Professional Documents
Culture Documents
MikroTik RouterOS™ adalah sistem operasi linux yang dapat digunakan untuk
menjadikan komputer menjadi router network yang handal, mencakup berbagai fitur
yang dibuat untuk ip network dan jaringan wireless, cocok digunakan oleh ISP dan
provider hostspot.
* Firewall and NAT - stateful packet filtering; Peer-to-Peer protocol filtering; source and
destination NAT; classification by source MAC, IP addresses (networks or a list of
networks) and address types, port range, IP protocols, protocol options (ICMP type,
TCP flags and MSS), interfaces, internal packet and connection marks, ToS (DSCP)
byte, content, matching sequence/frequency, packet size, time and more...
* Routing - Static routing; Equal cost multi-path routing; Policy based routing
(classification done in firewall); RIP v1 / v2, OSPF v2, BGP v4
* Data Rate Management - Hierarchical HTB QoS system with bursts; per IP / protocol /
subnet / port / firewall mark; PCQ, RED, SFQ, FIFO queue; CIR, MIR, contention ratios,
dynamic client rate equalizing (PCQ), bursts, Peer-to-Peer protocol limitation
* HotSpot - HotSpot Gateway with RADIUS authentication and accounting; true Plug-
and-Play access for network users; data rate limitation; differentiated firewall; traffic
quota; real-time status information; walled-garden; customized HTML login pages; iPass
support; SSL secure authentication; advertisement support
* IPsec - IP security AH and ESP protocols; MODP Diffie-Hellman groups 1,2,5; MD5
and SHA1 hashing algorithms; DES, 3DES, AES-128, AES-192, AES-256 encryption
algorithms; Perfect Forwarding Secrecy (PFS) MODP groups 1,2,5
* Proxy - FTP and HTTP caching proxy server; HTTPS proxy; transparent DNS and
HTTP proxying; SOCKS protocol support; DNS static entries; support for caching on a
separate drive; access control lists; caching lists; parent proxy support
* DHCP - DHCP server per interface; DHCP relay; DHCP client; multiple DHCP
networks; static and dynamic DHCP leases; RADIUS support
* M3P - MikroTik Packet Packer Protocol for Wireless links and Ethernet
* Tools - ping; traceroute; bandwidth test; ping flood; telnet; SSH; packet sniffer;
Dynamic DNS update tool
Layer 2 connectivity
* Wireless - IEEE802.11a/b/g wireless client and access point (AP) modes; Nstreme
and Nstreme2 proprietary protocols; Wireless Distribution System (WDS) support;
virtual AP; 40 and 104 bit WEP; WPA pre-shared key authentication; access control list;
authentication with RADIUS server; roaming (for wireless client); AP bridging
* Bridge - spanning tree protocol; multiple bridge interfaces; bridge firewalling, MAC
* VLAN - IEEE802.1q Virtual LAN support on Ethernet and wireless links; multiple
VLANs; VLAN bridging
* Synchronous - V.35, V.24, E1/T1, X.21, DS3 (T3) media types; sync-PPP, Cisco
HDLC, Frame Relay line protocols; ANSI-617d (ANDI or annex D) and Q933a (CCITT
or annex A) Frame Relay LMI types
* Asynchronous - s*r*al PPP dial-in / dial-out; PAP, CHAP, MSCHAPv1 and MSCHAPv2
authentication protocols; RADIUS authentication and accounting; onboard s*r*al ports;
modem pool with up to 128 ports; dial on demand
* ISDN - ISDN dial-in / dial-out; PAP, CHAP, MSCHAPv1 and MSCHAPv2 authentication
protocols; RADIUS authentication and accounting; 128K bundle support; Cisco HDLC,
x75i, x75ui, x75bui line protocols; dial on demand
* SDSL - Single-line DSL support; line termination and network termination modes
* CPU and motherboard - bisa pake P1 ampe P4, AMD, cyrix asal yang bukan multi-
prosesor
* RAM - minimum 32 MiB, maximum 1 GiB; 64 MiB atau lebih sangat dianjurkan, kalau
mau sekalian dibuat proxy , dianjurkan 1GB... perbandingannya, 15MB di memori ada
1GB di proxy..
* HDD minimal 128MB parallel ATA atau Compact Flash, tidak dianjurkan menggunakan
UFD, SCSI, apa lagi S-ATA
Untuk keperluan beban yang besar ( network yang kompleks, routing yang rumit dll)
disarankan untuk mempertimbangkan pemilihan resource PC yang memadai.
Meskipun demikian Mikrotik bukanlah free software, artinya kita harus membeli licensi
terhadap segala fasiltas yang disediakan. Free trial hanya untuk 24 jam saja.
Kita bisa membeli software mikrotik dalam bentuk CD yang diinstall pada Hard disk atau
disk on module (DOM). Jika kita membeli DOM tidak perlu install tetapi tinggal
menancapkan DOM pada slot IDE PC kita.
1. Langkah pertama adalah install Mikrotik RouterOS pada PC atau pasang DOM.
Sampai langkah ini kita sudah bisa masuk pada mesin Mikrotik. User default adalah
admin
dan tanpa password, tinggal ketik admin kemudian tekan tombol enter.
4. Mengganti nama Mikrotik Router, pada langkah ini nama server akan diganti menjadi
“Andre-Network” (nama ini sih bebas2 aja mo diganti)
[admin@Mikrotik] > system identity set name=Andre-Network
[admin@Andre-Network] >
6. Memberikan IP address pada interface Mikrotik. Misalkan ether1 akan kita gunakan
untuk koneksi ke Internet dengan IP 192.168.0.1 dan ether2 akan kita gunakan untuk
network local kita dengan IP 172.16.0.1
13. Tes untuk akses domain, misalnya dengan ping nama domain
[admin@Andre-Network] > ping yahoo.com
216.109.112.135 64 byte ping: ttl=48 time=250 ms
10 packets transmitted, 10 packets received, 0% packet loss
round-trip min/avg/max = 571/571.0/571 ms
[admin@Andre-Network] >
14. Setup Masquerading, Jika Mikrotik akan kita pergunakan sebagai gateway server
maka agar client computer pada network dapat terkoneksi ke internet perlu kita
masquerading.
[admin@Andre-Network]> ip firewall nat add action=masquerade outinterface=
ether1 chain:srcnat
[admin@Andre-Network] >
Setelah langkah ini bisa dilakukan pemeriksaan untuk koneksi dari jaringan local. Dan
jika berhasil berarti kita sudah berhasil melakukan instalasi Mikrotik Router sebagai
Gateway server. Setelah terkoneksi dengan jaringan Mikrotik dapat dimanage
menggunakan WinBox
yang bisa di download dari Mikrotik.com atau dari server mikrotik kita.
2. Tambahkan DHCP Network dan gatewaynya yang akan didistribusikan ke client Pada
contoh ini networknya adalah 172.16.0.0/24 dan gatewaynya 172.16.0.1
/ip dhcp-server network add address=172.16.0.0/24 gateway=172.16.0.1
3. Tambahkan DHCP Server ( pada contoh ini dhcp diterapkan pada interface ether2 )
/ip dhcp-server add interface=ether2 address-pool=dhcp-pool
4. Lihat status DHCP server
[admin@Andre-Network]> ip dhcp-server print
Flags: X - disabled, I - invalid
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0 X dhcp1 ether2
Tanda X menyatakan bahwa DHCP server belum enable maka perlu dienablekan
terlebih dahulu pada langkah 5.
kemudian cek kembali dhcp-server seperti langkah 4, jika tanda X sudah tidak ada
berarti sudah aktif.
untuk bandwith controller, bisa dengan sistem simple queue ataupun bisa dengan
mangle
[admin@Andre-Network] queue simple> add name=Komputer01
interface=ether2 target-address=172.16.0.1/24 max-limit=65536/131072
[admin@Andre-Network] queue simple> add name=Komputer02
interface=ether2 target-address=172.16.0.2/24 max-limit=65536/131072
dan seterusnya...
