Tutorial Step by step setting mikrotik

MikroTik RouterOS™ adalah sistem operasi linux yang dapat digunakan untuk menjadik
an komputer menjadi router network yang handal, mencakup berbagai fitur yang dib
uat untuk ip network dan jaringan wireless, cocok digunakan oleh ISP dan provide
r hostspot. Ada pun fitur2 nya sbb: * Firewall and NAT - stateful packet filteri
ng; Peer-to-Peer protocol filtering; source and destination NAT; classification
by source MAC, IP addresses (networks or a list of networks) and address types,
port range, IP protocols, protocol options (ICMP type, TCP flags and MSS), inter
faces, internal packet and connection marks, ToS (DSCP) byte, content, matching
sequence/frequency, packet size, time and more... * Routing - Static routing; Eq
ual cost multi-path routing; Policy based routing (classification done in firewa
ll); RIP v1 / v2, OSPF v2, BGP v4 * Data Rate Management - Hierarchical HTB QoS
system with bursts; per IP / protocol / subnet / port / firewall mark; PCQ, RED,
SFQ, FIFO queue; CIR, MIR, contention ratios, dynamic client rate equalizing (P
CQ), bursts, Peer-to-Peer protocol limitation * HotSpot - HotSpot Gateway with R
ADIUS authentication and accounting; true Plugand-Play access for network users;
data rate limitation; differentiated firewall; traffic quota; real-time status
information; walled-garden; customized HTML login pages; iPass support; SSL secu
re authentication; advertisement support * Point-to-Point tunneling protocols -
PPTP, PPPoE and L2TP Access Concentrators and clients; PAP, CHAP, MSCHAPv1 and M
SCHAPv2 authentication protocols; RADIUS authentication and accounting; MPPE enc
ryption; compression for PPPoE; data rate limitation; differentiated firewall; P
PPoE dial on demand * Simple tunnels - IPIP tunnels, EoIP (Ethernet over IP) * I
Psec - IP security AH and ESP protocols; MODP Diffie-Hellman groups 1,2,5; MD5 a
nd SHA1 hashing algorithms; DES, 3DES, AES-128, AES-192, AES-256 encryption algo
rithms; Perfect Forwarding Secrecy (PFS) MODP groups 1,2,5 * Proxy - FTP and HTT
P caching proxy server; HTTPS proxy; transparent DNS and HTTP proxying; SOCKS pr
otocol support; DNS static entries; support for caching on a separate drive; acc
ess control lists; caching lists; parent proxy support * DHCP - DHCP server per
interface; DHCP relay; DHCP client; multiple DHCP networks; static and dynamic D
HCP leases; RADIUS support * VRRP - VRRP protocol for high availability * UPnP -
Universal Plug-and-Play support * NTP - Network Time Protocol server and client
; synchronization with GPS system
* Monitoring/Accounting - IP traffic accounting, firewall actions logging, stati
stics graphs accessible via HTTP * SNMP - read-only access * M3P - MikroTik Pack
et Packer Protocol for Wireless links and Ethernet * MNDP - MikroTik Neighbor Di
scovery Protocol; also supports Cisco Discovery Protocol (CDP) * Tools - ping; t
raceroute; bandwidth test; ping flood; telnet; SSH; packet sniffer; Dynamic DNS
update tool Layer 2 connectivity * Wireless - IEEE802.11a/b/g wireless client an
d access point (AP) modes; Nstreme and Nstreme2 proprietary protocols; Wireless
Distribution System (WDS) support; virtual AP; 40 and 104 bit WEP; WPA pre-share
d key authentication; access control list; authentication with RADIUS server; ro
aming (for wireless client); AP bridging * Bridge - spanning tree protocol; mult
iple bridge interfaces; bridge firewalling, MAC * VLAN - IEEE802.1q Virtual LAN
support on Ethernet and wireless links; multiple VLANs; VLAN bridging * Synchron
ous - V.35, V.24, E1/T1, X.21, DS3 (T3) media types; sync-PPP, Cisco HDLC, Frame
Relay line protocols; ANSI-617d (ANDI or annex D) and Q933a (CCITT or annex A)
Frame Relay LMI types * Asynchronous - s*r*al PPP dial-in / dial-out; PAP, CHAP,
MSCHAPv1 and MSCHAPv2 authentication protocols; RADIUS authentication and accou
nting; onboard s*r*al ports; modem pool with up to 128 ports; dial on demand * I
SDN - ISDN dial-in / dial-out; PAP, CHAP, MSCHAPv1 and MSCHAPv2 authentication p
rotocols; RADIUS authentication and accounting; 128K bundle support; Cisco HDLC,
x75i, x75ui, x75bui line protocols; dial on demand * SDSL - Single-line DSL sup
port; line termination and network termination modes Instalasi dapat dilakukan p
ada Standard computer PC. PC yang akan dijadikan router mikrotikpun tidak memerl
ukan resource yang cukup besar untuk penggunaan standard, misalnya hanya sebagai
gateway. berikut spec minimal nya : * CPU and motherboard - bisa pake P1 ampe P
4, AMD, cyrix asal yang bukan multiprosesor * RAM - minimum 32 MiB, maximum 1 Gi
B; 64 MiB atau lebih sangat dianjurkan, kalau mau sekalian dibuat proxy , dianju
rkan 1GB... perbandingannya, 15MB di memori ada
1GB di proxy.. * HDD minimal 128MB parallel ATA atau Compact Flash, tidak dianju
rkan menggunakan UFD, SCSI, apa lagi S-ATA *NIC 10/100 atau 100/1000 Untuk keper
luan beban yang besar ( network yang kompleks, routing yang rumit dll) disaranka
n untuk mempertimbangkan pemilihan resource PC yang memadai. Lebih lengkap bisa
dilihat di www.mikrotik.com. Meskipun demikian Mikrotik bukanlah free software,
artinya kita harus membeli licensi terhadap segala fasiltas yang disediakan. Fre
e trial hanya untuk 24 jam saja. Kita bisa membeli software mikrotik dalam bentu
k CD yang diinstall pada Hard disk atau disk on module (DOM). Jika kita membeli
DOM tidak perlu install tetapi tinggal menancapkan DOM pada slot IDE PC kita. La
ngkah-langkah berikut adalah dasar-dasar setup mikrotik yang dikonfigurasikan un
tuk jaringan sederhana sebagai gateway server. 1. Langkah pertama adalah install
Mikrotik RouterOS pada PC atau pasang DOM. 2. Login Pada Mikrotik Routers melal
ui console : MikroTik v2.9.7 Login: admin <enter> Password: (kosongkan) <enter>
Sampai langkah ini kita sudah bisa masuk pada mesin Mikrotik. User default adala
h admin dan tanpa password, tinggal ketik admin kemudian tekan tombol enter. 3.
Untuk keamanan ganti password default [admin@Mikrotik] > password old password:
***** new password: ***** retype new password: ***** [admin@ Mikrotik]] > 4. Men
gganti nama Mikrotik Router, pada langkah ini nama server akan diganti menjadi “An
dre-Network” (nama ini sih bebas2 aja mo diganti) [admin@Mikrotik] > system identi
ty set name=Andre-Network [admin@Andre-Network] > 5. Melihat interface pada Mikr
otik Router [admin@Andre-Network] > interface print Flags: X - disabled, D - dyn
amic, R - running # NAME TYPE RX-RATE TX-RATE MTU 0 R ether1 ether 0 0 1500
1 R ether2 ether 0 0 1500 [admin@Andre-Network] > 6. Memberikan IP address pada
interface Mikrotik. Misalkan ether1 akan kita gunakan untuk koneksi ke Internet
dengan IP 192.168.0.1 dan ether2 akan kita gunakan untuk network local kita deng
an IP 172.16.0.1 [admin@Andre-Network] > ip address add address=192.168.0.1 netm
ask=255.255.255.0 interface=ether1 [admin@Andre-Network] > ip address add addres
s=172.16.0.1 netmask=255.255.255.0 interface=ether2 7. Melihat konfigurasi IP ad
dress yang sudah kita berikan [admin@Andre-Network] >ip address print Flags: X -
disabled, I - invalid, D - dynamic # ADDRESS NETWORK BROADCAST INTERFACE 0 192.
168.0.1/24 192.168.0.0 192.168.0.63 ether1 1 172.16.0.1/24 172.16.0.0 172.16.0.2
55 ether2 [admin@Andre-Network] > 8. Memberikan default Gateway, diasumsikan gat
eway untuk koneksi internet adalah 192.168.0.254 [admin@Andre-Network] > /ip rou
te add gateway=192.168.0.254 9. Melihat Tabel routing pada Mikrotik Routers [adm
in@Andre-Network] > ip route print Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf # DST-ADDRESS PREFSRC G GAT
EWAY DISTANCE INTERFACE 0 ADC 172.16.0.0/24 172.16.0.1 ether2 1 ADC 192.168.0.0/
26 192.168.0.1 ether1 2 A S 0.0.0.0/0 r 192.168.0.254 ether1 [admin@Andre-Networ
k] > 10. Tes Ping ke Gateway untuk memastikan konfigurasi sudah benar [admin@And
re-Network] > ping 192.168.0.254 192.168.0.254 64 byte ping: ttl=64 time<1 ms 19
2.168.0.254 64 byte ping: ttl=64 time<1 ms 2 packets transmitted, 2 packets rece
ived, 0% packet loss round-trip min/avg/max = 0/0.0/0 ms [admin@Andre-Network] >
11. Setup DNS pada Mikrotik Routers [admin@Andre-Network] > ip dns set primary-
dns=192.168.0.10 allowremoterequests=no [admin@Andre-Network] > ip dns set secon
dary-dns=192.168.0.11 allowremoterequests=no 12. Melihat konfigurasi DNS [admin@
Andre-Network] > ip dns print
primary-dns: 192.168.0.10 secondary-dns: 192.168.0.11 allow-remote-requests: no
cache-size: 2048KiB cache-max-ttl: 1w cache-used: 16KiB [admin@Andre-Network] >
13. Tes untuk akses domain, misalnya dengan ping nama domain [admin@Andre-Networ
k] > ping yahoo.com 216.109.112.135 64 byte ping: ttl=48 time=250 ms 10 packets
transmitted, 10 packets received, 0% packet loss round-trip min/avg/max = 571/57
1.0/571 ms [admin@Andre-Network] > Jika sudah berhasil reply berarti seting DNS
sudah benar. 14. Setup Masquerading, Jika Mikrotik akan kita pergunakan sebagai
gateway server maka agar client computer pada network dapat terkoneksi ke intern
et perlu kita masquerading. [admin@Andre-Network]> ip firewall nat add action=ma
squerade outinterface= ether1 chain:srcnat [admin@Andre-Network] > 15. Melihat k
onfigurasi Masquerading [admin@Andre-Network]ip firewall nat print Flags: X - di
sabled, I - invalid, D - dynamic 0 chain=srcnat out-interface=ether1 action=masq
uerade [admin@Andre-Network] > Setelah langkah ini bisa dilakukan pemeriksaan un
tuk koneksi dari jaringan local. Dan jika berhasil berarti kita sudah berhasil m
elakukan instalasi Mikrotik Router sebagai Gateway server. Setelah terkoneksi de
ngan jaringan Mikrotik dapat dimanage menggunakan WinBox yang bisa di download d
ari Mikrotik.com atau dari server mikrotik kita. Misal Ip address server mikroti
k kita 192.168.0.1, via browser buka http://192.168.0.1 dan download WinBox dari
situ. Jika kita menginginkan client mendapatkan IP address secara otomatis maka
perlu kita setup dhcp server pada Mikrotik. Berikut langkah-langkahnya : 1.Buat
IP address pool /ip pool add name=dhcp-pool ranges=172.16.0.10-172.16.0.20 2. T
ambahkan DHCP Network dan gatewaynya yang akan didistribusikan ke client Pada co
ntoh ini networknya adalah 172.16.0.0/24 dan gatewaynya 172.16.0.1 /ip dhcp-serv
er network add address=172.16.0.0/24 gateway=172.16.0.1 3. Tambahkan DHCP Server
( pada contoh ini dhcp diterapkan pada interface ether2 ) /ip dhcp-server add i
nterface=ether2 address-pool=dhcp-pool
4. Lihat status DHCP server [admin@Andre-Network]> ip dhcp-server print Flags: X
- disabled, I - invalid # NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0 X dhcp1 ether2 Tanda X menyatakan bahwa DHCP server belum enable maka perlu di
enablekan terlebih dahulu pada langkah 5. 5. Jangan Lupa dibuat enable dulu dhcp
servernya /ip dhcp-server enable 0 kemudian cek kembali dhcp-server seperti lan
gkah 4, jika tanda X sudah tidak ada berarti sudah aktif. 6. Tes Dari client c:\
>ping www.yahoo.com untuk bandwith controller, bisa dengan sistem simple queue a
taupun bisa dengan mangle [admin@Andre-Network] queue simple> add name=Komputer0
1 interface=ether2 target-address=172.16.0.1/24 max-limit=65536/131072 [admin@An
dre-Network] queue simple> add name=Komputer02 interface=ether2 target-address=1
72.16.0.2/24 max-limit=65536/131072 dan seterusnya... lengkap nya ada disini htt
p://www.mikrotik.com/docs/ros/2.9/root/queue http://linux-ip.net/articles/Traffi
c.../overview.html http://luxik.cdi.cz/~devik/qos/htb/ http://www.docum.org/docu
m.org/docs/
2 ISP IN 1 ROUTER WITH LOADBALANCING
/ ip address add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.
255 interface=Local comment="" \ disabled=no add address=10.111.0.2/24 network=1
0.111.0.0 broadcast=10.111.0.255 interface=wlan2 \ comment="" disabled=no add ad
dress=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255 interface=wlan1 \
comment="" disabled=no / ip firewall mangle add chain=prerouting in-interface=Lo
cal connection-state=new nth=1,1,0 \ action=mark-connection new-connection-mark=
odd passthrough=yes comment="" \ disabled=no add chain=prerouting in-interface=L
ocal connection-mark=odd action=mark-routing \ new-routing-mark=odd passthrough=
no comment="" disabled=no
add chain=prerouting in-interface=Local connection-state=new nth=1,1,1 \ action=
mark-connection new-connection-mark=even passthrough=yes comment="" \ disabled=n
o add chain=prerouting in-interface=Local connection-mark=even action=mark-routi
ng \ new-routing-mark=even passthrough=no comment="" disabled=no / ip firewall n
at add chain=srcnat connection-mark=odd action=src-nat to-addresses=10.111.0.2 \
to-ports=0-65535 comment="" disabled=no add chain=srcnat connection-mark=even a
ction=src-nat to-addresses=10.112.0.2 \ to-ports=0-65535 comment="" disabled=no
/ ip route add dst-address=0.0.0.0/0 gateway=10.111.0.1 scope=255 target-scope=1
0 routingmark=odd \ comment="" disabled=no add dst-address=0.0.0.0/0 gateway=10.
