internet

robin di mikrotik

2008-09-02T23:39:00.000-07:00

Load Balancing Dual DSL Speedy di Satu Router

Jumat, 7 September 2007M
24 Syaban 1428H

* Cheap Laptops and more

Banyak pertanyaan dari teman-teman, terutama para operator warnet, admin jaringan sekolah/kampus dan korporasi tentang load balancing dua atau lebih koneksi internet. Cara praktikal sebenarnya banyak dijumpai jika kita cari di internet, namun banyak yang merasa kesulitan pada saat diintegrasikan. Penyebab utamanya adalah karena kurang mengerti konsep jaringan, baik di layer 2 atau di layer 3 protokol TCP/IP. Dan umumnya dual koneksi, atau multihome lebih banyak diimplementasikan dalam protokol BGP. Protokol routing kelas ISP ke atas, bukan protokol yang dioprek-oprek di warnet atau jaringan kecil.

Berikut beberapa konsep dasar yang sering memusingkan:

1. Unicast
Protokol dalam trafik internet yang terbanyak adalah TCP, sebuah komunikasi antar host di internet (praktiknya adalah client-server, misal browser anda adalah client maka google adalah server). Trafik ini bersifat dua arah, client melakukan inisiasi koneksi dan server akan membalas inisiasi koneksi tersebut, dan terjadilah TCP session (SYN dan ACK).

2. Destination-address
Dalam jaringan IP kita mengenal router, sebuah persimpangan antara network address dengan network address yang lainnya. Makin menjauh dari pengguna persimpangan itu sangat banyak, router-lah yang mengatur semua trafik tersebut. Jika dianalogikan dengan persimpangan di jalan, maka rambu penunjuk jalan adalah routing table. Penunjuk jalan atau routing table mengabaikan “anda datang dari mana”, cukup dengan “anda mau ke mana” dan anda akan diarahkan ke jalan tepat. Karena konsep inilah saat kita memasang table routing cukup dengan dua parameter, yaitu network address dan gateway saja.

3. Source-address
Source-address adalah alamat IP kita saat melakukan koneksi, saat paket menuju ke internet paket akan melewati router-router ISP, upstream provider, backbone internet dst hingga sampai ke tujuan (SYN). Selanjutnya server akan membalas koneksi (ACK) sebaliknya hingga kembali ke komputer kita. Saat server membalas koneksi namun ada gangguan saat menuju network kita (atau ISPnya) maka komputer kita sama sekali tidak akan mendeteksi adanya koneksi. Seolah-olah putus total, walaupun kemungkinan besar putusnya koneksi hanya satu arah.

4. Default gateway
Saat sebuah router mempunyai beberapa interface (seperti persimpangan, ada simpang tiga, simpang empat dan simpang lima) maka tabel routing otomatis akan bertambah, namun default router atau default gateway hanya bisa satu. Fungsinya adalah mengarahkan paket ke network address yang tidak ada dalam tabel routing (network address 0.0.0.0/0).

5. Dua koneksi
Permasalahan umumnya muncul di sini, saat sebuah router mempunyai dua koneksi ke internet (sama atau berbeda ISP-nya). Default gateway di router tetap hanya bisa satu, ditambah pun yang bekerja tetap hanya satu. Jadi misal router NAT anda terhubung ke ISP A melalui interface A dan gateway A dan ke ISP B melalui interface B dan gateway B, dan default gateway ke ISP A, maka trafik downlink hanya akan datang dari ISP A saja. Begitu juga sebaliknya jika dipasang default gateway ke ISP B.

Bagaimana menyelesaikan permasalahan tersebut?
Konsep utamanya adalah source-address routing. Source-address routing ibaratnya anda dicegat di persimpangan oleh polisi dan polisi menanyakan “anda dari mana?” dan anda akan ditunjukkan ke jalur yang tepat.

Pada router NAT (atau router pada umumnya), source-address secara default tidak dibaca, tidak dipertimbangkan. Jadi pada kasus di atas karena default gateway ke ISP A maka NAT akan meneruskan paket sebagai paket yang pergi dari IP address interface A (yang otomatis akan mendapat downlink dari ISP A ke interface A dan diteruskan ke jaringan dalam).

Dalam jaringan yang lebih besar (bukan NAT), source-address yang melewati network lain disebut sebagai transit (di-handle dengan protokol BGP oleh ISP). Contoh praktis misalnya anda membeli bandwidth yang turun dari satelit melalui DVB, namun koneksi uplink menggunakan jalur terestrial (dial-up, leased-line atau fixed-wireless). Dalam kasus ini paket inisiasi koneksi harus menjadi source-address network downlink DVB, agar bandwidth downlink dari internet mengarah DVB receiver, bukan ke jalur terestrial.

Di lingkungan Linux, pengaturan source-address bisa dilakukan oleh iproute2. Iproute2 akan bekerja sebelum diteruskan ke table routing. Misal kita mengatur dua segmen LAN internal agar satu segmen menjadi source-address A dan satu segmen lainnya menjadi source-address B, agar kedua koneksi ke ISP terutilisasi bersamaan.

Penerapan utilisasi dua koneksi tersebut bisa mengambil tiga konsep, yaitu round-robin, loadbalance atau failover.

6. Round-robin
Misalkan anda mempunyai tiga koneksi internet di satu router NAT, koneksi pertama di sebut Batman, koneksi kedua disebut Baskin dan koneksi ketiga disebut Williams, maka konsep round-robin adalah sang Robin akan selalu berpindah-pindah secara berurutan mengambil source-address (bukan random). Misal ada satu TCP session dari komputer di jaringan internal, maka koneksi TCP tersebut tetap di source-address pertama hingga sesi TCP selesai (menjadi Batman & Robin). Saat TCP session Batman & Robin tersebut belum selesai, ada ada request koneksi baru dari jaringan, maka sang Robin akan mengambil source-address koneksi berikutnya, menjadi Baskin & Robin. Dan seterusnya sang Robin akan me-round-round setiap koneksi tanpa memperhatikan penuh atau tidaknya salah satu koneksi.

Pasti anda sedang pusing membaca kalimat di atas, atau sedang tertawa terbahak-bahak.

7. Loadbalance
Konsep loadbalance mirip dengan konsep round-robin di atas, hanya saja sang Robin dipaksa melihat utilisasi ketiga koneksi tersebut di atas. Misalkan koneksi Batman & Robin serta Baskin & Robin sudah penuh, maka koneksi yang dipilih yang lebih kosong, dan koneksi yang diambil menjadi Robin Williams. Request koneksi berikutnya kembali sang Robin harus melihat dulu utilisasi koneksi yang ada, apakah ia harus menjadi Batman & Robin, Baskin & Robin atau Robin Williams, agar semua utilisasi koneksi seimbang, balance.

8. Failover
Konsep fail-over bisa disebut sebagai backup otomatis. Misalkan kapasitas link terbesar adalah link Batman, dan link Baskin lebih kecil. Kedua koneksi tersebut terpasang online, namun koneksi tetap di satu link Batman & Robin, sehingga pada saat link Batman jatuh koneksi akan berpindah otomatis ke link Baskin, menjadi Baskin & Robin hingga link Batman up kembali.

*makan es krim Haagendaz dulu*

Tools NAT yang mempunyai ketiga fitur di atas adalah Packet Firewall (PF) di lingkungan BSD, disebut dengan nat pool. Saya belum menemukan implementasi yang bagus (dan cukup mudah) di Linux dengan iproute2.

*Uraian panjang di atas hanyalah kata sambutan sodara-sodara…*

Berikut contoh implementasi load balance dua koneksi sesuai judul di atas. Dijalankan di mesin OpenBSD sebagai NAT router dengan dua koneksi DSL Telkom, interface ethernet sk0 dan sk1

Queue with Masquerading and Internal Web-Proxy

2008-08-19T01:14:00.001-07:00

Queue with Masquerading and Internal Web-Proxy

From MikroTik Wiki

Jump to: navigation, search

[hide]

[edit] Introduction

This page will tak about how to make QUEUE TREE in RouterOS that also running Web-Proxy and Masquerading. Several topics in forum say it's impossible to do.

In version 2.9.x, we can not know which traffic is HIT and which traffic is MISS from web-proxy. Several people want to make a configuration, to let cache data in proxy (HIT traffic) deliver in maximum possible speed. In other word, if we already have the requested data, those process will not queued.

In ver 3.0 we can do this, using TOS header modification in web-proxy feature. We can set any TOS value for the HIT traffic, and make it as parameter in mangle.

[edit] Basic Setup

First, let's set the basic setting first. I'm using a machine with 2 network interface:

admin@instaler] > in pr
#    NAME       TYPE    RX-RATE    TX-RATE    MTU
0  R public     ether   0          0          1500
1  R lan        wlan    0          0          1500

And this is the IP Address for each interface:

[admin@instaler] > ip ad pr
Flags: X - disabled, I - invalid, D - dynamic
#  ADDRESS           NETWORK      BROADCAST      INTERFACE
0  192.168.0.217/24  192.168.0.0  192.168.0.255  public 
1  172.21.1.1/24     172.21.1.0   172.21.1.255   lan

Don't forget to set the transparant web-proxy. We set cache-hit-dscp: 4.

[admin@instaler] > ip proxy pr
                  enabled: yes
              src-address: 0.0.0.0
                     port: 3128
             parent-proxy: 0.0.0.0
        parent-proxy-port: 0
              cache-drive: system
      cache-administrator: "webmaster"
           max-cache-size: none
            cache-on-disk: yes
maximal-client-connections: 600
maximal-server-connections: 600
           max-fresh-time: 3d
    serialize-connections: yes
           cache-hit-dscp: 4

[edit] Firewall NAT

Make 2 NAT rules, 1 for Masquerading, and the other for redirecting transparant proxy.

[admin@instaler] ip firewall nat> pr
Flags: X - disabled, I - invalid, D - dynamic
0   chain=srcnat out-interface=public
  src-address=172.21.1.0/24 action=masquerade
1   chain=dstnat in-interface=lan src-address=172.21.1.0/24
  protocol=tcp dst-port=80 action=redirect to-ports=3128

[edit] Mangle Setup

And now is the most important part in this case.

If we want to make HIT traffic from web proxy not queued, we have to make a mangle to handle this traffic. Put this rule on the beginning of the mangle, as it will check first.

[admin@instaler] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0   ;;; HIT TRAFFIC FROM PROXY
  chain=output out-interface=lan
  dscp=4 action=mark-packet
  new-packet-mark=proxy-hit passthrough=no

As we will make Queue for uplink and downlink traffic, we need 2 packet-mark. In this example, we use "test-up" for uplink traffic, and "test-down" for downlink traffic.

For uplink traffic, it's quite simple. We need only one rule, using SRC-ADDRESS and IN-INTERFACE parameters, and using PREROUTING chain. Rule number #1.

But for downlink, we have to make sevaral rules. As we use masquerading, we need Connection Mark, named as "test-conn". Rule no #2.

Then we have to make 2 more rules. First rule is for non-HTTP connection / direct connection. We use chain forward, as the data traveling through the router. Rule no #3.

The second rule is for data coming from web-proxy to the client (MISS traffic). We use OUTPUT chain, as the data coming from internal process in the router itself. Rule no #4.

For both rules (no #3 and #4) we named it "test-down".

Please be aware, we use passthrough only for connection mark (rule no #2).

[admin@instaler] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
1   ;;; UP TRAFFIC
  chain=prerouting in-interface=lan
  src-address=172.21.1.0/24 action=mark-packet
  new-packet-mark=test-up passthrough=no

2   ;;; CONN-MARK
  chain=forward src-address=172.21.1.0/24
  action=mark-connection
  new-connection-mark=test-conn passthrough=yes

3   ;;; DOWN-DIRECT CONNECTION
  chain=forward in-interface=public
  connection-mark=test-conn action=mark-packet
  new-packet-mark=test-down passthrough=no

4   ;;; DOWN-VIA PROXY
  chain=output out-interface=lan
  dst-address=172.21.1.0/24 action=mark-packet
  new-packet-mark=test-down passthrough=no

[edit] Queue Tree Setup

And now, the queue tree setting. We need one rule for downlink and one rule for uplink. Be careful when choosing the parent. for downlink traffic, we use parent "lan", the interface name for local network. And for uplink, we are using parent "global-in".

[admin@instaler] > queue tree pr
Flags: X - disabled, I - invalid
0   name="downstream" parent=lan packet-mark=test-down
  limit-at=32000 queue=default priority=8
  max-limit=32000 burst-limit=0
  burst-threshold=0 burst-time=0s

1   name="upstream" parent=global-in
  packet-mark=test-up limit-at=32000
  queue=default priority=8
  max-limit=32000 burst-limit=0
  burst-threshold=0 burst-time=0s

You can use those mangle also with PCQ.

Artikel Simple Queue, Memisah Bandwidth Lokal dan Internasional

2008-08-19T01:13:00.001-07:00

Artikel

Simple Queue, Memisah Bandwidth Lokal dan Internasional

Kategori: Fitur & Penggunaan

Selama mengelola Mikrotik Indonesia, banyak sekali muncul pertanyaan bagaimana cara melakukan pemisahan queue untuk trafik internet internasional dan trafik ke internet Indonesia (OpenIXP dan IIX). Di internet sebetulnya sudah ada beberapa website yang menampilkan cara pemisahan ini, tapi kami akan coba menampilkan kembali sesederhana mungkin supaya mudah diikuti.

Pada artikel ini, kami mengasumsikan bahwa:

Router Mikrotik melakukan Masquerading / src-nat untuk client. Client menggunakan IP privat.
Gateway yang digunakan hanya satu, baik untuk trafik internasional maupun IIX.
Anda bisa menggunakan web-proxy internal ataupun tanpa web-proxy. Jika Anda menggunakan web-proxy, maka ada beberapa tambahan rule yang perlu dilakukan. Perhatikan bagian NAT dan MANGLE pada contoh di bawah ini.

Jika ada parameter di atas yang berbeda dengan kondisi Anda di lapangan, maka konfigurasi yang ada di artikel ini harus Anda modifikasi sesuai dengan konfigurasi network Anda.

Pengaturan Dasar

Berikut ini adalah diagram network dan asumsi IP Address yang akan digunakan dalam contoh ini.

Untuk mempermudah pemberian contoh, kami mengupdate nama masing-masing interface sesuai dengan tugasnya masing-masing.

