbps internasional dan

256Kbps lokal IIX

Untuk memisahkan antara traffic lokal IIX dengan traffic internasional caranya adalah dengan menandai paket data yang menuju atau berasal dari jaringan lokal IIX menggunakan mangle. Pertanyaannya bagaimana caranya Mikrotik bisa mengetahui paket tersebut menuju atau berasal dari jairngan lokal IIX?

Jawabannya adalah dengan mengambil data dari http://lg.mohonmaaf.com

karena http://lg.mohonmaaf.com sudah tidak aktif maka data dapat diambil dari:

http://203.89.24.3/cgi-bin/lg.cgi

Pilih Query dengan men-cek-list BGP dan klik Submit

Gambar 2. Hasil Query http://lg.mohonmaaf.com untuk perintah “show ip bgp”

Fungsi dari http://lg.mohonmaaf.com adalah sebagai fasilitas looking glass jaringan lokal yang dikelola oleh PT. IDC , terima kasih kepada Bapak Johar Alam yang telah menyediakan layanan tersebut.

Dari hasil query tersebut selanjutnya simpan sebagai text files untuk selanjutnya dapat diolah dengan menggunakan spreadsheet contohnya Ms. Excel untuk mendapatkan

Page 69: Tutorial Mikrotik Komplet

semua alamat Network yang diadvertise oleh router-router BGP ISP lokal Indonesia pada BGP router IDC atau National Inter Connection Exchange (NICE).

Pada penjelasan versi-2 dokumen ini saya menggunakan teknik langsung memasukkan daftar ip blok ke /ip firewall mangle, dengan teknik ini saya harus memasukkan dua kali daftar ip yang didapat dari router NICE ke /ip firewall mangle.

Cara lain yang lebih baik adalah dengan memasukkan daftar ip blok dari router NICE ke /ip firewall address-list dengan demikian maka pada /ip firewall mangle hanya terdapat beberapa baris saja dan pemisahan traffic Indonesia dan overseas dapat lebih akurat karena mangle dapat dilakukan berdasarkan address-list saja.

Lebih jelasnya adalah sbb:

Selanjutnya buat script berikut untuk dapat diimport oleh router Mikrotik

/ ip firewall address-listadd list=nice address=58.65.240.0/23 comment="" disabled=noadd list=nice address=58.65.242.0/23 comment="" disabled=noadd list=nice address=58.65.244.0/23 comment="" disabled=noadd list=nice address=58.65.246.0/23 comment="" disabled=noadd list=nice address=58.145.174.0/24 comment="" disabled=noadd list=nice address=58.147.184.0/24 comment="" disabled=noadd list=nice address=58.147.185.0/24 comment="" disabled=nodst…

untuk mendapatkan script diatas dapat melalui URL berikut:

http://www.datautama.net.id/harijanto/mikrotik/datautama-nice.php

URL diatas secara online akan melakukan query ke router NICE dari http://lg.mohonmaaf.com

CATATAN:

Karena lg.mohonmaaf.com tidak dapat diakses maka utk daftar ip local dapat di ambil dari

http://ixp.mikrotik.co.id/download/nice.rsc

atau dari

http://www.datautama.net.id/harijanto/mikrotik/datautama-nice.php

yang datanya dari looking glass DatautamaNet

dari hasil URL diatas copy lalu paste ke mikrotik dengan menggunakan aplikasi putty.exe ssh ke ipmikrotik tersebut, caranya setelah di copy teks hasil proses URL diatas lalu klik kanan mouse pada jendela ssh putty yang sedang meremote mikrotik tersebut. Cara ini agak kurang praktis tetapi karena jika script diatas dijadikan .rsc ternyata akan bermasalah karena ada beberapa baris ip blok yang saling overlap sebagai contoh:

Page 70: Tutorial Mikrotik Komplet

\... add address=222.124.64.0/23 list="nice"[datautama@router-01-jkt] > /ip firewall address-list \\... add address=222.124.64.0/21 list="nice"address ranges may not overlap

dimana 222.124.64.0/21 adalah supernet dari 222.124.64.0/23 artinya diantara dua blok ip tersebut saling overlap, sehingga pada saat proses import menggunakan file .rsc akan selalu berhenti pada saat menemui situasi seperti ini.