Mangle
/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255
interface=Local comment="" \
disabled=no
add address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255
interface=wlan2 \
comment="" disabled=no
add address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255
interface=wlan1 \
comment="" disabled=no
/ ip firewall mangle
add chain=prerouting in-interface=Local connection-state=new nth=1,1,0 \
action=mark-connection new-connection-mark=odd passthrough=yes comment="" \
disabled=no
add chain=prerouting in-interface=Local connection-mark=odd action=mark-routing \
new-routing-mark=odd passthrough=no comment="" disabled=no
add chain=prerouting in-interface=Local connection-state=new nth=1,1,1 \
action=mark-connection new-connection-mark=even passthrough=yes comment="" \
disabled=no
add chain=prerouting in-interface=Local connection-mark=even action=mark-routing \
new-routing-mark=even passthrough=no comment="" disabled=no
NAT
/ ip firewall nat
add chain=srcnat connection-mark=odd action=src-nat to-addresses=10.111.0.2 \
to-ports=0-65535 comment="" disabled=no
add chain=srcnat connection-mark=even action=src-nat to-addresses=10.112.0.2 \
to-ports=0-65535 comment="" disabled=no
Routing
/ ip route
add dst-address=0.0.0.0/0 gateway=10.111.0.1 scope=255 target-scope=10 routing-
mark=odd \
comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10 routing-
mark=even \
comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10
comment="" \
disabled=no comment="gateway for the router itself
a. boot dg cd mikrotik
b. setelah bisa boot pake iso linux, pilih beberapa paket yang dibutuhkan. (kalo bingung
centang aja semua)
DASAR_______________
system identity set name=warnet.beenet
user set admin password=sukasukalu
ethernet____________________
interface ethernet enable ether1
interface ethernet enable ether2
interface Ethernet set ether1 name=intranet
interface Ethernet set ether2 name=internet
IP ADDRESS_______________
ip address add interface=internet address=XXXXX (dari ISP)
ip address add interface=intranet address=192.168.0.1/24
route_______________
ip route add gateway=XXXXX (dari ISP)
dns___________
ip dns set primary-dns=XXXXX (dari ISP) 2 secondary-dns=XXXXX (dari ISP)
nat & filter firewall standar_______________
ip firewall nat add action=masquerade chain=srcnat
ip firewall filter add chain=input connection-state=invalid action=drop
ip firewall filter add chain=input protocol=udp action=accept
ip firewall filter add chain=input protocol=icmp action=accept
ip firewall filter add chain=input in-interface=intranet action=accept
ip firewall filter add chain=input in-interface=internet action=accept
dhcp server______________________________________
ip dhcp-server setup
dhcp server interface: intranet
dhcp address space: 192.168.0.0/24
gateway for dhcp network: 192.168.0.1
addresses to give out: 192.168.0.2-192.168.0.254
dns servers: XXXXX (dari ISP),XXXXX (dari ISP)
lease time: 3d
web proxy_________________________
ip web-proxy
set enabled=yes
set src-address=0.0.0.0
set port=8080
set hostname=”proxy-apaaja”
set transparent-proxy=yes
set parent-proxy=0.0.0.0:0
set cache-administrator=”silahkan.pannggil.operator”
set max-object-size=4096KiB
set cache-drive=system
set max-cache-size=unlimited
set max-ram-cache-size=unlimited
PCQ ________________________
/ip firewall mangle add chain=forward src-address=192.168.169.0/28 action=mark-
connection new-connection-mark=client1-cm
/ip firewall mangle add connection-mark=client1-cm action=mark-packet new-packet-
mark=client1-pm chain=forward
/queue type add name=downsteam-pcq kind=pcq pcq-classifier=dst-address
/queue type add name=upstream-pcq kind=pcq pcq-classifier=src-address
/queue tree add parent=intranet queue=downsteam-pcq packet-mark=client1-pm
/queue tree add parent=internet queue=upstream-pcq packet-mark=client1-pm
simpel queue______________________________
queue simple add name=kbu-01 target-addresses=192.168.0.11
queue simple add name=kbu-02 target-addresses=192.168.0.12
queue simple add name=kbu-03 target-addresses=192.168.0.13
queue simple add name=kbu-04 target-addresses=192.168.0.14
queue simple add name=kbu-05 target-addresses=192.168.0.15
queue simple add name=kbu-06 target-addresses=192.168.0.16
queue simple add name=kbu-07 target-addresses=192.168.0.17
queue simple add name=kbu-08 target-addresses=192.168.0.18
queue simple add name=kbu-09 target-addresses=192.168.0.19
queue simple add name=kbu-10 target-addresses=192.168.0.20
queue simple add name=xbilling target-addresses=192.168.0.2
BLOX SPAM____________________________
/ip firewall filter add chain=forward dst-port=135-139 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=135-139 protocol=udp action=drop
/ip firewall filter add chain=forward dst-port=445 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=445 protocol=udp action=drop
/ip firewall filter add chain=forward dst-port=593 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=4444 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=5554 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=9996 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=995-999 protocol=udp action=drop
/ip firewall filter add chain=forward dst-port=53 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=55 protocol=tcp action=drop
chain=forward protocol=tcp
tcp-flags=syn,!fin,!rst,!psh,!ack,!urg,!ece,!cwr connection-limit=20,32
limit=25,10 src-address-list=!Safe-List action=add-src-to-address-list
address-list=tcp-syn-violators address-list-timeout=3h
Semoga bermanfaat, jika anda mengalami hal seperti saya diatas jangan
langsung salahkan ISP tempat anda berlangganan …..
1. bersihin dulu isi route nya , dari winbox pilih ip route, trus di delete deh tuh
gateway/route disitu, semuanya
2. bersihin juga manglenya, caranya ip firewal mangle print, kalo dari winbox pilih ip >
firewall >mangle, abis itu delete2 semuanya tuh
3. bersihin juga nat nya, dari winbox, ip > firewall > nat , trus delete tuh isinya
4. selanjutnya ikutin langkah2 berikut ini ya slow down aja jangan sampe salah ketik,
sebaiknya pake tab biar auto completing
penjelasan singkat
ada 3 interface
1.lokal=192.168.100.254/24
2.isp=202.182.54.74/30
3.fastnet=118.137.79.0/24 (nah nilai ini yang selalu di ubah2, hanya yg ini, yg lain kaga
usah, ubahnya pake winbox aja)
Versi 3
Penjelasan :
1.Mikrotik router dengan 2 network interface card (NIC) ether1 dan ether3, dimana
ether1 adalah ethernet yang terhubung langsugn ke ISP dan ether3 adalah
ethernet yang terhubung langsung dengan jaringan 192.168.2.0/24
2.Bandwith dari ISP misalnya 256 Kbps internasional dan 1024 Kbps lokal IIX.
3.Kompuer 192.168.2.4 akan diberi alokasi bandwith 128 Kbps internasional dan
256 Kbps lokal IIX.
Mulai Mikrotik RouterOs versi 2.9, dikenal dengan vitur yang disebut IP address list.
Fitur ini adalah pengelompokan IP address tertentu dan setiap IP address tersebut bisa
kita namai. Kelompok ini bisa digunakan sebagai parameter dalam mangle, firewall
filter, NAT, maupun queue.
Mikrotik Indonesia telah menyediakan daftar IP address yang diavertise di OpenIXP dan
IIX, yang bisa didownload dengan bebas di URL :
http://www.mikrotik.co.id/getfile.php?nf=nice.rsc
File nice.rsc ini dibuat secara otomatis di server Mikrotik Indonesia setiap pagi sekitar
pukul 05.30, dan meruapakan data yang telah dioptimasi untuk menghilangkan duplikat
entry dan tumpang tindih subnet. Saat ini jumlah pada baris pada script tersebut
berkisar 430 baris.
Contoh
Simpanlah file tersebut ke komputer anda dengan nama nice.rsc, lalu lakukan FTP ke
router Mikrotik, dan uploadlah file tersebut di router. Contoh di bawah ini adalah proses
upload MS DOS-Promt.
Directory of C:\
C:\>
Connected to 192.168.0.1.
220 R&D FTP server (MikroTik 2.9.39) ready
User (192.168.0.1:(none)):
331 Password required for admin
Password:
230 User admin logged in
ftp>
200 Type set to A
ftp>
200 PORT command successful
150 Opening ASCII mode data connection for '/nice.rsc'
226 ASCII transfer complete
ftp: 17523 bytes sent in 0.00Seconds 17523000.00Kbytes/sec.
ftp>
221 Closing
C:\>
Pastikan bahwa proses import telah berlangsung dengan sukses, dengan mengecek
Address-List pada menu IP – Firewall.
Pengaturan Mangle
Berikut adalah perintah untuk melakukan konfigurasi mangle yang bisa dilakukan lewat
tampilan text pada MikrotikOs atau terminal pada Winbox.
Langkah selanjutnya adalah mengatur bandwith melalui simple queue, untuk mengatur
bandwith internasional 128 Kbps dan bandwith lokal IIX 256 Kbps pada komputer
dengan IP 192.168.2.4 dapat dilakukan dengan perintah sebagai berikut.
queue simple
Script di atas berarti hanya komputer dengan IP 192.168.2.4 saja yang dibatasi
bandwithnya 128 Kbps internasional (overseas) dan 256 Kbps lokal IIX (Indonesia),
sedangkan yang lainnya tidak dibatasi.
Pengecekan akhir
1. Aktifkan webproxynya
[gungun@smanelaeuy] > ip web-proxy [enter]
[gungun@smanelaeuy] ip web-proxy> set enabled=yes max-ram-cache-size=none
max-cache-size=1GB transparent-proxy=yes [enter]
* sesuaikan dengan Hardware Anda!
Dan berikut ini adalah IP Address yang digunakan. Subnet 192.168.0.0/24 adalah
subnet gateway untuk mesin ini.
[admin@instaler] > ip ad pr
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.217/24 192.168.0.0 192.168.0.255 public
1 172.21.1.1/24 172.21.1.0 172.21.1.255 lan
Berikut ini adalah langkah terpenting dalam proses ini, yaitu pembuatan MANGLE. Kita
akan membutuhkan 2 buah PACKET-MARK. Satu untuk paket data upstream, yang
pada contoh ini kita sebut test-up. Dan satu lagi untuk paket data downstream, yang
pada contoh ini kita sebut test-down.
Untuk paket data upstream, proses pembuatan manglenya cukup sederhana. Kita bisa
langsung melakukannya dengan 1 buah rule, cukup dengan menggunakan parameter
SRC-ADDRESS dan IN-INTERFACE. Di sini kita menggunakan chain prerouting. Paket
data untuk upstream ini kita namai test-up.
Namun, untuk paket data downstream, kita membutuhkan beberapa buah rule. Karena
kita menggunakan translasi IP/masquerade, kita membutuhkan Connection Mark. Pada
contoh ini, kita namai test-conn.
Kemudian, kita harus membuat juga 2 buah rule. Rule yang pertama, untuk paket data
downstream non HTTP yang langsung dari internet (tidak melewati proxy). Kita
menggunakan chain forward, karena data mengalir melalui router.
Rule yang kedua, untuk paket data yang berasal dari WEB-PROXY. Kita menggunakan
chain output, karena arus data berasal dari aplikasi internal di dalam router ke mesin di
luar router.
Paket data untuk downstream pada kedua rule ini kita namai test-down.
Jangan lupa, parameter passthrough hanya diaktifkan untuk connection mark saja.
[admin@instaler] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; UP TRAFFIC
chain=prerouting in-interface=lan
src-address=172.21.1.0/24 action=mark-packet
new-packet-mark=test-up passthrough=no
1 ;;; CONN-MARK
chain=forward src-address=172.21.1.0/24
action=mark-connection
new-connection-mark=test-conn passthrough=yes
Untuk tahap terakhir, tinggal mengkonfigurasi queue. Di sini kita menggunakan queue
tree. Satu buah rule untuk data dowstream, dan satu lagi untuk upstream. Yang penting
di sini, adalah pemilihan parent. Untuk downstream, kita menggunakan parent lan,
sesuai dengan interface yang mengarah ke jaringan lokal, dan untuk upstream, kita
menggunakan parent global-in.