[admin@MikroTik] > /interface pr
Flags: X - disabled, D - dynamic, R - running
#    NAME            TYPE   RX-RATE  TX-RATE  MTU
0  R ether-public     ether  0        0        1500
1  R ether-local      ether  0        0        1500

Untuk klien, akan menggunakan blok IP 192.168.0.0/24, dan IP Address 192.168.0.1 difungsikan sebagai gateway dan dipasang pada router, interface ether-local. Klien dapat menggunakan IP Address 192.168.0-2 hingga 192.168.0.254 dengan subnet mask 255.255.255.0.

[admin@MikroTik] > /ip ad pr
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS         NETWORK     BROADCAST     INTERFACE
0 202.0.0.1/24    202.0.0.0   202.0.0.255   ether-public 
1 192.168.0.1/24  192.168.0.0 192.168.0.255 ether-local

Jangan lupa melakukan konfigurasi DNS server pada router, dan mengaktifkan fitur "allow remote request".

Karena klien menggunakan IP private, maka kita harus melakukan fungsi src-nat seperti contoh berikut.

[admin@MikroTik] > /ip fi nat pr
Flags: X - disabled, I - invalid, D - dynamic
0   chain=srcnat out-interface=ether-public
   action=masquerade

Jika Anda menggunakan web-proxy transparan, Anda perlu menambahkan rule nat redirect, seperti terlihat pada contoh di bawah ini (rule tambahan yang tercetak tebal).

[admin@MikroTik] > /ip fi nat pr
Flags: X - disabled, I - invalid, D - dynamic
0  chain=srcnat out-interface=ether-public
 action=masquerade
1  chain=dstnat in-interface=ether-local protocol=tcp
 dst-port=80 action=redirect to-ports=8080

Jangan lupa mengaktifkan fitur web-proxy, dan men-set port layanan web-proxynya, dan disesuaikan dengan port redirect pada contoh di atas.

CEK: Pastikan semua konfigurasi telah berfungsi baik. Lakukanlah ping (baik dari router maupun dari klien) ke luar network Anda secara bergantian.

Pengaturan IP Address List

Mulai Mikrotik RouterOS versi 2.9, dikenal dengan fitur yang disebut IP Address List. Fitur ini adalah pengelompokan IP Address tertentu dan setiap IP Address tersebut bisa kita namai. Kelompok ini bisa digunakan sebagai parameter dalam mangle, firewall filter, nat, ataupun queue.

Mikrotik Indonesia telah menyediakan daftar IP Address yang diadvertise di OpenIXP dan IIX, yang bisa didownload dengan bebas di URL: http://www.mikrotik.co.id/getfile.php?nf=nice.rsc

File nice.rsc ini dibuat secara otomatis di server Mikrotik Indonesia setiap pagi sekitar pk 05.30, dan merupakan data yang telah di optimasi untuk menghilangkan duplikat entry dan tumpang tindih subnet. Saat ini jumlah baris pada script tersebut berkisar 430 baris.

Contoh isi file nice.rsc :

# Script created by: Valens Riyadi @ www.mikrotik.co.id
# Generated at 26 April 2007 05:30:02 WIB ... 431 lines

/ip firewall address-list
add list=nice address="1.2.3.4"
rem [find list=nice]
add list=nice address="125.162.0.0/16"
add list=nice address="125.163.0.0/16"
add list=nice address="152.118.0.0/16"
add list=nice address="125.160.0.0/16"
add list=nice address="125.161.0.0/16"
add list=nice address="125.164.0.0/16"
.
.
dst...

Simpanlah file tersebut ke komputer Anda dengan nama nice.rsc, lalu lakukan FTP ke router Mikrotik, dan uploadlah file tersebut di router. Contoh di bawah ini adalah proses upload menggunakan MS-DOS prompt.

C:\>dir nice.*
Volume in drive C has no label.
Volume Serial Number is 5418-6EEF

Directory of C:\

04/26/2007  06:42p              17,523 nice.rsc
             1 File(s)         17,523 bytes
             0 Dir(s)  47,038,779,392 bytes free

C:\>ftp 192.168.0.1
Connected to 192.168.0.1.
220 R&D FTP server (MikroTik 2.9.39) ready
User (192.168.0.1:(none)): admin
331 Password required for admin
Password: ********
230 User admin logged in
ftp> ascii
200 Type set to A
ftp> put nice.rsc
200 PORT command successful
150 Opening ASCII mode data connection for '/nice.rsc'
226 ASCII transfer complete
ftp: 17523 bytes sent in 0.00Seconds 17523000.00Kbytes/sec.
ftp> bye
221 Closing

C:\>

Setelah file diupload, import-lah file tersebut.

[admin@MikroTik] > import nice.rsc
Opening script file nice.rsc
Script file loaded and executed successfully

Pastikan bahwa proses import telah berlangsung dengan sukses, dengan mengecek Address-List pada Menu IP - Firewall

Proses upload ini dapat juga dilakukan secara otomatis jika Anda memiliki pengetahuan scripting. Misalnya Anda membuat shell script pada Linux untuk melakukan download secara otomatis dan mengupload file secara otomatis setiap pk 06.00 pagi. Kemudian Anda tinggal membuat scheduler pada router untuk melakukan import file.

Jika Anda menggunakan RouterOS versi 3.x, proses update juga dapat dilakukan secara otomatis. Detailnya bisa dilihat pada artikel ini.

Pengaturan Mangle

Langkah selanjutnya adalah membuat mangle. Kita perlu membuat 1 buah connection mark dan 2 buah packet mark, masing-masing untuk trafik internasional dan lokal.

[admin@MikroTik] > /ip firewall mangle pr
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting in-interface=ether-local
dst-address-list=nice
action=mark-connection new-connection-mark=conn-iix
passthrough=yes

1 chain=prerouting connection-mark=conn-iix
action=mark-packet new-packet-mark=packet-iix
passthrough=no

2 chain=prerouting action=mark-packet
new-packet-mark=packet-intl passthrough=no

Untuk rule #0, pastikanlah bahwa Anda memilih interface yang mengarah ke client. Untuk chain, kita menggunakan prerouting, dan untuk kedua packet-mark, kita menggunakan passthrough=no.

Jika Anda menggunakan web-proxy internal dan melakukan redirecting trafic, maka Anda membuat 2 buah rule tambahan seperti contoh di bawah ini (rule tambahan yang tercetak tebal).

[admin@MikroTik] > /ip firewall mangle pr
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting in-interface=ether-local
dst-address-list=nice
action=mark-connection new-connection-mark=conn-iix
passthrough=yes

1 chain=prerouting connection-mark=conn-iix
action=mark-packet new-packet-mark=packet-iix
passthrough=no

2 chain=output connection-mark=conn-iix
action=mark-packet new-packet-mark=packet-iix
passthrough=no

3 chain=prerouting action=mark-packet
new-packet-mark=packet-intl passthrough=no

4 chain=output action=mark-packet
new-packet-mark=packet-intl passthrough=no

Pengaturan Simple Queue

Untuk setiap client, kita harus membuat 2 buah rule simple queue. Pada contoh berikut ini, kita akan melakukan limitasi untuk IP client 192.168.0.2/32, dan kita akan memberikan limitasi iix (up/down) sebesar 64k/256k, dan untuk internasional sebesar (up/down) 32k/128k.

[admin@MikroTik]> /queue simple pr
Flags: X - disabled, I - invalid, D - dynamic

0 name="client02-iix" target-addresses=192.168.0.2/32
dst-address=0.0.0.0/0 interface=all parent=none
packet-marks=packet-iix direction=both priority=8
queue=default-small/default-small limit-at=0/0
max-limit=64000/256000 total-queue=default-small

1 name="client02-intl" target-addresses=192.168.0.2/32
dst-address=0.0.0.0/0 interface=all parent=none
packet-marks=packet-intl direction=both priority=8
queue=default-small/default-small limit-at=0/0
max-limit=32000/128000 total-queue=default-small

Pengecekan Akhir

Setelah selesai, lakukanlah pengecekan dengan melakukan akses ke situs lokal maupun ke situs internasional, dan perhatikanlah counter baik pada firewall mangle maupun pada simple queue.

Anda juga dapat mengembangkan queue type menggunakan pcq sehingga trafik pada setiap client dapat tersebar secara merata.

Artikel BGP-Peer, Memisahkan Routing dan Bandwidth Management

2008-08-19T01:12:00.001-07:00

Artikel

BGP-Peer, Memisahkan Routing dan Bandwidth Management

Kategori: Fitur & Penggunaan

Dalam artikel ini, akan dibahas cara untuk melakukan BGP-Peer ke BGP Router Mikrotik Indonesia untuk melakukan pemisahan gateway untuk koneksi internet internasional dan OpenIXP (NICE). Setelah pemisahan koneksi ini dilakukan, selanjutnya akan dibuat queue untuk tiap klien, yang bisa membatasi penggunaan untuk bandwidth internasional dan OpenIXP (NICE).

Beberapa asumsi yang akan dipakai untuk kasus kali ini adalah :

Router memiliki 3 buah interface, yang masing-masing terhubung ke gateway internasional, gateway OpenIXP (NICE), dan ke network klien.
Untuk koneksi ke OpenIXP (NICE), router milik Anda harus memiliki IP publik.
Untuk klien, akan menggunakan IP private, sehingga akan dilakukan NAT (network address translation)
Mikrotik RouterOS Anda menggunakan versi 2.9.39 atau yang lebih baru, dan mengaktifkan paket routing-test

Jika Anda menghadapi kondisi yang tidak sesuai dengan parameter di atas, harus dilakukan penyesuaian.

PENGATURAN DASAR

Diagram network dan konfigurasi IP Address yang digunakan pada contoh ini adalah seperti gambar berikut ini.

Untuk mempermudah pemberian contoh, kami mengupdate nama masing-masing interface sesuai dengan tugasnya masing-masing.

[admin@MikroTik] > /in pr
Flags: X - disabled, D - dynamic, R - running
#    NAME            TYPE   RX-RATE  TX-RATE  MTU
0  R ether1-intl     ether  0        0        1500
1  R ether2-iix      ether  0        0        1500
2  R ether3-client   ether  0        0        1500

Konfigurasi IP Address sesuai dengan contoh berikut ini. Sesuaikanlah dengan IP Address yang Anda gunakan. Dalam contoh ini, IP Address yang terhubung ke OpenIXP (NICE) menggunakan IP 202.65.113.130/29, terpasang pada interface ether2-iix dan gatewaynya adalah 202.65.113.129. Sedangkan untuk koneksi ke internasional menggunakan IP Address 69.1.1.2/30 pada interface ether1-intl, dengan gateway 69.1.1.1.

Untuk klien, akan menggunakan blok IP 192.168.1.0/24, dan IP Address 192.168.1.1 difungsikan sebagai gateway dan dipasang pada ether3-client. Klien dapat menggunakan IP Address 192.168.1-2 hingga 192.168.1.254 dengan subnet mask 255.255.255.0.

Jangan lupa melakukan konfigurasi DNS server pada router, dan mengaktifkan fitur "allow remote request".

Karena klien menggunakan IP private, maka kita harus melakukan fungsi src-nat untuk kedua jalur gateway.

[admin@MikroTik] > /ip fi nat pr
Flags: X - disabled, I - invalid, D - dynamic
0   chain=srcnat out-interface=ether1-intl action=masquerade
1   chain=srcnat out-interface=ether2-iix action=masquerade

CEK: Pastikan semua konfigurasi telah berfungsi baik. Buatlah default route pada router secara bergantian ke IP gateway OpenIXP (NICE) dan internasional. Lakukanlah ping (baik dari router maupun dari klien) ke luar network Anda secara bergantian.

PENGATURAN BGP-PEER

Pertama-tama, pastikan bahwa Anda menggunakan gateway internasional Anda sebagai default route, dalam contoh ini adalah 69.1.1.1. Kemudian Anda perlu membuat sebuah static route ke mesin BGP Mikrotik Indonesia, yaitu IP 202.65.120.250.

Lalu periksalah apakah Anda bisa melakukan ping ke 202.65.120.250. Periksalah juga dengan traceroute dari router, apakah jalur pencapaian ke IP 202.65.120.250 telah melalui jalur koneksi yang diperuntukkan bagi trafik OpenIXP (NICE), dan bukan melalui jalur internasional.

Kemudian, Anda harus mendaftarkan IP Address Anda di website Mikrotik Indonesia untuk mengaktifkan layanan BGP-Peer ini. Aktivasi bisa dilakukan di halaman ini. IP Address yang bisa Anda daftarkan hanyalah IP Address yang bisa di-ping dari mesin kami, dan juga harus sudah diadvertise di OIXP. Aturan selengkapnya mengenai penggunaan layanan ini bisa dibaca di halaman ini. Setelah Anda mendaftarkan IP Address Anda, jika semua syarat sudah terpenuhi, Anda akan diinformasikan bahwa aktivasi layanan BGP-Peer Anda sudah sukses. Selanjutnya Anda bisa melihat status layanan BGP Anda di halaman ini.

BGP Router Mikrotik Indonesia akan menggunakan IP Address 202.65.120.250 dan AS Number 64888, dan Router Anda akan menjadi BGP Peer dengan menggunakan AS Number 64666.

Berikutnya adalah langkah-langkah yang harus Anda lakukan pada router Anda. Pertama-tama Anda harus membuat beberapa prefix-list untuk BGP ini. Untuk prefix yang akan Anda terima, untuk alasan keamanan dan hematnya agregasi routing, maka Anda perlu melakukan setting untuk menerima hanya prefix 8 hingga 24. Prefix 0 sampai 7, dan 25 sampai 32 akan Anda blok. Prefix ini kita berinama prefix-in. Untuk prefix-in yang accept, harap diperhatikan bahwa Anda perlu menentukan gateway untuk informasi routing ini, yaitu IP gateway OpenIXP (NICE) Anda. Dalam contoh ini adalah 202.65.113.129. Gantilah IP ini sesuai dengan gateway OpenIXP (NICE) Anda.

Sedangkan karena sifat BGP-Peer ini hanya Anda menerima informasi routing saja, di mana Anda tidak dapat melakukan advertisement, maka harus dilakukan blok untuk semua prefix yang dikirimkan, dan kita beri nama prefix-out.

Berikut ini adalah konfigurasi prefix list yang telah dibuat.

Tahap selanjutnya adalah konfigurasi BGP instance. Yang perlu di-set di sini hanyalah AS Number Anda, pada kasus ini kita menggunakan AS Number private, yaitu 64666.

Dan langkah terakhir pada konfigurasi BGP ini adalah konfigurasi peer. AS Number BGP Router Mikrotik Indonesia adalah 64888 dan IP Addressnya adalah 202.65.120.250. Karena kita sulit menentukan berapa hop jarak BGP Router Mikrotik Indonesia dengan Router Anda, maka kita melakukan konfigurasi TTL menjadi 255. Jangan lupa mengatur rule prefix-in dan prefix-out sesuai dengan prefix yang telah kita buat sebelumnya.