112.0.1 scope=255 target-scope=10 routingmark=even \ comment="" disabled=no add
dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10 comment="" \
disabled=no Mangle / ip address add address=192.168.0.1/24 network=192.168.0.0 b
roadcast=192.168.0.255 interface=Local comment="" \ disabled=no add address=10.1
11.0.2/24 network=10.111.0.0 broadcast=10.111.0.255 interface=wlan2 \ comment=""
disabled=no add address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255
interface=wlan1 \ comment="" disabled=no router punya 2 upstream (WAN) interfac
es dengan ip address 10.111.0.2/24 and 10.112.0.2/24. dan interface LAN dengan n
ama interface "Local" dan ip address 192.168.0.1/24. / ip firewall mangle add ch
ain=prerouting in-interface=Local connection-state=new nth=1,1,0 \ action=mark-c
onnection new-connection-mark=odd passthrough=yes comment="" \ disabled=no add c
hain=prerouting in-interface=Local connection-mark=odd action=mark-routing \ new
-routing-mark=odd passthrough=no comment="" disabled=no add chain=prerouting in-
interface=Local connection-state=new nth=1,1,1 \ action=mark-connection new-conn
ection-mark=even passthrough=yes comment="" \ disabled=no add chain=prerouting i
n-interface=Local connection-mark=even action=mark-routing \ new-routing-mark=ev
en passthrough=no comment="" disabled=no NAT
/ ip firewall nat add chain=srcnat connection-mark=odd action=src-nat to-address
es=10.111.0.2 \ to-ports=0-65535 comment="" disabled=no add chain=srcnat connect
ion-mark=even action=src-nat to-addresses=10.112.0.2 \ to-ports=0-65535 comment=
"" disabled=no Routing / ip route add dst-address=0.0.0.0/0 gateway=10.111.0.1 s
cope=255 target-scope=10 routingmark=odd \ comment="" disabled=no add dst-addres
s=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10 routingmark=even \ comm
ent="" disabled=no add dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target
-scope=10 comment="" \ disabled=no comment="gateway for the router itself 1. ins
tal pake cd mikrotik a. boot dg cd mikrotik b. setelah bisa boot pake iso linux,
pilih beberapa paket yang dibutuhkan. (kalo bingung centang aja semua) c ikuti
aja langkahnya tekan (Yes) (Yes) setelah restart, login : admin pass : (kosong)
trus copy paste aja tulisan berikut ; DASAR_______________ system identity set n
ame=warnet.beenet user set admin password=sukasukalu ethernet___________________
_ interface ethernet enable ether1 interface ethernet enable ether2 interface Et
hernet set ether1 name=intranet interface Ethernet set ether2 name=internet IP A
DDRESS_______________ ip address add interface=internet address=XXXXX (dari ISP)
ip address add interface=intranet address=192.168.0.1/24 route_______________ i
p route add gateway=XXXXX (dari ISP) dns___________ ip dns set primary-dns=XXXXX
(dari ISP) 2 secondary-dns=XXXXX (dari ISP)
nat & filter firewall standar_______________ ip firewall nat add action=masquera
de chain=srcnat ip firewall filter add chain=input connection-state=invalid acti
on=drop ip firewall filter add chain=input protocol=udp action=accept ip firewal
l filter add chain=input protocol=icmp action=accept ip firewall filter add chai
n=input in-interface=intranet action=accept ip firewall filter add chain=input i
n-interface=internet action=accept dhcp server__________________________________
____ ip dhcp-server setup dhcp server interface: intranet dhcp address space: 19
2.168.0.0/24 gateway for dhcp network: 192.168.0.1 addresses to give out: 192.16
8.0.2-192.168.0.254 dns servers: XXXXX (dari ISP),XXXXX (dari ISP) lease time: 3
d web proxy_________________________ ip web-proxy set enabled=yes set src-addres
s=0.0.0.0 set port=8080 set hostname=”proxy-apaaja” set transparent-proxy=yes set pa
rent-proxy=0.0.0.0:0 set cache-administrator=”silahkan.pannggil.operator” set max-ob
ject-size=4096KiB set cache-drive=system set max-cache-size=unlimited set max-ra
m-cache-size=unlimited bikinredirect port ke transparant proxy__________________
________ /ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redir
ect to-ports=8080 /ip firewall nat add chain=dstnat protocol=tcp dst-port=3128 a
ction=redirect toports=8080 /ip firewall nat add chain=dstnat protocol=tcp dst-p
ort=8080 action=redirect toports=8080 PCQ ________________________ /ip firewall
mangle add chain=forward src-address=192.168.169.0/28 action=markconnection new-
connection-mark=client1-cm /ip firewall mangle add connection-mark=client1-cm ac
tion=mark-packet new-packetmark=client1-pm chain=forward /queue type add name=do
wnsteam-pcq kind=pcq pcq-classifier=dst-address /queue type add name=upstream-pc
q kind=pcq pcq-classifier=src-address /queue tree add parent=intranet queue=down
steam-pcq packet-mark=client1-pm /queue tree add parent=internet queue=upstream-
pcq packet-mark=client1-pm simpel queue______________________________ queue simp
le add name=kbu-01 target-addresses=192.168.0.11 queue simple add name=kbu-02 ta
rget-addresses=192.168.0.12
queue simple add name=kbu-03 target-addresses=192.168.0.13 queue simple add name
=kbu-04 target-addresses=192.168.0.14 queue simple add name=kbu-05 target-addres
ses=192.168.0.15 queue simple add name=kbu-06 target-addresses=192.168.0.16 queu
e simple add name=kbu-07 target-addresses=192.168.0.17 queue simple add name=kbu
-08 target-addresses=192.168.0.18 queue simple add name=kbu-09 target-addresses=
192.168.0.19 queue simple add name=kbu-10 target-addresses=192.168.0.20 queue si
mple add name=xbilling target-addresses=192.168.0.2 BLOX SPAM___________________
_________ /ip firewall filter add chain=forward dst-port=135-139 protocol=tcp ac
tion=drop /ip firewall filter add chain=forward dst-port=135-139 protocol=udp ac
tion=drop /ip firewall filter add chain=forward dst-port=445 protocol=tcp action
=drop /ip firewall filter add chain=forward dst-port=445 protocol=udp action=dro
p /ip firewall filter add chain=forward dst-port=593 protocol=tcp action=drop /i
p firewall filter add chain=forward dst-port=4444 protocol=tcp action=drop /ip f
irewall filter add chain=forward dst-port=5554 protocol=tcp action=drop /ip fire
wall filter add chain=forward dst-port=9996 protocol=tcp action=drop /ip firewal
l filter add chain=forward dst-port=995-999 protocol=udp action=drop /ip firewal
l filter add chain=forward dst-port=53 protocol=tcp action=drop /ip firewall fil
ter add chain=forward dst-port=55 protocol=tcp action=drop
the best anti-ddos rule
/ip firewall filter add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input comment="Add ddos to adress list" \ connect
ion-limit=10,32 disabled=no protocol=tcp add action=log chain=input comment="Log
ddos" connection-limit=3,32 disabled=\ no log-prefix="FILTER, DDOS DROPPED:" pr
otocol=tcp src-address-list=\ black_list add action=tarpit chain=input comment="
Tarpit ddos" connection-limit=3,32 \ disabled=no protocol=tcp src-address-list=b
lack_list [toor@extreme] /ip firewall connection tracking> export # mar/13/2009
17:42:47 by RouterOS 3.20 # software id = 4H1M-LTT # /ip firewall connection tra
cking set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s
\ tcp-close-wait-timeout=10s tcp-established-timeout=1d \ tcp-fin-wait-timeout=
10s tcp-last-ack-timeout=10s \ tcp-syn-received-timeout=5s tcp-syn-sent-timeout=
5s tcp-syncookie=yes \ tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeo
ut=10s [toor@extreme] /ip firewall connection tracking> chain=forward protocol=t
cp tcp-flags=syn,!fin,!rst,!psh,!ack,!urg,!ece,!cwr connection-limit=20,32
limit=25,10 src-address-list=!Safe-List action=add-src-to-address-list address-l
ist=tcp-syn-violators address-list-timeout=3h
Anti DDoS di Mikrotik
•Memang mencegah adalah lebih baik dari pada tidak sama sekali. begitu juga
dengan dijaringan asal-asalan di tempat saya mencari makan , dengan bandwith yan
g sangat terbatas adalah sasaran empuk bagi para penjahat dan orang yang suka is
egin di dunia cyber, bandwith yang saadanya ini jika di serang dengan DDos (bagi
yang tidak mengerti DDos cari aja sendiri digoogle ya….. ). Apalagi yang nyerang
mempunyai bandwith yang melimpah bisa dikatan jaringan di tempat saya ini akan m
ati total. Makanya kalau kamu tidak mempunyai bandwith sebesar punya mbah google
, trus tiba-tiba akses internet kamu jadi lelet, lemot ping ke dns time out jang
an langsung salahkan ISP dimana kamu berlangganan, silahkan di chek dulu di jari
ngan lokal kamu !!!!!, ehm Tips cara mencegah bagaimana menghindari serangan DDo
s attach, di pasang di Mikrotik router. biarpun tidak menjamin 100% tapi mencega
h adalah jalan terbaik dari pada tidak sama sekali… kopi paste script dibawah ini:
ip firewall filter add chain=input protocol=tcp dst-port=1337 action= add-src-t
oaddress-list address-list=DDOS address-list-timeout=15s comment=”" disabled=no ip
firewall filter add chain=input protocol=tcp dst-port=7331 src-addresslist=knoc
k action= add-src-to-address-list address-list=DDOS address-listtimeout=15m comm
ent=”" disabled=no ip firewall filter add chain=input connection-state=established
action=accept comment=”accept established connection packets” disabled=no ip firewa
ll filter add chain=input connection-state=related action=accept comment=”accept r
elated connection packets” disabled=no ip firewall filter add chain=input connecti
on-state=invalid action=drop comment=”drop Paket Invalid” disabled=no ip firewall fi
lter add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment=”Mendetek sera
ngan Port Scaner” disabled=no ip firewall filter add chain=input protocol=tcp conn
ection-limit=3,32 src-addresslist=black_list action=tarpit comment=”Bikin kejutan
ke ip penyerang” disabled=no ip firewall filter add chain=input protocol=tcp conne
ction-limit=10,32 action=addsrc-to-address-list address-list=black_list address-
list-timeout=1d comment=”Masukin ke karung Ip penyerang” disabled=no ip firewall fil
ter add chain=input protocol=icmp action=jump jump-target=ICMP comment=”jump chain
ICMP” disabled=no ip firewall filter add chain=input action=jump jump-target=serv
ices comment=”jump chain service” disabled=no
ip firewall filter add chain=input dst-address-type=broadcast action=accept comm
ent=”Allow Broadcast Traffic” disabled=no ip firewall filter add chain=input action=
log log-prefix=”Filter:” comment=”Catat kegiatan penyerang” disabled=no ip firewall filt
er add chain=input src-address=Subnet WAN action=accept comment=”List Ip yang bole
h akses ke router” ip firewall filter add chain=input src-address=Subnet Lan actio
n=accept ip firewall filter add chain=input src-address=Subnet DMZ action=accept
ip firewall filter add chain=input action=drop comment=”Blok Semua yang aneh2″ disa
bled=no ip firewall filter add chain=ICMP protocol=icmp icmp-options=0:0-255 lim
it=5,5 action=accept comment=”0:0 dan limit utk 5pac/s” disabled=no ip firewall filt
er add chain=ICMP protocol=icmp icmp-options=3:3 limit=5,5 action=accept comment
=”3:3 dan limit utk 5pac/s” disabled=no ip firewall filter add chain=ICMP protocol=i
cmp icmp-options=3:4 limit=5,5 action=accept comment=”3:4 dan limit for 5pac/s” disa
bled=no ip firewall filter add chain=ICMP protocol=icmp icmp-options=8:0-255 lim
it=5,5 action=accept comment=”8:0 and limit utk 5pac/s” disabled=no ip firewall filt
er add chain=ICMP protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept co
mment=”11:0 and limit utk 5pac/s” disabled=no ip firewall filter add chain=ICMP prot
ocol=icmp action=drop comment=”Blok semua yang aneh2″ disabled=no ip firewall filter
add chain=forward protocol=icmp comment=”Perbolehkan ping” ip firewall filter add c
hain=forward protocol=udp comment=”Perbolehkan ke udp” ip firewall filter add chain=
forward src-address=Subnet WAN action=accept comment=”Akses hanya dari ip terdafta
r” ip firewall filter add chain=forward src-address=Subnet LAN action=accept ip fi
rewall filter add chain=forward src-address=Subnet DMZ action=accept ip firewall
filter add chain=forward action=drop comment=”blok semua yang aneh2″ Semoga bermanf
aat, jika anda mengalami hal seperti saya diatas jangan langsung salahkan ISP te
mpat anda berlangganan …..
1. bersihin dulu isi route nya , dari winbox pilih ip route, trus di delete deh
tuh gateway/route disitu, semuanya 2. bersihin juga manglenya, caranya ip firewa
l mangle print, kalo dari winbox pilih ip > firewall >mangle, abis itu delete2 s
emuanya tuh 3. bersihin juga nat nya, dari winbox, ip > firewall > nat , trus de
lete tuh isinya 4. selanjutnya ikutin langkah2 berikut ini ya slow down aja jang
an sampe salah ketik, sebaiknya pake tab biar auto completing penjelasan singkat
ada 3 interface 1.lokal=192.168.100.254/24 2.isp=202.182.54.74/30 3.fastnet=118
.137.79.0/24 (nah nilai ini yang selalu di ubah2, hanya yg ini, yg lain kaga usa
h, ubahnya pake winbox aja) /ip address (enter) add address=192.168.100.254/24 i
nterface=lokal comment=”ip trafik lan” disabled=no add address=202.182.54.74/30 inte
rface=isp comment=”ip trafik indonesia” disabled=no add address=118.137.79.0/24 inte
rface=fastnet comment=”ip trafik luar” disabled=no /ip firewall (enter) add chain=sr
c-nat src-address=192.168.100.0/24 action=masquerade /ip firewall mangle (enter)
add action=mark-connection chain=prerouting comment=”" connection-state=new \ dis
abled=no in-interface=Lokal new-connection-mark=fastnet \ dst-address-list=!nice
passthrough=yes add action=mark-routing chain=prerouting comment=”" connection-ma
rk=fastnet \ disabled=no in-interface=Lokal new-routing-mark=fastnet passthrough
=no \ dst-address-list=!nice add action=mark-connection chain=prerouting comment
=”" connection-state=new \ disabled=no in-interface=Lokal new-connection-mark=isp
\ passthrough=yes add action=mark-routing chain=prerouting comment=”" connection-m
ark=isp \ disabled=no in-interface=Lokal new-routing-mark=isp passthrough=no /ip
route (enter) add dst-address=0.0.0.0/0 gateway=118.137.79.1 scope=255 target-s
cope=10 comment=”gateway traffic internasional” disabled=no add dst-address=0.0.0.0/
0 gateway=202.182.54.73 scope=255 target-scope=10 comment=”gateway traffic IIX” mark
=nice2 disabled=no untuk simple queue nya ga usah diapa2in ya..awas loh..
jangan lupa nyobainnya ntar malam aja, sambil ngopi n ngudut djarum super ya
Memisahkan bandwith lokal dan internasional menggunakan Mikrotik
Mei 16, 2008
Versi 3 Perubahan dari versi sebelumnya 1.Proses mangle berdasarkan address-list
2.Pemisahan traffic Indonesia dan overseas lebih akurat Berikut adalah skenario
jaringan dengan Mikrotik sebagai router
Gambar 1. skenario jaringan Penjelasan : 1.Mikrotik router dengan 2 network inte
rface card (NIC) ether1 dan ether3, dimana ether1 adalah ethernet yang terhubung
langsugn ke ISP dan ether3 adalah ethernet yang terhubung langsung dengan jarin
gan 192.168.2.0/24 2.Bandwith dari ISP misalnya 256 Kbps internasional dan 1024
Kbps lokal IIX. 3.Kompuer 192.168.2.4 akan diberi alokasi bandwith 128 Kbps inte
rnasional dan 256 Kbps lokal IIX. Pengaturan IP address list Mulai Mikrotik Rout
erOs versi 2.9, dikenal dengan vitur yang disebut IP address list. Fitur ini ada
lah pengelompokan IP address tertentu dan setiap IP address tersebut bisa
kita namai. Kelompok ini bisa digunakan sebagai parameter dalam mangle, firewall
filter, NAT, maupun queue. Mikrotik Indonesia telah menyediakan daftar IP addre
ss yang diavertise di OpenIXP dan IIX, yang bisa didownload dengan bebas di URL
: http://www.mikrotik.co.id/getfile.php?nf=nice.rsc File nice.rsc ini dibuat sec
ara otomatis di server Mikrotik Indonesia setiap pagi sekitar pukul 05.30, dan m
eruapakan data yang telah dioptimasi untuk menghilangkan duplikat entry dan tump
ang tindih subnet. Saat ini jumlah pada baris pada script tersebut berkisar 430
baris. Contoh # Script created by: Valens Riyadi @ www.mikrotik.co.id # Generate
d at 26 April 2007 05:30:02 WIB ... 431 lines /ip firewall address-list add list
=nice address="1.2.3.4" rem [find list=nice] add list=nice address="125.162.0.0/
16" add list=nice address="125.163.0.0/16" add list=nice address="152.118.0.0/16
" add list=nice address="125.160.0.0/16" add list=nice address="125.161.0.0/16"
add list=nice address="125.164.0.0/16" .
. dst...
Simpanlah file tersebut ke komputer anda dengan nama nice.rsc, lalu lakukan FTP
ke router Mikrotik, dan uploadlah file tersebut di router. Contoh di bawah ini a
dalah proses upload MS DOS-Promt.
C:\>dir nice.*ftp 192.168.0.1admin********asciiput nice.rscbye Volume in drive C
has no label. Volume Serial Number is 5418-6EEF Directory of C:\ 04/26/2007 06:
42p 17,523 nice.rsc 1 File(s) 17,523 bytes 0 Dir(s) 47,038,779,392 bytes free C:
\> Connected to 192.168.0.1. 220 R&D FTP server (MikroTik 2.9.39) ready User (19
2.168.0.1:(none)): 331 Password required for admin Password: 230 User admin logg
ed in ftp> 200 Type set to A ftp> 200 PORT command successful
150 Opening ASCII mode data connection for '/nice.rsc' 226 ASCII transfer comple
te ftp: 17523 bytes sent in 0.00Seconds 17523000.00Kbytes/sec. ftp> 221 Closing
C:\>
Setelah file di upload, import-lah file tersebut.
[admin@MikroTik] > import nice.rsc Opening script file nice.rsc Script file load
ed and executed successfully
Pastikan bahwa proses import telah berlangsung dengan sukses, dengan mengecek Ad
dress-List pada menu IP – Firewall.
Pengaturan Mangle Berikut adalah perintah untuk melakukan konfigurasi mangle yan
g bisa dilakukan lewat tampilan text pada MikrotikOs atau terminal pada Winbox.
/ip firewall mangle
add chain=forward src-address-list=nice action=mark-connection new-connectionmar
k=mark-con-indonesia passtrough=yes comment=”mark all indonesia source connection
traffic” disabled=no add chain=forward src-address-list=nice action=mark-connectio
n new-connectionmark=mark-con-indonesia passtrough=yes comment=”mark all indonesia
destination connection traffic” disabled=no add chain=forward src-address-list=!n
ice action=mark-connection new-connectionmark=mark-con-overseas passtrough=yes c
omment=”mark all overseas source connection traffic” disabled=no add chain=forward s
rc-address-list=!nice action=mark-connection new-connectionmark=mark-con-oversea
s passtrough=yes comment=”mark all overseas destination connection traffic” disabled
=no add chain=prerouting connection-mark=mark-con-indonesia action=mark-packet n
ewpacket-mark=indonesia passtrough=yes comment=”mark all indonesia traffic” disabled
=no add chain=prerouting connection-mark=mark-con-overseas action=mark-packet ne
wpacket-mark=overseas passtrough=yes comment=”mark all overseas traffic” disabled=no
Membuat simple queue Langkah selanjutnya adalah mengatur bandwith melalui simpl
e queue, untuk mengatur bandwith internasional 128 Kbps dan bandwith lokal IIX 2
56 Kbps pada komputer dengan IP 192.168.2.4 dapat dilakukan dengan perintah seba
gai berikut. queue simple add name=kom1-indonesia target-address=192.168.2.4/32
dst-address=0.0.0.0/0 interface=all parent=none packet-marks=indonesia direction
=both priority=8 queue=default/default limit-at=0/0 max-limit=256000/256000 tota
l-queue=default disabled=no add name=kom1-overeas target-address=192.168.2.4/32
dst-address=0.0.0.0/0 interface=all parent=none packet-marks=overseas direction=
both priority=8 queue=default/default limit-at=0/0 max-limit=128000/128000 total
-queue=default disabled=no] Script di atas berarti hanya komputer dengan IP 192.