[admin@instaler] > queue tree pr
Flags: X - disabled, I - invalid
0 name=”downstream” parent=lan packet-mark=test-down
limit-at=32000 queue=default priority=8
max-limit=32000 burst-limit=0
burst-threshold=0 burst-time=0s
1 name=”upstream” parent=global-in
packet-mark=test-up limit-at=32000
queue=default priority=8
max-limit=32000 burst-limit=0
burst-threshold=0 burst-time=0s
/ip firewall nat chain=srcnat out-interface=”your interface which provides internet” src-
address=”network 1? action=masquerade
you need to add chains for each subnet you have ,for the head office subnet you need
to add this
/ ip firewall mangle
add chain=prerouting dst-address=202.168.47.17 protocol=udp dst-port=5060-5080 \
action=mark-connection new-connection-mark=voip-con passthrough=yes \
comment=”” disabled=no
add chain=prerouting dst-address=202.168.47.17 protocol=udp \
dst-port=19000-20000 action=mark-connection new-connection-mark=voip-con \
passthrough=yes comment=”” disabled=no
add chain=prerouting connection-mark=voip-con action=mark-packet \
new-packet-mark=voip passthrough=no comment=”” disabled=no
add chain=prerouting protocol=tcp dst-port=22-23 action=mark-connection \
new-connection-mark=sshtelnet-con passthrough=yes comment=”” disabled=no
add chain=prerouting connection-mark=sshtelnet-con action=mark-packet \
new-packet-mark=sshtelnet passthrough=no comment=”” disabled=no
add chain=prerouting p2p=all-p2p action=mark-connection \
new-connection-mark=p2p-con passthrough=yes comment=”” disabled=no
add chain=prerouting connection-mark=p2p-con action=mark-packet \
new-packet-mark=p2p passthrough=no comment=”” disabled=no
add chain=prerouting action=mark-connection new-connection-mark=everything-con \
passthrough=yes comment=”” disabled=no
add chain=prerouting connection-mark=everything-con action=mark-packet \
new-packet-mark=everything passthrough=yes comment=”” disabled=no
Langkah pertama
sebelum langkah kedua kita jalankan alangkah baiknya langkah pertama kita lakuin
dulu, khan gak mungkin langkah ketiga dulu baru ke dua :D. untuk modem ADSL yang
saya gunakan JK Network, dan mikrotiknya saya gunakan versi 2.9.xx (belakangnya
diumpetin).
diasumsikan client dapat berkomunikasi dengan radio tanpa halangan atau settingan IP
address dan Nat nya sudah jalan..!
pertama - tama kita fungsikan modem sebagai bridge bukan sebagai router sebab
fungsi router akan di handle oleh mikrotik. pilih menu WAN kemudian klik tombol add
reboot modem maka modem saat ini sudah berfungsi sebagai bridge.
Langkah kedua
Langkah yang kedua baru kita konfigurasi / setting mikrotiknya sebagai modemnya .
setelah itu pilih tab Dial Out isikan username yang diberikan telkom beseta
passwordnya, biarkan field yang lainnya bernilai default
lalu tahap akhir klik tombol OK maka secara otomatis mikrotik akan DIAL ke telkom.
– END SETTING —-
keunggulannya menggunakan mikrotik sebagai modem ketimbang modem ADSL biasa
:
•Proses dial nya lebih cepat dibandingkan dengan menggunakan modem adsl biasa,
biasanya mikrotik mendapatkan status connected dalam waktu kurang dari 15
detik, jika modem biasanya membutuhkan waktu relatif lama sekitar 2 - 4 menit.
•Modem akan lebih stabil karena yang bertindak sebagai modem adalah PC yang
mempunyai resource cukup tinggi dan kemampuan yang handal untuk bekerja
24 jam sehari.
•Administrator dapat meremote mikrotiknya dan mengkonfigurasi firewal, simple
queque, load balancing, dll dari jaringan external tanpa harus melakukan port
forwarding.
•Modem akan lebih awet karena tidak bekerja terlalu berat, ditandainya tidak terlalu
panas nya modem ketika jaringan internet dalam keadaan UP.
Caranya : kita ubah terlebih dahulu IP modem pada Advance Setup > LAN IP Address
contoh 192.168.100.1 lakukan save/reboot. Kemudian lakukan pengubahan selanjutnya
di IP client PC ke 192.168.100.2 selesai. Silahkan anda coba ketik di web browser anda
IP modem (192.168.100.1). Berhasil?
Tentukan IP Address masing-masing LAN card anda, misal LAN connector dari modem
202.202.202.202 (public), dan 192.168.100.1 ke jaringan lokal anda (lokal). Lakukan
perintah ini terlebih dahulu jika anda ingin menspesifikasikan nama ethernet card anda.
Pastikan kembali dalam menentukan nama dan alur kabel tersebut, kemudian kita lanjut
ke setting IP Address.
Pastikan LAN card anda tidak dalam posisi disabled. Selanjutnya anda bisa
memasukkan entry PPPoE Client.
IP gateway diatas belum tentu sama, lihat terlebih dahulu ip PPPoE client anda. Jika
anda belum yakin 100% ip client anda dan gateway nya, lakukan login dan dialing
melalui modem anda terlebih dahulu bukan pada mode bridging seperti diatas. Pada
menu Device Info akan tampil informasi Default Gateway dan IP client pppoe anda. Ok?
Selesai.. tahap routing sudah terlaksanakan. Coba lakukan ping ke mikrotik dan
gateway nya. Jika anda ingin sharing ke komputer client jangan lupa masukkan ip
gateway pada settingan Network Connection (windows) sesuai dengan IP lokal pada
mikrotik anda.
Banyak sekali settingan mikrotik yang dapat anda pelajari dari berbagai sumber. Jika
terkesan terlalu rumit dengan sistem pengetikan anda bisa melakukannya dengan
winbox mode, setiap tutorial yang anda butuhkan pun dapat anda copy dan paste ke
winbox nya mikrotik.
Input DNS dan web-proxy pun terasa lebih mudah di winbox mode, masukkan primary,
secondary dan allow remote request nya, atau dengan perintah di terminal winbox.
Untuk LAN, kita pake kelas C, dengan network 192.168.0.0/24. Untuk Mikrotik
RouterOS, kita perlu dua ethernet card. Satu (ether1 – 192.168.1.2/24) untuk
sambungan ke Modem ADSL dan satu lagi (ether2 – 192.168.0.1/24) untuk sambungan
ke LAN. Untuk Modem ADSL, IP kita set 192.168.1.1/24.
Sebelum mengetikkan apapun, pastikan Anda telah berada pada root menu dengan
mengetikkan “/”
ip address print
ping 192.168.1.1
ping 192.168.0.10
Menambahkan Routing
Setting DNS
Karena koneksi ini menggunakan Speedy dari Telkom, maka DNS yg aq pake ya punya
Telkom. Silahkan sesuaikan dengan DNS provider Anda.
ping yahoo.com
Sekarang coba lakukan ping ke yahoo.com dari komputer yang ada di LAN
ping yahoo.com
Karena alasan supaya praktis, temenku pengin pake DHCP Server. Biar klo tiap ada
klien yang konek, dia ga perlu setting IP secara manual. Tinggal obtain aja dari DHCP
Server, beres dah. Untungnya Mikrotik ini juga ada fitur DHCP Servernya. Jadi ya ga
ada masalah..
Sekarang coba lakukan testing dari komputer klien, untuk me-request IP Address dari
Server DHCP. Jika sukses, maka sekali lagi, settingannya udah bener
Bandwidth Control
Agar semua komputer klien pada LAN tidak saling berebut bandwidth, maka perlu
dilakukan yg namanya bandwidth management atau bandwidth control
Model yg saya gunakan adalah queue trees. Untuk lebih jelas apa itu, silahkan merujuk
ke situsnya Mikrotik
Koneksi Speedy kan katanya speednya sampe 384/64 Kbps (Download/Upload), nah
kondisi itu sangat jarang tercapai. Jadi kita harus cari estimasi rata²nya. Maka saya
ambil minimalnya untuk download bisa dapet sekitar 300 Kbps dan untuk upload aq
alokasikan 50 Kbps. Sedangkan untuk yg maksimumnya, untuk download kira² 380
Kbps dan upload 60 Kbps.
Lalu, jumlah komputer klien yang ada saat ini adalah 10 buah. Jadi harus disiapkan
bandwidth itu untuk dibagikan kepada 10 klien tersebut.
Sekarang coba lakukan test download dari beberapa klien, mestinya sekarang tiap2
klien akan berbagi bandwidthnya. Jika jumlah klien yg online tidak sampai 10, maka
sisa bandwidth yang nganggur itu akan dibagikan kepada klien yg online.
Graphing
Mikrotik ini juga dilengkapi dengan fungsi monitoring traffic layaknya MRTG biasa. Jadi
kita bisa melihat berapa banyak paket yg dilewatkan pada PC Mikrotik kita.
Berikutnya yang akan kita monitor adalah paket² yg lewat semua interface yg ada di PC
Mikrotik kita, klo di komputerku ada ether1 dan ether2.
http://192.168.0.1/graphs/
Nanti akan ada pilihan interface apa aja yg ada di router Anda. Coba klik salah satu,
maka Anda akan bisa melihat grafik dari paket2 yg lewat pada interface tersebut.
Dari tutorial diatas saya cuma sampai mengambil langkah pada setting penambahan
NAT ( masquerade ) saja. Karena menurut saya DHCP yang sifatnya berubah ubah jadi
nanti saat mau limit BW nya terkadang ip tidak sama. CMIIW. dan untuk setting limit
saya melakukannya pada remote winbox yang lebih mudah, nah pertanyaan untuk saya
sendiri. Kapan graph tool nya kamu install nak ? hehehhee… ok semoga berguna
semuanya.
Lanjut ah, sharing cara membatasi inetan dikantor....lagi-lagi dengan mikrotik. Kantor
saya gak terlalu gede sih, denga jumlah PC dalam jaringan LAN ada sekitar 65 buah.