Setelah langkah ini, seharusnya BGP Router Mikrotik sudah dapat terkoneksi dengan Router Anda. Koneksi ini ditandai dengan status peer yang menjadi "established" dan akan dicantumkan pula jumlah informasi routing yang diterima. Anda juga bisa mengecek status peer ini dari sisi BGP Router Mikrotik Indonesia dengan melihat pada halaman ini.

Cek pula pada bagian IP Route, seharusnya sudah diterima ribuan informasi routing, dan pastikan bahwa gatewaynya sesuai dengan gateway OpenIXP (NICE) Anda, dan berada pada interface yang benar, dalam contoh ini adalah "ether2-iix".

Jika semua sudah berjalan, pastikan bahwa penggunaan 2 buah gateway ini sudah sukses dengan cara melakukan tracerute dari router ataupun dari laptop ke beberapa IP Address baik yang berada di internasional maupun yang berada di jaringan OpenIXP (NICE).

C:>tracert www.yahoo.com

Tracing route to www.yahoo-ht2.akadns.net
[209.131.36.158]
over a maximum of 30 hops:

1    <1 ms    <1 ms    <1 ms  192.168.1.1
2     1 ms    <1 ms    <1 ms  69.1.1.1
3   222 ms   223 ms   223 ms  157.130.195.13
4   222 ms   289 ms   222 ms  152.63.54.118
5   226 ms   242 ms  ^C

C:>tracert www.cbn.net.id

Tracing route to web.cbn.net.id [210.210.145.202]
over a maximum of 30 hops:

1    <1 ms    <1 ms    <1 ms  192.168.1.1
2     1 ms    <1 ms     1 ms  202.65.113.129
3    11 ms    12 ms   127 ms  218.100.27.218
4    21 ms    41 ms    21 ms  218.100.27.165
5    22 ms    24 ms  ^C

PENGATURAN BANDWIDTH MANAGEMENT

Setelah semua routing dan BGP Peer berjalan dengan baik, yang perlu kita lakukan sekarang adalah mengkonfigurasi bandwidth management. Untuk contoh ini kita akan menggunakan mangle dan queue tree.

Karena network klien menggunakan IP private, maka kita perlu melakukan connection tracking pada mangle. Pastikan bahwa Anda telah mengaktifkan connection tracking pada router Anda.

Untuk masing-masing trafik, lokal dan internasional, kita membuat sebuah rule mangle connection. Dari connection mark tersebut kemudian kita membuat packet-mark untuk masing-masing trafik.

[admin@MikroTik] > /ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0   chain=forward out-interface=ether1-intl
   src-address=192.168.1.2 action=mark-connection
   new-connection-mark=conn-intl
   passthrough=yes

1   chain=forward out-interface=ether2-iix
   src-address=192.168.1.2 action=mark-connection
   new-connection-mark=conn-nice
   passthrough=yes

2   chain=forward connection-mark=conn-intl
   action=mark-packet
   new-packet-mark=packet-intl passthrough=yes

3   chain=forward connection-mark=conn-nice
   action=mark-packet new-packet-mark=packet-nice
   passthrough=yes

Untuk setiap klien, Anda harus membuat rule seperti di atas, sesuai dengan IP Address yang digunakan oleh klien.

Langkah berikutnya adalah membuat queue tree rule. Kita akan membutuhkan 4 buah rule, untuk membedakan upstream / downstream untuk koneksi internasional dan lokal.

[admin@MikroTik] > queue tree print
Flags: X - disabled, I - invalid
0   name="intl-down" parent=ether3-client
   packet-mark=packet-intl limit-at=0
   queue=default priority=8 max-limit=128000
   burst-limit=0 burst-threshold=0 burst-time=0s

1   name="intl-up" parent=ether1-intl
   packet-mark=packet-intl limit-at=0
   queue=default priority=8 max-limit=32000
   burst-limit=0 burst-threshold=0 burst-time=0s

2   name="nice-up" parent=ether2-iix
   packet-mark=packet-nice limit-at=0
   queue=default priority=8 max-limit=256000
   burst-limit=0 burst-threshold=0 burst-time=0s

3   name="nice-down" parent=ether3-client
   packet-mark=packet-nice limit-at=0
   queue=default priority=8 max-limit=1024000
   burst-limit=0 burst-threshold=0 burst-time=0s

Besarnya limit-at / max-limit dan burst bisa Anda sesuaikan dengan layanan yang dibeli oleh klien.

Memisahkan Bandwidth Lokal dan International menggunakan Mikrotik

2008-08-19T01:10:00.001-07:00

Memisahkan Bandwidth Lokal dan International menggunakan Mikrotik

From SpeedyWiki

Jump to: navigation, search

Written by harijanto@datautama.net.id  
http://www.datautama.net.id
Wednesday, 08 November 2006

Versi 3

Perubahan dari versi sebelumnya:

Proses mangle berdasarkan address-list
Pemisahan traffic Indonesia dan overseas lebih akurat

Semakin berkembangnya konten Internet lokal di Indonesia telah memberikan peluang bisnis baru dalam industri Internet di Indonesia. Saat ini banyak Internet Service Provider (ISP) yang menawarkan paket bandwidth lokal atau IIX yang lebih besar dibandingkan bandwidth Internet Internasional, hal ini seiring dengan semakin banyaknya pengelola RT/RW-net yang mampu menyediakan layanan koneksi Internet yang lebih terjangkau bagi lingkungan sekitarnya.

Permasalahan umum yang terjadi pada jaringan RT/RW-net adalah masalah pengaturan bandwidth. Pada umumnya pengelola RT/RW-net akan kesulitan pada saat ingin memisahkan antara traffic lokal dengan traffic internasional karena umumnya jaringan RT/RW-net hanya menggunakan static routing, berbeda dengan ISP yang mampu membangun jaringan yang lebih komplek menggunakan protocol routing BGP sehingga ISP dapat dengan mudah memisahkan antara traffic local dan internasional.

Untuk memisahkan traffic lokal dengan traffic internasional tersebut RT/RW-net dapat dengan mudah menggunakan PC Router + Sistem Operasi Mikrotik, Mikrotik sebenarnya adalah linux yang sudah di buat sedemikian rupa oleh pengembangnya sehingga sangat mudah diinstall dan di konfigur dengan banyak sekali fitur dan fungsi. Untuk lebih lanjut mengenai mikrotik dapat dilihat pada situs webnya http://www.mikrotik.com atau http://www.mikrotik.co.id

Berikut adalah sekenario jaringan dengan Mikrotik sebagai router

Gambar 1. Skenario Jaringan

Penjelasan:

Mikrotik Router dengan 2 Network Interface Card (NIC) Ether1 dan Ether3, dimana Ether1 adalah Ethernet yang terhubung langsung ke ISP dan Ether3 adalah Ethernet yang terhubung langsung dengan jaringan 192.168.2.0/24
Bandwidth dari ISP misalnya 256Kbps internasional dan 1024Kbps lokal IIX
Komputer 192.168.2.4 akan diberi alokasi bandwidth 128Kbps internasional dan 256Kbps lokal IIX

Untuk memisahkan antara traffic lokal IIX dengan traffic internasional caranya adalah dengan menandai paket data yang menuju atau berasal dari jaringan lokal IIX menggunakan mangle. Pertanyaannya bagaimana caranya Mikrotik bisa mengetahui paket tersebut menuju atau berasal dari jairngan lokal IIX?

Jawabannya adalah dengan mengambil data dari http://lg.mohonmaaf.com

karena http://lg.mohonmaaf.com sudah tidak aktif maka data dapat diambil dari:

http://203.89.24.3/cgi-bin/lg.cgi

Pilih Query dengan men-cek-list BGP dan klik Submit

Gambar 2. Hasil Query http://lg.mohonmaaf.com untuk perintah “show ip bgp”

Fungsi dari http://lg.mohonmaaf.com adalah sebagai fasilitas looking glass jaringan lokal yang dikelola oleh PT. IDC , terima kasih kepada Bapak Johar Alam yang telah menyediakan layanan tersebut.

Dari hasil query tersebut selanjutnya simpan sebagai text files untuk selanjutnya dapat diolah dengan menggunakan spreadsheet contohnya Ms. Excel untuk mendapatkan semua alamat Network yang diadvertise oleh router-router BGP ISP lokal Indonesia pada BGP router IDC atau National Inter Connection Exchange (NICE).

Pada penjelasan versi-2 dokumen ini saya menggunakan teknik langsung memasukkan daftar ip blok ke /ip firewall mangle, dengan teknik ini saya harus memasukkan dua kali daftar ip yang didapat dari router NICE ke /ip firewall mangle.

Cara lain yang lebih baik adalah dengan memasukkan daftar ip blok dari router NICE ke /ip firewall address-list dengan demikian maka pada /ip firewall mangle hanya terdapat beberapa baris saja dan pemisahan traffic Indonesia dan overseas dapat lebih akurat karena mangle dapat dilakukan berdasarkan address-list saja.

Lebih jelasnya adalah sbb:

Selanjutnya buat script berikut untuk dapat diimport oleh router Mikrotik

/ ip firewall address-list
add list=nice address=58.65.240.0/23 comment="" disabled=no
add list=nice address=58.65.242.0/23 comment="" disabled=no
add list=nice address=58.65.244.0/23 comment="" disabled=no
add list=nice address=58.65.246.0/23 comment="" disabled=no
add list=nice address=58.145.174.0/24 comment="" disabled=no
add list=nice address=58.147.184.0/24 comment="" disabled=no
add list=nice address=58.147.185.0/24 comment="" disabled=no
dst…

untuk mendapatkan script diatas dapat melalui URL berikut:

http://www.datautama.net.id/harijanto/mikrotik/datautama-nice.php

URL diatas secara online akan melakukan query ke router NICE dari http://lg.mohonmaaf.com

CATATAN:

Karena lg.mohonmaaf.com tidak dapat diakses maka utk daftar ip local dapat di ambil dari

http://ixp.mikrotik.co.id/download/nice.rsc

atau dari

http://www.datautama.net.id/harijanto/mikrotik/datautama-nice.php

yang datanya dari looking glass DatautamaNet

dari hasil URL diatas copy lalu paste ke mikrotik dengan menggunakan aplikasi putty.exe ssh ke ipmikrotik tersebut, caranya setelah di copy teks hasil proses URL diatas lalu klik kanan mouse pada jendela ssh putty yang sedang meremote mikrotik tersebut. Cara ini agak kurang praktis tetapi karena jika script diatas dijadikan .rsc ternyata akan bermasalah karena ada beberapa baris ip blok yang saling overlap sebagai contoh:

\... add address=222.124.64.0/23 list="nice"
[datautama@router-01-jkt] > /ip firewall address-list \
\... add address=222.124.64.0/21 list="nice"
address ranges may not overlap

dimana 222.124.64.0/21 adalah supernet dari 222.124.64.0/23 artinya diantara dua blok ip tersebut saling overlap, sehingga pada saat proses import menggunakan file .rsc akan selalu berhenti pada saat menemui situasi seperti ini.

Sampai saat ini saya belum menemukan cara yang praktis utk mengatasi hal tersebut diatas. Kalau saja kita bisa membuat address-list dari table prefix BGP yang dijalankan di mikrotik maka kita bisa mendapatkan address-list dengan lebih sempurna.

Selanjutnya pada /ip firewall mangle perlu dilakukan konfigurasi sbb:

/ ip firewall mangle
add chain=forward src-address-list=nice action=mark-connection \
  new-connection-mark=mark-con-indonesia passthrough=yes comment="mark all \
  indonesia source connection traffic" disabled=no
add chain=forward dst-address-list=nice action=mark-connection \
  new-connection-mark=mark-con-indonesia passthrough=yes comment="mark all \
  indonesia destination connection traffic" disabled=no
add chain=forward src-address-list=!nice action=mark-connection \
  new-connection-mark=mark-con-overseas passthrough=yes comment="mark all \
  overseas source connection traffic" disabled=no
add chain=forward dst-address-list=!nice action=mark-connection \
  new-connection-mark=mark-con-overseas passthrough=yes comment="mark all \
  overseas destination connection traffic" disabled=no
add chain=prerouting connection-mark=mark-con-indonesia action=mark-packet \
  new-packet-mark=indonesia passthrough=yes comment="mark all indonesia \
  traffic" disabled=no
add chain=prerouting connection-mark=mark-con-overseas action=mark-packet \
  new-packet-mark=overseas passthrough=yes comment="mark all overseas \
  traffic" disabled=no

Langkah selanjutnya adalah mengatur bandwidth melalui queue simple, untuk mengatur bandwidth internasional 128Kbps dan bandwidth lokal IIX 256Kbps pada komputer dengan IP 192.168.2.4 dapat dilakukan dengan contoh script sbb:

/ queue simple
add name="harijant-indonesia" target-addresses=192.168.2.4/32 \
  dst-address=0.0.0.0/0 interface=all parent=none packet-marks=indonesia \
  direction=both priority=8 queue=default/default limit-at=0/0 \
  max-limit=256000/256000 total-queue=default disabled=no
add name="harijanto-overseas" target-addresses=192.168.2.4/32 \
  dst-address=0.0.0.0/0 interface=all parent=none packet-marks=overseas \
  direction=both priority=8 queue=default/default limit-at=0/0 \
  max-limit=128000/128000 total-queue=default disabled=no

Script diatas berarti hanya komputer dengan IP 192.168.2.4 saja yang di batasi bandwidthnya 128Kbps internasional (overseas) dan 256Kbps lokal IIX (indonesia) sedangkan yang lainnya tidak dibatasi.

Hasil dari script tersebut adalah sbb:

Gambar 3. simple queue untuk komputer 192.168.2.4

Dengan demikian maka komputer 192.168.2.4 hanya dapat mendownload atau mengupload sebesar 128Kbps untuk internasional dan 256Kbps untuk lokal IIX.

Untuk mengujinya dapat menggunakan bandwidthmeter sbb:

Gambar 4. Hasil bandwidth meter komputer 192.168.2.4 ke lokal ISP

Gambar 5. Hasil bandwidth meter ke ISP internasional

Dengan demikian berarti Mikrotik telah berhasil mengatur pemakaian bandwidth internasional dan lokal IIX sesuai dengan yang diharapkan pada komputer 192.168.2.4.

Pada penjelasan versi-3 ini proses mangle terhadap traffic “overseas” dapat lebih akurat karena menggunakan address-list dimana arti dari src-address=!nice adalah source address “bukan nice” dan dst-address=!nice adalah destination address “bukan nice”.