168.2.4 saja yang dibatasi bandwithnya 128 Kbps internasional (overseas) dan 256
Kbps lokal IIX (Indonesia), sedangkan yang lainnya tidak dibatasi. Pengecekan a
khir Setelah selesai, lakukanlah pengecekan dengan melakukan akses ke situs loka
l maupun ke situs internasional, dan perhatikanlah counter baik pada firewall ma
ngle maupun pada simple queue.
Anda juga dapat mengembangkan queue type menggunakan pcq sehingga trafik pada se
tiap client dapat tersebar secara merata. Selamat mencoba, semoga membantu yach…??
?
Memblokir Situs dengan MikrotikRouterOS
Untuk memblokir suatu situs dengan MikrotikRouterOS maka langkahnya adalah: 1. A
ktifkan webproxynya [gungun@smanelaeuy] > ip web-proxy [enter] [gungun@smanelaeu
y] ip web-proxy> set enabled=yes max-ram-cache-size=none max-cache-size=1GB tran
sparent-proxy=yes [enter] * sesuaikan dengan Hardware Anda! 2. Setelah aktif kem
udian lakukan perintah [gungun@smanelaeuy] ip web-proxy > acc [enter] [gungun@sm
anelaeuy] ip web-proxy access> add action=deny comment=”porn situs” url=”*sex*” [enter]
*untuk yang berbau sex ato klo tau alamatnya [gungun@smanelaeuy] ip web-proxy ac
cess> add action=deny comment=”porn situs” url=”www.17tahun.com” [enter]
Memanipulasi ToS ICMP & DNS di MikroTik
Tujuan : o Memperkecil delay ping dari sisi klien ke arah Internet. o Mempercepa
t resolving hostname ke ip address. Asumsi : Klien-klien berada pada subnet 10.1
0.10.0/28 1. Memanipulasi Type of Service untuk ICMP Packet : > ip firewall mang
le add chain=prerouting src-address=10.10.10.0/28 protocol=icmp action=mark-conn
ection new-connection-mark=ICMP-CM passthrough=yes > ip firewall mangle add chai
n=prerouting connection-mark=ICMP-CM action=markpacket new-packet-mark=ICMP-PM p
assthrough=yes > ip firewall mangle add chain=prerouting packet-mark=ICMP-PM act
ion=change-tos new-tos=min-delay 2. Memanipulasi Type of Service untuk DNS Resol
ving : > ip firewall mangle add chain=prerouting src-address=10.10.10.0/28 proto
col=tcp dstport=53 action=mark-connection new-connection-mark=DNS-CM passthrough
=yes > ip firewall mangle add chain=prerouting src-address=10.10.10.0/28 protoco
l=udp dstport=53 action=mark-connection new-connection-mark=DNS-CM passthrough=y
es > ip firewall mangle add chain=prerouting connection-mark=DNS-CM action=markp
acket new-packet-mark=DNS-PM passthrough=yes > ip firewall mangle add chain=prer
outing packet-mark=DNS-PM action=change-tos new-tos=min-delay 3. Menambahkan Que
ue Type : > queue type add name=”PFIFO-64″ kind=pfifo pfifo-limit=64 4. Mengalokasik
an Bandwidth untuk ICMP Packet :
> queue tree add name=ICMP parent=INTERNET packet-mark=ICMP-PM priority=1 limit-
at=8000 max-limit=16000 queue=PFIFO-64 5. Mengalokasikan Bandwidth untuk DNS Res
olving : > queue tree add name=DNS parent=INTERNET packet-mark=DNS-PM priority=1
limitat=8000 max-limit=16000 queue=PFIFO-64 6. Selamat Mencoba n Good Luck!!!
Queue dengan SRC-NAT dan WEB-PROXY
Pada penggunaan queue (bandwidth limiter), penentuan CHAIN pada MENGLE sangat me
nentukan jalannya sebuah rule. Jika kita memasang SRC-NAT dan WEB-PROXY pada mes
in yang sama, sering kali agak sulit untuk membuat rule QUEUE yang sempurna. Pen
jelasan detail mengenai pemilihan CHAIN, dapat dilihat pada manual Mikrotik di s
ini. Percobaan yang dilakukan menggunakan sebuah PC dengan Mikrotik RouterOS ver
si 2.9.28. Pada mesin tersebut, digunakan 2 buah interface, satu untuk gateway y
ang dinamai PUBLIC dan satu lagi untuk jaringan lokal yang dinamai LAN. [admin@i
nstaler] > in pr Flags: X - disabled, D - dynamic, R - running # NAME TYPE RX-RA
TE TX-RATE MTU 0 R public ether 0 0 1500 1 R lan wlan 0 0 1500 Dan berikut ini a
dalah IP Address yang digunakan. Subnet 192.168.0.0/24 adalah subnet gateway unt
uk mesin ini. [admin@instaler] > ip ad pr Flags: X - disabled, I - invalid, D -
dynamic # ADDRESS NETWORK BROADCAST INTERFACE 0 192.168.0.217/24 192.168.0.0 192
.168.0.255 public 1 172.21.1.1/24 172.21.1.0 172.21.1.255 lan Fitur web-proxy de
ngan transparan juga diaktifkan. [admin@instaler] > ip web-proxy pr enabled: yes
src-address: 0.0.0.0 port: 3128 hostname: “proxy” transparent-proxy: yes parent-pro
xy: 0.0.0.0:0 cache-administrator: “webmaster” max-object-size: 4096KiB cache-drive:
system max-cache-size: none max-ram-cache-size: unlimited status: running reser
ved-for-cache: 0KiB reserved-for-ram-cache: 154624KiB Fungsi MASQUERADE diaktifk
an, juga satu buah rule REDIRECTING untuk membelokkan traffic HTTP menuju ke WEB
-PROXY
[admin@instaler] ip firewall nat> pr Flags: X - disabled, I - invalid, D - dynam
ic 0 chain=srcnat out-interface=public src-address=172.21.1.0/24 action=masquera
de 1 chain=dstnat in-interface=lan src-address=172.21.1.0/24 protocol=tcp dst-po
rt=80 action=redirect to-ports=3128 Berikut ini adalah langkah terpenting dalam
proses ini, yaitu pembuatan MANGLE. Kita akan membutuhkan 2 buah PACKET-MARK. Sa
tu untuk paket data upstream, yang pada contoh ini kita sebut test-up. Dan satu
lagi untuk paket data downstream, yang pada contoh ini kita sebut test-down. Unt
uk paket data upstream, proses pembuatan manglenya cukup sederhana. Kita bisa la
ngsung melakukannya dengan 1 buah rule, cukup dengan menggunakan parameter SRC-A
DDRESS dan IN-INTERFACE. Di sini kita menggunakan chain prerouting. Paket data u
ntuk upstream ini kita namai test-up. Namun, untuk paket data downstream, kita m
embutuhkan beberapa buah rule. Karena kita menggunakan translasi IP/masquerade,
kita membutuhkan Connection Mark. Pada contoh ini, kita namai test-conn. Kemudia
n, kita harus membuat juga 2 buah rule. Rule yang pertama, untuk paket data down
stream non HTTP yang langsung dari internet (tidak melewati proxy). Kita menggun
akan chain forward, karena data mengalir melalui router. Rule yang kedua, untuk
paket data yang berasal dari WEB-PROXY. Kita menggunakan chain output, karena ar
us data berasal dari aplikasi internal di dalam router ke mesin di luar router.
Paket data untuk downstream pada kedua rule ini kita namai test-down. Jangan lup
a, parameter passthrough hanya diaktifkan untuk connection mark saja. [admin@ins
taler] > ip firewall mangle print Flags: X - disabled, I - invalid, D - dynamic
0 ;;; UP TRAFFIC chain=prerouting in-interface=lan src-address=172.21.1.0/24 act
ion=mark-packet new-packet-mark=test-up passthrough=no 1 ;;; CONN-MARK chain=for
ward src-address=172.21.1.0/24 action=mark-connection new-connection-mark=test-c
onn passthrough=yes 2 ;;; DOWN-DIRECT CONNECTION chain=forward in-interface=publ
ic connection-mark=test-conn action=mark-packet new-packet-mark=test-down passth
rough=no 3 ;;; DOWN-VIA PROXY chain=output out-interface=lan
dst-address=172.21.1.0/24 action=mark-packet new-packet-mark=test-down passthrou
gh=no Untuk tahap terakhir, tinggal mengkonfigurasi queue. Di sini kita mengguna
kan queue tree. Satu buah rule untuk data dowstream, dan satu lagi untuk upstrea
m. Yang penting di sini, adalah pemilihan parent. Untuk downstream, kita menggun
akan parent lan, sesuai dengan interface yang mengarah ke jaringan lokal, dan un
tuk upstream, kita menggunakan parent global-in. [admin@instaler] > queue tree p
r Flags: X - disabled, I - invalid 0 name=”downstream” parent=lan packet-mark=test-d
own limit-at=32000 queue=default priority=8 max-limit=32000 burst-limit=0 burst-
threshold=0 burst-time=0s 1 name=”upstream” parent=global-in packet-mark=test-up lim
it-at=32000 queue=default priority=8 max-limit=32000 burst-limit=0 burst-thresho
ld=0 burst-time=0s Variasi lainnya, untuk bandwidth management, dimungkinkan jug
a kita menggunakan tipe queue PCQ, yang bisa secara otomatis membagi trafik per
client.
Blocking Virus di Firewall Mikrotik
1;;; BLOCK SPAMMERS OR INFECTED USERS chain=forward protocol=tcp dst-port=25 src
-address-list=spammer action=drop 2;;; Detect and add-list SMTP virus or spammer
s chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 src-a
ddresslist=!spammer action=add-src-to-address-list address-list=spammer address-
list-timeout=1d /ip firewall nat chain=srcnat out-interface=”your interface which
provides internet” srcaddress=”network 1? action=masquerade you need to add chains f
or each subnet you have ,for the head office subnet you need to add this /ip fir
ewall nat chain=srcnat out-interface=”your interface which provides internet” action
=masquerade / ip firewall mangle add chain=prerouting dst-address=202.168.47.17
protocol=udp dst-port=5060-5080 \ action=mark-connection new-connection-mark=voi
p-con passthrough=yes \ comment=”” disabled=no add chain=prerouting dst-address=202.
168.47.17 protocol=udp \ dst-port=19000-20000 action=mark-connection new-connect
ion-mark=voip-con \ passthrough=yes comment=”” disabled=no
add chain=prerouting connection-mark=voip-con action=mark-packet \ new-packet-ma
rk=voip passthrough=no comment=”” disabled=no add chain=prerouting protocol=tcp dst-
port=22-23 action=mark-connection \ new-connection-mark=sshtelnet-con passthroug
h=yes comment=”” disabled=no add chain=prerouting connection-mark=sshtelnet-con acti
on=mark-packet \ new-packet-mark=sshtelnet passthrough=no comment=”” disabled=no add
chain=prerouting p2p=all-p2p action=mark-connection \ new-connection-mark=p2p-c
on passthrough=yes comment=”” disabled=no add chain=prerouting connection-mark=p2p-c
on action=mark-packet \ new-packet-mark=p2p passthrough=no comment=”” disabled=no ad
d chain=prerouting action=mark-connection new-connection-mark=everything-con \ p
assthrough=yes comment=”” disabled=no add chain=prerouting connection-mark=everythin
g-con action=mark-packet \ new-packet-mark=everything passthrough=yes comment=”” dis
abled=no
Setting Mikrotik RouterOS PPPoE Client Sebagai Internet Gateway Telkom Speedy
Kmareen nyoba - nyoba gimana seeh dial speedy melalui mikrotik dan apa keuntunga
nnya dibandingkan dengan dial melalui modem adsl nya, kalo mencoba sesuatu harus
ada keuntungannya donk, masa kita mencoba sesuatu dengan sia sia, maka waktu da
n tenaga kita akan terbuang dengan sia - sia juga, betul tidak..? Langkah pertam
a sebelum langkah kedua kita jalankan alangkah baiknya langkah pertama kita laku
in dulu, khan gak mungkin langkah ketiga dulu baru ke dua :D. untuk modem ADSL y
ang saya gunakan JK Network, dan mikrotiknya saya gunakan versi 2.9.xx (belakang
nya diumpetin). topology yang digunakan sbb : (INTERNET) — [Modem adsl] —- [Mikrotik
] —-[Client] diasumsikan client dapat berkomunikasi dengan radio tanpa halangan at
au settingan IP address dan Nat nya sudah jalan..! pertama - tama kita fungsikan
modem sebagai bridge bukan sebagai router sebab fungsi router akan di handle ol
eh mikrotik. pilih menu WAN kemudian klik tombol add
(Klik Untuk memperbesar) kemudian isi VPI dan VCI dengan 8 dan 81
setelah itu pilih menu bridging dan masukkan nama service nya setelah semua dila
kuakan klik tombol save
reboot modem maka modem saat ini sudah berfungsi sebagai bridge. Langkah kedua L
angkah yang kedua baru kita konfigurasi / setting mikrotiknya sebagai modemnya .
masuk sebagai admin ke winbox mikrotik lalu pilih menu PPP. setelah itu akan ke
luar window PPP klik gambar + di window tersebut dan pilih PPPoE client
Isikan nama service lalu pilih interface yang terhubung langsung ke modem.
setelah itu pilih tab Dial Out isikan username yang diberikan telkom beseta pass
wordnya, biarkan field yang lainnya bernilai default
lalu tahap akhir klik tombol OK maka secara otomatis mikrotik akan DIAL ke telko
m. – END SETTING —-
keunggulannya menggunakan mikrotik sebagai modem ketimbang modem ADSL biasa :
•Proses dial nya lebih cepat dibandingkan dengan menggunakan modem adsl biasa,
biasanya mikrotik mendapatkan status connected dalam waktu kurang dari 15 detik,
jika modem biasanya membutuhkan waktu relatif lama sekitar 2 - 4 menit. •Modem ak
an lebih stabil karena yang bertindak sebagai modem adalah PC yang mempunyai res
ource cukup tinggi dan kemampuan yang handal untuk bekerja 24 jam sehari. •Adminis
trator dapat meremote mikrotiknya dan mengkonfigurasi firewal, simple queque, lo
ad balancing, dll dari jaringan external tanpa harus melakukan port forwarding. •M
odem akan lebih awet karena tidak bekerja terlalu berat, ditandainya tidak terla
lu panas nya modem ketika jaringan internet dalam keadaan UP.
Setting Mikrotik RouterOS PPPoE Client Sebagai Internet Gateway Telkom Speedy
Kita mulai setup dari modem adsl nya sebagai brigding protocol mode. Settingnya
dapat anda temukan dari manual masing-masing modem. Contoh setting bridging prot
ocol pada modem TECOM AR1031 pada menu Advance setup > WAN. Ikuti petunjuk gamba
r dibawah ini kemudian lakukan save/reboot.
Selesai setting modem sebagai bridging yang tidak menyimpan password dan user ID
anda di modem, bagi anda yang ingin mencoba mengganti IP address default modem
bisa di konfigurasi terlebih dahulu melalui PC client. Caranya : kita ubah terle
bih dahulu IP modem pada Advance Setup > LAN IP Address contoh 192.168.100.1 lak
ukan save/reboot. Kemudian lakukan pengubahan selanjutnya di IP client PC ke 192
.168.100.2 selesai. Silahkan anda coba ketik di web browser anda IP modem (192.1
68.100.1). Berhasil? Kita lanjut ke CPU Mikrotik RouterOS nya. Tentukan IP Addre
ss masing-masing LAN card anda, misal LAN connector dari modem 202.202.202.202 (
public), dan 192.168.100.1 ke jaringan lokal anda (lokal). Lakukan perintah ini
terlebih dahulu jika anda ingin menspesifikasikan nama ethernet card anda. /inte
rface ethernet set ether1 name=public /interface ethernet set ether2 name=lokal
Pastikan kembali dalam menentukan nama dan alur kabel tersebut, kemudian kita la
njut ke setting IP Address. /ip address add address=202.x.x.x/24 interface=publi
c /ip address add address=192.168.100.1/24 interface=lokal /ip address> print Pa
stikan LAN card anda tidak dalam posisi disabled. Selanjutnya anda bisa memasukk
an entry PPPoE Client. /interface pppoe-client add name=pppoe-user-mike user=mik
e password=123 interface=public service-name=internet disabled=no
Sebetulnya perintah diatas dapat anda lakukan di winbox, jika ingin lebih mudah
sambil cek koneksi jaringan anda ke mikrotik. Menentukan Gateway dan Routingnya
dilanjutkan ke masquerading /ip route add gateway=125.168.125.1 (IP Gateway Telk
om Speedy anda) /ip route print IP gateway diatas belum tentu sama, lihat terleb
ih dahulu ip PPPoE client anda. Jika anda belum yakin 100% ip client anda dan ga
teway nya, lakukan login dan dialing melalui modem anda terlebih dahulu bukan pa
da mode bridging seperti diatas. Pada menu Device Info akan tampil informasi Def
ault Gateway dan IP client pppoe anda. Ok? Selanjutnya masquerading, untuk pener
usan perintah dari routing yang diteruskan ke nat firewall mikrotik untuk proses
routing ke semua client yang terkoneksi /ip firewall nat add chain=srcnat actio
n=masquerade Selesai.. tahap routing sudah terlaksanakan. Coba lakukan ping ke m
ikrotik dan gateway nya. Jika anda ingin sharing ke komputer client jangan lupa
masukkan ip gateway pada settingan Network Connection (windows) sesuai dengan IP
lokal pada mikrotik anda. Banyak sekali settingan mikrotik yang dapat anda pela
jari dari berbagai sumber. Jika terkesan terlalu rumit dengan sistem pengetikan
anda bisa melakukannya dengan winbox mode, setiap tutorial yang anda butuhkan pu
n dapat anda copy dan paste ke winbox nya mikrotik. Setting DNS dan Web Proxy Tr
ansparant Input DNS dan web-proxy pun terasa lebih mudah di winbox mode, masukka
n primary, secondary dan allow remote request nya, atau dengan perintah di termi
nal winbox. /ip dns set primary-dns=203.130.206.250 /ip dns set primary-dns=202.