Saya memakai ip range 192.168.0.1/24, dengan gateway saya taruh di 192.168.0.1 ya
itu mikrotik sebagai gatewayya. Dari range IP tersebut ternyata sama boss tidak
diijinkan semuanya dapat mengakses inet....hehe...hehe...dan agak parahnya IP yang
boleh inetan itu acak alias tidak berurutan, sebagai tambahan saya memakai DHCP
untuk pengaturan IP (biar gak pusing nyatetin IP klo ada perubahan cpu atau ada
tambahan cpu). Kayaknya cukup untuk alasan pembatasan inetnya, kita lanjut ke
settingnya...
Oh....ya semua setting dilakukan menggunakan winbox.exe soalnya bisa-nya itu je...
Mungkin anda pernah mengalami, ada client nakal yang coba-coba memakai ip
komputer admin untuk mendapatkan akses inet tanpa batas........wuih
suuuuuebelnya....bukan apa-apa sich, tapi yang kena marah oleh atasan tentu yang
mengatur akses inetnya (baca: saya).
4.
5.Isikan nama sesuai keinginan anda asal mudah diingat, kemudian IP client.
Prosedur ini dilakukan untuk semua client dengan nama address-list yang sama.
Jika semua client sudah dimasukan ke dalam address-list selanjutnya menuju
tab: NAT
6.
7.Gambar diatas adalah merubah rule/script dari nat-masquerade yang sudah ada,
dimana biasanya di bagian general untuk src-address diisikan range ip client.
Untuk kali ini dirubah, sehingga hanya client yang ada di address-list saja yang
akan dimasquerade.
8.Langkah selanjutnya adalah merekam mac-address dari client kita, untuk itu kita
menggunakan tools ip-scan. menuju menu tools dan pilih ip-scan
9.
10.Interface dipilih interface yang ada dimikrotik yang mengarah ke LAN, untuk
address range silahkan disesuaikan dengan ip-range client anda. Setelah itu
silahkan klik start, dan tunggu beberapa saat. Setelah semua ip berhasil
ditampilkan, biarkan tool ip-scan (tidak usah di close), kemudian menuju menu
IP-->ARP
11.
12.Maka didalam ARP list akan muncul ip dan mac-address dari client. Selanjutnya
adalah membuat agar arp-list menjadi static dengan cara meng-klik kanan setiap
pasangan ip dan mac-address tersebut dan pilih option make statik. Ini dilakukan
untuk semua ip yang muncul. Setelah semua menjadi statik selanjutnya menuju
menu INTERFACES
13.
14.Pilih interface yang menuju klien, klik kiri dua kali sehingga muncul gambar
seperti diatas. Kemudian pada option ARP dipilih reply-only
15.Selesai
2.
3.Ikuti option-option diatas,untuk jenis koneksi selain speedy tinggal menyesuaikan
"in-interface", dimana interface yang digunakan adalah interface mikrotik yang
mengarah ke WAN/internet, kemudian pindah ke tab action, diisikan drop.
4.Langkah ke-2 diulang untuk port-port:3128,808
5.Selesai
Pengantar..
Sebenernya agak males untuk menulis masalah setting VPN ini, dikarenakan banyak
yang sudah mengulasnya secara mendalam. Kemudian atas permintaan seorang
teman dan adanya ketersediaan waktu akhirnya saya tulis juga. Namun VPN yang akan
saya setting hanya menggunakan satu jenis yaitu PPtP (Point to Point tuneling protocol)
Asumsi..
Action...
3.
4.untuk nama bisa diberikan sesuai dengan keinginan anda, yang penting mudah
diingat
5.untuk address dimasukan : 192.168.15.1-192.168.15.50 dan next pool=none lalu
klik OK
6.Selanjutnya kita masuk ke modul PPP ke tab profiles, lalu klik tanda plus..
7.Untuk nama silahkan cari yang unik, kemudian local address diisikan dengan ip
mikrotik yang mengarah ke LAN dan DNS server diberi ip yang sama (dengan
catatan pada setting DNS di mikrotik pada option allow remote request di ceklist)
lalu klik OK
8.Selanjutnya kita pindah ke tab secrets masih pada modul PPP, kemudian diklik
tanda plus-nya
9.
13.Silahkan diikuti semua option diatas kemudian klik OK, maka telah selesai setting
VPN kita
1.
2.
3.
4.
5.
6.
7.
8.
Selesai....
Selamat mencoba
Setting Linksys AG241 dan Mikrotik untuk akses speedy
Pengantar...
Kenapa yang digunakan adalah Linksys AG241 tidak yang lain? jawabnya simpel,
dikantor saya pakenya ini. Kenapa harus ada mikrotik juga, pake linksys AG 241 juga
sudah cukup klo cuma mau share internet? jawabnya simpel juga, karena pengaturan
yang "agak" ruwet untuk kebutuhan share internet dikantor dan hal ini tidak dapat
dipenuhi oleh sebuah linksys AG241.
Untuk kali ini linksys AG241 difungsikan sebagai bridge, sedangkan dial dilakukan oleh
mikrotik. Beberapa hal yang menguntungkan jika dial dengan mikrotik :
1.Kita dapat memanage mikrotiknya secara langsung. Jika yang dial modem maka
kita harus mengeset modem agar memforward ip dari speedy ke ip mikrotik.
2.Kerja modem tidak terlalu berat sehingga akan berdampak pada penurunan suhu
modem (pernah mengalami modem panas ??) dan secara tidak langsung akan
berdampak pada umur pemakaian dari modem itu sendiri.
3.konfigurasi filter yang lebih banyak jika menggunakan mikrotik
Kebutuhan....
Asumsi..
Topologi jaringan :
|Inet|----|Modem|----|Mikrotik|----|switch|----|Client|
action..
modem AG241.
1.Modem AG241 dihubungkan dengan PC menggunakan kabel UTP yang sudah
disiapkan
2.IP PC dirubah disesuaikan dengan IP modem, misalkan menjadi
:192.168.1.3/255.255.255.0
3.Modem dihidupkan dengan memasang adaptor ke sumber listrik, dan keluaran
adaptor disambungkan ke modem.
4.Silahkan buka browser kesayangan anda, kemudian isikan 192.168.1.1 di url
browser anda, maka akan muncul dialog untuk memasukan username dan
password untuk masuk ke dalam menu configurasi modem. Pada keadaan
standar isikan username dan password dengan admin
5.masuk ke tab setup
6.
7.
8.Setting gambar diatas untuk daerah jakarta tepatnya daerah bekasi, untuk daerah
lainnya tinggal menyesuaikan VPI dan VCI saja
Mikrotik
1.PC dihubungkan ke switch yang terhubung dengan mikrotik (lihat topologi diatas)
dan rubah kembali ip PC disesuaikan dengan IP yang ada, misalkan
:192.168.0.3/255.255.255.0
2.Login kedalam mikrotik menggunakan winbox
3.klik menu ppp, klik tanda plus pilih pppoe client
4.Pada tab general ini yang diisi hanya bagian interface, dipilih WAN
5.pindah ke tab dial out
6.Pada tab dial out, yang diisi hanyalah username dan password saja. isikan
username dan password dari account speedy anda.
7.Dial on demand, jika anda menginginkan mikrotik untuk dial ke speedy jika ada
permintaan dari client untuk akses ke internet (cocok untuk account non
unlimited) silahkan untuk diceklist. jika menginginkan agar mikrotik selalul
terhubung dengan internet silahkan jangan diceklist bagian ini.
8.add default route, pada mikrotik akan ditambahkan default route yang telah
disetting oleh speedy
9.Untuk Use peer DNS saya tidak begitu mengetahui jadi biarkan tidak diceklist
10.untuk bagian allow silahkan di checklist semuanya lalu klik OK
11.Klik menu IP-->firewall pilih tab NAT
12.Pilih chain :srcnat, src.address:192.168.0.0/24, out.interface=pppoe-out2,
kemudian pindah ke tab action
Pengantar...
Bagi anda sekalian pengguna ISP Tel**m aka Speeda, yang berlangganan paket opis
atau paket lainnya yang diberikan IP dinamis dan menggunakan Mikrotik sebagai
routernya ( jadi modem ADSL diconfigure sebagai "Bridge Mode only" dan dial
dilakukan oleh mikrotik) dan berhasrat untuk meremote mikrotiknya dari jaringan
internet, tentunya akan kesulitan. Dikarenakan IP yang berubah jika modem/mikrotiknya
direstart.
Dengan bantuan sebuah website (disini websitenya) kita dapat meremote mikrotik kita
tanpa perlu memikirkan berapa ip account speda kita.....
Action...
Sebelum action dilakukan diasumsikan bahwa tidak ada masalah dalam hal koneksi
internetnya dimana yang dial adalah mikrotik..
Selanjutnya silahkan buat account di website tadi, buat sebuah subdomain yang
ditawarkan diwebsite tersebut dan aktifkan service dns-nya.
Untuk mengetesnya silahkan ping subdomain yang baru anda buat tadi...klo berhasil
akan ada reply dari ip account speda anda
Setelah account dibuat (berarti anda telah memiliki username dan password untuk
website tersebut) kita beralih ke mikrotik....
Mikrotik...
Login ke Mikrotik anda melalui winbox...
Masuk kemenu /System/Scripts...
Klik add....dan masukan script ini :
Untuk mikrotik v2.9.xx
:global ddns-ip [ /ip address get [/ip address find interface=$ddns-interface] address ]
:log info ("DDNS: No ip address present on " . $ddns-interface . ", please check.")
} else={
} else={
:global ddnsinterface
:global ddnssystem ("mt-" . [/system package get system version] )
} else={
:log info "DDNS: No update required."
}
# End of script
Kemudian beri nama script sesuai dengan keinginan anda, lalu klik OK
Setelah script dibuat selanjutnya kita membuat scheduller, agar secara periodik mikrotik kita mengupdate
subdomain yang dibuat di website "tersebut".
Masih di winbox, masuk ke menu /system/scheduler :
Klik add...
beri nama schedulernya....
atur tanggal dimulainya scheduler....
atur jamnya....
atur periodenya...mau setiap menit..setiap jam atau setiap hari....
Pada bagian On Event, tuliskan nama script yang anda buat tadi.
Selesai,
selamat mencoba.