Sehingga demikian traffic “overseas” tidak akan salah identifikasi, sebelumnya pada penjelasan versi-2 traffic “overseas” bisa salah indentifikasi karena traffic “overseas” di definisikan sbb

add connection-mark=mark-con-indonesia action=mark-packet new-packet-mark=indonesia chain=prerouting comment="mark indonesia" add packet-mark=!indonesia action=mark-packet new-packet-mark=overseas chain=prerouting comment="mark all overseas traffic"

packet-mark=!indonesia artinya “packet-mark=bukan paket Indonesia”, padahal “bukan paket Indonesia” bisa saja paket lainnya yang telah didefinisikan sebelumnya sehingga dapat menimbulkan salah identifikasi.

Adapun teknik diatas telah di test pada router mikrotik yang menjalankan NAT , jika router mikrotik tidak menjalankan NAT coba rubah chain=prerouting menjadi chain=forward.

Untuk lebih lanjut mengenai pengaturan bandwidth pada Mikrotik dapat dilihat pada manual mikrotik yang dapat didownload pada

http://www.mikrotik.com/docs/ros/2.9/RouterOS_Reference_Manual_v2.9.pdf

Script diatas dapat diimplementasikan pada Mikrotik Versi 2.9.27 , untuk versi mikrotik sebelumnya kemungkinan ada perbedaan perintah.

Reference:

Selamat mencoba.

Load Balancing over Multiple Gateways

2008-08-19T01:09:00.001-07:00

Load Balancing over Multiple Gateways

From MikroTik Wiki

Jump to: navigation, search

The typical situation where you got one router and want to connect to two ISPs:

Of course, you want to do load balancing! There are several ways how to do it. Depending on the particular situation, you may find one best suited for you.

Policy Routing based on Client IP Address

If you have a number of hosts, you may group them by IP addresses. Then, depending on the source IP address, send the traffic out through Gateway #1 or #2. This is not really the best approach, giving you perfect load balancing, but it's easy to implement, and gives you some control too.

Let us assume we use for our workstations IP addresses from network 192.168.100.0/24. The IP addresses are assigned as follows:

192.168.100.1-127 are used for Group A workstations
192.168.100.128-253 are used for Group B workstations
192.168.100.254 is used for the router.

All workstations have IP configuration with the IP address from the relevant group, they all have network mask 255.255.255.0, and 192.168.100.254 is the default gateway for them. We will talk about DNS servers later.

Now, when we have workstations divided into groups, we can refer to them using subnet addressing:

Group A is 192.168.100.0/25, i.e., addresses 192.168.100.0-127
Group B is 192.168.100.128/25, i.e., addresses 192.168.100.128-255

If you do not understand this, take the TCP/IP Basics course,
or, look for some resources about subnetting on the Internet!

We need to add two IP Firewall Mangle rules to mark the packets originated from Group A or Group B workstations.

For Group A, specify

Chain prerouting and Src. Address 192.168.100.0/25
Action mark routing and New Routing Mark GroupA.

It is a good practice to add a comment as well. Your mangle rules might be interesting for someone else and for yourself as well after some time.

For Group B, specify

Chain prerouting and Src. Address 192.168.100.128/25
Action mark routing and New Routing Mark GroupB

All IP traffic coming from workstations is marked with the routing marks GroupA or GroupB. We can use these marks in the routing table.

Next, we should specify two default routes (destination 0.0.0.0/0) with appropriate routing marks and gateways:

This thing is not going to work, unless you do masquerading for your LAN! The simplest way to do it is by adding one NAT rule for Src. Address 192.168.100.0/24 and Action masquerade:

Test the setup by tracing the route to some IP address on the Internet!

From a workstation of Group A, it should go like this:

C:\>tracert -d 8.8.8.8

Tracing route to 8.8.8.8 over a maximum of 30 hops

1     2 ms     2 ms     2 ms  192.168.100.254
2    10 ms     4 ms     3 ms  10.1.0.1
...

From a workstation of Group B, it should go like this:

C:\>tracert -d 8.8.8.8

Tracing route to 8.8.8.8 over a maximum of 30 hops

1     2 ms     2 ms     2 ms  192.168.100.254
2    10 ms     4 ms     3 ms  10.5.8.1
...

You can specify the DNS server for workstations quite freely, j

Load Balancing dan Fail Over [Group] pada Mikrotik

2008-08-19T01:08:00.001-07:00

Load Balancing dan Fail Over [Group] pada Mikrotik

April 27th, 2008 by admin

Load Balancing dan Fail Over [Group]
2 Speedy [atau lebih ]
dibawah ini akan di bahas tekhnik load balance dan tekhnik fail over pada mikrotik router

Tutorial bisa di Download Disini

Seumpama kita mempunyai address seperti ini :

IP Modem satu adalah 192.168.110.1 dengan interface ”Wanatas” dan IP Modem yang satunya adalah 192.168.120.1 dengan interface ”Wantengah” sedangkan IP dari ”LAN” 172.10.12.1

Sebelum kita menuju pengkonfigurasian Load Balancing kita susun dulu blok2 IP yang akan digroup

Masuk ke IP >> Firewall
Dan pilih tab Addess Lists dan Add

Seperti contoh diatas saya bikin Group A dan B

dan dibawah adalah tampilan ketika tombol add di klik, dan isikan Name dengan nama group anda yang pertama, dan seterusnya.

Jika sudah menentuka blok IP berdasarkan group maka kita lanjut ke sesi berikutnya yaitu :

Konfigurasi Mangle

Tetap pada Window Firewall tapi pindah ke Tab Mangel yang seperti saya lingkari berwarna merah tersebut, setelah itu klik tombol Add yang saya lingkari dengan warna biru.

Maka akan muncul Window seperti dibawah ini :

Chain pilih prerouting kemudian pilih tab Advance
Jika sudah pilih
Src Address List , jika kombo box belum muncul maka klik tombol panah yang sejajar dengan text box dar src Address List hingga menjadi menghadap ke bawah
Jika sudah maka pilih group A, dan begitu nanti untuk yang B. jika sudah di pilih group maka pindah ke tab Action

Jika sudah pilih Tab Action maka akan muncul Window seperti di bawah ini :

Pilih action menjadi mark routing dan isikan New Routing Mark sesuai nama dari Group IP , seperti diatas kami memberi nama mrA.

CTT : untuk Mangle yang group B ulangi intruksi diatas lagi dengan nama yang berbeda dan pilih group yang berbeda juga ^^

OK Sudah selesai ……

Lanjut ke bagian Routing ,

Masuk ke menu

IP >> Route : maka akan muncul Window Route List

pilih Add
dan akan muncul Window dibawah ini :

isikan gatheway dengan IP modem pertama , yaitu 192.168.110.1 kemudian agar Fail Over maka Chek Gateway pilih ping dan Mark pilih mrA untuk Group A, begitupun nanti untuk menambahkan gatheway untuk group B dan ketika menekan tombol Apply, pastikan interface benar tertuju ke WANatas yaitu modem Pertama, dan begitupun untuk group B.
Nah agar kedua gatheway ini berjalan lancar , maka perlu ditambahkan gatheway priority.

Caranya : sama seperti add gatheway seperti diatas, tetapi kita akan mengisikan lebih dari satu gatheway pada satu list. Seperti gambar di bawah ini :

agar dapat menambahkan lebih dari satu gatheway, klik panah yang mengarah kebawah yang sejajar dengan text box dari Gathway. Jika sudah Setelah tekan Tombol Apply pastikan Interfacenya benar seperti urutan dari pengisian Gatheway.
Jika sudah tekan OK

Setelah kembali ke Route List periksa, jika salah satu List berwarna Biru, maka Link dari modem tersebut sedang bermasalah atau tidak terkoneksi dengan Internet. Periksa kembali jalur Internet dari jalur ke modem tersebut.

Segini ajah untuk LoadBalance mikrotik dari saya

Semoga Berhasil

Syamsy (Samson RtRwNet)[Jaylangkung.com]
rtrwnetmalang@yahoo.com

Menggabungkan 2 Line Speedy Menjadi Satu

2008-08-19T01:07:00.001-07:00

Menggabungkan 2 Line Speedy Menjadi Satu

From SpeedyWiki

Jump to: navigation, search

Sumber: monoxs http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=16224#p16224

ini pakai mikrotik loo

dan kebetulan tutornya dapat dari forum sebelah. Mau bagi bagi disini kalau boleh.

/ip address
add address=192.168.10.22/24 network=192.168.10.0 broadcast=192.168.10.255 interface=lan comment="" disabled=no
add address=192.168.1.3/24 network=192.168.1.0 broadcast=192.168.255 interface=speedy1 comment="" disabled=no
add address=192.168.2.11/24 network=192.168.2.0 broadcast=192.168.2.255 interface=speedy2 comment="" disabled=no

/ip firewall mangle
add chain=prerouting in-interface=lan connection-state=new nth=1,2,0 action=mark-connection new-connection-mark=satu passthrough=yes comment="" disabled=no
add chain=prerouting in-interface=lan connection-mark=satu action=mark-routing new-routing-mark=satu passthrough=no comment="" disabled=no
add chain=prerouting in-interface=lan connection-state=new nth=1,2,1 action=mark-connection new-connection-mark=dua passthrough=yes comment="" disabled=no
add chain=prerouting in-interface=lan connection-mark=dua action=mark-routing new-routing-mark=dua passthrough=no comment="" disabled=no

/ip firewall nat
add chain=srcnat connection-mark=satu action=src-nat to-addresses=192.168.1.3 to-ports=0-65535 comment="" disabled=no
add chain=srcnat connection-mark=dua action=src-nat to-addresses=192.168.2.11 to-ports=0-65535 comment="" disabled=no

/ ip route
add dst-address=0.0.0.0/0 gateway=192.168.1.1 scope=255 target-scope=10 routing-mark=satu comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=192.168.2.2 scope=255 target-scope=10 routing-mark=dua comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=192.168.2.2 scope=255 target-scope=10 comment="" disabled=no <<-- ini default route nya

mudah mudahan bermanfaat

Load Balancing Sederhana Pakai Mikrotik

2008-08-19T01:06:00.002-07:00

Load Balancing Sederhana Pakai Mikrotik

From SpeedyWiki

Jump to: navigation, search

Sumber abdi_wae http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=17386

mungkin bisa di load balancing aja pak - biar gampang :

modem1 ---
                +--- eth0 mikrotik --- eth2 LAN
                +--- eth1
modem2 ---

manualnya ada disini : http://www.mikrotik.com/testdocs/ros/2.9/ip/route.php

Mikrotik - menggunakan Squid sebagai Web Proxy sehingga lebih optimal

2008-08-19T01:06:00.001-07:00

Mikrotik - menggunakan Squid sebagai Web Proxy sehingga lebih optimal

From SpeedyWiki

Jump to: navigation, search

Sumber AdeldiaN http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=18262

untuk lebih mudah saya menggunakan 2 virtual server, yaitu : 1. IP Mikrotik:

     - 192.168.10.15 = local
   - 192.168.12.15 = proxy
   - 192.168.5.181 = public/ke modem speedy

2. IP squid (pakai IPCop)

    - 192.168.12.1 = ip green(procy)

3. IP Client: 192.168.10.0/24

ok di ipcop disetting dulu bahwa web proxynya jalan di port 878 <= terserah anda aktifkan cachenya misal 15M atau 15000 <= untuk testing

sekarang kita masuk ke mikrotiknya:

/ ip address
add address=192.168.5.181/24 network=192.168.5.0 broadcast=192.168.5.255 \
  interface=Public comment="" disabled=no
add address=192.168.10.15/24 network=192.168.10.0 broadcast=192.168.10.255 \
  interface=Lan comment="" disabled=no
add address=192.168.12.15/24 network=192.168.12.0 broadcast=192.168.12.255 \
  interface=Proxy comment="" disabled=no

setting route:

/ ip route
add dst-address=0.0.0.0/0 gateway=192.168.5.15 scope=255 target-scope=10 \
  comment="" disabled=no

setting dns:

/ ip dns
set primary-dns=192.168.5.182 secondary-dns=192.168.5.205 \
  allow-remote-requests=no cache-size=2048KiB cache-max-ttl=1w
/ ip dns static
add name="192.168.5.3" address=192.168.5.3 ttl=1d

setting nat:

/ ip firewall nat
add chain=dstnat protocol=tcp dst-port=81 action=dst-nat \
 to-addresses=192.168.12.1 to-ports=81 comment="Untuk IP Cop" disabled=no
add chain=dstnat protocol=tcp dst-port=445 action=dst-nat \
 to-addresses=192.168.12.1 to-ports=445 comment="Untuk HTTPS IPCOP" \
 disabled=no
add chain=dstnat src-address=!192.168.12.0/24 protocol=tcp dst-port=80 \
 action=dst-nat to-addresses=192.168.12.1 to-ports=878 comment="" disabled=no
add chain=dstnat src-address=!192.168.12.0/24 protocol=tcp dst-port=443 \
 action=dst-nat to-addresses=192.168.12.1 to-ports=878 comment="" \
 disabled=no
add chain=srcnat out-interface=Public action=masquerade comment="" disabled=no

Nat kemaren salah paste, mohon maaf ya

nah terus ini yang paling penting, setting manggle:

/ ip firewall mangle
add chain=forward content="X-Cache: HIT" action=mark-connection \
  new-connection-mark=squid_con passthrough=yes comment="" disabled=no
add chain=forward connection-mark=squid_con action=mark-packet \
  new-packet-mark=squid_pkt passthrough=no comment="" disabled=no
add chain=forward connection-mark=!squid_con action=mark-connection \
  new-connection-mark=all_con passthrough=yes comment="" disabled=no
add chain=forward protocol=tcp src-port=80 connection-mark=all_con \
  action=mark-packet new-packet-mark=http_pkt passthrough=no comment="" \
  disabled=no
add chain=forward protocol=icmp connection-mark=all_con action=mark-packet \
  new-packet-mark=icmp_pkt passthrough=no comment="" disabled=no
add chain=forward protocol=tcp dst-port=1973 connection-mark=all_con \
  action=mark-packet new-packet-mark=top_pkt passthrough=no comment="" \
  disabled=no
add chain=forward connection-mark=all_con action=mark-packet \
  new-packet-mark=test_pkt passthrough=no comment="" disabled=no

terus queue :

/ queue simple
add name="Squid_HIT" dst-address=0.0.0.0/0 interface=all parent=none \
  packet-marks=squid_pkt direction=both priority=8 \
  queue=default-small/default-small limit-at=0/0 max-limit=0/0 \
  total-queue=default-small disabled=no
add name="Main_Link" dst-address=0.0.0.0/0 interface=all parent=none \
  direction=both priority=8 queue=default-small/default-small limit-at=0/0 \
  max-limit=35000/256000 total-queue=default-small disabled=no
add name="game_tales_of_pirate" dst-address=0.0.0.0/0 interface=all \
  parent=none packet-marks=top_pkt direction=both priority=1 \
  queue=default-small/default-small limit-at=0/0 max-limit=0/0 \
  total-queue=default-small disabled=no
add name="Ping_queue" dst-address=0.0.0.0/0 interface=all parent=none \
  packet-marks=icmp_pkt direction=both priority=2 \
  queue=default-small/default-small limit-at=0/0 max-limit=0/0 \
  total-queue=default-small disabled=no
add name="The_other_port_queue" target-addresses=192.168.12.0/24 \
  dst-address=0.0.0.0/0 interface=all parent=Main_Link packet-marks=http_pkt \
  direction=both priority=8 queue=default-small/default-small \
  limit-at=5000/5000 max-limit=50000/256000 total-queue=default-small \
  disabled=no
add name="another_port" target-addresses=192.168.10.0/24 dst-address=0.0.0.0/0 \
  interface=all parent=Main_Link packet-marks=test_pkt direction=both \
  priority=8 queue=default-small/default-small limit-at=0/0 \
  max-limit=0/256000 total-queue=default-small disabled=no

hasilnya: pertama mencache:

kedua hasil cachenya:

semoga membantu teman-teman sekalian

Contoh Desain Jaringan Internet untuk Pelanggan ISP

2008-08-19T01:04:00.000-07:00

Contoh Desain Jaringan Internet untuk Pelanggan ISP

From SpeedyWiki

Jump to: navigation, search

Written by harijanto@datautama.net.id
http://www.datautama.net.id
Friday, 03 November 2006

Akses Internet semakin banyak di butuhkan oleh berbagai pihak, baik untuk kantor, warnet, game online, sekolah, kampus bahkan dirumah.