134.2.5 /ip dns allow-remote-request=yes /ip web-proxy set enabled=yes port=8080
hostname=proxy.koe transparent-proxy=yes /ip firewall nat add in-interface=loka
l dst-port=80 protocol=tcp action=redirect toports=8080 chain=dstnat dst-address
=!192.168.100.1/24
Setting MIKROTIK SDSL SPEEDY – BANDWITH MANAGEMENT
Sebelumnya saya gambarkan dulu skema jaringannya: LAN —> Mikrotik RouterOS —> Modem
ADSL —> INTERNET Untuk LAN, kita pake kelas C, dengan network 192.168.0.0/24. Untu
k Mikrotik RouterOS, kita perlu dua ethernet card. Satu (ether1 – 192.168.1.2/24)
untuk sambungan ke Modem ADSL dan satu lagi (ether2 – 192.168.0.1/24) untuk sambun
gan ke LAN. Untuk Modem ADSL, IP kita set 192.168.1.1/24. Sebelum mengetikkan ap
apun, pastikan Anda telah berada pada root menu dengan mengetikkan “/” Set IP untuk
masing ethernet card ip address add address=192.168.1.2/24 interface=ether1 ip add
ress add address=192.168.0.1/24 interface=ether2 Untuk menampilkan hasil perinta
h di atas ketikkan perintah berikut: ip address print Kemudian lakukan testing d
engan mencoba nge-ping ke gateway atau ke komputer yg ada pada LAN. Jika hasilny
a sukses, maka konfigurasi IP Anda sudah benar ping 192.168.1.1 ping 192.168.0.1
0 Menambahkan Routing ip route add gateway=192.168.1.1 Setting DNS ip dns set pr
imary-dns=202.134.1.10 allow-remote-requests=yes ip dns set secondary-dns=202.13
4.0.155 allow-remote-requests=yes Karena koneksi ini menggunakan Speedy dari Tel
kom, maka DNS yg aq pake ya punya Telkom. Silahkan sesuaikan dengan DNS provider
Anda. Setelah itu coba Anda lakukan ping ke yahoo.com misalnya: ping yahoo.com
Jika hasilnya sukses, maka settingan DNS sudah benar Source NAT (Network Address
Translation) / Masquerading
Agar semua komputer yg ada di LAN bisa terhubung ke internet juga, maka Anda per
lu menambahkan NAT (Masquerade) pada Mikrotik. ip firewall nat add chain=srcnat
action=masquerade out-interface=ether1 Sekarang coba lakukan ping ke yahoo.com d
ari komputer yang ada di LAN ping yahoo.com Jika hasilnya sukses, maka setting m
asquerade sudah benar DHCP (DynamicHost Configuration Protocol) Karena alasan su
paya praktis, temenku pengin pake DHCP Server. Biar klo tiap ada klien yang kone
k, dia ga perlu setting IP secara manual. Tinggal obtain aja dari DHCP Server, b
eres dah. Untungnya Mikrotik ini juga ada fitur DHCP Servernya. Jadi ya ga ada m
asalah.. Membuat IP Address Pool ip pool add name=dhcp-pool ranges=192.168.0.2-1
92.168.0.254 Menambahkan DHCP Network ip dhcp-server network add address=192.168
.0.0/24 gateway=192.168.0.1 dnsserver=202.134.1.10,202.134.0.155 Menambahkan Ser
ver DHCP ip dhcp-server add name=DHCP_LAN disabled=no interface=ether2 addresspo
ol=dhcp-pool Sekarang coba lakukan testing dari komputer klien, untuk me-request
IP Address dari Server DHCP. Jika sukses, maka sekali lagi, settingannya udah b
ener Bandwidth Control Agar semua komputer klien pada LAN tidak saling berebut b
andwidth, maka perlu dilakukan yg namanya bandwidth management atau bandwidth co
ntrol Model yg saya gunakan adalah queue trees. Untuk lebih jelas apa itu, silah
kan merujuk ke situsnya Mikrotik Kondisinya seperti ini: Koneksi Speedy kan kata
nya speednya sampe 384/64 Kbps (Download/Upload), nah kondisi itu sangat jarang
tercapai. Jadi kita harus cari estimasi rata nya. Maka saya ambil minimalnya untuk
download bisa dapet sekitar 300 Kbps dan untuk upload aq alokasikan 50 Kbps. Se
dangkan untuk yg maksimumnya, untuk download kira 380 Kbps dan upload 60 Kbps.
Lalu, jumlah komputer klien yang ada saat ini adalah 10 buah. Jadi harus disiapk
an bandwidth itu untuk dibagikan kepada 10 klien tersebut. Perhitungan untuk mas
ing klien seperti ini: Minimal Download: 300 / 10 * 1024 = 30720 bps Maximal Down
load: 380 / 10 * 1024 = 38912 bps Minimal Upload: 50 / 10 * 1024 = 5120 bps Maxi
mal Upload: 60 / 10 * 1024 = 6144 bps Selanjutnya kita mulai konfigurasinya: Tan
dai semua paket yg asalnya dari LAN ip firewall mangle add src-address=192.168.0
.0/24 action=mark-connection newconnection-mark=Clients-con chain=prerouting ip
firewall mangle add connection-mark=Clients-con action=mark-packet new-packetmar
k=Clients chain=prerouting Menambahkan rule yg akan membatasi kecepatan download
dan upload queue tree add name=Clients-Download parent=ether2 packet-mark=Clien
ts limitat=30720 max-limit=38912 queue tree add name=Clients-Upload parent=ether
1 packet-mark=Clients limit-at=5120 max-limit=6144 Sekarang coba lakukan test do
wnload dari beberapa klien, mestinya sekarang tiap2 klien akan berbagi bandwidth
nya. Jika jumlah klien yg online tidak sampai 10, maka sisa bandwidth yang ngang
gur itu akan dibagikan kepada klien yg online. Graphing Mikrotik ini juga dileng
kapi dengan fungsi monitoring traffic layaknya MRTG biasa. Jadi kita bisa meliha
t berapa banyak paket yg dilewatkan pada PC Mikrotik kita. tool graphing set sto
re-every=5min Berikutnya yang akan kita monitor adalah paket yg lewat semua inter
face yg ada di PC Mikrotik kita, klo di komputerku ada ether1 dan ether2. tool g
raphing interface add-interface=all store-on-disk=yes Sekarang coba arahkan brow
ser anda ke IP Router Mikrotik. Klo aq di sini: http://192.168.0.1/graphs/
Nanti akan ada pilihan interface apa aja yg ada di router Anda. Coba klik salah
satu, maka Anda akan bisa melihat grafik dari paket2 yg lewat pada interface ter
sebut. Dari tutorial diatas saya cuma sampai mengambil langkah pada setting pena
mbahan NAT ( masquerade ) saja. Karena menurut saya DHCP yang sifatnya berubah u
bah jadi nanti saat mau limit BW nya terkadang ip tidak sama. CMIIW. dan untuk s
etting limit saya melakukannya pada remote winbox yang lebih mudah, nah pertanya
an untuk saya sendiri. Kapan graph tool nya kamu install nak ? hehehhee… ok semoga
berguna semuanya.
Membatasi inetan di kantor........dengan mikrotik..
Lanjut ah, sharing cara membatasi inetan dikantor....lagi-lagi dengan mikrotik.
Kantor saya gak terlalu gede sih, denga jumlah PC dalam jaringan LAN ada sekitar
65 buah. Saya memakai ip range 192.168.0.1/24, dengan gateway saya taruh di 192
.168.0.1 ya itu mikrotik sebagai gatewayya. Dari range IP tersebut ternyata sama
boss tidak diijinkan semuanya dapat mengakses inet....hehe...hehe...dan agak pa
rahnya IP yang boleh inetan itu acak alias tidak berurutan, sebagai tambahan say
a memakai DHCP untuk pengaturan IP (biar gak pusing nyatetin IP klo ada perubaha
n cpu atau ada tambahan cpu). Kayaknya cukup untuk alasan pembatasan inetnya, ki
ta lanjut ke settingnya... Oh....ya semua setting dilakukan menggunakan winbox.e
xe soalnya bisa-nya itu je... 1.Login ke mikrotik menggunakan winbox. 2.masuk ke
menu /ip firewall address-list 3.klik add (tanda plus) 4.isikan name dengan yg
unik, misalkan INET lalu isikan ip dengan ip yang punya akses inetan. 5.ulangi l
angkah 4 sehingga semua ip yang punya akses inetan tercatat dengan nama address-
list yang sama. 6.selanjutnya kita mengubah setting masquerade kita, yang awalny
a src-address diisi dengan full range ip client. Diganti dengan cara mengosongka
n src-address di tab general dan pindah ke tab advanced kemudian mengisikan src-
address list dengan list ip yang baru kita buat. 7.langkah 6 akan mengakibatkan
ip-ip diluar ip adress-list tidak akan dimasquerade dan sudah tentu tidak akan b
isa inetan....sesuai dengan kemauan kita khan ??? 8.untuk lebih memastikan lagi,
sebaiknya dibuatkan rule difilter rule dengan chain forward, lalu in-interface=
interface yang mengarah ke client, kemudian ke tab advanced pada bagian src-addr
ess list= ip list yang baru dibuat, kemudian beri tanda seru (pentung) disamping
kirinya dan untuk action=drop. rule ini ditaruh dipaling atas. 9.langkah ke 8 a
kan berakibat semua ip diluar list tidak akan diforward/diteruskan permintaannya
.
Lock IP dan MAC address client di Mikrotik....
Mungkin anda pernah mengalami, ada client nakal yang coba-coba memakai ip komput
er admin untuk mendapatkan akses inet tanpa batas........wuih suuuuuebelnya....b
ukan apa-apa sich, tapi yang kena marah oleh atasan tentu yang mengatur akses in
etnya (baca: saya). Bagi anda yang menggunakan Mikrotik sebagai pengatur (gatewa
y/router/web-proxy) akses ditempat anda, mungkin ini ada sedikit cara untuk meng
atasi agar ip-ip yang mempunyai akses inet tidak bisa saling dipertukarkan... Ki
ta langsung ke TKP aja, yuk..... 1.Login ke Mikrotik menggunakan winbox (maaf ba
gi CLI mania....saya bisanya GUI..hehehehe). 2.Pastikan semua client sudah ON se
mua, karena kita akan merekam mac-address menggunakan IP SCAN yang ada diwinbox.
3.Masuk ke menu IP-->Firewall kebagian tab address-list
4. 5.Isikan nama sesuai keinginan anda asal mudah diingat, kemudian IP client. P
rosedur ini dilakukan untuk semua client dengan nama address-list yang sama. Jik
a semua client sudah dimasukan ke dalam address-list selanjutnya menuju tab: NAT
6.
7.Gambar diatas adalah merubah rule/script dari nat-masquerade yang sudah ada, d
imana biasanya di bagian general untuk src-address diisikan range ip client. Unt
uk kali ini dirubah, sehingga hanya client yang ada di address-list saja yang ak
an dimasquerade. 8.Langkah selanjutnya adalah merekam mac-address dari client ki
ta, untuk itu kita menggunakan tools ip-scan. menuju menu tools dan pilih ip-sca
n
9. 10.Interface dipilih interface yang ada dimikrotik yang mengarah ke LAN, untu
k address range silahkan disesuaikan dengan ip-range client anda. Setelah itu si
lahkan klik start, dan tunggu beberapa saat. Setelah semua ip berhasil ditampilk
an, biarkan tool ip-scan (tidak usah di close), kemudian menuju menu IP-->ARP
11. 12.Maka didalam ARP list akan muncul ip dan mac-address dari client. Selanju
tnya adalah membuat agar arp-list menjadi static dengan cara meng-klik kanan set
iap pasangan ip dan mac-address tersebut dan pilih option make statik. Ini dilak
ukan untuk semua ip yang muncul. Setelah semua menjadi statik selanjutnya menuju
menu INTERFACES
13. 14.Pilih interface yang menuju klien, klik kiri dua kali sehingga muncul gam
bar seperti diatas. Kemudian pada option ARP dipilih reply-only 15.Selesai
Mengamankan web-proxy kita.....
Setelah kita berhasil menggabungkan smoothwall dengan mikrotik. Apabila koneksi
kita menggunakan speedy yang memiliki bandwidth uploadnya yang kecil, sudah sela
yaknya agar kita mengamankan web-proxy ini supaya hanya client lokal kita saja y
ang menggunakannya. Apabila ada client dari luar (dari WAN) ikut juga menikmati
web-proxy ini maka dijamin koneksi inet kita akan loyo dikarenakan Bandwidth upl
oad kita habis terpakai oleh client luar ini....jadi berhati-hati lah!!! Langkah
pengamanan ini sebenarnya tidak hanya diperuntukan bagi pemakai yang menggunaka
n koneksi speedy (dengan mengeset modem sebagai bridge modem), tetapi juga konek
si yang lainnya, dengan menyesuaikan parameter "in-interface" disesuaikan dengan
jenis koneksi WAN-nya. Kita lanjut ke tujuan utama kita: 1.Login ke Winbox kemu
dian masuk ke menu IP-->Firewall-->Filter
2. 3.Ikuti option-option diatas,untuk jenis koneksi selain speedy tinggal menyes
uaikan "in-interface", dimana interface yang digunakan adalah interface mikrotik
yang mengarah ke WAN/internet, kemudian pindah ke tab action, diisikan drop.
4.Langkah ke-2 diulang untuk port-port:3128,808 5.Selesai
Setting VPN di mikrotik memakai PPtP...
Pengantar.. Sebenernya agak males untuk menulis masalah setting VPN ini, dikaren
akan banyak yang sudah mengulasnya secara mendalam. Kemudian atas permintaan seo
rang teman dan adanya ketersediaan waktu akhirnya saya tulis juga. Namun VPN yan
g akan saya setting hanya menggunakan satu jenis yaitu PPtP (Point to Point tune
ling protocol) Asumsi.. 1.Jaringan inet anda dengan menggunakan gateway/router m
ikrotik sudah berjalan dengan baik dan juga memiliki ip public. 2.IP pool untuk
VPN : 192.168.15.1-192.168.15.50 3.IP Mikrotik yang mengarah ke LAN :192.168.0.2
45 Action... 1.silahkan login ke mikrotik anda dengan menggunakan winbox... 2.ke
mudian kita masuk ke modul Ip-->Pool
3. 4.untuk nama bisa diberikan sesuai dengan keinginan anda, yang penting mudah
diingat 5.untuk address dimasukan : 192.168.15.1-192.168.15.50 dan next pool=non
e lalu klik OK 6.Selanjutnya kita masuk ke modul PPP ke tab profiles, lalu klik
tanda plus..
7.Untuk nama silahkan cari yang unik, kemudian local address diisikan dengan ip
mikrotik yang mengarah ke LAN dan DNS server diberi ip yang sama (dengan catatan
pada setting DNS di mikrotik pada option allow remote request di ceklist) lalu
klik OK 8.Selanjutnya kita pindah ke tab secrets masih pada modul PPP, kemudian
diklik tanda plus-nya 9.
10.Pada bagian ini untuk memberikan akses/username untuk menggunakan atau login
ke VPN kita, silahkan berikan username dan password yang unik. Untuk service sil
ahkan klik pptp dan profile diisi dengan profile yang sudah dibuat tadi..lalu di
klik OK 11.Setelah bagian ini selesai kemudian kita masuk ke TAB interface dan k
lik pada bagian PPTP Server
12. 13.Silahkan diikuti semua option diatas kemudian klik OK, maka telah selesai
setting VPN kita Tes koneksi dengan menggunakan windows XP
1.
2.
3.
4.
5.
6.
7.