Pengantar
Tidak bisa dipungkiri jika keberadaan webproxy (jika diconfigure dengan baik, dan ini
bagi beberapa orang merupakan keasikan tersendiri atau juga merupakan beban
tersendiri dikarenakan banyaknya parameter yang terdapat didalam squid webproxy
yang dapat diconfigure. Perbedaan configure ini akan memberikan efek yang berbeda
pula.)
Untuk rekan-rekan yang tidak ingin ambil pusing dengan configure-configure tersebut,
kecuali anda ingin "bermain-main" dengan parameter yang ada disquid, anda dapat
menggunakan smoothwall atau ipcop. Memang Smoothwall atau IPCOP sesungguhnya
merupakan operating sistem berbasis linux yang dikhususkan sebagai Gateway
internet. Gateway ini menjembatani antara LAN dengan Internet. Namun kali ini saya
akan menggabungkan kemampuan dari Mikrotik dengan kemampuan webproxy dari
smoothwall. Smoothwall yang saya gunakan merupakan versi freeware atau versi
community.
Satu hal kenapa saya lebih memilih Smoothwall dibandingkan IPCOP adalah
Dikarenakan hardware ditempat saya rata-rata sudah pakai P4, maka kernel 2.6
menjadi pilihan saya. Hal ini hanya dipenuhi oleh smoothwall sedangkan IPCOP masih
berkutat pada kernel 2.4.
Mikrotik digunakan sebagai gateway dan bandwidth management dikarenakan dihal
tersebut mikrotik mempunyai nilai lebihnya.
Skema Jaringan
| Inet Cloud |-------| Modem |-----| Mikrotik |------| Switch |-------| LAN |
-----------------------------------------|
-----------------------------------------|
-----------------------------------------|
-----------------------------------| Smoothwall |
Asumsi
Peralatan Tempur
Action
Lalu
Tekan OK, lalu tekan enter dua kali sehingga akan muncul...
Jika anda sebelumnya pernah menginstall smoothwall dan menyimpan backup config-
nya kedalam floopydisk, maka ketika tampilan dibawah ini muncul masukan floopy disk
backup dan tekan yes.
Jika untuk pertama kali menginstall smoothwall maka cukup tekan tombol No.
kemudian pilih keyboard mapping dan isikan nama dari smoothwall anda (hostname).
Tahap selanjutnya adalah memilih "security policy" dikarenakan smoothwall kita
nantinya berada didalam "zona aman" mikrotik maka kita biarkan security policy berada
di open
Untuk kasus saya ini IP untuk GREEN dan RED diisikan IP dalam satu subnet, jadi
misalkan untuk GREEN diberikan 192.168.10.2/255.255.255.0 (dengan asumsi untuk
kartu jaringan dimikrotik yang mengarah ke smoothwall diberikan ip 192.168.10.1) maka
untuk RED diberikan IP 192.168.10.3/255.255.255.0 dengan pilihan secara statik.
Kemudian ....
Isikan DNS dan default gatewaynya, untuk default gateway isikan ip mikrotik yang
mengarah ke smoothwall (dalam kasus saya adalah 192.168.10.1). Untuk DNS bisa
memakai IP mikrotik dengan catatan option "allow remote request"-nya di
checklist/dipilih atau bisa memakai DNS yang diberikan oleh ISP.
Untuk selanjutnya akan muncul screen...
Dikarenakan akan menggunakan addons advproxy dkk, maka untuk section ini
langsung saja klik finished.
Isikan password yang anda inginkan untuk mengakses smoothwall melalui web browser
(user: admin)
Isikan password yang anda inginkan untuk mengakses smoothwall melalui terminal
(user: root).
Configuring Smoothwall.....
Untuk selanjutnya kita dapat mengconfigure smoothwall melalui web browser, dengan
mengetik
ip_smoothwall:81 di browser, sehingga akan muncul dibrowser anda seperti ini.
Jika koneksi keinternet anda tidak bermasalah maka akan terdapat updates-updates
yang berasal dari websitenya smoothwall. Yang perlu diingat adalah setiap kali
melakukan updates maka Mods-mods atau addons yang telah kita pasang wajib di
uninstall dan install lagi, jika tidak dilakukan maka addons tidak dapat berjalan
sebagaimana mestinya. Setelah semua updates didonlot kemudian diinstall dan
kemudian smoothwall akan meminta reboot..
untuk mengetahui apakah updates-updates tadi telah terinstall dapat dilihat di tab yang
sama, maka akan muncul selain updates terbaru dari website smootwall (jika ada yang
baru dan kita belum menginstallnya..) juga updates-updates yang telah terinstall oleh
kita.
Installing Addons...
untuk menginstall addons (setelah kita donlot semua addons yang diperlukan) kita
memerlukan peralatan tempur putty untuk menjalankan terminal smoothwall secara
remote dari komputer lainnya dan juga winscp untuk memindahkan file-file addons dari
komputer remote ke komputer smoothwall.
Install advproxy
Gunakan winscp untuk memindahkan file advproxy ke smoothwall (biasanya ditaruh
difolder /tmp).
login melalui ssh dengan user root, untuk windows bisa menggunakan putty dengan
port ssh 222
uncompress advproxy
tar –xzf swe3-nn-advproxy-version.tar.gz
masuk ke direktory hasil uncompress tadi dan jalankan:
./install
setelah selesai install, melalui browser masuk ke smoothwall dan di tab service sudah
web-proxy.
untuk option yang diceklist silahkan melihat gambar diatas, untuk proxyport bisa
memakai 8080 atau 3128 (port standar untuk webproxy, walaupun memakai yang
lainnya juga gpp. Akan tetapi demi kelancaran dan keamanan lebih baik memakai satu
diantara dua port tadi)
memory cache size (MB) = 8
Minimal object size (KB) = 0
Hardisk cache size (MB) = 10000 ( hardisk yang saya pake 80 GB SATA)
Maximum object size (KB) = 128000
memory replacement policy = heap GDSF
cache replacement policy = heap LFUDA
untuk option yang lain dibiarkan standard bawaan smoothwall aja
buat file di /var/smoothwall/proxy/store_url_rewrite.pl
dan isikan dengan :
#!/usr/bin/perl
$|=1;
while (<>) {
@X = split;
$url = $X[0];
$url
=~s@^http://(.*?)/get_video\?(.*)video_id=(.*?)&.*@squid://videos.youtube.INTERNAL/I
D=$3@;
$url
=~s@^http://(.*?)/get_video\?(.*)video_id=(.*?)$@squid://videos.youtube.INTERNAL/ID
=$3@;
$url
=~s@^http://(.*?)/videodownload\?(.*)docid=(.*?)$@squid://videos.google.INTERNAL/I
D=$3@;
$url
=~s@^http://(.*?)/videodownload\?(.*)docid=(.*?)&.*@squid://videos.google.INTERNAL/
ID=$3@;
$url =~s@^http://(.*?)/albums\?&.*@squid://images.photobucket.INTERNAL/ID=$3@;
#print "$url\n"; }
$url =~s@^http://(.*?)/albums\?$@squid://images.photobucket.INTERNAL/ID=$3@;
$url =~s@^http://(.*?)/albums\?&.*@squid://videos.photobucket.INTERNAL/ID=$3@;
$url =~s@^http://(.*?)/albums\?$@squid://videos.photobucket.INTERNAL/ID=$3@;
print "$url\n"; }
ubah kepemilikan file ke 755
# The keyword for all youtube video files are "get_video?", "videodownload?" and
"videoplaybeck?id"
# The "\.(jp(e?g|e|2)|gif|png|tiff?|bmp|ico|flv)\?" is only for pictures and other videos
#acl store_rewrite_list urlpath_regex \/(get_video\?|videodownload\?|videoplayback\?id)
\.(jp(e?g|e|2)|gif|png|tiff?|bmp|ico|flv)\? \/ads\?