Sampai saat ini saya belum menemukan cara yang praktis utk mengatasi hal tersebut diatas. Kalau saja kita bisa membuat address-list dari table prefix BGP yang dijalankan di mikrotik maka kita bisa mendapatkan address-list dengan lebih sempurna.

Selanjutnya pada /ip firewall mangle perlu dilakukan konfigurasi sbb:

/ ip firewall mangleadd chain=forward src-address-list=nice action=mark-connection \ new-connection-mark=mark-con-indonesia passthrough=yes comment="mark all \ indonesia source connection traffic" disabled=noadd chain=forward dst-address-list=nice action=mark-connection \ new-connection-mark=mark-con-indonesia passthrough=yes comment="mark all \ indonesia destination connection traffic" disabled=noadd chain=forward src-address-list=!nice action=mark-connection \ new-connection-mark=mark-con-overseas passthrough=yes comment="mark all \ overseas source connection traffic" disabled=noadd chain=forward dst-address-list=!nice action=mark-connection \ new-connection-mark=mark-con-overseas passthrough=yes comment="mark all \ overseas destination connection traffic" disabled=noadd chain=prerouting connection-mark=mark-con-indonesia action=mark-packet \ new-packet-mark=indonesia passthrough=yes comment="mark all indonesia \ traffic" disabled=noadd chain=prerouting connection-mark=mark-con-overseas action=mark-packet \ new-packet-mark=overseas passthrough=yes comment="mark all overseas \ traffic" disabled=no

Langkah selanjutnya adalah mengatur bandwidth melalui queue simple, untuk mengatur bandwidth internasional 128Kbps dan bandwidth lokal IIX 256Kbps pada komputer dengan IP 192.168.2.4 dapat dilakukan dengan contoh script sbb:

/ queue simpleadd name="harijant-indonesia" target-addresses=192.168.2.4/32 \ dst-address=0.0.0.0/0 interface=all parent=none packet-marks=indonesia \ direction=both priority=8 queue=default/default limit-at=0/0 \ max-limit=256000/256000 total-queue=default disabled=noadd name="harijanto-overseas" target-addresses=192.168.2.4/32 \ dst-address=0.0.0.0/0 interface=all parent=none packet-marks=overseas \ direction=both priority=8 queue=default/default limit-at=0/0 \ max-limit=128000/128000 total-queue=default disabled=no

Script diatas berarti hanya komputer dengan IP 192.168.2.4 saja yang di batasi bandwidthnya 128Kbps internasional (overseas) dan 256Kbps lokal IIX (indonesia) sedangkan yang lainnya tidak dibatasi.

Hasil dari script tersebut adalah sbb:

Page 71: Tutorial Mikrotik Komplet

Gambar 3. simple queue untuk komputer 192.168.2.4

Dengan demikian maka komputer 192.168.2.4 hanya dapat mendownload atau mengupload sebesar 128Kbps untuk internasional dan 256Kbps untuk lokal IIX.

Untuk mengujinya dapat menggunakan bandwidthmeter sbb:

Gambar 4. Hasil bandwidth meter komputer 192.168.2.4 ke lokal ISP

Gambar 5. Hasil bandwidth meter ke ISP internasional

Dengan demikian berarti Mikrotik telah berhasil mengatur pemakaian bandwidth internasional dan lokal IIX sesuai dengan yang diharapkan pada komputer 192.168.2.4.

Pada penjelasan versi-3 ini proses mangle terhadap traffic “overseas” dapat lebih akurat karena menggunakan address-list dimana arti dari src-address=!nice adalah source address “bukan nice” dan dst-address=!nice adalah destination address “bukan nice”.

Sehingga demikian traffic “overseas” tidak akan salah identifikasi, sebelumnya pada penjelasan versi-2 traffic “overseas” bisa salah indentifikasi karena traffic “overseas” di definisikan sbb

add connection-mark=mark-con-indonesia action=mark-packet new-packet-mark=indonesia chain=prerouting comment="mark indonesia" add packet-mark=!indonesia action=mark-packet new-packet-mark=overseas chain=prerouting comment="mark all overseas traffic"

Page 72: Tutorial Mikrotik Komplet

packet-mark=!indonesia artinya “packet-mark=bukan paket Indonesia”, padahal “bukan paket Indonesia” bisa saja paket lainnya yang telah didefinisikan sebelumnya sehingga dapat menimbulkan salah identifikasi.