8. Selesai.... Selamat mencoba
Setting Linksys AG241 dan Mikrotik untuk akses speedy
Pengantar... Kenapa yang digunakan adalah Linksys AG241 tidak yang lain? jawabny
a simpel, dikantor saya pakenya ini. Kenapa harus ada mikrotik juga, pake linksy
s AG 241 juga sudah cukup klo cuma mau share internet? jawabnya simpel juga, kar
ena pengaturan yang "agak" ruwet untuk kebutuhan share internet dikantor dan hal
ini tidak dapat dipenuhi oleh sebuah linksys AG241. Untuk kali ini linksys AG24
1 difungsikan sebagai bridge, sedangkan dial dilakukan oleh mikrotik. Beberapa h
al yang menguntungkan jika dial dengan mikrotik : 1.Kita dapat memanage mikrotik
nya secara langsung. Jika yang dial modem maka kita harus mengeset modem agar me
mforward ip dari speedy ke ip mikrotik. 2.Kerja modem tidak terlalu berat sehing
ga akan berdampak pada penurunan suhu modem (pernah mengalami modem panas ??) da
n secara tidak langsung akan berdampak pada umur pemakaian dari modem itu sendir
i. 3.konfigurasi filter yang lebih banyak jika menggunakan mikrotik disamping ke
untungan, juga ada beberepa kerugiannya: 1.dibutuhkan biaya tambahan untuk pc ya
ng akan diinstall mikrotik. 2.dibutuhkan keahlian tambahan dalam mengkonfigurasi
mikrotik. 3.dengan ada adanya tambahan device tentunya akan bertambah konsumsi
listriknya, dengan kata lain ...tambahan biaya lagi :D Kebutuhan.... 1.account s
peedy yang masih aktif.... 2.modem linksys AG241 3.Pc yang sudah terinstall deng
an mikrotik dan modul ppp juga sudah terinstall... 4.kabel utp yang sudah dipatc
h straight untuk koneksi dari modem ke mikrotik. 5.Sebuah PC untuk mengkonfigure
modem linksys AG241 Asumsi.. Topologi jaringan : |Inet|----|Modem|----|Mikrotik
|----|switch|----|Client| 1.Ip modem (standar) :192.168.1.1/255.255.255.0 2.Ip m
ikrotik yang mengarah ke modem :192.168.1.2/255.255.255.0 3.Ip mikrotik yang men
garah ke switch :192.168.0.1/255.255.255.0 4.Dimikrotik ada minimal 2 buah Lanca
rd, 1 yang mengarah ke modem kita namakan WAN dan 1 lagi yang mengarah ke switch
kita namakan LAN action.. modem AG241.
1.Modem AG241 dihubungkan dengan PC menggunakan kabel UTP yang sudah disiapkan 2
.IP PC dirubah disesuaikan dengan IP modem, misalkan menjadi :192.168.1.3/255.25
5.255.0 3.Modem dihidupkan dengan memasang adaptor ke sumber listrik, dan keluar
an adaptor disambungkan ke modem. 4.Silahkan buka browser kesayangan anda, kemud
ian isikan 192.168.1.1 di url browser anda, maka akan muncul dialog untuk memasu
kan username dan password untuk masuk ke dalam menu configurasi modem. Pada kead
aan standar isikan username dan password dengan admin 5.masuk ke tab setup
6.
7. 8.Setting gambar diatas untuk daerah jakarta tepatnya daerah bekasi, untuk da
erah lainnya tinggal menyesuaikan VPI dan VCI saja Mikrotik 1.PC dihubungkan ke
switch yang terhubung dengan mikrotik (lihat topologi diatas) dan rubah kembali
ip PC disesuaikan dengan IP yang ada, misalkan :192.168.0.3/255.255.255.0 2.Logi
n kedalam mikrotik menggunakan winbox 3.klik menu ppp, klik tanda plus pilih ppp
oe client
4.Pada tab general ini yang diisi hanya bagian interface, dipilih WAN 5.pindah k
e tab dial out
6.Pada tab dial out, yang diisi hanyalah username dan password saja. isikan user
name dan password dari account speedy anda. 7.Dial on demand, jika anda mengingi
nkan mikrotik untuk dial ke speedy jika ada permintaan dari client untuk akses k
e internet (cocok untuk account non unlimited) silahkan untuk diceklist. jika me
nginginkan agar mikrotik selalul terhubung dengan internet silahkan jangan dicek
list bagian ini. 8.add default route, pada mikrotik akan ditambahkan default rou
te yang telah disetting oleh speedy 9.Untuk Use peer DNS saya tidak begitu menge
tahui jadi biarkan tidak diceklist 10.untuk bagian allow silahkan di checklist s
emuanya lalu klik OK 11.Klik menu IP-->firewall pilih tab NAT
12.Pilih chain :srcnat, src.address:192.168.0.0/24, out.interface=pppoe-out2, ke
mudian pindah ke tab action
13.untuk action silahkan pilih: masquerade
Remote Mikrotik bagi pengguna ip public dynamis....
Pengantar... Bagi anda sekalian pengguna ISP Tel**m aka Speeda, yang berlanggana
n paket opis atau paket lainnya yang diberikan IP dinamis dan menggunakan Mikrot
ik sebagai routernya ( jadi modem ADSL diconfigure sebagai "Bridge Mode only" da
n dial dilakukan oleh mikrotik) dan berhasrat untuk meremote mikrotiknya dari ja
ringan internet, tentunya akan kesulitan. Dikarenakan IP yang berubah jika modem
/mikrotiknya direstart.
Dengan bantuan sebuah website (disini websitenya) kita dapat meremote mikrotik k
ita tanpa perlu memikirkan berapa ip account speda kita..... Action... Sebelum a
ction dilakukan diasumsikan bahwa tidak ada masalah dalam hal koneksi internetny
a dimana yang dial adalah mikrotik.. Selanjutnya silahkan buat account di websit
e tadi, buat sebuah subdomain yang ditawarkan diwebsite tersebut dan aktifkan se
rvice dns-nya. Untuk mengetesnya silahkan ping subdomain yang baru anda buat tad
i...klo berhasil akan ada reply dari ip account speda anda Setelah account dibua
t (berarti anda telah memiliki username dan password untuk website tersebut) kit
a beralih ke mikrotik.... Mikrotik... Login ke Mikrotik anda melalui winbox... M
asuk kemenu /System/Scripts... Klik add....dan masukan script ini : Untuk mikrot
ik v2.9.xx
:log info "DDNS: Begin" :global ddns-user "YOURUSERID" :global ddns-pass "YOURPA
SSWORD" :global ddns-host "*1" :global ddns-interface "EXACTINTERFACENAME" :glob
al ddns-ip [ /ip address get [/ip address find interface=$ddns-interface] addres
s ] :if ([ :typeof $ddns-lastip ] = nil ) do={ :global ddns-lastip 0.0.0.0/0 } :
if ([ :typeof $ddns-ip ] = nil ) do={ :log info ("DDNS: No ip address present on
" . $ddns-interface . ", please check.") } else={ :if ($ddns-ip != $ddns-lastip
) do={ :log info "DDNS: Sending UPDATE!" :log info [ /tool dns-update name=$ddns
-host address=[:pick $ddns-ip 0 [:find $ddns-ip "/"] ] keyname=$ddns-user key=$d
dns-pass ] :global ddns-lastip $ddns-ip } else={ :log info "DDNS: No change" } }
:log info "DDNS: End"
Untuk Mikrotik v3.x.x
# Define User Variables :global ddnsuser "CHANGEIPUSERID" :global ddnspass "CHAN
GEIPPASSWORD" :global ddnshost "FREEHOSTNAME.TOUPDATE.TLD"
# Define Global Variables :global ddnsip :global ddnslastip :if ([ :typeof $ddns
lastip ] = nil ) do={ :global ddnslastip "0" } :global ddnsinterface :global ddn
ssystem ("mt-" . [/system package get system version] ) # Define Local Variables
:local int # Loop thru interfaces and look for ones containing # default gatewa
ys without routing-marks :foreach int in=[/ip route find dst-address=0.0.0.0/0 a
ctive=yes ] do={ :if ([:typeof [/ip route get $int routing-mark ]] != str ) do={
:global ddnsinterface [/ip route get $int interface] } } # Grab the current IP
address on that interface. :global ddnsip [ /ip address get [/ip address find in
terface=$ddnsinterface ] address ] # Did we get an IP address to compare? :if ([
:typeof $ddnsip ] = nil ) do={ :log info ("DDNS: No ip address present on " . $
ddnsinterface . ", please check.") } else={ :if ($ddnsip != $ddnslastip) do={ :l
og info "DDNS: Sending UPDATE!" :log info [ :put [/tool dns-update name=$ddnshos
t address=[:pick $ddnsip 0 [:find $ddnsip "/"] ] keyname=$ddnsuser key=$ddnspass
] ] :global ddnslastip $ddnsip } else={ :log info "DDNS: No update required." }
} # End of script Kemudian beri nama script sesuai dengan keinginan anda, lalu
klik OK Setelah script dibuat selanjutnya kita membuat scheduller, agar secara p
eriodik mikrotik kita mengupdate subdomain yang dibuat di website "tersebut". Ma
sih di winbox, masuk ke menu /system/scheduler : Klik add... beri nama scheduler
nya.... atur tanggal dimulainya scheduler.... atur jamnya.... atur periodenya...
mau setiap menit..setiap jam atau setiap hari....
Pada bagian On Event, tuliskan nama script yang anda buat tadi. Selesai, selamat
mencoba.
Menggabungkan Smoothwall dgn Mikrotik
Pengantar Tidak bisa dipungkiri jika keberadaan webproxy (jika diconfigure denga
n baik, dan ini bagi beberapa orang merupakan keasikan tersendiri atau juga meru
pakan beban tersendiri dikarenakan banyaknya parameter yang terdapat didalam squ
id webproxy yang dapat diconfigure. Perbedaan configure ini akan memberikan efek
yang berbeda pula.) Untuk rekan-rekan yang tidak ingin ambil pusing dengan conf
igure-configure tersebut, kecuali anda ingin "bermain-main" dengan parameter yan
g ada disquid, anda dapat menggunakan smoothwall atau ipcop. Memang Smoothwall a
tau IPCOP sesungguhnya merupakan operating sistem berbasis linux yang dikhususka
n sebagai Gateway internet. Gateway ini menjembatani antara LAN dengan Internet.
Namun kali ini saya akan menggabungkan kemampuan dari Mikrotik dengan kemampuan
webproxy dari smoothwall. Smoothwall yang saya gunakan merupakan versi freeware
atau versi community. Satu hal kenapa saya lebih memilih Smoothwall dibandingka
n IPCOP adalah Dikarenakan hardware ditempat saya rata-rata sudah pakai P4, maka
kernel 2.6 menjadi pilihan saya. Hal ini hanya dipenuhi oleh smoothwall sedangk
an IPCOP masih berkutat pada kernel 2.4. Mikrotik digunakan sebagai gateway dan
bandwidth management dikarenakan dihal
tersebut mikrotik mempunyai nilai lebihnya. Skema Jaringan | Inet Cloud |-------
| Modem |-----| Mikrotik |------| Switch |-------| LAN | -----------------------
------------------| -----------------------------------------| -----------------
------------------------| -----------------------------------| Smoothwall | Asum
si 1.Mikrotik telah terinstall dan berjalan dengan baik. 2.Client LAN telah suks
es berinternetan. 3.Mikrotik dan Smoothwall terletak di mesin yang berbeda. 4.Un
tuk kasus saya,menggunakan koneksi speda (koneksi yang lain juga gpp, sama saja
pada intinya). 5.Smoothwall diletakan sejajar mikrotik dikarenakan dari uji coba
saya dengan skema yang diatas lebih cocok buat saya, dibandingkan dengan skema
dimana smoothwall berada sejajar client. 6.Ada baiknya untuk komputer yang akan
digunakan sebagai webproxy memiliki spesifikasi, memory minimum 256 MB lebih dar
i itu lebih baik dianjurkan untuk memakai 1 GB. untuk Processor tidak terlalu si
gnifikan. Untuk hardisk sebaiknya memakai SATA atau SCSI, dikarenakan untuk squi
d webproxy kekuatan dan kecepatan dari hardisk sangat menentukan "efek speed" da
ri browsing client. jikalau tidak ada SATA atau SCSI maka apa boleh buat memakai
hardisk PATA. 7.Topologi pada smoothwall adalah green + red, jadi diperlukan 2
buah lancard di dalam mesin yang akan diinstall smoothwall Peralatan Tempur 1.Sm
oothwall CD, dapat didonlot disini 2.putty, dapat didonlot disini 3.Winscp, dapa
t didonlot disini 4.advproxy, dapat didonlot disini 5.urlfilter, dapat didonlot
disini 6.calamaris webproxy report, dapat didonlot disini 7.Kopi/teh dan cemilan
, silahkan cari ditoko terdekat :D Action Setelah ISO smoothwall didonlot kemudi
an di burning ke cd dengan program burning kesayangan anda. Untuk putty, winscp,
advproxy, urlfilter dan calamaris dapat disimpan dikomputer lain yang nantinya
meremote smoothwall. Karena paket-paket ini akan diinstall melalui komputer remo
te. Atur Bios Komputer yang akan diinstall Smoothwall agar dapat booting awal la
ngsung dari CDROM, kemudian masukan cd Smoothwallnya. Tampilan awal Installasi S
moothwall :
Setelah di ENTER maka akan muncul :
Lalu
Tekan OK, lalu tekan enter dua kali sehingga akan muncul...
Jika anda sebelumnya pernah menginstall smoothwall dan menyimpan backup configny
a kedalam floopydisk, maka ketika tampilan dibawah ini muncul masukan floopy dis
k backup dan tekan yes.
Jika untuk pertama kali menginstall smoothwall maka cukup tekan tombol No. kemud
ian pilih keyboard mapping dan isikan nama dari smoothwall anda (hostname). Taha
p selanjutnya adalah memilih "security policy" dikarenakan smoothwall kita nanti
nya berada didalam "zona aman" mikrotik maka kita biarkan security policy berada
di open
kemudian masuk ke pemilihan topologi smoothwall
pilih green + red
Kemudian muncul tampilan konfirmasi untuk mengubah config network
klik OK, lakukan probe untuk mendeteksi secara otomatis kartu jaringan anda
Setelah semua kartu jaringan terdeteksi, kemudian kita berikan IP-nya
Untuk kasus saya ini IP untuk GREEN dan RED diisikan IP dalam satu subnet, jadi
misalkan untuk GREEN diberikan 192.168.10.2/255.255.255.0 (dengan asumsi untuk k
artu jaringan dimikrotik yang mengarah ke smoothwall diberikan ip 192.168.10.1)
maka untuk RED diberikan IP 192.168.10.3/255.255.255.0 dengan pilihan secara sta
tik. Kemudian ....
Isikan DNS dan default gatewaynya, untuk default gateway isikan ip mikrotik yang
mengarah ke smoothwall (dalam kasus saya adalah 192.168.10.1). Untuk DNS bisa m
emakai IP mikrotik dengan catatan option "allow remote request"-nya di checklist
/dipilih atau bisa memakai DNS yang diberikan oleh ISP. Untuk selanjutnya akan m
uncul screen...
Dikarenakan akan menggunakan addons advproxy dkk, maka untuk section ini langsun
g saja klik finished.
Isikan password yang anda inginkan untuk mengakses smoothwall melalui web browse
r (user: admin)
Isikan password yang anda inginkan untuk mengakses smoothwall melalui terminal (
user: root).
Installasi telah selesai, Klik OK untuk reboot. silahkan antara mikrotik dan smo
othwall saling dihubungkan dengan kabel jaringan secara cross, untuk mengetesnya
silahkan saling ping dari kedua sisi, apakah sudah ada reply atau belum. Setela
h semua saling reply, saatnya..... Configuring Smoothwall..... Untuk selanjutnya
kita dapat mengconfigure smoothwall melalui web browser, dengan
mengetik ip_smoothwall:81 di browser, sehingga akan muncul dibrowser anda sepert
i ini.
Setelah masuk ke configure smoothwall, langsung aja masuk ke tab service-->remot
e access..
ceklist bagian ssh, kemudian save... Kemudian masuk ke tab maintenance --> updat
es untuk mengupdates smoothwall agar segala bugs yang ada dapat ditambal melalui
updates ini..
Jika koneksi keinternet anda tidak bermasalah maka akan terdapat updates-updates
yang berasal dari websitenya smoothwall. Yang perlu diingat adalah setiap kali
melakukan updates maka Mods-mods atau addons yang telah kita pasang wajib di uni
nstall dan install lagi, jika tidak dilakukan maka addons tidak dapat berjalan s
ebagaimana mestinya. Setelah semua updates didonlot kemudian diinstall dan kemud
ian smoothwall akan meminta reboot.. untuk mengetahui apakah updates-updates tad
i telah terinstall dapat dilihat di tab yang
sama, maka akan muncul selain updates terbaru dari website smootwall (jika ada y
ang baru dan kita belum menginstallnya..) juga updates-updates yang telah terins
tall oleh kita. Installing Addons... untuk menginstall addons (setelah kita donl
ot semua addons yang diperlukan) kita memerlukan peralatan tempur putty untuk me
njalankan terminal smoothwall secara remote dari komputer lainnya dan juga winsc
p untuk memindahkan file-file addons dari komputer remote ke komputer smoothwall
. Install advproxy Gunakan winscp untuk memindahkan file advproxy ke smoothwall
(biasanya ditaruh difolder /tmp). login melalui ssh dengan user root, untuk wind
ows bisa menggunakan putty dengan port ssh 222 uncompress advproxy tar –xzf swe3-n
n-advproxy-version.tar.gz masuk ke direktory hasil uncompress tadi dan jalankan:
./install setelah selesai install, melalui browser masuk ke smoothwall dan di t
ab service sudah web-proxy.
untuk option yang diceklist silahkan melihat gambar diatas, untuk proxyport bisa
memakai 8080 atau 3128 (port standar untuk webproxy, walaupun memakai yang lain
nya juga gpp. Akan tetapi demi kelancaran dan keamanan lebih baik memakai satu d
iantara dua port tadi) memory cache size (MB) = 8 Minimal object size (KB) = 0 H
ardisk cache size (MB) = 10000 ( hardisk yang saya pake 80 GB SATA) Maximum obje
ct size (KB) = 128000 memory replacement policy = heap GDSF cache replacement po
licy = heap LFUDA untuk option yang lain dibiarkan standard bawaan smoothwall aj
a buat file di /var/smoothwall/proxy/store_url_rewrite.pl dan isikan dengan : #!