Untuk lebih memudahkan pelanggan dalam mengimplementasikan jaringan Internet di lingkungannya berikut adalah beberapa contoh umum yang dapat digunakan dalam merancang jaringan komputer berbasis TCP/IP.

[hide]

[edit] Contoh 1

Akses Internet melalui:

Wireless LAN (WLAN) / Leased line

Implementasi untuk:

SOHO = Small Office Home Office atau UKM = Usaha Kecil Menengah
Kantor Cabang
Sekolah
Warung Internet atau Game Online

Aplikasi untuk:

Browsing Internet
Chatting
Download / Upload
VoIP = Voice Over Internet Protocol
Game online

Keterangan:

Jika diperlukan adanya server yang dapat diakses dari Internet yang terpisah dengan PC Router dapat menggunakan teknik Port Forwarding.

Gambar 1. Jaringan Internet Sederhana menggunakan WLAN

[edit] Contoh 2

Akses Internet melalui:

Wireless LAN (WLAN)

Implementasi untuk:

SOHO = Small Office Home Office atau UKM = Usaha Kecil Menengah
Kantor Cabang
Sekolah
Warung Internet atau Game Online

Aplikasi untuk:

Browsing Internet
Chatting
Download / Upload
VoIP = Voice Over Internet Protocol
Game online

Keterangan:

Terdapat DMZ = De Military Zone untuk sistem keamanan Server
Dapat menambahkan 1 Server yang dapat diakses dari Internet
Membutuhkan 4 IP Public = 1 IP Public untuk server yang dapat diakses langsung dari Internet, 1 IP Public sebagai gateway dari server yang ada, 1 IP Public sebagai Network Address, 1 IP Public sebagai Broadcast Address.

Gambar 2. Jaringan Internet dengan DMZ menggunakan WLAN

[edit] Contoh 3

Akses Internet melalui:

Wireless LAN (WLAN)

Implementasi untuk:

Perusahaan menengah
Kantor Pusat
Kampus

Aplikasi untuk:

Browsing Internet
Chatting
Download / Upload
VoIP = Voice Over Internet Protocol
Application Server

Keterangan:

Memerlukan alokasi /29 dengan 8 IP Public = 5 IP Public untuk server yang dapat diakses langsung dari Internet, 1 IP Public sebagai gateway dari server yang ada, 1 IP Public sebagai Network Address, 1 IP Public sebagai Broadcast Address.
Memiliki Netname sendiri yang dapat di whois dari Internet.
Membutuhkan Network/System Administrator.

Gambar 3. Jaringan Internet dengan alokasi /29 menggunakan WLAN

[edit] Contoh 4

Akses Internet melalui:

ADSL

Implementasi untuk:

SOHO = Small Office Home Office atau UKM = Usaha Kecil Menengah
Kantor Cabang
Sekolah
Warung Internet atau Game Online

Aplikasi untuk:

Browsing Internet
Chatting
Download / Upload
VoIP = Voice Over Internet Protocol
Game online

Keterangan:

Jika diperlukan adanya server yang dapat diakses dari Internet yang terpisah dengan PC Router dapat menggunakan teknik Port Forwarding, tetapi perlu diketahui teknologi ADSL tidak cocok untuk menempatkan web server di dalam jaringan karena sifatnya yang Asymmetric dimana Downstream biasanya besar tetapi Upstream kecil.

Gambar 4.Jaringan Internet Sederhana Menggunakan ADSL menggunakan modem eksternal

[edit] Contoh 5

Akses Internet melalui:

ADSL

Implementasi untuk:

SOHO = Small Office Home Office atau UKM = Usaha Kecil Menengah
Kantor Cabang
Sekolah
Warung Internet atau Game Online

Aplikasi untuk:

Browsing Internet
Chatting
Download / Upload
VoIP = Voice Over Internet Protocol
Game online

Keterangan:

Jika diperlukan adanya server yang dapat diakses dari Internet yang terpisah dengan PC Router dapat menggunakan teknik Port Forwarding, tetapi perlu diketahui teknologi ADSL tidak cocok untuk menempatkan web server di dalam jaringan karena sifatnya yang Asymmetric dimana Downstream biasanya besar tetapi Upstream kecil.

Gambar 5. Jaringan Internet Sederhana Menggunakan ADSL menggunakan modem internal/USB

[edit] Contoh 6

Akses Internet melalui:

ADSL

Implementasi untuk:

SOHO = Small Office Home Office atau UKM = Usaha Kecil Menengah
Kantor Cabang
Personal

Aplikasi untuk:

Browsing Internet
Chatting
Download / Upload
VoIP = Voice Over Internet Protocol
Game online

Gambar 6. Jaringan Internet Personal menggunakan ADSL

[edit] Contoh 7

Akses Internet melalui:

Wireless LAN (WLAN), ADSL, Fiber Optic, Leased Line dll.

Implementasi untuk:

APARTEMENT
Gedung Perkantoran

Aplikasi untuk:

Browsing Internet
Chatting
Download / Upload
VoIP = Voice Over Internet Protocol
Game Online

Keterangan:

Akses Internet melalui infrastruktur kabel telepon gedung , dimana Internet di tumpangkan pada kabel telepon yang ada di Apartment atau gedung perkantoran.
Pelanggan cukup menggunakan Home PNA Adaptor atau ADSL modem biasa sebagai pengganti modem.

Gambar 7. Jaringan Internet menggunakan Home PNA

[edit] Pranala Menarik

Retrieved from "http://125.160.17.21/wiki/index.php/Contoh_Desain_Jaringan_Internet_untuk_Pelanggan_ISP"

Views

Personal tools

Navigation

Main Page

Konfigurasi Mikrotik pada PC router untuk gateway internet

2008-08-19T01:03:00.000-07:00

Konfigurasi Mikrotik pada PC router untuk gateway internet

From SpeedyWiki

Jump to: navigation, search

Konfigurasi Mikrotik Router OS 2.9.27 pada PC router kostnet Sebagai Firewall bridge dan Router server

[hide]

[edit] Instalasi Sistem Operasi

Pada saat booting masuk ke setting BIOS. Kemudian pada setting boot sequences pilih pada first boot pada CD-ROM dan second pada IDE-0 [hdd]. Save settings kemudian restart [pastikan CD installer Mikrotik sudah ada di CD-ROM]. Booting dengan CD.

Saat booting kemudian masuk ke pilihan paket yg dapat diinstall.

Ilustrasinya sebagai berikut :

Welcome to MikroTik Router Software installation

Move around menu using 'p' and 'n' or arrow keys, select with 'spacebar'.
Select all with 'a', minimum with 'm'. Press 'i' to install locally or 'r' to
install remote router or 'q' to cancel and reboot.

[X] system                       [ ] isdn                             [ ] synchronous
[X] ppp                          [ ] lcd                              [ ] telephony
[X] dhcp                         [ ] ntp                              [ ] ups
[X] advanced-tools               [ ] radiolan                         [X] web-proxy
[ ] arlan                        [ ] routerboard                      [ ] wireless
[ ] gps                          [X] routing
[X] hotspot                      [X] security

untuk memilih paket tekan spasi pada saat menyorot.

Anda akan ditanyakan 2 hal :

Warning: all data on the disk will be erased!
Continue? [y/n]
[tekan Y]

Press [Y] to continue or [N] to abort the installation.
Do you want to keep old configuration? [y/n]:
[tekan Y]

You should choose whether you want to keep old configuration (press [Y])
or to erase the configuration permanently (press [N]) and continue without saving it.
For a fresh installation, press [N].
[ tekan Y jika ingin konfigurasi awal disimpan tekan N untuk fresh Install,disini saya lebih memilih N]

Creating partition...
Formatting disk...

The system will install selected packages.
After that you will be prompted to press 'Enter'.
Before doing that, remove the CD from your CD-Drive:

Software installed.
Press ENTER to reboot

[edit] Konfigurasi User

Setelah reboot kita bisa login. Gunakan nama : ADMIN dengan password : . Setelah masuk kita buat User Baru untuk menggantikan user admin.

[admin@mikrotik] > user add
Name : [isi nama user] 
Group : full

Pilihan Group yang ada

full untuk admin
read untuk guest

Selanjutnya membuat password :

[admin@mikrotik] > user print

Akan tercetak daftar user

[admin@mikrotik] > user edit
number : 1 [ sesuai nomor urut user anda]
value-name : pass

ketikkan password anda, kemudian tekan ctrl+O kemudian disable user admin.

[admin@mikrotik] > user disable admin

untuk memeriksa apakah sudah disable ketik

[admin@mikrotik] >user pr

Jika user admin terdapat tanda X disebelah kiri maka sudah ter-disable.

[edit] Konfigurasi Interface

Selanjutnya, kita set interface :

Pertama kita check dulu interface terpasang.

[admin@mikrotik] > interface print

Untuk memudahkan dalam konfigurasi kita berikan nama unik untuk interface2 yg kita gunakan.

[admin@mikrotik] > interface edit
Number : 1
Value name : name

Ganti ether2 dengan eth2-lokal [ ini untuk interface ke local client 192.168.0.0/16]

Tekan Ctrl+O

kemudian lakukan langkah yg sama untuk ether3 dan 4 dengan nama eth3-ADSL [ke ADSL] dan eth4-servers[ke switch PC server].

Kemudian buat satu interface bridge baru [sebagai bridge IP public]

/interface bridge add name=serverbridge disabled=no
/interface bridge port add interface=eth3-ADSL bridge=serverbridge
/interface bridge port add interface=eth4-servers bridge=serverbridge

[edit] Pemberian IP Address

Ip address kita berikan pada interface gateway local dan bridge. Pemberian ip pada bridge interface tidak mutlak, pemberian ip ini hanya untukmemudahkan remote access dari luar.

/ip address print
/ip address add address=172.168.0.3/40 interface=serverbridge disabled=no
/ip address print
/ip address add address=192.168.0.254/16 interface=eth2-lokal disabled=no
/ip address print

Selanjutnya kita setting default gateway kita.

/ip route add gateway=172.168.0.3
/ip route print

Kemudian kita test ping ke gateway

/ping 222.124.23.41

[edit] Konfigurasi NAT (Network Address Translation)

NAT berfungsi untuk meneruskan paket dari ip local ke ip public (fungsi gateway router)

/ip firewall nat add chain=srcnat action=src-nat to-addresses=172.168.0.3 to-ports=0-65535 out-interface=serverbridge disabled=no
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=172.168.0.6 to-addresses=172.168.0.6 to-addresses=172.168.0.6 to-ports=2011 dst-port=80 in-interface=eth2-local disabled=no

[edit] setting DNS

/ip dns set primary-dns=172.168.0.6 allow-remoterequests=yes
/ip dns set secondary-dns=202.134.1.10 allow-remoterequests=yes
/ip dns print

Kemudian tes ping ke nama domain ex: google.com

Artikel Setting Mikrotik Wireless Bridge

2008-08-19T01:02:00.000-07:00

Artikel

Setting Mikrotik Wireless Bridge

Kategori: Tips & Trik

Sering kali, kita ingin menggunakan Mikrotik Wireless untuk solusi point to point dengan mode jaringan bridge (bukan routing). Namun, Mikrotik RouterOS sendiri didesain bekerja dengan sangat baik pada mode routing. Kita perlu melakukan beberapa hal supaya link wireless kita bisa bekerja untuk mode bridge.

Mode bridge memungkinkan network yang satu tergabung dengan network di sisi satunya secara transparan, tanpa perlu melalui routing, sehingga mesin yang ada di network yang satu bisa memiliki IP Address yang berada dalam 1 subnet yang sama dengan sisi lainnya.

Namun, jika jaringan wireless kita sudah cukup besar, mode bridge ini akan membuat traffic wireless meningkat, mengingat akan ada banyak traffic broadcast dari network yang satu ke network lainnya. Untuk jaringan yang sudah cukup besar, saya menyarankan penggunaan mode routing.

Berikut ini adalah diagram network yang akan kita set.

Konfigurasi Pada Access Point

1. Buatlah sebuah interface bridge yang baru, berilah nama bridge1

2. Masukkan ethernet ke dalam interface bridge

3. Masukkan IP Address pada interface bridge1

4. Selanjutnya adalah setting wireless interface. Kliklah pada menu Wireless (1), pilihlah tab interface (2) lalu double click pada nama interface wireless yang akan digunakan (3). Pilihlah mode AP-bridge (4), tentukanlah ssid (5), band 2.4GHz-B/G (6), dan frekuensi yang akan digunakan (7). Jangan lupa mengaktifkan default authenticated (8) dan default forward (9). Lalu aktifkankanlah interface wireless (10) dan klik OK (11).