Adapun teknik diatas telah di test pada router mikrotik yang menjalankan NAT , jika router mikrotik tidak menjalankan NAT coba rubah chain=prerouting menjadi chain=forward.

Untuk lebih lanjut mengenai pengaturan bandwidth pada Mikrotik dapat dilihat pada manual mikrotik yang dapat didownload pada

http://www.mikrotik.com/docs/ros/2.9/RouterOS_Reference_Manual_v2.9.pdf

Script diatas dapat diimplementasikan pada Mikrotik Versi 2.9.27 , untuk versi mikrotik sebelumnya kemungkinan ada perbedaan perintah.

Load Balancing Sederhana Pakai Mikrotik

From SpeedyWikiJump to: navigation, search

Sumber abdi_wae http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=17386

mungkin bisa di load balancing aja pak - biar gampang :

modem1 --- +--- eth0 mikrotik --- eth2 LAN +--- eth1modem2 ---

manualnya ada disini : http://www.mikrotik.com/testdocs/ros/2.9/ip/route.php

Load Balancing over Multiple Gateways

From MikroTik WikiJump to: navigation, search

The typical situation where you got one router and want to connect to two ISPs:

Page 73: Tutorial Mikrotik Komplet

Of course, you want to do load balancing! There are several ways how to do it. Depending on the particular situation, you may find one best suited for you.

Policy Routing based on Client IP Address

If you have a number of hosts, you may group them by IP addresses. Then, depending on the source IP address, send the traffic out through Gateway #1 or #2. This is not really the best approach, giving you perfect load balancing, but it's easy to implement, and gives you some control too.

Let us assume we use for our workstations IP addresses from network 192.168.100.0/24. The IP addresses are assigned as follows:

•192.168.100.1-127 are used for Group A workstations •192.168.100.128-253 are used for Group B workstations •192.168.100.254 is used for the router.

All workstations have IP configuration with the IP address from the relevant group, they all have network mask 255.255.255.0, and 192.168.100.254 is the default gateway for them. We will talk about DNS servers later.

Now, when we have workstations divided into groups, we can refer to them using subnet addressing:

Page 74: Tutorial Mikrotik Komplet

•Group A is 192.168.100.0/25, i.e., addresses 192.168.100.0-127 •Group B is 192.168.100.128/25, i.e., addresses 192.168.100.128-255

If you do not understand this, take the TCP/IP Basics course,or, look for some resources about subnetting on the Internet!

We need to add two IP Firewall Mangle rules to mark the packets originated from Group A or Group B workstations.

For Group A, specify

•Chain prerouting and Src. Address 192.168.100.0/25 •Action mark routing and New Routing Mark GroupA.

It is a good practice to add a comment as well. Your mangle rules might be interesting for someone else and for yourself as well after some time.

For Group B, specify

•Chain prerouting and Src. Address 192.168.100.128/25 •Action mark routing and New Routing Mark GroupB

Page 75: Tutorial Mikrotik Komplet

All IP traffic coming from workstations is marked with the routing marks GroupA or GroupB. We can use these marks in the routing table.

Next, we should specify two default routes (destination 0.0.0.0/0) with appropriate routing marks and gateways:

Page 76: Tutorial Mikrotik Komplet

This thing is not going to work, unless you do masquerading for your LAN! The simplest way to do it is by adding one NAT rule for Src. Address 192.168.100.0/24 and Action masquerade:

Test the setup by tracing the route to some IP address on the Internet!

From a workstation of Group A, it should go like this:

C:\>tracert -d 8.8.8.8

Tracing route to 8.8.8.8 over a maximum of 30 hops

1 2 ms 2 ms 2 ms 192.168.100.2542 10 ms 4 ms 3 ms 10.1.0.1...