/usr/bin/perl $|=1; while (<>) { @X = split; $url = $X[0]; $url =~s@^http://(.*?
)/get_video\?(.*)video_id=(.*?)&.*@squid://videos.youtube.INTERNAL/I D=$3@; $url
=~s@^http://(.*?)/get_video\?(.*)video_id=(.*?)$@squid://videos.youtube.INTERNA
L/ID =$3@; $url =~s@^http://(.*?)/videodownload\?(.*)docid=(.*?)$@squid://videos
.google.INTERNAL/I D=$3@; $url =~s@^http://(.*?)/videodownload\?(.*)docid=(.*?)&
.*@squid://videos.google.INTERNAL/ ID=$3@; $url =~s@^http://(.*?)/albums\?&.*@sq
uid://images.photobucket.INTERNAL/ID=$3@; #print "$url\n"; } $url =~s@^http://(.
*?)/albums\?$@squid://images.photobucket.INTERNAL/ID=$3@; $url =~s@^http://(.*?)
/albums\?&.*@squid://videos.photobucket.INTERNAL/ID=$3@; $url =~s@^http://(.*?)/
albums\?$@squid://videos.photobucket.INTERNAL/ID=$3@; print "$url\n"; } ubah kep
emilikan file ke 755 edit file /var/smoothwall/proxy/advanced/acls/include.acl d
an tambahkan ini acl store_rewrite_list url_regex ^http://(.*?)/get_video\? acl
store_rewrite_list url_regex ^http://(.*?)/videodownload\?
acl store_rewrite_list url_regex ^http://i(.*?).photobucket.com/albums/(.*?)/(.*
?)/(.*?)\? acl store_rewrite_list url_regex ^http://vid(.*?).photobucket.com/alb
ums/(.*?)/(.*?)\? # The keyword for all youtube video files are "get_video?", "v
ideodownload?" and "videoplaybeck?id" # The "\.(jp(e?g|e|2)|gif|png|tiff?|bmp|ic
o|flv)\?" is only for pictures and other videos #acl store_rewrite_list urlpath_
regex \/(get_video\?|videodownload\?|videoplayback\?id) \.(jp(e?g|e|2)|gif|png|t
iff?|bmp|ico|flv)\? \/ads\? #acl store_rewrite_list_web url_regex ^http:\/\/([A-
Za-z-]+[0-9]+)*\.[A-Za-z]*\.[A-Za-z]* #acl store_rewrite_list_path urlpath_regex
\.(jp(e?g|e|2)|gif|png|tiff?|bmp|ico|flv)$ #acl store_rewrite_list_web_CDN url_
regex ^http:\/\/[a-z]+[0-9]\.google\.com doubleclick\.net #add this line before
cache deny #acl QUERY2 urlpath_regex get_video\? videoplayback\? \.(jp(e?g|e|2)|
gif|png|tiff?| bmp|ico|flv)\? #cache allow QUERY2 #cache allow store_rewrite_lis
t_web_CDN #cache deny url that has cgi-bin and ? this is the default for below s
quid 2.7 version #acl QUERY urlpath_regex cgi-bin \? #cache deny QUERY #storeurl
_access allow store_rewrite_list #this is not related to youtube video its only
for CDN pictures #storeurl_access allow store_rewrite_list_web_CDN #storeurl_acc
ess allow store_rewrite_list_web store_rewrite_list_path #storeurl_access deny a
ll #rewrite_program path is base on windows so use use your own path #storeurl_r
ewrite_program /var/smoothwall/proxy/google_cache.pl #storeurl_rewrite_children
1 #storeurl_rewrite_concurrency 10 #http_access allow manager localhost cache al
low store_rewrite_list cache allow all storeurl_access allow store_rewrite_list
storeurl_access deny all storeurl_rewrite_program /var/smoothwall/proxy/store_ur
l_rewrite.pl storeurl_rewrite_children 1 storeurl_rewrite_concurrency 10 acl fil
e_terlarang url_regex -i hot_indonesia.exe acl file_terlarang url_regex -i hotsu
rprise_id.exe acl file_terlarang url_regex -i best-mp3-download.exe acl file_ter
larang url_regex -i R32.exe acl file_terlarang url_regex -i rb32.exe acl file_te
rlarang url_regex -i mp3.exe acl file_terlarang url_regex -i HOTSEX.exe acl file
_terlarang url_regex -i Browser_Plugin.exe acl file_terlarang url_regex -i DDial
er.exe acl file_terlarang url_regex -i od-teen
acl file_terlarang url_regex -i URLDownload.exe acl file_terlarang url_regex -i
od-stnd67.exe acl file_terlarang url_regex -i Download_Plugin.exe acl file_terla
rang url_regex -i od-teen52.exe acl file_terlarang url_regex -i malaysex acl fil
e_terlarang url_regex -i edita.html acl file_terlarang url_regex -i info.exe acl
file_terlarang url_regex -i run.exe acl file_terlarang url_regex -i Lovers2Go a
cl file_terlarang url_regex -i GlobalDialer acl file_terlarang url_regex -i WebD
ialer acl file_terlarang url_regex -i britneynude acl file_terlarang url_regex -
i download.exe acl file_terlarang url_regex -i backup.exe acl file_terlarang url
_regex -i GnoOS2003 acl file_terlarang url_regex -i wintrim.exe acl file_terlara
ng url_regex -i MPREXE.EXE acl file_terlarang url_regex -i exengd.EXE acl file_t
erlarang url_regex -i xxxvideo.exe acl file_terlarang url_regex -i Save.exe acl
file_terlarang url_regex -i ATLBROWSER.DLL acl file_terlarang url_regex -i NawaL
_rm acl file_terlarang url_regex -i Socks32.dll acl file_terlarang url_regex -i
Sc32Lnch.exe acl file_terlarang url_regex -i dat0.exe http_access deny file_terl
arang #youtube's videos refresh_pattern -i (get_video\?|videodownload\?|videopla
yback\?) 161280 50000% 525948 override-expire ignore-reload #and for pictures re
fresh_pattern -i \.(jp(e?g|e|2)|gif|png|tiff?|bmp|ico|flv)(\?|$) 161280 3000% 52
5948 override-expire reload-into-ims refresh_pattern ^http://(.*?)/get_video\? 1
0080 90% 999999 override-expire ignore-nocache ignore-private refresh_pattern ^h
ttp://(.*?)/videodownload\? 10080 90% 999999 override-expire ignore-no-cache ign
ore-private refresh_pattern ^http://i(.*?).photobucket.com/albums/(.*?)/(.*?)/(.
*?)\? 43200 90% 999999 override-expire ignore-no-cache ignore-private refresh_pa
ttern ^http://vid(.*?).photobucket.com/albums/(.*?)/(.*?)\? 43200 90% 999999 ove
rride-expire ignore-no-cache ignore-private refresh_pattern -i (/cgi-bin/|\?) 0
0% 0 refresh_pattern -i \.(swf|png|jpg|jpeg|bmp|tiff|png|gif) 43200 90% 129600 r
eload-intoims override-lastmod refresh_pattern -i \.(mov|mpg|mpeg|flv|avi|mp3|3g
p|sis|wma) 43200 90% 129600 reload-into-ims override-lastmod refresh_pattern -i
\.(zip|rar|tgz|bin|ace|bz|bz2|tar|gz|exe) 43200 90% 129600 reloadinto-ims overri
de-lastmod refresh_pattern -i (.*html$|.*htm|.*shtml|.*aspx|.*asp) 43200 90% 144
0 reload-into-ims override-lastmod refresh_pattern -i \.(class|css|js|gif|jpg)$
10080 90% 43200 override-expire
refresh_pattern -i \.(jpe|tif)$ 10080 90% 43200 override-expire refresh_pattern
-i \.(mpe|wmv|wav|au|mid)$ 10080 90% 43200 override-expire refresh_pattern -i \.
(arj|lha|lzh)$ 10080 90% 43200 override-expire refresh_pattern -i \.(hqx|pdf|rtf
|doc|swf)$ 10080 90% 43200 override-expire refresh_pattern -i \.(inc|cab|ad|txt|
dll)$ 10080 90% 43200 override-expire refresh_pattern -i \.(asp|acgi|pl|shtml|ph
p3|php)$ 2 20% 4320 reload-into-ims refresh_pattern ^http://*.google.*/.* 720 90
% 4320 reload-into-ims override-lastmod refresh_pattern ^http://*korea.*/.* 720
90% 4320 reload-into-ims override-lastmod refresh_pattern ^http://*.akamai.*/.*
720 90% 4320 reload-into-ims override-lastmod refresh_pattern ^http://*.windowsm
edia.*/.* 720 90% 4320 reload-into-ims overridelastmod refresh_pattern ^http://*
.googlesyndication.*/.* 720 90% 4320 reload-into-ims overridelastmod refresh_pat
tern ^http://*.plasa.*/.* 720 90% 4320 reload-into-ims override-lastmod refresh_
pattern ^http://*.telkom.*/.* 720 90% 4320 reload-into-ims override-lastmod refr
esh_pattern ^http://*.friendster.com/.* 720 90% 10080 reload-into-ims overridela
stmod refresh_pattern ^http://*.facebook.com/.* 720 90% 10080 reload-into-ims ov
erridelastmod refresh_pattern ^http://*.blogspot.*/.* 720 90% 10080 refresh_patt
ern ^http://*.wikipedia.*/.* 720 90% 10080 refresh_pattern ^http://*.wordpress.*
/.* 720 90% 10080 refresh_pattern ^http://*.bhinneka.*/.* 720 90% 10080 refresh_
pattern ^http://*.okezone.*/.* 720 90% 10080 refresh_pattern ^http://*.multiplay
.*/.* 720 90% 10080 refresh_pattern ^http://*.blogger.*/.* 720 90% 10080 refresh
_pattern ^gopher: 1440 0% 1440 refresh_pattern ^ftp: 43200 90% 129600 reload-int
o-ims override-expire refresh_pattern ^http://www.detiksport.com/.* 180 35% 4320
override-expire overridelastmod ignore-reload reload-into-ims refresh_pattern ^
http://www.kompas.com/.* 180 35% 4320 override-expire overridelastmod ignore-rel
oad reload-into-ims refresh_pattern ^http://www.detiknews.com/.* 180 35% 4320 ov
erride-expire overridelastmod ignore-reload reload-into-ims refresh_pattern ^htt
p://www.photobucket.com/.* 180 100% 4320 override-expire override-lastmod ignore
-reload reload-into-ims refresh_pattern ^http://www.detikhot.com/.* 180 35% 4320
override-expire overridelastmod ignore-reload reload-into-ims refresh_pattern ^
http://www.kapanlagi.com/.* 180 35% 4320 override-expire overridelastmod ignore-
reload reload-into-ims refresh_pattern ^http://www.okezone.com/.* 180 35% 4320 o
verride-expire overridelastmod ignore-reload reload-into-ims refresh_pattern ^ht
tp://www.indowebster.com/.* 180 100% 4320 override-expire override-lastmod ignor
e-reload reload-into-ims refresh_pattern ^http://www.telkomspeedy.com/.* 180 100
% 4320 override-expire override-lastmod ignore-reload reload-into-ims refresh_pa
ttern ^http://www.imagevenue.com/.* 180 100% 4320 override-expire override-lastm
od ignore-reload reload-into-ims refresh_pattern ^http://www.flickr.com/.* 180 1
00% 4320 override-expire overridelastmod ignore-reload reload-into-ims refresh_p
attern ^http://www.imageshack.us/.* 180 100% 4320 override-expire override-
lastmod ignore-reload reload-into-ims refresh_pattern ^http://www.usercash.com/.
* 180 100% 4320 override-expire overridelastmod ignore-reload reload-into-ims re
fresh_pattern ^http://www.googlesyndication.com/.* 180 100% 4320 override-expire
override-lastmod ignore-reload reload-into-ims refresh_pattern ^http://www.co.c
c/.* 180 35% 4320 override-expire override-lastmod ignore-reload reload-into-ims
refresh_pattern ^http://www.21cineplex.com/.* 180 35% 4320 override-expire over
ridelastmod ignore-reload reload-into-ims refresh_pattern ^http://www.saatchi-ga
llery.co.uk/.* 180 100% 4320 override-expire override-lastmod ignore-reload relo
ad-into-ims refresh_pattern ^http://www.onemanga.com/.* 180 100% 4320 override-e
xpire overridelastmod ignore-reload reload-into-ims refresh_pattern ^http://www.
jobsdb.com/.* 180 35% 4320 override-expire overridelastmod ignore-reload reload-
into-ims refresh_pattern ^http://www.imeem.com/.* 180 100% 4320 override-expire
overridelastmod ignore-reload reload-into-ims refresh_pattern ^http://www.downlo
ad.com/.* 180 100% 4320 override-expire overridelastmod ignore-reload reload-int
o-ims refresh_pattern ^http://www.amazon.com/.* 180 35% 4320 override-expire ove
rridelastmod ignore-reload reload-into-ims refresh_pattern ^http://www.friendste
r-layouts.com/.* 180 100% 4320 override-expire override-lastmod ignore-reload re
load-into-ims refresh_pattern ^http://www.geocities.com/.* 180 100% 4320 overrid
e-expire overridelastmod ignore-reload reload-into-ims refresh_pattern ^http://w
ww.redtube.com/.* 180 100% 4320 override-expire overridelastmod ignore-reload re
load-into-ims refresh_pattern ^http://www.files.wordpress.com/.* 180 100% 4320 o
verride-expire override-lastmod ignore-reload reload-into-ims refresh_pattern ^h
ttp://indonetwork.co.id/.* 180 35% 4320 override-expire overridelastmod ignore-r
eload reload-into-ims refresh_pattern ^http://gudanglagu.com/.* 180 100% 4320 ov
erride-expire overridelastmod ignore-reload reload-into-ims refresh_pattern ^htt
p://megaupload.com/.* 180 100% 4320 override-expire overridelastmod ignore-reloa
d reload-into-ims refresh_pattern ^http://www.karir.com/.* 180 35% 4320 override
-expire override-lastmod ignore-reload reload-into-ims refresh_pattern ^http://w
ww.myspace.com/.* 180 100% 4320 override-expire overridelastmod ignore-reload re
load-into-ims refresh_pattern ^http://www.multiply.com/.* 180 100% 4320 override
-expire overridelastmod ignore-reload reload-into-ims refresh_pattern ^http://ww
w.rapidshare.com/.* 180 100% 4320 override-expire overridelastmod ignore-reload
reload-into-ims refresh_pattern ^http://www.4shared.com/.* 180 100% 4320 overrid
e-expire overridelastmod ignore-reload reload-into-ims refresh_pattern ^http://w
ww.ziddu.com/.* 180 100% 4320 override-expire overridelastmod ignore-reload relo
ad-into-ims refresh_pattern ^http://www.kaskus.com/.* 180 35% 4320 override-expi
re overridelastmod ignore-reload reload-into-ims refresh_pattern ^http://www.kas
kus.us/.* 180 35% 4320 override-expire overridelastmod ignore-reload reload-into
-ims
refresh_pattern ^http://www.friendster.com/.* 180 100% 4320 override-expire over
ridelastmod ignore-reload reload-into-ims refresh_pattern ^http://mail.yahoo.com
/.* 180 100% 4320 override-expire overridelastmod ignore-reload reload-into-ims
refresh_pattern ^http://login.yahoo.com/.* 180 100% 4320 override-expire overrid
elastmod ignore-reload reload-into-ims refresh_pattern ^http://mail.yahoo.co.id/
.* 180 100% 4320 override-expire overridelastmod ignore-reload reload-into-ims r
efresh_pattern ^http://mail.google.com/.* 180 100% 4320 override-expire override
lastmod ignore-reload reload-into-ims refresh_pattern ^http://*.yahoo.*/.* 180 1
00% 4320 override-expire override-lastmod ignore-reload reload-into-ims refresh_
pattern ^http://*.yahoo.com/.* 180 100% 4320 override-expire override-lastmod ig
nore-reload reload-into-ims refresh_pattern ^http://*.yahoo.co.id/.* 180 100% 43
20 override-expire override-lastmod ignore-reload reload-into-ims refresh_patter
n ^http://*.akamai.net/.* 180 100% 4320 override-expire override-lastmod ignore-
reload reload-into-ims refresh_pattern ^http://*.yimg.*/.* 180 100% 4320 overrid
e-expire override-lastmod ignore-reload reload-into-ims refresh_pattern ^http://
*.gmail.*/.* 180 100% 4320 override-expire override-lastmod ignore-reload reload
-into-ims refresh_pattern ^http://*.detik.*/.* 180 35% 4320 override-expire over
ride-lastmod ignore-reload reload-into-ims refresh_pattern . 0 20% 4320 #opsi zp
h zph_mode tos zph_local 0x30 zph_parent 0 zph_option 136 #opsi yg lain quick_ab
ort_min 0 quick_abort_max 0 quick_abort_pct 100 ie_refresh off client_lifetime 2
hours #ipcache_size 4096 #ipcache_low 90 #ipcache_high 95 maximum_object_size_i
n_memory 64 KB dari browser masuk ke tab web proxy lalu klik save and restart In
stall Urlfilter Dengan cara yang sama, pindahkan file urlfilter hasil donlot ke
folder /tmp dengan menggunakan winscp, lalu uncompress login melalui ssh dengan
user root, untuk windows bisa menggunakan putty dengan port ssh 222 uncompress u
rlfilter tar -xzf sw3-nn-urlfilter-version.tar.gz
masuk kedirektory hasil uncompress dan jalankan ./install setelah selesai instal
l, melalui browser masuk ke smoothwall dan di tab service dibagian service sudah
terdapat option url filter.