5. Berikutnya adalah konfigurasi WDS pada wireless interface yang digunakan. Bukalah kembali konfigurasi wireless seperti langkah di atas, pilihlah tab WDS (1). Tentukanlah WDS Mode dynamic (2) dan pilihlah bridge interface untuk WDS ini (3). Lalu tekan tombol OK.

6. Langkah selanjutnya adalah menambahkan virtual interface WDS. Tambahkan interface WDS baru seperti pada gambar, lalu pilihlah interface wireless yang kita gunakan untuk WDS ini. Lalu tekan OK.

7. Jika WDS telah ditambahkan, maka akan tampak interface WDS baru seperti pada gambar di bawah.

Konfigurasi pada Wireless Station

Konfigurasi pada wireless station hampir sama dengan langkah-langkah di atas, kecuali pada langkah memasukkan IP Address dan konfigurasi wirelessnya. Pada konfigurasi station, mode yang digunakan adalah station-wds, frekuensi tidak perlu ditentukan, namun harus menentukan scan-list di mana frekuensi pada access point masuk dalam scan list ini. Misalnya pada access point kita menentukan frekuensi 2412, maka tuliskanlah scan-list 2400-2500.

Pengecekan link

Jika link wireless yang kita buat sudah bekerja dengan baik, maka pada menu wireless, akan muncul status R (lihat gambar di bawah).

Selain itu, mac-address dari wireless yang terkoneksi juga bisa dilihat pada jendela registration (lihat gambar di bawah).

Konfigurasi keamanan jaringan wireless

Pada Mikrotik, cara paling mudah untuk menjaga keamanan jaringan adalah dengan mendaftarkan mac-address wireless pasangan pada access list. Hal ini harus dilakukan pada sisi access point maupun pada sisi client. Jika penginputan access-list telah dilakukan, maka matikanlah fitur default authenticated pada wireless, maka wireless lain yang mac addressnya tidak terdaftar tidak akan bisa terkoneksi ke jaringan kita.

Jika kita menginginkan fitur keamanan yang lebih baik, kita juga bisa menggunakan enkripsi baik WEP maupun WPA.

Artikel Wireless LAN FAQ

2008-08-19T01:01:00.000-07:00

Artikel

Wireless LAN FAQ

Kategori: Tips & Trik

Di manakah sebaiknya saya menempatkan Base Station?

Base station biasanya diletakkan di tempat yang tinggi, yang memungkinkan dapat terjangkau dari pelanggan. Bisa berupa rooftop dari gedung tinggi, ataupun tower.

Perangkat apa saja yang dibutuhkan di Base Station?

Pada dasarnya, perangkat wireless di base station di bagi dua, yaitu perangkat point to point sebagai backhaul, dan perangkat lainnya untuk melayani pelanggan. Perangkat backhaul tidak dibutuhkan jika Anda memiliki akses internet ke BTS via kabel ataupun media lain. Untuk access pointnya sendiri, biasanya menggunakan antenna yang dapat melayani area yang cukup lebar. Bisa berupa omnidirectional antenna, ataupun antenna sectoral. Omnidirectional antenna dapat menjangkau 360 derajat, sedangkan antenna sectoral hanya dapat menjangkau 90 hingga 120 derajat, sehingga dibutuhkan 3 hingga 4 antenna, termasuk juga access pointnya.

Berapa client yang dapat terkoneksi ke base station?

Secara teori, perangkat wireless Mikrotik dapat melayani 2007 client. Namun, bagaimanapun juga, performance nya tergantung pada kehandalan sistem dan kondisi sekitar. Jumlah ini sangat regantung pada penggunaan setiap client, dan berapa jumlah komputer yang terkoneksi di belakang sebuah AP Client. Jumlah yang pernah dicapai pada penggunaan normal adalah 100 client.

Berapakah jarak terjauh antara BTS dan lokasi client?

Jarak terjauh akan tergantung pada daya antena, loss pada kabel antenna, kekuatan pancar radio, sensifitas radio, dan tingkat inteferensi dari radio lain yang menggunakan frekuensi yang sama.
Dengan frekuensi 2,4 GHz, biasanya jarak terjauh yang bisa dicapai adalah 12 kilometer, sedangkan dengan frekuensi 5 GHz, dengan menggunakan antenna solid disc 30db, bisa dicapai jarak 28 km. Lebar bandwidth yang bisa dicapai adalah sekitar 10 mbps dengan uji coba bandwidth test.

Dapatkah saya menggunakan amplifier untuk memperjauh jangkauan ?

Secara teknis, bisa. Namun, perhatikan regulasi yang berlaku. Penggunaan amplifier dapat digunakan untuk mengkompensasikan loss yang terjadi akibat penggunaan kabel antenna yang panjang.

Apakah antara BTS dan client harus benar-benar bebas halangan (Line of sight) ?

Ya. Kondisi line of sight mutlak dibutuhkan. Juga perhatikan freznel zone yang dibutuhkan.

Apakah yang dimaksud dengan fresnel zone?

Freznel Zone adalah area di sekitar garis lurus antar alat yang digunakan untuk rambatan gelombang. Area ini juga harus bebas dari gangguan, atau kekuatan signal akan menurun. Sebagai contoh, pada link berjarak 16 km, dengan frekuensi 5,8 GHz, besarnya lingkaran freznel zone di tengah-tengah kedua alat adalah lingkaran dengan radius 8,7 meter, dan 13,6 meter untuk frekuensi 2,4 GHz.

Dapatkah saya melakukan bridge saat menggunakan produk wireless Mikrotik?

Ya. Jika Anda menggunakan Access Point Mikrotik dan client merk lainnya, yang perlu Anda lakukan adalah memasukkan interface wlan pada mikrotik ke interface bridge, demikian juga dengan ethernetnya. Sedangkan bila menggunakan wireless client Mikrotik, Anda bisa melakukan bridge dengan menggunakan teknik EoIP atau menggunakan WDS Wireless. Simak manual penggunaan untuk lebih jelasnya.

Artikel Perbandingan Beberapa Wireless MiniPCI

2008-08-19T01:00:00.000-07:00

Artikel

Perbandingan Beberapa Wireless MiniPCI

Kategori: Fitur & Penggunaan

Di pasaran mudah kita temui berbagai wireless minipci card. Mulai dari yang berdaya kecil, hingga yang cukup besar. Manakah yang memiliki performa baik jika digunakan dengan Mikrotik?

Sudah cukup lama kami menggunakan wireless Mikrotik. Mulai dari penggunaan card Atheros dengan chipset 5211, 5212, hingga saat ini card yang biasa dijual oleh Mikrotik adalah CM9 (dengan chipset Atheros 5213) atau R52 (dengan chipset Atheros 5413). Penggunaan card 5211 dan 5212 tidaklah terlalu lama, sampai digantikan dengan card-card baru CM9 dan R52.

Kami kemudian melakukan test dengan beberapa jenis card. Kami memasang sebuah access point dengan menggunanan board RB511 yang dipasangi card SR2 (produksi Ubiquiti Network), yang bekerja di frekuensi 2,4 GHz dan memiliki daya pancar 400 mWatt. Antenna yang digunakan adalah antenna helical indoor 2dbi.

Sebagai station, kami kemudian menggunakan 4 buah minipci card yang beda-beda, yaitu:

SR2 (400mWatt)
CM9 (65mWatt)
OEM Atheros Card (200mWatt)
OEM Atheros Card (100mWatt)

Keempat card tersebut dipasang pada sebuah board RB532 yang ditambahi Daughterboard RB564 sehingga secara keseluruhan memiliki 6 buah slot minipci dan 9 buah port ethernet.

Keempat card ini kami set untuk menggunakan power sebesar-besarnya, sesuai dengan spesifikasi power masing-masing card. Keempat-empatnya kami hubungkan secara wireless ke access point yang telah diset. Secara keseluruhan, keempat card dapat terkoneksi dengan mudah pada frekuensi 2,4 GHz.

Besarnya signal level dari masing-masing card bisa dilihat pada screen capture berikut:

Bisa kita lihat bahwa SR2 yang memiliki power terbesar memang memiliki daya signal yang terbaik, lebih baik 15 db dari signal yang didapatkan oleh card CM9. Dari data di atas juga bisa dilihat, bahwa meskipun card Atheros OEM 100 mWatt dan 200 mWatt secara spesifikasi memiliki daya pancar lebih kuat dari CM9, namun signal level CM9 lebih baik ketimbang kedua card ini (selisih 10 dan 18 db).

Memang, signal level tidak selamanya menjamin bahwa kualitas card tersebut baik. Selanjutnya secara bergantian kami melakukan throughput test bagaimana keempat card tersebut melakukan pengiriman dan penerimaan data. Test dilakukan dengan menggunakan bandwidth test yang terdapat pada Mikrotik RouterOS. Dari access point dilakukan bandwidth test, dengan arah data received, dan menggunakan protokol UDP. Pada client, seting data rates menggunakan setting standart.

Hasil bandwidth testnya adalah :

SR5 : berkisar antara 8 hingga 15 mbps. Trafiknya tidak rata dan fluktuatif. Ada perkiraan fluktuatifnya SR2 ini dipengaruhi oleh suhu. Namun, jika kita mencoba menjalankan configured data tares, trafik bisa meningkat hingga 17-19 db.
CM9 : memiliki traffic cukup stabil di kisaran 22 - 23 mbps!
Atheros 100 mWatt : performanya berkisar 10 - 12 mbps
Atheros 200 mWatt : meskipun tidak sebesar CM9, kartu ini memiliki kemampuan cukup baik di kisaran 20 - 21 mbps.

Screen capture hasil bandwidth test dan ping menggunakan wireless card CM9

Well, kesemua data di atas tidaklah akurat 100%. Kadang terjadi fluktuatif yang menyebabkan kami harus melakukan bandwidth test berulang-ulang. Karakteristik tiap card sendiri memang berbeda-beda. Ada kartu yang malah bagus saat dipasangi tx-rate, namun ada yang lebih bagus jika tx ratesnya dibuat default.

2008-08-19T00:58:00.002-07:00

Artikel

Berbagai Level Router OS dan Kemampuannya

Kategori: Fitur & Penggunaan

Mikrotik RouterOS hadir dalam berbagai level. Tiap level memiliki kemampuannya masing-masing, mulai dari level 3, hingga level 6. Secara singkat, level 3 digunakan untuk router berinterface ethernet, level 4 untuk wireless client atau serial interface, level 5 untuk wireless AP, dan level 6 tidak mempunyai limitasi apapun.

Untuk aplikasi hotspot, bisa digunakan level 4 (200 user), level 5 (500 user) dan level 6 (unlimited user).

Detail perbedaan masing-masing level dapat dilihat pada tabel di bawah ini:

Level number	1 (DEMO)	3 (ISP)	4 (WISP)	5 (WISPAP)	6 (Controller)
Wireless Client and Bridge	-	-	yes	yes	yes
Wireless AP	-	-	-	yes	yes
Synchronous interfaces	-	-	yes	yes	yes
EoIP tunnels	1	unlimited	unlimited	unlimited	unlimited
PPPoE tunnels	1	200	200	500	unlimited
PPTP tunnels	1	200	200	unlimited	unlimited
L2TP tunnels	1	200	200	unlimited	unlimited
VLAN interfaces	1	unlimited	unlimited	unlimited	unlimited
P2P firewall rules	1	unlimited	unlimited	unlimited	unlimited
NAT rules	1	unlimited	unlimited	unlimited	unlimited
HotSpot active users	1	1	200	500	unlimited
RADIUS client	-	yes	yes	yes	yes
Queues	1	unlimited	unlimited	unlimited	unlimited
Web proxy	-	yes	yes	yes	yes
RIP, OSPF, BGP protocols	-	yes	yes	yes	yes
Upgrade	configuration erased on upgrade	yes	yes	yes	yes

Artikel Fitur RouterOS

2008-08-19T00:58:00.001-07:00

Artikel

Fitur RouterOS

Kategori: Fitur & Penggunaan

Penanganan Protokol TCP/IP:

Firewall and NAT - stateful packet filtering; Peer-to-Peer protocol filtering; source and destination NAT; classification by source MAC, IP addresses, ports, protocols, protocol options, interfaces, internal marks, content, matching frequency
Routing - Static routing; Equal cost multi-path routing; Policy based routing (classification by source and destination addresses and/or by firewall mark); RIP v1 / v2, OSPF v2, BGP v4
Data Rate Management - per IP / protocol / subnet / port / firewall mark; HTB, PCQ, RED, SFQ, byte limited queue, packet limited queue; hierarchical limitation, CIR, MIR, contention ratios, dynamic client rate equalizing (PCQ)
HotSpot - HotSpot Gateway with RADIUS authentication/accounting; data rate limitation; traffic quota; real-time status information; walled-garden; customized HTML login pages; iPass support; SSL secure authentication
Point-to-Point tunneling protocols - PPTP, PPPoE and L2TP Access Concentrators and clients; PAP, CHAP, MSCHAPv1 and MSCHAPv2 authentication protocols; RADIUS authentication and accounting; MPPE encryption; compression for PPPoE; data rate limitation; PPPoE dial on demand
Simple tunnels - IPIP tunnels, EoIP (Ethernet over IP)
IPsec - IP security AH and ESP protocols; Diffie-Hellman groups 1,2,5; MD5 and SHA1 hashing algorithms; DES, 3DES, AES-128, AES-192, AES-256 encryption algorithms; Perfect Forwarding Secresy (PFS) groups 1,2,5
Web proxy - FTP, HTTP and HTTPS caching proxy server; transparent HTTP caching proxy; SOCKS protocol support; support for caching on a separate drive; access control lists; caching lists; parent proxy support
Caching DNS client - name resolving for local use; Dynamic DNS Client; local DNS cache with static entries
DHCP - DHCP server per interface; DHCP relay; DHCP client; multiple DHCP networks; static and dynamic DHCP leases
Universal Client - Transparent address translation not depending on the client's setup
VRRP - VRRP protocol for high availability
UPnP - Universal Plug-and-Play support
NTP - Network Time Protocol server and client; synchronization with GPS system
Monitoring/Accounting - IP traffic accounting, firewall actions logging
SNMP - read-only access
M3P - MikroTik Packet Packer Protocol for Wireless links and Ethernet
MNDP - MikroTik Neighbor Discovery Protocol; also supports Cisco Discovery Protocol (CDP)
Tools - ping; traceroute; bandwidth test; ping flood; telnet; SSH; packet sniffer