From a workstation of Group B, it should go like this:

C:\>tracert -d 8.8.8.8

Tracing route to 8.8.8.8 over a maximum of 30 hops

1 2 ms 2 ms 2 ms 192.168.100.2542 10 ms 4 ms 3 ms 10.5.8.1...You can specify the DNS server for workstations quite freely, jArticles

Load Balancing dan Fail Over [Group] pada Mikrotik

PendingWritten on Aug-19-08 3:08pm/19/2008 8:08 GMT - Not yet published to a wikizine From: mellasaeblog.blogspot.com

Page 77: Tutorial Mikrotik Komplet

Load Balancing dan Fail Over [Group] pada Mikrotik

April 27th, 2008 by admin

Load Balancing dan Fail Over [Group]

2 Speedy [atau lebih ]

dibawah ini akan di bahas tekhnik load balance dan tekhnik fail over pada mikrotik router

Tutorial bisa di Download Disini

Seumpama kita mempunyai address seperti ini :

IP Modem satu adalah 192.168.110.1 dengan interface ”Wanatas” dan IP Modem yang

satunya adalah 192.168.120.1 dengan interface ”Wantengah” sedangkan IP dari ”LAN”

172.10.12.1

Sebelum kita menuju pengkonfigurasian Load Balancing kita susun dulu blok2 IP yang akan

digroup

Page 78: Tutorial Mikrotik Komplet

Masuk ke IP >> Firewall

Dan pilih tab Addess Lists dan Add

Seperti contoh diatas saya bikin Group A dan B

dan dibawah adalah tampilan ketika tombol add di klik, dan isikan Name dengan nama

group anda yang pertama, dan seterusnya.

Jika sudah menentuka blok IP berdasarkan group maka kita lanjut ke sesi berikutnya yaitu :

Konfigurasi Mangle

Page 79: Tutorial Mikrotik Komplet

Tetap pada Window Firewall tapi pindah ke Tab Mangel yang seperti saya lingkari berwarna

merah tersebut, setelah itu klik tombol Add yang saya lingkari dengan warna biru.

Maka akan muncul Window seperti dibawah ini :

Chain pilih prerouting kemudian pilih tab Advance

Jika sudah pilih

Src Address List , jika kombo box belum muncul maka klik tombol panah yang sejajar

dengan text box dar src Address List hingga menjadi menghadap ke bawah

Jika sudah maka pilih group A, dan begitu nanti untuk yang B. jika sudah di pilih group

maka pindah ke tab Action

Jika sudah pilih Tab Action maka akan muncul Window seperti di bawah ini :

Page 80: Tutorial Mikrotik Komplet

Pilih action menjadi mark routing dan isikan New Routing Mark sesuai nama dari Group IP ,

seperti diatas kami memberi nama mrA.

CTT : untuk Mangle yang group B ulangi intruksi diatas lagi dengan nama yang berbeda

dan pilih group yang berbeda juga ^^

OK Sudah selesai ……

Lanjut ke bagian Routing ,

Masuk ke menu

IP >> Route : maka akan muncul Window Route List

pilih Add

dan akan muncul Window dibawah ini :

Page 81: Tutorial Mikrotik Komplet

isikan gatheway dengan IP modem pertama , yaitu 192.168.110.1 kemudian agar Fail Over

maka Chek Gateway pilih ping dan Mark pilih mrA untuk Group A, begitupun nanti untuk

menambahkan gatheway untuk group B dan ketika menekan tombol Apply, pastikan

interface benar tertuju ke WANatas yaitu modem Pertama, dan begitupun untuk group B.

Nah agar kedua gatheway ini berjalan lancar , maka perlu ditambahkan gatheway priority.

Caranya : sama seperti add gatheway seperti diatas, tetapi kita akan mengisikan lebih dari

satu gatheway pada satu list. Seperti gambar di bawah ini :

agar dapat menambahkan lebih dari satu gatheway, klik panah yang mengarah kebawah

Page 82: Tutorial Mikrotik Komplet

yang sejajar dengan text box dari Gathway. Jika sudah Setelah tekan Tombol Apply

pastikan Interfacenya benar seperti urutan dari pengisian Gatheway.

Jika sudah tekan OK

Setelah kembali ke Route List periksa, jika salah satu List berwarna Biru, maka Link dari

modem tersebut sedang bermasalah atau tidak terkoneksi dengan Internet. Periksa kembali

jalur Internet dari jalur ke modem tersebut.

Ok

Segini ajah untuk LoadBalance mikrotik dari saya

Semoga Berhasil

Syamsy (Samson RtRwNet)[Jaylangkung.com]

[email protected]