#acl store_rewrite_list_web url_regex ^http:\/\/([A-Za-z-]+[0-9]+)*\.[A-Za-z]*\.[A-Za-z]*
#acl store_rewrite_list_path urlpath_regex \.(jp(e?g|e|2)|gif|png|tiff?|bmp|ico|flv)$
#acl store_rewrite_list_web_CDN url_regex ^http:\/\/[a-z]+[0-9]\.google\.com
doubleclick\.net
#youtube's videos
refresh_pattern -i (get_video\?|videodownload\?|videoplayback\?) 161280 50000%
525948 override-expire ignore-reload
#and for pictures
refresh_pattern -i \.(jp(e?g|e|2)|gif|png|tiff?|bmp|ico|flv)(\?|$) 161280 3000% 525948
override-expire reload-into-ims
refresh_pattern ^http://(.*?)/get_video\? 10080 90% 999999 override-expire ignore-no-
cache ignore-private
refresh_pattern ^http://(.*?)/videodownload\? 10080 90% 999999 override-expire
ignore-no-cache ignore-private
refresh_pattern ^http://i(.*?).photobucket.com/albums/(.*?)/(.*?)/(.*?)\? 43200 90%
999999 override-expire ignore-no-cache ignore-private
refresh_pattern ^http://vid(.*?).photobucket.com/albums/(.*?)/(.*?)\? 43200 90% 999999
override-expire ignore-no-cache ignore-private
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern -i \.(swf|png|jpg|jpeg|bmp|tiff|png|gif) 43200 90% 129600 reload-into-
ims override-lastmod
refresh_pattern -i \.(mov|mpg|mpeg|flv|avi|mp3|3gp|sis|wma) 43200 90% 129600
reload-into-ims override-lastmod
refresh_pattern -i \.(zip|rar|tgz|bin|ace|bz|bz2|tar|gz|exe) 43200 90% 129600 reload-
into-ims override-lastmod
refresh_pattern -i (.*html$|.*htm|.*shtml|.*aspx|.*asp) 43200 90% 1440 reload-into-ims
override-lastmod
refresh_pattern -i \.(class|css|js|gif|jpg)$ 10080 90% 43200 override-expire
refresh_pattern -i \.(jpe|tif)$ 10080 90% 43200 override-expire
refresh_pattern -i \.(mpe|wmv|wav|au|mid)$ 10080 90% 43200 override-expire
refresh_pattern -i \.(arj|lha|lzh)$ 10080 90% 43200 override-expire
refresh_pattern -i \.(hqx|pdf|rtf|doc|swf)$ 10080 90% 43200 override-expire
refresh_pattern -i \.(inc|cab|ad|txt|dll)$ 10080 90% 43200 override-expire
refresh_pattern -i \.(asp|acgi|pl|shtml|php3|php)$ 2 20% 4320 reload-into-ims
refresh_pattern ^http://*.google.*/.* 720 90% 4320 reload-into-ims override-lastmod
refresh_pattern ^http://*korea.*/.* 720 90% 4320 reload-into-ims override-lastmod
refresh_pattern ^http://*.akamai.*/.* 720 90% 4320 reload-into-ims override-lastmod
refresh_pattern ^http://*.windowsmedia.*/.* 720 90% 4320 reload-into-ims override-
lastmod
refresh_pattern ^http://*.googlesyndication.*/.* 720 90% 4320 reload-into-ims override-
lastmod
refresh_pattern ^http://*.plasa.*/.* 720 90% 4320 reload-into-ims override-lastmod
refresh_pattern ^http://*.telkom.*/.* 720 90% 4320 reload-into-ims override-lastmod
refresh_pattern ^http://*.friendster.com/.* 720 90% 10080 reload-into-ims override-
lastmod
refresh_pattern ^http://*.facebook.com/.* 720 90% 10080 reload-into-ims override-
lastmod
refresh_pattern ^http://*.blogspot.*/.* 720 90% 10080
refresh_pattern ^http://*.wikipedia.*/.* 720 90% 10080
refresh_pattern ^http://*.wordpress.*/.* 720 90% 10080
refresh_pattern ^http://*.bhinneka.*/.* 720 90% 10080
refresh_pattern ^http://*.okezone.*/.* 720 90% 10080
refresh_pattern ^http://*.multiplay.*/.* 720 90% 10080
refresh_pattern ^http://*.blogger.*/.* 720 90% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern ^ftp: 43200 90% 129600 reload-into-ims override-expire
refresh_pattern ^http://www.detiksport.com/.* 180 35% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.kompas.com/.* 180 35% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.detiknews.com/.* 180 35% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.photobucket.com/.* 180 100% 4320 override-expire
override-lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.detikhot.com/.* 180 35% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.kapanlagi.com/.* 180 35% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.okezone.com/.* 180 35% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.indowebster.com/.* 180 100% 4320 override-expire
override-lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.telkomspeedy.com/.* 180 100% 4320 override-expire
override-lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.imagevenue.com/.* 180 100% 4320 override-expire
override-lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.flickr.com/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.imageshack.us/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.usercash.com/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.googlesyndication.com/.* 180 100% 4320 override-expire
override-lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.co.cc/.* 180 35% 4320 override-expire override-lastmod
ignore-reload reload-into-ims
refresh_pattern ^http://www.21cineplex.com/.* 180 35% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.saatchi-gallery.co.uk/.* 180 100% 4320 override-expire
override-lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.onemanga.com/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.jobsdb.com/.* 180 35% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.imeem.com/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.download.com/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.amazon.com/.* 180 35% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.friendster-layouts.com/.* 180 100% 4320 override-expire
override-lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.geocities.com/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.redtube.com/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.files.wordpress.com/.* 180 100% 4320 override-expire
override-lastmod ignore-reload reload-into-ims
refresh_pattern ^http://indonetwork.co.id/.* 180 35% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://gudanglagu.com/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://megaupload.com/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.karir.com/.* 180 35% 4320 override-expire override-lastmod
ignore-reload reload-into-ims
refresh_pattern ^http://www.myspace.com/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.multiply.com/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.rapidshare.com/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.4shared.com/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.ziddu.com/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.kaskus.com/.* 180 35% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.kaskus.us/.* 180 35% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.friendster.com/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://mail.yahoo.com/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://login.yahoo.com/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://mail.yahoo.co.id/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://mail.google.com/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims
refresh_pattern ^http://*.yahoo.*/.* 180 100% 4320 override-expire override-lastmod
ignore-reload reload-into-ims
refresh_pattern ^http://*.yahoo.com/.* 180 100% 4320 override-expire override-lastmod
ignore-reload reload-into-ims
refresh_pattern ^http://*.yahoo.co.id/.* 180 100% 4320 override-expire override-lastmod
ignore-reload reload-into-ims
refresh_pattern ^http://*.akamai.net/.* 180 100% 4320 override-expire override-lastmod
ignore-reload reload-into-ims
refresh_pattern ^http://*.yimg.*/.* 180 100% 4320 override-expire override-lastmod
ignore-reload reload-into-ims
refresh_pattern ^http://*.gmail.*/.* 180 100% 4320 override-expire override-lastmod
ignore-reload reload-into-ims
refresh_pattern ^http://*.detik.*/.* 180 35% 4320 override-expire override-lastmod
ignore-reload reload-into-ims
refresh_pattern . 0 20% 4320
#opsi zph
zph_mode tos
zph_local 0x30
zph_parent 0
zph_option 136
#opsi yg lain
quick_abort_min 0
quick_abort_max 0
quick_abort_pct 100
ie_refresh off
client_lifetime 2 hours
#ipcache_size 4096
#ipcache_low 90
#ipcache_high 95
maximum_object_size_in_memory 64 KB
dari browser masuk ke tab web proxy lalu klik save and restart
Install Urlfilter
Dengan cara yang sama, pindahkan file urlfilter hasil donlot ke folder /tmp dengan
menggunakan winscp, lalu uncompress
login melalui ssh dengan user root, untuk windows bisa menggunakan putty dengan
port ssh 222
uncompress urlfilter
tar -xzf sw3-nn-urlfilter-version.tar.gz
masuk kedirektory hasil uncompress dan jalankan
./install
setelah selesai install, melalui browser masuk ke smoothwall dan di tab service
dibagian service sudah terdapat option url filter.
sedikit tuning......
edit file /etc/rc.d/rc.firewall.up dengan...
# set network tweaks
echo 49152 > /proc/sys/fs/file-max
echo 262144 > /proc/sys/net/core/rmem_default
echo 262144 > /proc/sys/net/core/rmem_max
echo 262144 > /proc/sys/net/core/wmem_default
echo 262144 > /proc/sys/net/core/wmem_max
echo 4096 87380 8388608 > /proc/sys/net/ipv4/tcp_rmem
echo 4096 65536 8388608 > /proc/sys/net/ipv4/tcp_wmem
echo 4096 4096 4096 > /proc/sys/net/ipv4/tcp_mem
echo 1 > /proc/sys/net/ipv4/tcp_low_latency
echo 4000 > /proc/sys/net/core/netdev_max_backlog
echo 1024 65000 > /proc/sys/net/ipv4/ip_local_port_range
echo 16384 > /proc/sys/net/ipv4/tcp_max_syn_backlog
lalu reboot smoothwall-nya..
Untuk mengetest silahkan di browser client di isikan proxy secara manual dan dicoba
untuk browsing..
Transparent proxy....
•data recovery
•Dating
•Laura Ashley
•HP Compaq RAM Memory Upgrade
•Psychic
1. Unicast
Protokol dalam trafik internet yang terbanyak adalah TCP, sebuah komunikasi antar
host di internet (praktiknya adalah client-server, misal browser anda adalah client maka
google adalah server). Trafik ini bersifat dua arah, client melakukan inisiasi koneksi dan
server akan membalas inisiasi koneksi tersebut, dan terjadilah TCP session (SYN dan
ACK).
2. Destination-address
Dalam jaringan IP kita mengenal router, sebuah persimpangan antara network address
dengan network address yang lainnya. Makin menjauh dari pengguna persimpangan itu
sangat banyak, router-lah yang mengatur semua trafik tersebut. Jika dianalogikan
dengan persimpangan di jalan, maka rambu penunjuk jalan adalah routing table.
Penunjuk jalan atau routing table mengabaikan “anda datang dari mana”, cukup dengan
“anda mau ke mana” dan anda akan diarahkan ke jalan tepat. Karena konsep inilah
saat kita memasang table routing cukup dengan dua parameter, yaitu network address
dan gateway saja.
3. Source-address
Source-address adalah alamat IP kita saat melakukan koneksi, saat paket menuju ke
internet paket akan melewati router-router ISP, upstream provider, backbone internet
dst hingga sampai ke tujuan (SYN). Selanjutnya server akan membalas koneksi (ACK)
sebaliknya hingga kembali ke komputer kita. Saat server membalas koneksi namun ada
gangguan saat menuju network kita (atau ISPnya) maka komputer kita sama sekali
tidak akan mendeteksi adanya koneksi. Seolah-olah putus total, walaupun
kemungkinan besar putusnya koneksi hanya satu arah.
4. Default gateway
Saat sebuah router mempunyai beberapa interface (seperti persimpangan, ada
simpang tiga, simpang empat dan simpang lima) maka tabel routing otomatis akan
bertambah, namun default router atau default gateway hanya bisa satu. Fungsinya
adalah mengarahkan paket ke network address yang tidak ada dalam tabel routing
(network address 0.0.0.0/0).
5. Dua koneksi
Permasalahan umumnya muncul di sini, saat sebuah router mempunyai dua koneksi ke
internet (sama atau berbeda ISP-nya). Default gateway di router tetap hanya bisa satu,
ditambah pun yang bekerja tetap hanya satu. Jadi misal router NAT anda terhubung ke
ISP A melalui interface A dan gateway A dan ke ISP B melalui interface B dan gateway
B, dan default gateway ke ISP A, maka trafik downlink hanya akan datang dari ISP A
saja. Begitu juga sebaliknya jika dipasang default gateway ke ISP B.
Pada router NAT (atau router pada umumnya), source-address secara default tidak
dibaca, tidak dipertimbangkan. Jadi pada kasus di atas karena default gateway ke ISP A
maka NAT akan meneruskan paket sebagai paket yang pergi dari IP address interface A
(yang otomatis akan mendapat downlink dari ISP A ke interface A dan diteruskan ke
jaringan dalam).