Layer 2 connectivity

Wireless - IEEE802.11a/b/g wireless client and Access Point; Wireless Distribution System (WDS) support; virtual AP; 40 and 104 bit WEP; access control list; authentication on RADIUS server; roaming (for wireless client); Access Point bridging
Bridge - spanning tree protocol; multiple bridge interfaces; bridge firewalling
VLAN - IEEE802.1q Virtual LAN support on Ethernet and WLAN links; multiple VLANs; VLAN bridging
Synchronous - V.35, V.24, E1/T1, X.21, DS3 (T3) media types; sync-PPP, Cisco HDLC, Frame Relay line protocols; ANSI-617d (ANDI or annex D) and Q933a (CCITT or annex A) Frame Relay LMI types
Asynchronous - serial PPP dial-in / dial-out; PAP, CHAP, MSCHAPv1 and MSCHAPv2 authentication protocols; RADIUS authentication and accounting; onboard serial ports; modem pool with up to 128 ports; dial on demand
ISDN - ISDN dial-in / dial-out; PAP, CHAP, MSCHAPv1 and MSCHAPv2 authentication protocols; RADIUS authentication and accounting; 128K bundle support; Cisco HDLC, x75i, x75ui, x75bui line protocols; dial on demand
SDSL - Single-line DSL support; line termination and network termination modes

Hardware requirements

CPU and motherboard - advanced 4th generation (core frequency 100MHz or more), 5th generation (Intel Pentium, Cyrix 6X86, AMD K5 or comparable) or newer uniprocessor Intel IA-32 (i386) compatible (multiple processors are not supported)
RAM - minimum 48 MB, maximum 1 GB; 64 MB or more recommended
Hard Drive/Flash - standard ATA interface controller and drive (SCSI and USB controllers and drives are not supported; RAID controllers that require additional drivers are not supported) with minimum of 64 MB space

Hardware needed for installation time only

Depending on installation method chosen the router must have the following hardware:

Floppy-based installation - standard AT floppy controller and 3.5'' disk drive connected as the first floppy disk drive (A); AT, PS/2 or USB keyboard; VGA-compatible video controller card and monitor
CD-based installation - standard ATA/ATAPI interface controller and CD drive supporting "El Torito" bootable CDs (you might need also to check if the router's BIOS supports booting from this type of media); AT, PS/2 or USB keyboard; VGA-compatible video controller card and monitor
Floppy-based network installation - standard AT floppy controller and 3.5'' disk drive connected as the first floppy disk drive (A); PCI Ethernet network interface card supported by MikroTik RouterOS (see the Device Driver List for the list)
Full network-based installation - PCI Ethernet network interface card supported by MikroTik RouterOS (see the Device Driver List for the list) with PXE or EtherBoot extension booting ROM (you might need also to check if the router's BIOS supports booting from network)

Configuration possibilities

RouterOS provides powerful command-line configuration interface. You can also manage the router through WinBox - the easy-to-use remote configuration GUI for Windows -, which provides all the benefits of the command-line interface, without the actual "command-line", which may scare novice users. Major features:

Clean and consistent user interface
Runtime configuration and monitoring
Multiple connections
User policies
Action history, undo/redo actions
safe mode operation
Scripts can be scheduled for executing at certain times, periodically, or on events. All command-line commands are supported in scripts

When router is not configured, there are only two ways to configure it:

Local terminal console - AT, PS/2 or USB keyboard and VGA-compatible video controller card with monitor
Serial console - First RS232 asynchronous serial port (usually, onboard port marked as COM1), which is by default set to 9600bit/s, 8 data bits, 1 stop bit, no parity

After the router is configured, it may be managed through the following interfaces:

Local teminal console - AT, PS/2 or USB keyboard and VGA-compatible video controller card with monitor
Serial console - any (you may choose any one; the first, also known as COM1, is used by default) RS232 asynchronous serial port, which is by default set to 9600bit/s, 8 data bits, 1 stop bit, no parity
Telnet - telnet server is running on 23 TCP port by default
SSH - SSH (secure shell) server is running on 22 TCP port by default (available only if security package is installed)
MAC Telnet - MikroTik MAC Telnet potocol server is by default enabled on all Ethernet-like interfaces
Winbox - Winbox is a RouterOS remote administration GUI for Windows, that use 3986 TCP port (or 3987 if security package is installed)

Internal Web-Proxy

2008-08-19T00:55:00.000-07:00

Internal Web-Proxy

From MikroTik Wiki

Jump to: navigation, search

[hide]

[edit] Introduction

This page will tak about how to make QUEUE TREE in RouterOS that also running Web-Proxy and Masquerading. Several topics in forum say it's impossible to do.

In ver 3.0 we can do this, using TOS header modification in web-proxy feature. We can set any TOS value for the HIT traffic, and make it as parameter in mangle.

[edit] Basic Setup

First, let's set the basic setting first. I'm using a machine with 2 network interface:

admin@instaler] > in pr
#    NAME       TYPE    RX-RATE    TX-RATE    MTU
0  R public     ether   0          0          1500
1  R lan        wlan    0          0          1500

And this is the IP Address for each interface:

[admin@instaler] > ip ad pr
Flags: X - disabled, I - invalid, D - dynamic
#  ADDRESS           NETWORK      BROADCAST      INTERFACE
0  192.168.0.217/24  192.168.0.0  192.168.0.255  public 
1  172.21.1.1/24     172.21.1.0   172.21.1.255   lan

Don't forget to set the transparant web-proxy. We set cache-hit-dscp: 4.

[admin@instaler] > ip proxy pr
                  enabled: yes
              src-address: 0.0.0.0
                     port: 3128
             parent-proxy: 0.0.0.0
        parent-proxy-port: 0
              cache-drive: system
      cache-administrator: "webmaster"
           max-cache-size: none
            cache-on-disk: yes
maximal-client-connections: 600
maximal-server-connections: 600
           max-fresh-time: 3d
    serialize-connections: yes
           cache-hit-dscp: 4

[edit] Firewall NAT

Make 2 NAT rules, 1 for Masquerading, and the other for redirecting transparant proxy.

[admin@instaler] ip firewall nat> pr
Flags: X - disabled, I - invalid, D - dynamic
0   chain=srcnat out-interface=public
  src-address=172.21.1.0/24 action=masquerade
1   chain=dstnat in-interface=lan src-address=172.21.1.0/24
  protocol=tcp dst-port=80 action=redirect to-ports=3128

[edit] Mangle Setup

And now is the most important part in this case.

If we want to make HIT traffic from web proxy not queued, we have to make a mangle to handle this traffic. Put this rule on the beginning of the mangle, as it will check first.

[admin@instaler] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0   ;;; HIT TRAFFIC FROM PROXY
  chain=output out-interface=lan
  dscp=4 action=mark-packet
  new-packet-mark=proxy-hit passthrough=no

As we will make Queue for uplink and downlink traffic, we need 2 packet-mark. In this example, we use "test-up" for uplink traffic, and "test-down" for downlink traffic.

For uplink traffic, it's quite simple. We need only one rule, using SRC-ADDRESS and IN-INTERFACE parameters, and using PREROUTING chain. Rule number #1.

But for downlink, we have to make sevaral rules. As we use masquerading, we need Connection Mark, named as "test-conn". Rule no #2.

Then we have to make 2 more rules. First rule is for non-HTTP connection / direct connection. We use chain forward, as the data traveling through the router. Rule no #3.

The second rule is for data coming from web-proxy to the client (MISS traffic). We use OUTPUT chain, as the data coming from internal process in the router itself. Rule no #4.

For both rules (no #3 and #4) we named it "test-down".

Please be aware, we use passthrough only for connection mark (rule no #2).

[admin@instaler] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
1   ;;; UP TRAFFIC
  chain=prerouting in-interface=lan
  src-address=172.21.1.0/24 action=mark-packet
  new-packet-mark=test-up passthrough=no

2   ;;; CONN-MARK
  chain=forward src-address=172.21.1.0/24
  action=mark-connection
  new-connection-mark=test-conn passthrough=yes

3   ;;; DOWN-DIRECT CONNECTION
  chain=forward in-interface=public
  connection-mark=test-conn action=mark-packet
  new-packet-mark=test-down passthrough=no

4   ;;; DOWN-VIA PROXY
  chain=output out-interface=lan
  dst-address=172.21.1.0/24 action=mark-packet
  new-packet-mark=test-down passthrough=no

[edit] Queue Tree Setup

[admin@instaler] > queue tree pr
Flags: X - disabled, I - invalid
0   name="downstream" parent=lan packet-mark=test-down
  limit-at=32000 queue=default priority=8
  max-limit=32000 burst-limit=0
  burst-threshold=0 burst-time=0s

1   name="upstream" parent=global-in
  packet-mark=test-up limit-at=32000
  queue=default priority=8
  max-limit=32000 burst-limit=0
  burst-threshold=0 burst-time=0s

You can use those mangle also with PCQ.

Test trafik shaping sederhana virtual

2008-08-19T00:53:00.000-07:00

Test trafik shaping sederhana virtual

From SpeedyWiki

Jump to: navigation, search

Hehehe...... aku lagi coba-coba aku menggunakan Virtual PC 2007 (soalnya aku pakai windows) jadi komputer yang aku pake P4 2,4G (478 lama),512M dan ada lancardnya install apache (pakai WAMP) lalu file ukuran 13M dan 14M sebagai testing.

model jaringan spt ini:

  komputerku(192.168.5.182) just case
+
+--- (192.168.5.181 ether1) mikrotik (192.168.10.15 - ether2)  virtual pc
                                             + --- client1(192.168.10.213) virtual pc
                                             + --- client2(192.168.10.160) virtual pc

setelah dikonfigurasi ipnya sesuai dengan diatas, sekarang kita set di mikrotiknya asumsi: bandwith yang ada : - up stream 50kbps - down stream 128kbps keinginan : agar bandwith merata, jika satu download dia bisa kenceng, begitu yang lain ada yang download juga, kecepatan di bagi sama rata. kita juga nggak ingin jika kalo ada yang main game dia jadi lag.

perkiraan: (soalnya aku juga nggak begitu faham-faham sekali) jika main game ol lag, ada kemungkinan paket terlambat,pipe untuk koneksinya sudah habis dimakan downloader, apa lagi pakai IDM, mampus jaringannya kalo 1 file threadnya 16.

solusi:(ini menurut saya, tentunya perkiraan yang lain akan menimbulkan perbedaan pula) - untuk port http kita berikan bw 80% dari yang ada (ini untuk membatasi downloader agar tidak menghabiskan jatah bw yang ada) - port untuk game online dan icmp bw 100% (knp? jika game onlinenya cuman sedikit dia tidak akan mengganggu para download, karena game online membutuhkan response time yang kecil dan continue(real time)) - untuk port yang tidak dikenal bisa dikasih 50% bw (krn kita tidak tahu apakah ini dipakai virus atau yang lain misal torent)

kita setting mikrotik, sebagai uji coba saya hanya menggunakan port 80(web http) dan icmp

asumsi anda sudah mensetting ip spt diatas. local networknya ada di 192.168.10.0/24

ok kita mulai. pertama setting routing gateway: gampangnya kita pilih komputer web server/ip lain yang satu subnet dengan 192.168.5.0/24, contoh 192.168.5.15 Code:

   /ip route
   add dst-address=0.0.0.0/0 gateway=192.168.5.15

lalu kita setting nat -nya: Code:

   / ip firewall nat
   add chain=srcnat out-interface=ether1 src-address=192.168.10.0/24 \
   action=masquerade comment="" disabled=no

lalu ini bagian terpenting, memberi tanda pada setiap koneksi: Code:

   / ip firewall mangle
 add chain=prerouting protocol=icmp action=mark-connection \
   new-connection-mark=icmp passthrough=yes comment="" disabled=no
 add chain=prerouting connection-mark=icmp action=mark-packet \
   new-packet-mark=icm_pkt passthrough=no comment="" disabled=no
 add chain=prerouting protocol=tcp dst-port=80 action=mark-connection \
   new-connection-mark=http_conn passthrough=yes comment="" disabled=no
 add chain=prerouting connection-mark=http_conn action=mark-packet \
   new-packet-mark=htpp_pkt passthrough=no comment="" disabled=no

disini ada dua port yang dipakai, port http(tcp) 80 yang lazim dipakai untuk web. dan ICMP untuk mengecek response time (yang biasa pakai "ping")

sekarang setelah marking nya sudah, kita bikin queue. kita coba pakai PCQ ya Code:

   add name="Up" kind=pcq pcq-rate=0 pcq-limit=50 pcq-classifier=src-address \
   pcq-total-limit=2000
 add name="Down" kind=pcq pcq-rate=0 pcq-limit=50 pcq-classifier=dst-address \
   pcq-total-limit=2000

jika PCQ diisi misal 8000, maka PCQ akan membatasi hanya 8kbps. jika diisi 0, maka PCQ akan menyesuaikan dengan bw yang ada.

setelah kita memiliki marking: "http_pkt","http_conn","icmp","icmp_pkt", serta 2 buah jenis queue yaitu "Up" dan "Down", kita membuat simple queue-nya. Code:

   add name="Main" target-addresses=192.168.10.0/24 dst-address=0.0.0.0/0 \
   interface=all parent=none direction=both priority=8 \
   queue=default-small/default-small limit-at=0/0 \
   max-limit=50000/128000 disabled=no
 add name="icmp_Mark" dst-address=0.0.0.0/0 interface=all
   parent=Main packet-marks=icm_pkt direction=both priority=8 \
   queue=default-small/default-small limit-at=0/0 \
   max-limit=0/0 disabled=no
 add name="http" dst-address=0.0.0.0/0 interface=all parent=Main \
   packet-marks=htpp_pkt direction=both priority=8 queue=Up/Down \
   max-limit=40000/102400 disabled=no

maksudnya disini: 1. kita membuat rule bahwa badwith tertinggi adalah 50kb/128kb dengan nama "Main" dengan target yang dilimit adalah ip 192.168.10.0/24. 2. kita membuat untuk icmpnya. kita buat unlimite, atau kita tidak usah menambahkan ini juga tidka apa2, ini hanya contoh jika untuk diaplikasikan ke yang lain. 3. kita membuat rule untuk http yaitu 40k max untuk upload dan 102,4k untuk download.

hasilnya: atau click disini

bisa dilihat, ping timenya tidak sampai 50ms,andai kita tidak mensepeifikan port 80, atau kita hanya implementasikan PCQ untuk semua bandwith, hasilnya spt brkt:

atau click disini

NB: jika kita gunakan untuk game online, kita harus tahu port apa yang digunakan, dan proritaskan lebih tinggi dari pada yang lain, misal 3.