Untuk update blacklist-nya bisa disini setelah semua option yang diinginkan untu
k difilter kemudian di save. untuk menggabungkan dengan advproxy (dibagian palin
g bawah tab web-proxy terdapat option url filter) silahkan diceklist dan klik sa
ve and restart web-proxy nya. Install calamaris webproxy reporting Dengan cara y
ang sama, pindahkan file urlfilter hasil donlot ke folder /tmp dengan menggunaka
n winscp, lalu uncompress login melalui ssh dengan user root, untuk windows bisa
menggunakan putty dengan port ssh 222 uncompress urlfilter tar -xzf sw3-nn-cala
maris-version.tar.gz
masuk kedirektory hasil uncompress dan jalankan ./install Setelah berhasil insta
ll maka di tab logs (dilihat melalui browser) akan terdapat tab proxy report. se
dikit tuning...... edit file /etc/rc.d/rc.firewall.up dengan... # set network tw
eaks echo 49152 > /proc/sys/fs/file-max echo 262144 > /proc/sys/net/core/rmem_de
fault echo 262144 > /proc/sys/net/core/rmem_max echo 262144 > /proc/sys/net/core
/wmem_default echo 262144 > /proc/sys/net/core/wmem_max echo 4096 87380 8388608
> /proc/sys/net/ipv4/tcp_rmem echo 4096 65536 8388608 > /proc/sys/net/ipv4/tcp_w
mem echo 4096 4096 4096 > /proc/sys/net/ipv4/tcp_mem echo 1 > /proc/sys/net/ipv4
/tcp_low_latency echo 4000 > /proc/sys/net/core/netdev_max_backlog echo 1024 650
00 > /proc/sys/net/ipv4/ip_local_port_range echo 16384 > /proc/sys/net/ipv4/tcp_
max_syn_backlog lalu reboot smoothwall-nya.. Untuk mengetest silahkan di browser
client di isikan proxy secara manual dan dicoba untuk browsing.. Transparent pr
oxy.... Masukan rule ini melalui terminal mikrotik : /ip firewall nat add action
=dst-nat chain=dstnat comment="" disabled=no dst-port=80 \ in-interface=LAN prot
ocol=tcp src-address-list=LAN to-addresses=\ 192.168.10.2 to-ports=8080 ini untu
k membuat agar client tidak perlu memasukan secara manual setting port proxy ked
alam browsernya (transparent) dan memaksa semua trafik http (port 80) untuk di d
st-nat ke ip smoothwall (192.168.10.2 itu ip smoothwall, silahkan sesuaikan deng
an jaringan anda)
Load Balancing Dual DSL Speedy di Satu Router
Jumat, 7 September 2007M 24 Syaban 1428H •data recovery •Dating •Laura Ashley •HP Compaq
RAM Memory Upgrade •Psychic
Banyak pertanyaan dari teman-teman, terutama para operator warnet, admin jaringa
n sekolah/kampus dan korporasi tentang load balancing dua atau lebih koneksi int
ernet. Cara praktikal sebenarnya banyak dijumpai jika kita cari di internet,
namun banyak yang merasa kesulitan pada saat diintegrasikan. Penyebab utamanya a
dalah karena kurang mengerti konsep jaringan, baik di layer 2 atau di layer 3 pr
otokol TCP/IP. Dan umumnya dual koneksi, atau multihome lebih banyak diimplement
asikan dalam protokol BGP. Protokol routing kelas ISP ke atas, bukan protokol ya
ng dioprekoprek di warnet atau jaringan kecil. Berikut beberapa konsep dasar yan
g sering memusingkan: 1. Unicast Protokol dalam trafik internet yang terbanyak a
dalah TCP, sebuah komunikasi antar host di internet (praktiknya adalah client-se
rver, misal browser anda adalah client maka google adalah server). Trafik ini be
rsifat dua arah, client melakukan inisiasi koneksi dan server akan membalas inis
iasi koneksi tersebut, dan terjadilah TCP session (SYN dan ACK). 2. Destination-
address Dalam jaringan IP kita mengenal router, sebuah persimpangan antara netwo
rk address dengan network address yang lainnya. Makin menjauh dari pengguna pers
impangan itu sangat banyak, router-lah yang mengatur semua trafik tersebut. Jika
dianalogikan dengan persimpangan di jalan, maka rambu penunjuk jalan adalah rou
ting table. Penunjuk jalan atau routing table mengabaikan “anda datang dari mana”, c
ukup dengan “anda mau ke mana” dan anda akan diarahkan ke jalan tepat. Karena konsep
inilah saat kita memasang table routing cukup dengan dua parameter, yaitu netwo
rk address dan gateway saja. 3. Source-address Source-address adalah alamat IP k
ita saat melakukan koneksi, saat paket menuju ke internet paket akan melewati ro
uter-router ISP, upstream provider, backbone internet dst hingga sampai ke tujua
n (SYN). Selanjutnya server akan membalas koneksi (ACK) sebaliknya hingga kembal
i ke komputer kita. Saat server membalas koneksi namun ada gangguan saat menuju
network kita (atau ISPnya) maka komputer kita sama sekali tidak akan mendeteksi
adanya koneksi. Seolah-olah putus total, walaupun kemungkinan besar putusnya kon
eksi hanya satu arah. 4. Default gateway Saat sebuah router mempunyai beberapa i
nterface (seperti persimpangan, ada simpang tiga, simpang empat dan simpang lima
) maka tabel routing otomatis akan bertambah, namun default router atau default
gateway hanya bisa satu. Fungsinya adalah mengarahkan paket ke network address y
ang tidak ada dalam tabel routing (network address 0.0.0.0/0). 5. Dua koneksi Pe
rmasalahan umumnya muncul di sini, saat sebuah router mempunyai dua koneksi ke i
nternet (sama atau berbeda ISP-nya). Default gateway di router tetap hanya bisa
satu, ditambah pun yang bekerja tetap hanya satu. Jadi misal router NAT anda ter
hubung ke ISP A melalui interface A dan gateway A dan ke ISP B melalui interface
B dan gateway B, dan default gateway ke ISP A, maka trafik downlink hanya akan
datang dari ISP A saja. Begitu juga sebaliknya jika dipasang default gateway ke
ISP B. Bagaimana menyelesaikan permasalahan tersebut? Konsep utamanya adalah sou
rce-address routing. Source-address routing ibaratnya
anda dicegat di persimpangan oleh polisi dan polisi menanyakan “anda dari mana?” dan
anda akan ditunjukkan ke jalur yang tepat. Pada router NAT (atau router pada um
umnya), source-address secara default tidak dibaca, tidak dipertimbangkan. Jadi
pada kasus di atas karena default gateway ke ISP A maka NAT akan meneruskan pake
t sebagai paket yang pergi dari IP address interface A (yang otomatis akan menda
pat downlink dari ISP A ke interface A dan diteruskan ke jaringan dalam). Dalam
jaringan yang lebih besar (bukan NAT), source-address yang melewati network lain
disebut sebagai transit (di-handle dengan protokol BGP oleh ISP). Contoh prakti
s misalnya anda membeli bandwidth yang turun dari satelit melalui DVB, namun kon
eksi uplink menggunakan jalur terestrial (dial-up, leased-line atau fixed-wirele
ss). Dalam kasus ini paket inisiasi koneksi harus menjadi source-address network
downlink DVB, agar bandwidth downlink dari internet mengarah DVB receiver, buka
n ke jalur terestrial. Di lingkungan Linux, pengaturan source-address bisa dilak
ukan oleh iproute2. Iproute2 akan bekerja sebelum diteruskan ke table routing. M
isal kita mengatur dua segmen LAN internal agar satu segmen menjadi source-addre
ss A dan satu segmen lainnya menjadi source-address B, agar kedua koneksi ke ISP
terutilisasi bersamaan. Penerapan utilisasi dua koneksi tersebut bisa mengambil
tiga konsep, yaitu round-robin, loadbalance atau failover. 6. Round-robin Misal
kan anda mempunyai tiga koneksi internet di satu router NAT, koneksi pertama di
sebut Batman, koneksi kedua disebut Baskin dan koneksi ketiga disebut Williams,
maka konsep round-robin adalah sang Robin akan selalu berpindah-pindah secara be
rurutan mengambil source-address (bukan random). Misal ada satu TCP session dari
komputer di jaringan internal, maka koneksi TCP tersebut tetap di source-addres
s pertama hingga sesi TCP selesai (menjadi Batman & Robin). Saat TCP session Bat
man & Robin tersebut belum selesai, ada ada request koneksi baru dari jaringan,
maka sang Robin akan mengambil source-address koneksi berikutnya, menjadi Baskin
& Robin. Dan seterusnya sang Robin akan me-round-round setiap koneksi tanpa mem
perhatikan penuh atau tidaknya salah satu koneksi. Pasti anda sedang pusing memb
aca kalimat di atas, atau sedang tertawa terbahakbahak. 7. Loadbalance Konsep lo
adbalance mirip dengan konsep round-robin di atas, hanya saja sang Robin dipaksa
melihat utilisasi ketiga koneksi tersebut di atas. Misalkan koneksi Batman & Ro
bin serta Baskin & Robin sudah penuh, maka koneksi yang dipilih yang lebih koson
g, dan koneksi yang diambil menjadi Robin Williams. Request koneksi berikutnya k
embali sang Robin harus melihat dulu utilisasi koneksi yang ada, apakah ia harus
menjadi Batman & Robin, Baskin & Robin atau Robin Williams, agar semua utilisas
i koneksi seimbang, balance. 8. Failover Konsep fail-over bisa disebut sebagai b
ackup otomatis. Misalkan kapasitas link terbesar adalah link Batman, dan link Ba
skin lebih kecil. Kedua koneksi tersebut terpasang
online, namun koneksi tetap di satu link Batman & Robin, sehingga pada saat link
Batman jatuh koneksi akan berpindah otomatis ke link Baskin, menjadi Baskin & R
obin hingga link Batman up kembali. *makan es krim Haagendaz dulu* Tools NAT yan
g mempunyai ketiga fitur di atas adalah Packet Firewall (PF) di lingkungan BSD,
disebut dengan nat pool. Saya belum menemukan implementasi yang bagus (dan cukup
mudah) di Linux dengan iproute2. *Uraian panjang di atas hanyalah kata sambutan
sodara-sodara…* Berikut contoh implementasi load balance dua koneksi sesuai judul
di atas. Dijalankan di mesin OpenBSD sebagai NAT router dengan dua koneksi DSL
Telkom, interface ethernet sk0 dan sk1. 1. Aktifkan forwarding di /etc/sysctl.co
nf
net.inet.ip.forwarding=1
2. Pastikan konfigurasi interface dan default routing kosong, hanya filename saj
a
# /etc/hosts.sk0 # /etc/hosts.sk1 # /etc/hostname.sk0 # /etc/hostname.sk1 # /etc
/mygate
Script koneksi DSL Speedy, pppoe0 untuk koneksi pertama dan pppoe1 untuk koneksi
kedua. Sesuaikan interface, username dan passwordnya. Jangan lupa, gunakan inde
nt tab.
# /etc/ppp/ppp.conf default: set log Phase Chat LCP IPCP CCP tun command set red
ial 15 0 set reconnect 15 10000 pppoe0: set device "!/usr/sbin/pppoe -i sk0" dis
able acfcomp protocomp deny acfcomp set mtu max 1492 set mru max 1492 set crtsct
s off set speed sync enable lqr set lqrperiod 5 set cd 5 set dial set login set
timeout 0 set authname blahblahblah@telkom.net set authkey asaljangandejek add!
default HISADDR enable dns enable mssfixup
pppoe1: set device "!/usr/sbin/pppoe -i sk1" disable acfcomp protocomp deny acfc
omp set mtu max 1492 set mru max 1492 set crtscts off set speed sync enable lqr
set lqrperiod 5 set cd 5 set dial set login set timeout 0 set authname blahblahb
lah2@telkom.net set authkey vikingboneksamasaja add! default HISADDR enable dns
enable mssfixup
3. Aktifkan interface sk0 dan sk1
# ifconfig sk0 up # ifconfig sk1 up
4. Jalankan PPPoE, Point to Point Protocol over Ethernet.
# ppp -ddial pppoe0 # ppp -ddial pppoe1
5. Jika koneksi Speedy berhasil, IP address dari Speedy akan di-binding di inter
face tunneling tun0 dan tun1
# ifconfig tun0: flags=8051 mtu 1492 groups: tun egress inet 125.xxx.xxx.113 -->
125.163.72.1 netmask 0xffffffff tun1: flags=8051 mtu 1492 groups: tun inet 125.
xxx.xxx.114 --> 125.163.72.1 netmask 0xffffffff
6. Dan default gateway akan aktif
# netstat -nr |more Routing tables Internet: Destination Gateway default 125.163
.72.1
Flags UGS
Refs Use 7 17529
Mtu Interface - tun0
7. Serta konfigurasi resolver DNS pun akan terisi
# cat /etc/resolv.conf lookup file bind nameserver 202.134.2.5 nameserver 203.13
0.196.5
8. Aktifkan Packet Firewall pf
# /etc/rc.conf pf=”YES”
9. Script Packet Firewall NAT dan balancing dengan round-robin (ganti round-robi
n dengan loadbalance jika lebih sesuai dengan kebutuhan anda). Baris yang di-ind
ent masih termasuk baris di atasnya. Entah kenapa tag <pre> malah menghilangkan
karakter backslash (\).
# /etc/pf.conf lan_net = "10.0.0.0/8" int_if = "vr0" ext_if1 = "tun0" ext_if2 =
"tun1" ext_gw1 = "125.163.72.1" ext_gw2 = "125.163.72.1" # scrub all scrub in al
l # nat outgoing connections on each internet interface nat on $ext_if1 from $la
n_net to any -> ($ext_if1) nat on $ext_if2 from $lan_net to any -> ($ext_if2) #
pass all outgoing packets on internal interface pass out on $int_if from any to
$lan_net # pass in quick any packets destined for the gateway itself pass in qui
ck on $int_if from $lan_net to $int_if # load balance outgoing tcp traffic from
internal network. pass in on $int_if route-to \ { ($ext_if1 $ext_gw1), ($ext_if2
$ext_gw2) } round-robin \ proto tcp from $lan_net to any flags S/SA modulate st
ate # load balance outgoing udp and icmp traffic from internal network pass in o
n $int_if route-to \ { ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto { udp, icmp } from $lan_net to any keep state # general "pass out" rules f
or external interfaces pass out on $ext_if1 proto tcp from any to any flags S/SA
modulate state pass out on $ext_if1 proto { udp, icmp } from any to any keep st
ate pass out on $ext_if2 proto tcp from any to any flags S/SA modulate state pas
s out on $ext_if2 proto { udp, icmp } from any to any keep state
10. Aktifkan script yang diperlukan di /etc/rc.local agar setiap reboot langsung
bekerja.
ifconfig sk0 up ifconfig sk1 up # aktifkan speedy ppp -ddial pppoe0 ppp -ddial p
ppoe1
PF akan langsung bekerja membaca /etc/pf.conf. Jika harus me-restart koneksi DSL
Speedy, pastikan pppoe dimatikan dulu
# pkill ppp
Jika tidak, maka ppp akan membuat tunneling baru menjadi tun2, tun3 dan seterusn
ya. 11. Untuk memantau fungsi nat pool round-robin di atas bekerja atau tidak, b
isa menggunakan tools pftop yang bisa diambil di http://www.eee.metu.edu.tr/~can
acar/pftop/
Jika anda mengoptimasikan koneksi jaringan juga dengan menggunakan proxy, misaln
ya Squid, maka proxy Squid jangan dipasang juga di mesin router NAT tersebut, se
bab saat Squid mengakses halaman web ke internet; oleh PF dianggap bukan sebagai
koneksi NAT, jadi tidak akan di-balance, dan akan stay mengambil interface utam
a dan default gateway pertama. Simpanlah mesin proxy/squid di belakang router NA
T, agar koneksi proxy ke internet menjadi trafik NAT yang akan di-balance oleh s
cript PF di atas.