Dalam jaringan yang lebih besar (bukan NAT), source-address yang melewati network
lain disebut sebagai transit (di-handle dengan protokol BGP oleh ISP). Contoh praktis
misalnya anda membeli bandwidth yang turun dari satelit melalui DVB, namun koneksi
uplink menggunakan jalur terestrial (dial-up, leased-line atau fixed-wireless). Dalam
kasus ini paket inisiasi koneksi harus menjadi source-address network downlink DVB,
agar bandwidth downlink dari internet mengarah DVB receiver, bukan ke jalur terestrial.
Penerapan utilisasi dua koneksi tersebut bisa mengambil tiga konsep, yaitu round-robin,
loadbalance atau failover.
6. Round-robin
Misalkan anda mempunyai tiga koneksi internet di satu router NAT, koneksi pertama di
sebut Batman, koneksi kedua disebut Baskin dan koneksi ketiga disebut Williams, maka
konsep round-robin adalah sang Robin akan selalu berpindah-pindah secara berurutan
mengambil source-address (bukan random). Misal ada satu TCP session dari komputer
di jaringan internal, maka koneksi TCP tersebut tetap di source-address pertama hingga
sesi TCP selesai (menjadi Batman & Robin). Saat TCP session Batman & Robin
tersebut belum selesai, ada ada request koneksi baru dari jaringan, maka sang Robin
akan mengambil source-address koneksi berikutnya, menjadi Baskin & Robin. Dan
seterusnya sang Robin akan me-round-round setiap koneksi tanpa memperhatikan
penuh atau tidaknya salah satu koneksi.
Pasti anda sedang pusing membaca kalimat di atas, atau sedang tertawa terbahak-
bahak.
7. Loadbalance
Konsep loadbalance mirip dengan konsep round-robin di atas, hanya saja sang Robin
dipaksa melihat utilisasi ketiga koneksi tersebut di atas. Misalkan koneksi Batman &
Robin serta Baskin & Robin sudah penuh, maka koneksi yang dipilih yang lebih kosong,
dan koneksi yang diambil menjadi Robin Williams. Request koneksi berikutnya kembali
sang Robin harus melihat dulu utilisasi koneksi yang ada, apakah ia harus menjadi
Batman & Robin, Baskin & Robin atau Robin Williams, agar semua utilisasi koneksi
seimbang, balance.
8. Failover
Konsep fail-over bisa disebut sebagai backup otomatis. Misalkan kapasitas link terbesar
adalah link Batman, dan link Baskin lebih kecil. Kedua koneksi tersebut terpasang
online, namun koneksi tetap di satu link Batman & Robin, sehingga pada saat link
Batman jatuh koneksi akan berpindah otomatis ke link Baskin, menjadi Baskin & Robin
hingga link Batman up kembali.
Tools NAT yang mempunyai ketiga fitur di atas adalah Packet Firewall (PF) di
lingkungan BSD, disebut dengan nat pool. Saya belum menemukan implementasi yang
bagus (dan cukup mudah) di Linux dengan iproute2.
Berikut contoh implementasi load balance dua koneksi sesuai judul di atas. Dijalankan
di mesin OpenBSD sebagai NAT router dengan dua koneksi DSL Telkom, interface
ethernet sk0 dan sk1.
net.inet.ip.forwarding=1
2. Pastikan konfigurasi interface dan default routing kosong, hanya filename saja
# /etc/hosts.sk0
# /etc/hosts.sk1
# /etc/hostname.sk0
# /etc/hostname.sk1
# /etc/mygate
Script koneksi DSL Speedy, pppoe0 untuk koneksi pertama dan pppoe1 untuk koneksi
kedua. Sesuaikan interface, username dan passwordnya. Jangan lupa, gunakan indent
tab.
# /etc/ppp/ppp.conf
default:
set log Phase Chat LCP IPCP CCP tun command
set redial 15 0
set reconnect 15 10000
pppoe0:
set device "!/usr/sbin/pppoe -i sk0"
disable acfcomp protocomp
deny acfcomp
set mtu max 1492
set mru max 1492
set crtscts off
set speed sync
enable lqr
set lqrperiod 5
set cd 5
set dial
set login
set timeout 0
set authname blahblahblah@telkom.net
set authkey asaljangandejek
add! default HISADDR
enable dns
enable mssfixup
pppoe1:
set device "!/usr/sbin/pppoe -i sk1"
disable acfcomp protocomp
deny acfcomp
set mtu max 1492
set mru max 1492
set crtscts off
set speed sync
enable lqr
set lqrperiod 5
set cd 5
set dial
set login
set timeout 0
set authname blahblahblah2@telkom.net
set authkey vikingboneksamasaja
add! default HISADDR
enable dns
enable mssfixup
# ifconfig sk0 up
# ifconfig sk1 up
5. Jika koneksi Speedy berhasil, IP address dari Speedy akan di-binding di interface
tunneling tun0 dan tun1
# ifconfig
tun0: flags=8051 mtu 1492
groups: tun egress
inet 125.xxx.xxx.113 --> 125.163.72.1 netmask 0xffffffff
tun1: flags=8051 mtu 1492
groups: tun
inet 125.xxx.xxx.114 --> 125.163.72.1 netmask 0xffffffff
# cat /etc/resolv.conf
lookup file bind
nameserver 202.134.2.5
nameserver 203.130.196.5
9. Script Packet Firewall NAT dan balancing dengan round-robin (ganti round-robin
dengan loadbalance jika lebih sesuai dengan kebutuhan anda). Baris yang di-indent
masih termasuk baris di atasnya. Entah kenapa tag <pre> malah menghilangkan
karakter backslash (\).
# /etc/pf.conf
lan_net = "10.0.0.0/8"
int_if = "vr0"
ext_if1 = "tun0"
ext_if2 = "tun1"
ext_gw1 = "125.163.72.1"
ext_gw2 = "125.163.72.1"
# scrub all
scrub in all
# nat outgoing connections on each internet interface
nat on $ext_if1 from $lan_net to any -> ($ext_if1)
nat on $ext_if2 from $lan_net to any -> ($ext_if2)
# pass all outgoing packets on internal interface
pass out on $int_if from any to $lan_net
# pass in quick any packets destined for the gateway itself
pass in quick on $int_if from $lan_net to $int_if
# load balance outgoing tcp traffic from internal network.
pass in on $int_if route-to \
{ ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto tcp from $lan_net to any flags S/SA modulate state
# load balance outgoing udp and icmp traffic from internal network
pass in on $int_if route-to \
{ ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto { udp, icmp } from $lan_net to any keep state
# general "pass out" rules for external interfaces
pass out on $ext_if1 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if1 proto { udp, icmp } from any to any keep state
pass out on $ext_if2 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if2 proto { udp, icmp } from any to any keep state
10. Aktifkan script yang diperlukan di /etc/rc.local agar setiap reboot langsung bekerja.
ifconfig sk0 up
ifconfig sk1 up
# aktifkan speedy
ppp -ddial pppoe0
ppp -ddial pppoe1
# pkill ppp
Jika tidak, maka ppp akan membuat tunneling baru menjadi tun2, tun3 dan seterusnya.
11. Untuk memantau fungsi nat pool round-robin di atas bekerja atau tidak, bisa
menggunakan tools pftop yang bisa diambil di
http://www.eee.metu.edu.tr/~canacar/pftop/
Jika anda mengoptimasikan koneksi jaringan juga dengan menggunakan proxy,
misalnya Squid, maka proxy Squid jangan dipasang juga di mesin router NAT tersebut,
sebab saat Squid mengakses halaman web ke internet; oleh PF dianggap bukan
sebagai koneksi NAT, jadi tidak akan di-balance, dan akan stay mengambil interface
utama dan default gateway pertama. Simpanlah mesin proxy/squid di belakang router
NAT, agar koneksi proxy ke internet menjadi trafik NAT yang akan di-balance oleh script
PF di atas.
Versi 3
Untuk memisahkan traffic lokal dengan traffic internasional tersebut RT/RW-net dapat
dengan mudah menggunakan PC Router + Sistem Operasi Mikrotik, Mikrotik
sebenarnya adalah linux yang sudah di buat sedemikian rupa oleh pengembangnya
sehingga sangat mudah diinstall dan di konfigur dengan banyak sekali fitur dan fungsi.
Untuk lebih lanjut mengenai mikrotik dapat dilihat pada situs webnya
http://www.mikrotik.com atau http://www.mikrotik.co.id
Penjelasan:
1.Mikrotik Router dengan 2 Network Interface Card (NIC) Ether1 dan Ether3, dimana
Ether1 adalah Ethernet yang terhubung langsung ke ISP dan Ether3 adalah
Ethernet yang terhubung langsung dengan jaringan 192.168.2.0/24
2.Bandwidth dari ISP misalnya 256Kbps internasional dan 1024Kbps lokal IIX
3.Komputer 192.168.2.4 akan diberi alokasi bandwidth 128Kbps internasional dan
256Kbps lokal IIX
Untuk memisahkan antara traffic lokal IIX dengan traffic internasional caranya adalah
dengan menandai paket data yang menuju atau berasal dari jaringan lokal IIX
menggunakan mangle. Pertanyaannya bagaimana caranya Mikrotik bisa mengetahui
paket tersebut menuju atau berasal dari jairngan lokal IIX?
karena http://lg.mohonmaaf.com sudah tidak aktif maka data dapat diambil dari:
http://203.89.24.3/cgi-bin/lg.cgi
Dari hasil query tersebut selanjutnya simpan sebagai text files untuk selanjutnya dapat
diolah dengan menggunakan spreadsheet contohnya Ms. Excel untuk mendapatkan
semua alamat Network yang diadvertise oleh router-router BGP ISP lokal Indonesia
pada BGP router IDC atau National Inter Connection Exchange (NICE).
Pada penjelasan versi-2 dokumen ini saya menggunakan teknik langsung memasukkan
daftar ip blok ke /ip firewall mangle, dengan teknik ini saya harus memasukkan dua kali
daftar ip yang didapat dari router NICE ke /ip firewall mangle.
Cara lain yang lebih baik adalah dengan memasukkan daftar ip blok dari router NICE ke
/ip firewall address-list dengan demikian maka pada /ip firewall mangle hanya terdapat
beberapa baris saja dan pemisahan traffic Indonesia dan overseas dapat lebih akurat
karena mangle dapat dilakukan berdasarkan address-list saja.
Selanjutnya buat script berikut untuk dapat diimport oleh router Mikrotik
/ ip firewall address-list
add list=nice address=58.65.240.0/23 comment="" disabled=no
add list=nice address=58.65.242.0/23 comment="" disabled=no
add list=nice address=58.65.244.0/23 comment="" disabled=no
add list=nice address=58.65.246.0/23 comment="" disabled=no
add list=nice address=58.145.174.0/24 comment="" disabled=no
add list=nice address=58.147.184.0/24 comment="" disabled=no
add list=nice address=58.147.185.0/24 comment="" disabled=no
dst…
http://www.datautama.net.id/harijanto/mikrotik/datautama-nice.php
URL diatas secara online akan melakukan query ke router NICE dari
http://lg.mohonmaaf.com
CATATAN:
Karena lg.mohonmaaf.com tidak dapat diakses maka utk daftar ip local dapat di ambil
dari
http://ixp.mikrotik.co.id/download/nice.rsc
atau dari
http://www.datautama.net.id/harijanto/mikrotik/datautama-nice.php
dari hasil URL diatas copy lalu paste ke mikrotik dengan menggunakan aplikasi
putty.exe ssh ke ipmikrotik tersebut, caranya setelah di copy teks hasil proses URL
diatas lalu klik kanan mouse pada jendela ssh putty yang sedang meremote mikrotik
tersebut. Cara ini agak kurang praktis tetapi karena jika script diatas dijadikan .rsc
ternyata akan bermasalah karena ada beberapa baris ip blok yang saling overlap
sebagai contoh:
\... add address=222.124.64.0/23 list="nice"
[datautama@router-01-jkt] > /ip firewall address-list \
\... add address=222.124.64.0/21 list="nice"
address ranges may not overlap
dimana 222.124.64.0/21 adalah supernet dari 222.124.64.0/23 artinya diantara dua blok
ip tersebut saling overlap, sehingga pada saat proses import menggunakan file .rsc
akan selalu berhenti pada saat menemui situasi seperti ini.
Sampai saat ini saya belum menemukan cara yang praktis utk mengatasi hal tersebut
diatas. Kalau saja kita bisa membuat address-list dari table prefix BGP yang dijalankan
di mikrotik maka kita bisa mendapatkan address-list dengan lebih sempurna.
/ ip firewall mangle
add chain=forward src-address-list=nice action=mark-connection \
new-connection-mark=mark-con-indonesia passthrough=yes comment="mark all \
indonesia source connection traffic" disabled=no
add chain=forward dst-address-list=nice action=mark-connection \
new-connection-mark=mark-con-indonesia passthrough=yes comment="mark all \
indonesia destination connection traffic" disabled=no
add chain=forward src-address-list=!nice action=mark-connection \
new-connection-mark=mark-con-overseas passthrough=yes comment="mark all \
overseas source connection traffic" disabled=no
add chain=forward dst-address-list=!nice action=mark-connection \
new-connection-mark=mark-con-overseas passthrough=yes comment="mark all \
overseas destination connection traffic" disabled=no
add chain=prerouting connection-mark=mark-con-indonesia action=mark-packet \
new-packet-mark=indonesia passthrough=yes comment="mark all indonesia \
traffic" disabled=no
add chain=prerouting connection-mark=mark-con-overseas action=mark-packet \
new-packet-mark=overseas passthrough=yes comment="mark all overseas \
traffic" disabled=no
Langkah selanjutnya adalah mengatur bandwidth melalui queue simple, untuk mengatur
bandwidth internasional 128Kbps dan bandwidth lokal IIX 256Kbps pada komputer
dengan IP 192.168.2.4 dapat dilakukan dengan contoh script sbb:
/ queue simple
add name="harijant-indonesia" target-addresses=192.168.2.4/32 \
dst-address=0.0.0.0/0 interface=all parent=none packet-marks=indonesia \
direction=both priority=8 queue=default/default limit-at=0/0 \
max-limit=256000/256000 total-queue=default disabled=no
add name="harijanto-overseas" target-addresses=192.168.2.4/32 \
dst-address=0.0.0.0/0 interface=all parent=none packet-marks=overseas \
direction=both priority=8 queue=default/default limit-at=0/0 \
max-limit=128000/128000 total-queue=default disabled=no
Script diatas berarti hanya komputer dengan IP 192.168.2.4 saja yang di batasi
bandwidthnya 128Kbps internasional (overseas) dan 256Kbps lokal IIX (indonesia)
sedangkan yang lainnya tidak dibatasi.
Pada penjelasan versi-3 ini proses mangle terhadap traffic “overseas” dapat lebih
akurat karena menggunakan address-list dimana arti dari src-address=!nice adalah
source address “bukan nice” dan dst-address=!nice adalah destination address “bukan
nice”.
Sehingga demikian traffic “overseas” tidak akan salah identifikasi, sebelumnya pada
penjelasan versi-2 traffic “overseas” bisa salah indentifikasi karena traffic “overseas” di
definisikan sbb
Adapun teknik diatas telah di test pada router mikrotik yang menjalankan NAT , jika
router mikrotik tidak menjalankan NAT coba rubah chain=prerouting menjadi
chain=forward.
Untuk lebih lanjut mengenai pengaturan bandwidth pada Mikrotik dapat dilihat pada
manual mikrotik yang dapat didownload pada
http://www.mikrotik.com/docs/ros/2.9/RouterOS_Reference_Manual_v2.9.pdf
Script diatas dapat diimplementasikan pada Mikrotik Versi 2.9.27 , untuk versi mikrotik
sebelumnya kemungkinan ada perbedaan perintah.
Sumber abdi_wae
http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=17386
modem1 ---
+--- eth0 mikrotik --- eth2 LAN
+--- eth1
modem2 ---
The typical situation where you got one router and want to connect to two ISPs:
Of course, you want to do load balancing! There are several ways how to do it.
Depending on the particular situation, you may find one best suited for you.
All workstations have IP configuration with the IP address from the relevant group, they
all have network mask 255.255.255.0, and 192.168.100.254 is the default gateway for
them. We will talk about DNS servers later.
Now, when we have workstations divided into groups, we can refer to them using
subnet addressing:
•Group A is 192.168.100.0/25, i.e., addresses 192.168.100.0-127
•Group B is 192.168.100.128/25, i.e., addresses 192.168.100.128-255
We need to add two IP Firewall Mangle rules to mark the packets originated from Group
A or Group B workstations.
It is a good practice to add a comment as well. Your mangle rules might be interesting
for someone else and for yourself as well after some time.
Next, we should specify two default routes (destination 0.0.0.0/0) with appropriate
routing marks and gateways:
This thing is not going to work, unless you do masquerading for your LAN! The simplest
way to do it is by adding one NAT rule for Src. Address 192.168.100.0/24 and Action
masquerade:
Test the setup by tracing the route to some IP address on the Internet!
C:\>tracert -d 8.8.8.8
1 2 ms 2 ms 2 ms 192.168.100.254
2 10 ms 4 ms 3 ms 10.1.0.1
...
C:\>tracert -d 8.8.8.8
1 2 ms 2 ms 2 ms 192.168.100.254
2 10 ms 4 ms 3 ms 10.5.8.1
...
You can specify the DNS server for workstations quite freely, j
Articles
Load Balancing dan Fail Over [Group] pada Mikrotik
Pending
Written on Aug-19-08 3:08pm/19/2008 8:08 GMT - Not yet published to a wikizine
From: mellasaeblog.blogspot.com
Load Balancing dan Fail Over [Group] pada Mikrotik
April 27th, 2008 by admin
IP Modem satu adalah 192.168.110.1 dengan interface ”Wanatas” dan IP Modem yang
satunya adalah 192.168.120.1 dengan interface ”Wantengah” sedangkan IP dari ”LAN”
172.10.12.1
Sebelum kita menuju pengkonfigurasian Load Balancing kita susun dulu blok2 IP yang akan
digroup
Masuk ke IP >> Firewall
Dan pilih tab Addess Lists dan Add
dan dibawah adalah tampilan ketika tombol add di klik, dan isikan Name dengan nama
group anda yang pertama, dan seterusnya.
Jika sudah menentuka blok IP berdasarkan group maka kita lanjut ke sesi berikutnya yaitu :
Konfigurasi Mangle
Tetap pada Window Firewall tapi pindah ke Tab Mangel yang seperti saya lingkari berwarna
merah tersebut, setelah itu klik tombol Add yang saya lingkari dengan warna biru.
Jika sudah pilih Tab Action maka akan muncul Window seperti di bawah ini :
Pilih action menjadi mark routing dan isikan New Routing Mark sesuai nama dari Group IP ,
seperti diatas kami memberi nama mrA.
CTT : untuk Mangle yang group B ulangi intruksi diatas lagi dengan nama yang berbeda
dan pilih group yang berbeda juga ^^
OK Sudah selesai ……
Masuk ke menu
pilih Add
dan akan muncul Window dibawah ini :
isikan gatheway dengan IP modem pertama , yaitu 192.168.110.1 kemudian agar Fail Over
maka Chek Gateway pilih ping dan Mark pilih mrA untuk Group A, begitupun nanti untuk
menambahkan gatheway untuk group B dan ketika menekan tombol Apply, pastikan
interface benar tertuju ke WANatas yaitu modem Pertama, dan begitupun untuk group B.
Nah agar kedua gatheway ini berjalan lancar , maka perlu ditambahkan gatheway priority.
Caranya : sama seperti add gatheway seperti diatas, tetapi kita akan mengisikan lebih dari
satu gatheway pada satu list. Seperti gambar di bawah ini :
agar dapat menambahkan lebih dari satu gatheway, klik panah yang mengarah kebawah
yang sejajar dengan text box dari Gathway. Jika sudah Setelah tekan Tombol Apply
pastikan Interfacenya benar seperti urutan dari pengisian Gatheway.
Jika sudah tekan OK
Setelah kembali ke Route List periksa, jika salah satu List berwarna Biru, maka Link dari
modem tersebut sedang bermasalah atau tidak terkoneksi dengan Internet. Periksa kembali
jalur Internet dari jalur ke modem tersebut.
Ok
Semoga Berhasil