Memisahkan Bandwidth Lokal dan International menggunakan Mikrotik
From SpeedyWiki
Jump to: navigation, search
Written by harijanto@datautama.net.id http://www.datautama.net.id Wednesday, 08
November 2006
Versi 3 Perubahan dari versi sebelumnya: 1.Proses mangle berdasarkan address-lis
t 2.Pemisahan traffic Indonesia dan overseas lebih akurat Semakin berkembangnya
konten Internet lokal di Indonesia telah memberikan peluang bisnis baru dalam in
dustri Internet di Indonesia. Saat ini banyak Internet Service Provider (ISP) ya
ng menawarkan paket bandwidth lokal atau IIX yang lebih besar dibandingkan bandw
idth Internet Internasional, hal ini seiring dengan semakin banyaknya pengelola
RT/RW-net yang mampu menyediakan layanan koneksi Internet yang lebih terjangkau
bagi lingkungan sekitarnya. Permasalahan umum yang terjadi pada jaringan RT/RW-n
et adalah masalah pengaturan bandwidth. Pada umumnya pengelola RT/RW-net akan ke
sulitan pada saat ingin memisahkan antara traffic lokal dengan traffic internasi
onal karena umumnya jaringan RT/RW-net hanya menggunakan static routing, berbeda
dengan ISP yang mampu membangun jaringan yang lebih komplek menggunakan protoco
l routing BGP sehingga ISP dapat dengan mudah memisahkan antara traffic local da
n internasional. Untuk memisahkan traffic lokal dengan traffic internasional ter
sebut RT/RW-net dapat dengan mudah menggunakan PC Router + Sistem Operasi Mikrot
ik, Mikrotik sebenarnya adalah linux yang sudah di buat sedemikian rupa oleh pen
gembangnya sehingga sangat mudah diinstall dan di konfigur dengan banyak sekali
fitur dan fungsi. Untuk lebih lanjut mengenai mikrotik dapat dilihat pada situs
webnya http://www.mikrotik.com atau http://www.mikrotik.co.id Berikut adalah sek
enario jaringan dengan Mikrotik sebagai router
Gambar 1. Skenario Jaringan Penjelasan: 1.Mikrotik Router dengan 2 Network Inter
face Card (NIC) Ether1 dan Ether3, dimana Ether1 adalah Ethernet yang terhubung
langsung ke ISP dan Ether3 adalah Ethernet yang terhubung langsung dengan jaring
an 192.168.2.0/24 2.Bandwidth dari ISP misalnya 256Kbps internasional dan 1024Kb
ps lokal IIX 3.Komputer 192.168.2.4 akan diberi alokasi bandwidth 128Kbps intern
asional dan 256Kbps lokal IIX Untuk memisahkan antara traffic lokal IIX dengan t
raffic internasional caranya adalah dengan menandai paket data yang menuju atau
berasal dari jaringan lokal IIX menggunakan mangle. Pertanyaannya bagaimana cara
nya Mikrotik bisa mengetahui paket tersebut menuju atau berasal dari jairngan lo
kal IIX? Jawabannya adalah dengan mengambil data dari http://lg.mohonmaaf.com ka
rena http://lg.mohonmaaf.com sudah tidak aktif maka data dapat diambil dari:
http://203.89.24.3/cgi-bin/lg.cgi
Pilih Query dengan men-cek-list BGP dan klik Submit
Gambar 2. Hasil Query http://lg.mohonmaaf.com untuk perintah “show ip bgp” Fungsi da
ri http://lg.mohonmaaf.com adalah sebagai fasilitas looking glass jaringan lokal
yang dikelola oleh PT. IDC , terima kasih kepada Bapak Johar Alam yang telah me
nyediakan layanan tersebut. Dari hasil query tersebut selanjutnya simpan sebagai
text files untuk selanjutnya dapat diolah dengan menggunakan spreadsheet contoh
nya Ms. Excel untuk mendapatkan
semua alamat Network yang diadvertise oleh router-router BGP ISP lokal Indonesia
pada BGP router IDC atau National Inter Connection Exchange (NICE). Pada penjel
asan versi-2 dokumen ini saya menggunakan teknik langsung memasukkan daftar ip b
lok ke /ip firewall mangle, dengan teknik ini saya harus memasukkan dua kali daf
tar ip yang didapat dari router NICE ke /ip firewall mangle. Cara lain yang lebi
h baik adalah dengan memasukkan daftar ip blok dari router NICE ke /ip firewall
address-list dengan demikian maka pada /ip firewall mangle hanya terdapat bebera
pa baris saja dan pemisahan traffic Indonesia dan overseas dapat lebih akurat ka
rena mangle dapat dilakukan berdasarkan address-list saja. Lebih jelasnya adalah
sbb: Selanjutnya buat script berikut untuk dapat diimport oleh router Mikrotik
/ ip firewall address-list add list=nice address=58.65.240.0/23 comment="" disab
led=no add list=nice address=58.65.242.0/23 comment="" disabled=no add list=nice
address=58.65.244.0/23 comment="" disabled=no add list=nice address=58.65.246.0
/23 comment="" disabled=no add list=nice address=58.145.174.0/24 comment="" disa
bled=no add list=nice address=58.147.184.0/24 comment="" disabled=no add list=ni
ce address=58.147.185.0/24 comment="" disabled=no dst…
untuk mendapatkan script diatas dapat melalui URL berikut:
http://www.datautama.net.id/harijanto/mikrotik/datautama-nice.php
URL diatas secara online akan melakukan query ke router NICE dari http://lg.moho
nmaaf.com CATATAN: Karena lg.mohonmaaf.com tidak dapat diakses maka utk daftar i
p local dapat di ambil dari
http://ixp.mikrotik.co.id/download/nice.rsc
atau dari
http://www.datautama.net.id/harijanto/mikrotik/datautama-nice.php
yang datanya dari looking glass DatautamaNet dari hasil URL diatas copy lalu pas
te ke mikrotik dengan menggunakan aplikasi putty.exe ssh ke ipmikrotik tersebut,
caranya setelah di copy teks hasil proses URL diatas lalu klik kanan mouse pada
jendela ssh putty yang sedang meremote mikrotik tersebut. Cara ini agak kurang
praktis tetapi karena jika script diatas dijadikan .rsc ternyata akan bermasalah
karena ada beberapa baris ip blok yang saling overlap sebagai contoh:
\... add address=222.124.64.0/23 list="nice" [datautama@router-01-jkt] > /ip fir
ewall address-list \ \... add address=222.124.64.0/21 list="nice" address ranges
may not overlap
dimana 222.124.64.0/21 adalah supernet dari 222.124.64.0/23 artinya diantara dua
blok ip tersebut saling overlap, sehingga pada saat proses import menggunakan f
ile .rsc akan selalu berhenti pada saat menemui situasi seperti ini. Sampai saat
ini saya belum menemukan cara yang praktis utk mengatasi hal tersebut diatas. K
alau saja kita bisa membuat address-list dari table prefix BGP yang dijalankan d
i mikrotik maka kita bisa mendapatkan address-list dengan lebih sempurna.
Selanjutnya pada /ip firewall mangle perlu dilakukan konfigurasi sbb:
/ ip firewall mangle add chain=forward src-address-list=nice action=mark-connect
ion \ new-connection-mark=mark-con-indonesia passthrough=yes comment="mark all \
indonesia source connection traffic" disabled=no add chain=forward dst-address-
list=nice action=mark-connection \ new-connection-mark=mark-con-indonesia passth
rough=yes comment="mark all \ indonesia destination connection traffic" disabled
=no add chain=forward src-address-list=!nice action=mark-connection \ new-connec
tion-mark=mark-con-overseas passthrough=yes comment="mark all \ overseas source
connection traffic" disabled=no add chain=forward dst-address-list=!nice action=
mark-connection \ new-connection-mark=mark-con-overseas passthrough=yes comment=
"mark all \ overseas destination connection traffic" disabled=no add chain=prero
uting connection-mark=mark-con-indonesia action=mark-packet \ new-packet-mark=in
donesia passthrough=yes comment="mark all indonesia \ traffic" disabled=no add c
hain=prerouting connection-mark=mark-con-overseas action=mark-packet \ new-packe
t-mark=overseas passthrough=yes comment="mark all overseas \ traffic" disabled=n
o
Langkah selanjutnya adalah mengatur bandwidth melalui queue simple, untuk mengat
ur bandwidth internasional 128Kbps dan bandwidth lokal IIX 256Kbps pada komputer
dengan IP 192.168.2.4 dapat dilakukan dengan contoh script sbb:
/ queue simple add name="harijant-indonesia" target-addresses=192.168.2.4/32 \ d
st-address=0.0.0.0/0 interface=all parent=none packet-marks=indonesia \ directio
n=both priority=8 queue=default/default limit-at=0/0 \ max-limit=256000/256000 t
otal-queue=default disabled=no add name="harijanto-overseas" target-addresses=19
2.168.2.4/32 \ dst-address=0.0.0.0/0 interface=all parent=none packet-marks=over
seas \ direction=both priority=8 queue=default/default limit-at=0/0 \ max-limit=
128000/128000 total-queue=default disabled=no
Script diatas berarti hanya komputer dengan IP 192.168.2.4 saja yang di batasi b
andwidthnya 128Kbps internasional (overseas) dan 256Kbps lokal IIX (indonesia) s
edangkan yang lainnya tidak dibatasi. Hasil dari script tersebut adalah sbb:
Gambar 3. simple queue untuk komputer 192.168.2.4 Dengan demikian maka komputer
192.168.2.4 hanya dapat mendownload atau mengupload sebesar 128Kbps untuk intern
asional dan 256Kbps untuk lokal IIX. Untuk mengujinya dapat menggunakan bandwidt
hmeter sbb:
Gambar 4. Hasil bandwidth meter komputer 192.168.2.4 ke lokal ISP
Gambar 5. Hasil bandwidth meter ke ISP internasional Dengan demikian berarti Mik
rotik telah berhasil mengatur pemakaian bandwidth internasional dan lokal IIX se
suai dengan yang diharapkan pada komputer 192.168.2.4. Pada penjelasan versi-3 i
ni proses mangle terhadap traffic “overseas” dapat lebih akurat karena menggunakan a
ddress-list dimana arti dari src-address=!nice adalah source address “bukan nice” da
n dst-address=!nice adalah destination address “bukan nice”. Sehingga demikian traff
ic “overseas” tidak akan salah identifikasi, sebelumnya pada penjelasan versi-2 traf
fic “overseas” bisa salah indentifikasi karena traffic “overseas” di definisikan sbb add
connection-mark=mark-con-indonesia action=mark-packet new-packetmark=indonesia
chain=prerouting comment="mark indonesia" add packetmark=!indonesia action=mark-
packet new-packet-mark=overseas chain=prerouting comment="mark all overseas traf
fic"
packet-mark=!indonesia artinya “packet-mark=bukan paket Indonesia”, padahal “bukan pak
et Indonesia” bisa saja paket lainnya yang telah didefinisikan sebelumnya sehingga
dapat menimbulkan salah identifikasi. Adapun teknik diatas telah di test pada r
outer mikrotik yang menjalankan NAT , jika router mikrotik tidak menjalankan NAT
coba rubah chain=prerouting menjadi chain=forward. Untuk lebih lanjut mengenai
pengaturan bandwidth pada Mikrotik dapat dilihat pada manual mikrotik yang dapat
didownload pada
http://www.mikrotik.com/docs/ros/2.9/RouterOS_Reference_Manual_v2.9.pdf
Script diatas dapat diimplementasikan pada Mikrotik Versi 2.9.27 , untuk versi m
ikrotik sebelumnya kemungkinan ada perbedaan perintah.
Load Balancing Sederhana Pakai Mikrotik
From SpeedyWiki
Jump to: navigation, search Sumber abdi_wae http://opensource.telkomspeedy.com/f
orum/viewtopic.php?pid=17386 mungkin bisa di load balancing aja pak - biar gampa
ng :
modem1 --+--- eth0 mikrotik --- eth2 LAN +--- eth1 modem2 ---
manualnya ada disini : http://www.mikrotik.com/testdocs/ros/2.9/ip/route.php
Load Balancing over Multiple Gateways
From MikroTik Wiki
Jump to: navigation, search The typical situation where you got one router and w
ant to connect to two ISPs:
Of course, you want to do load balancing! There are several ways how to do it. D
epending on the particular situation, you may find one best suited for you.
Policy Routing based on Client IP Address
If you have a number of hosts, you may group them by IP addresses. Then, dependi
ng on the source IP address, send the traffic out through Gateway #1 or #2. This
is not really the best approach, giving you perfect load balancing, but it's ea
sy to implement, and gives you some control too. Let us assume we use for our wo
rkstations IP addresses from network 192.168.100.0/24. The IP addresses are assi
gned as follows:
•192.168.100.1-127 are used for Group A workstations •192.168.100.128-253 are used f
or Group B workstations •192.168.100.254 is used for the router.
All workstations have IP configuration with the IP address from the relevant gro
up, they all have network mask 255.255.255.0, and 192.168.100.254 is the default
gateway for them. We will talk about DNS servers later. Now, when we have works
tations divided into groups, we can refer to them using subnet addressing:
•Group A is 192.168.100.0/25, i.e., addresses 192.168.100.0-127 •Group B is 192.168.
100.128/25, i.e., addresses 192.168.100.128-255 If you do not understand this, t
ake the TCP/IP Basics course, or, look for some resources about subnetting on th
e Internet!
We need to add two IP Firewall Mangle rules to mark the packets originated from
Group A or Group B workstations. For Group A, specify
•Chain prerouting and Src. Address 192.168.100.0/25 •Action mark routing and New Rou
ting Mark GroupA.
It is a good practice to add a comment as well. Your mangle rules might be inter
esting for someone else and for yourself as well after some time. For Group B, s
pecify
•Chain prerouting and Src. Address 192.168.100.128/25 •Action mark routing and New R
outing Mark GroupB
All IP traffic coming from workstations is marked with the routing marks GroupA
or GroupB. We can use these marks in the routing table. Next, we should specify
two default routes (destination 0.0.0.0/0) with appropriate routing marks and ga
teways:
This thing is not going to work, unless you do masquerading for your LAN! The si
mplest way to do it is by adding one NAT rule for Src. Address 192.168.100.0/24
and Action masquerade:
Test the setup by tracing the route to some IP address on the Internet! From a w
orkstation of Group A, it should go like this:
C:\>tracert -d 8.8.8.8 Tracing route to 8.8.8.8 over a maximum of 30 hops 1 2 ms
2 10 ms ... 2 ms 4 ms 2 ms 192.168.100.254 3 ms 10.1.0.1
From a workstation of Group B, it should go like this:
C:\>tracert -d 8.8.8.8 Tracing route to 8.8.8.8 over a maximum of 30 hops 1 2 ms
2 10 ms ... 2 ms 4 ms 2 ms 192.168.100.254 3 ms 10.5.8.1
You can specify the DNS server for workstations quite freely, j Articles
Load Balancing dan Fail Over [Group] pada Mikrotik
Pending Written on Aug-19-08 3:08pm/19/2008 8:08 GMT - Not yet published to a wi
kizine
From: mellasaeblog.blogspot.com
Load Balancing dan Fail Over [Group] pada Mikrotik
April 27th, 2008 by admin
Load Balancing dan Fail Over [Group] 2 Speedy [atau lebih ] dibawah ini akan di
bahas tekhnik load balance dan tekhnik fail over pada mikrotik router
Tutorial bisa di Download Disini
Seumpama kita mempunyai address seperti ini :
IP Modem satu adalah 192.168.110.1 dengan interface ”Wanatas” dan IP Modem yang satu
nya adalah 192.168.120.1 dengan interface ”Wantengah” sedangkan IP dari ”LAN” 172.10.12.
1 Sebelum kita menuju pengkonfigurasian Load Balancing kita susun dulu blok2 IP
yang akan digroup
Masuk ke IP >> Firewall Dan pilih tab Addess Lists dan Add
Seperti contoh diatas saya bikin Group A dan B dan dibawah adalah tampilan ketik
a tombol add di klik, dan isikan Name dengan nama group anda yang pertama, dan s
eterusnya.
Jika sudah menentuka blok IP berdasarkan group maka kita lanjut ke sesi berikutn
ya yaitu : Konfigurasi Mangle
Tetap pada Window Firewall tapi pindah ke Tab Mangel yang seperti saya lingkari
berwarna merah tersebut, setelah itu klik tombol Add yang saya lingkari dengan w
arna biru.
Maka akan muncul Window seperti dibawah ini :
Chain pilih prerouting kemudian pilih tab Advance Jika sudah pilih Src Address L
ist , jika kombo box belum muncul maka klik tombol panah yang sejajar dengan tex
t box dar src Address List hingga menjadi menghadap ke bawah Jika sudah maka pil
ih group A, dan begitu nanti untuk yang B. jika sudah di pilih group maka pindah
ke tab Action
Jika sudah pilih Tab Action maka akan muncul Window seperti di bawah ini :
Pilih action menjadi mark routing dan isikan New Routing Mark sesuai nama dari G
roup IP , seperti diatas kami memberi nama mrA. CTT : untuk Mangle yang group B
ulangi intruksi diatas lagi dengan nama yang berbeda dan pilih group yang berbed
a juga ^^ OK Sudah selesai …… Lanjut ke bagian Routing , Masuk ke menu
IP >> Route : maka akan muncul Window Route List
pilih Add dan akan muncul Window dibawah ini :
isikan gatheway dengan IP modem pertama , yaitu 192.168.110.1 kemudian agar Fail
Over maka Chek Gateway pilih ping dan Mark pilih mrA untuk Group A, begitupun n
anti untuk menambahkan gatheway untuk group B dan ketika menekan tombol Apply, p
astikan interface benar tertuju ke WANatas yaitu modem Pertama, dan begitupun un
tuk group B. Nah agar kedua gatheway ini berjalan lancar , maka perlu ditambahka
n gatheway priority. Caranya : sama seperti add gatheway seperti diatas, tetapi
kita akan mengisikan lebih dari satu gatheway pada satu list. Seperti gambar di
bawah ini :
agar dapat menambahkan lebih dari satu gatheway, klik panah yang mengarah kebawa
h
yang sejajar dengan text box dari Gathway. Jika sudah Setelah tekan Tombol Apply
pastikan Interfacenya benar seperti urutan dari pengisian Gatheway. Jika sudah
tekan OK Setelah kembali ke Route List periksa, jika salah satu List berwarna Bi
ru, maka Link dari modem tersebut sedang bermasalah atau tidak terkoneksi dengan
Internet. Periksa kembali jalur Internet dari jalur ke modem tersebut. Ok Segin
i ajah untuk LoadBalance mikrotik dari saya Semoga Berhasil Syamsy (Samson RtRwN
et)[Jaylangkung.com] rtrwnetmalang@yahoo.com