Firewall untuk router mikrotik

2008-08-19T00:52:00.002-07:00

Firewall untuk router mikrotik

From SpeedyWiki

Jump to: navigation, search

Written by harijanto@datautama.net.id 
http://www.datautama.net.id
Thursday, 09 November 2006

Untuk mengamankan router mikrotik dari traffic virus dan excess ping dapat digunakan skrip firewall berikut

Pertama buat address-list "ournetwork" yang berisi alamat IP radio, IP LAN dan IP WAN atau IP lainnya yang dapat dipercaya

Dalam contoh berikut alamat IP radio adalah = 10.0.0.0/16, IP LAN = 192.168.2.0/24 dan IP WAN = 203.89.24.0/21 dan IP lainnya yang dapat dipercaya = 202.67.33.7

Untuk membuat address-list dapat menggunakan contoh skrip seperti berikut ini tinggal disesuaikan dengan konfigurasi jaringan Anda.

Buat skrtip berikut menggunakan notepad kemudian copy-paste ke console mikrotik

/ ip firewall address-list
add list=ournetwork address=203.89.24.0/21 comment="Datautama Network" \
 disabled=no
add list=ournetwork address=10.0.0.0/16 comment="IP Radio" disabled=no
add list=ournetwork address=192.168.2.0/24 comment="LAN Network" disabled=no

Selanjutnya copy-paste skrip berikut pada console mikrotik

/ ip firewall filter
add chain=forward connection-state=established action=accept comment="allow \
 established connections" disabled=no
add chain=forward connection-state=related action=accept comment="allow \
 related connections" disabled=no
add chain=virus protocol=udp dst-port=135-139 action=drop comment="Drop \
 Messenger Worm" disabled=no
add chain=forward connection-state=invalid action=drop comment="drop invalid \
 connections" disabled=no
add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Drop \
 Blaster Worm" disabled=no
add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="Worm" \
 disabled=no
add chain=virus protocol=tcp dst-port=445 action=drop comment="Drop Blaster \
 Worm" disabled=no
add chain=virus protocol=udp dst-port=445 action=drop comment="Drop Blaster \
 Worm" disabled=no
add chain=virus protocol=tcp dst-port=593 action=drop comment="________" \
 disabled=no
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="________" \
 disabled=no
add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop MyDoom" \
 disabled=no
add chain=virus protocol=tcp dst-port=1214 action=drop comment="________" \
 disabled=no
add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester" \
 disabled=no
add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server" \
 disabled=no
add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast" \
 disabled=no
add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx" \
 disabled=no
add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid" \
 disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus" \
 disabled=no
add chain=virus protocol=tcp dst-port=2283 action=drop comment="Drop Dumaru.Y" \
 disabled=no
add chain=virus protocol=tcp dst-port=2535 action=drop comment="Drop Beagle" \
 disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Drop \
 Beagle.C-K" disabled=no
add chain=virus protocol=tcp dst-port=3127 action=drop comment="Drop MyDoom" \
 disabled=no
add chain=virus protocol=tcp dst-port=3410 action=drop comment="Drop Backdoor \
 OptixPro" disabled=no
add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm" \
 disabled=no
add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm" \
 disabled=no
add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop Sasser" \
 disabled=no
add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B" \
 disabled=no
add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop \
 Dabber.A-B" disabled=no
add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop \
 Dumaru.Y, sebaiknya di didisable karena juga sering digunakan utk vpn atau \
 webmin" disabled=yes
add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop \
 MyDoom.B" disabled=no
add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop NetBus" \
 disabled=no
add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop Kuang2" \
 disabled=no
add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop \
 SubSeven" disabled=no
add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop PhatBot, \
 Agobot, Gaobot" disabled=no
add chain=forward action=jump jump-target=virus comment="jump to the virus \
 chain" disabled=no
add chain=input connection-state=established action=accept comment="Accept \
 established connections" disabled=no
add chain=input connection-state=related action=accept comment="Accept related \
 connections" disabled=no
add chain=input connection-state=invalid action=drop comment="Drop invalid \
 connections" disabled=no
add chain=input protocol=udp action=accept comment="UDP" disabled=no
add chain=input protocol=icmp limit=50/5s,2 action=accept comment="Allow \
 limited pings" disabled=no
add chain=input protocol=icmp action=drop comment="Drop excess pings" \
 disabled=no
add chain=input protocol=tcp dst-port=21 src-address-list=ournetwork \
 action=accept comment="FTP" disabled=no
add chain=input protocol=tcp dst-port=22 src-address-list=ournetwork \
 action=accept comment="SSH for secure shell" disabled=no
add chain=input protocol=tcp dst-port=23 src-address-list=ournetwork \
 action=accept comment="Telnet" disabled=no
add chain=input protocol=tcp dst-port=80 src-address-list=ournetwork \
 action=accept comment="Web" disabled=no
add chain=input protocol=tcp dst-port=8291 src-address-list=ournetwork \
 action=accept comment="winbox" disabled=no
add chain=input protocol=tcp dst-port=1723 action=accept comment="pptp-server" \
 disabled=no
add chain=input src-address-list=ournetwork action=accept comment="From \
 Datautama network" disabled=no
add chain=input action=log log-prefix="DROP INPUT" comment="Log everything \
 else" disabled=no
add chain=input action=drop comment="Drop everything else" disabled=no

Efek dari skrip diatas adalah:

router mikrotik hanya dapat diakses FTP, SSH, Web dan Winbox dari IP yang didefinisikan dalam address-list "ournetwork" sehingga tidak bisa diakses dari sembarang tempat.
Port-port yang sering dimanfaatkan virus di blok sehingga traffic virus tidak dapat dilewatkan, tetapi perlu diperhatikan jika ada user yang kesulitan mengakses service tertentu harus dicek pada chain="virus" apakah port yang dibutuhkan user tersebut terblok oleh firewall.
Packet ping dibatasi untuk menghindari excess ping.

Selain itu yang perlu diperhatikan adalah: sebaiknya buat user baru dan password dengan group full kemudian disable user admin, hal ini untuk meminimasi resiko mikrotik Anda di hack orang.

Selamat mencoba

Firewall untuk router mikrotik

2008-08-19T00:52:00.001-07:00

Firewall untuk router mikrotik

From SpeedyWiki

Jump to: navigation, search

Written by harijanto@datautama.net.id  
http://www.datautama.net.id
Thursday, 09 November 2006

Untuk mengamankan router mikrotik dari traffic virus dan excess ping dapat digunakan skrip firewall berikut

Pertama buat address-list "ournetwork" yang berisi alamat IP radio, IP LAN dan IP WAN atau IP lainnya yang dapat dipercaya

Dalam contoh berikut alamat IP radio adalah = 10.0.0.0/16, IP LAN = 192.168.2.0/24 dan IP WAN = 203.89.24.0/21 dan IP lainnya yang dapat dipercaya = 202.67.33.7

Untuk membuat address-list dapat menggunakan contoh skrip seperti berikut ini tinggal disesuaikan dengan konfigurasi jaringan Anda.

Buat skrtip berikut menggunakan notepad kemudian copy-paste ke console mikrotik

/ ip firewall address-list
add list=ournetwork address=203.89.24.0/21 comment="Datautama Network" \
  disabled=no
add list=ournetwork address=10.0.0.0/16 comment="IP Radio" disabled=no
add list=ournetwork address=192.168.2.0/24 comment="LAN Network" disabled=no

Selanjutnya copy-paste skrip berikut pada console mikrotik

/ ip firewall filter
add chain=forward connection-state=established action=accept comment="allow \
  established connections" disabled=no
add chain=forward connection-state=related action=accept comment="allow \
  related connections" disabled=no
add chain=virus protocol=udp dst-port=135-139 action=drop comment="Drop \
  Messenger Worm" disabled=no
add chain=forward connection-state=invalid action=drop comment="drop invalid \
  connections" disabled=no
add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Drop \
  Blaster Worm" disabled=no
add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="Worm" \
  disabled=no
add chain=virus protocol=tcp dst-port=445 action=drop comment="Drop Blaster \
  Worm" disabled=no
add chain=virus protocol=udp dst-port=445 action=drop comment="Drop Blaster \
  Worm" disabled=no
add chain=virus protocol=tcp dst-port=593 action=drop comment="________" \
  disabled=no
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="________" \
  disabled=no
add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop MyDoom" \
  disabled=no
add chain=virus protocol=tcp dst-port=1214 action=drop comment="________" \
  disabled=no
add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester" \
  disabled=no
add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server" \
  disabled=no
add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast" \
  disabled=no
add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx" \
  disabled=no
add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid" \
  disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus" \
  disabled=no
add chain=virus protocol=tcp dst-port=2283 action=drop comment="Drop Dumaru.Y" \
  disabled=no
add chain=virus protocol=tcp dst-port=2535 action=drop comment="Drop Beagle" \
  disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Drop \
  Beagle.C-K" disabled=no
add chain=virus protocol=tcp dst-port=3127 action=drop comment="Drop MyDoom" \
  disabled=no
add chain=virus protocol=tcp dst-port=3410 action=drop comment="Drop Backdoor \
  OptixPro" disabled=no
add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm" \
  disabled=no
add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm" \
  disabled=no
add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop Sasser" \
  disabled=no
add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B" \
  disabled=no
add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop \
  Dabber.A-B" disabled=no
add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop \
  Dumaru.Y, sebaiknya di didisable karena juga sering digunakan utk vpn atau \
  webmin" disabled=yes
add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop \
  MyDoom.B" disabled=no
add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop NetBus" \
  disabled=no
add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop Kuang2" \
  disabled=no
add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop \
  SubSeven" disabled=no
add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop PhatBot, \
  Agobot, Gaobot" disabled=no
add chain=forward action=jump jump-target=virus comment="jump to the virus \
  chain" disabled=no
add chain=input connection-state=established action=accept comment="Accept \
  established connections" disabled=no
add chain=input connection-state=related action=accept comment="Accept related \
  connections" disabled=no
add chain=input connection-state=invalid action=drop comment="Drop invalid \
  connections" disabled=no
add chain=input protocol=udp action=accept comment="UDP" disabled=no
add chain=input protocol=icmp limit=50/5s,2 action=accept comment="Allow \
  limited pings" disabled=no
add chain=input protocol=icmp action=drop comment="Drop excess pings" \
  disabled=no
add chain=input protocol=tcp dst-port=21 src-address-list=ournetwork \
  action=accept comment="FTP" disabled=no
add chain=input protocol=tcp dst-port=22 src-address-list=ournetwork \
  action=accept comment="SSH for secure shell" disabled=no
add chain=input protocol=tcp dst-port=23 src-address-list=ournetwork \
  action=accept comment="Telnet" disabled=no
add chain=input protocol=tcp dst-port=80 src-address-list=ournetwork \
  action=accept comment="Web" disabled=no
add chain=input protocol=tcp dst-port=8291 src-address-list=ournetwork \
  action=accept comment="winbox" disabled=no
add chain=input protocol=tcp dst-port=1723 action=accept comment="pptp-server" \
  disabled=no
add chain=input src-address-list=ournetwork action=accept comment="From \
  Datautama network" disabled=no
add chain=input action=log log-prefix="DROP INPUT" comment="Log everything \
  else" disabled=no
add chain=input action=drop comment="Drop everything else" disabled=no

Efek dari skrip diatas adalah:

router mikrotik hanya dapat diakses FTP, SSH, Web dan Winbox dari IP yang didefinisikan dalam address-list "ournetwork" sehingga tidak bisa diakses dari sembarang tempat.
Port-port yang sering dimanfaatkan virus di blok sehingga traffic virus tidak dapat dilewatkan, tetapi perlu diperhatikan jika ada user yang kesulitan mengakses service tertentu harus dicek pada chain="virus" apakah port yang dibutuhkan user tersebut terblok oleh firewall.
Packet ping dibatasi untuk menghindari excess ping.

Selain itu yang perlu diperhatikan adalah: sebaiknya buat user baru dan password dengan group full kemudian disable user admin, hal ini untuk meminimasi resiko mikrotik Anda di hack orang.

Selamat mencoba

Teknik blocking URL menggunakan Mikrotik Versi 3.x

2008-08-19T00:48:00.000-07:00

Teknik blocking URL menggunakan Mikrotik Versi 3.x

From SpeedyWiki

Jump to: navigation, search

Jumat, 2008 April 11

Sumber: Haryanto Pribadi http://inetshoot.blogspot.com/2008/04/teknik-blocking-url-menggunakan.html

Menanggapi ramainya bloking youtube dan situs-situs lainnya yang berisi film “FITNA” dan adanya “UU ITE” yang cukup meresakan para pengguna Internet di Indonesia dan hasil dari Technical Meeting antara NAP Provider, APJII dan Depkominfo pada Tanggal 9 April 2008 di Ruang Conference, GrhaXL Menara Prima yang menghasilkan daftar URL yang harus di blok oleh NAP sbb:

Saya mencoba untuk memanfaatkan fitur Layer 7 Protocol pada Mikrotik Ver. 3.x

Fitur “Layer 7 Protocol” sangat menarik karena dapat melakukan Regexp sehingga mekanisme blocking bukan berdasarkan alamat IP server tetapi dapat dilakukan menggunakan format URL yang terdiri dari protocol,hostname,domain,path, dan file.

Sehingga pemblokiran pada URL http://www.youtube.com/watch?v=_LyeviTOh2w

Tidak berakibat http://www.youtube.com ter-blocking secara keseluruhan tetapi hanya pada URL itu saja.

Umumnya pemblokiran URL dilakukan oleh Proxy Server yang merupakan salah satu application firewall tetapi mungkin tidak semua pihak memiliki Proxy Server atau tidak mengizinkan menggunakan Proxy Server oleh karena itu fitur “Layer 7 Protocol” pada Mikrotik Ver. 3.x dapat membantu kita untuk melakukan pemblokiran tsb

Melalui artikel ini saya akan mencoba memanfaatkan fitur tersebut untuk memblokir URL yang menurut Depkominfo ILLEGAL.

Langkah pertama

Pastikan Mikrotik yang anda gunakan adalah Versi 3.x , karena di versi 2.9.x fitur ini tidak saya temukan, aktifkan winbox dan buka router Mikrotik yang akan digunakan.

Langkah kedua

Buat daftar pada Layer 7 Protocol dengan cara: klik IP->Firewall lalu pilih tab “Layer 7 Protocols” Lalu masukkan daftar URL diatas satu persatu di “Layer 7 Protocols” dengan cara: Klik tanda + dan isi kotak Name dan Regexp lalu OK

Langkah ketiga

Klik tab “Mangle” lalu klik tanda + lalu pilih Chain “Prerouting” untuk jaringan yang menggunakan Masquerade/NAT atau pilih Chain “Forward” untuk jarigan yang tidak menggunakan Masquerade/NAT

Kemudian klik tab “Advanced” dan pilih Layer 7 Protocol yang telah dibuat sebelumnya dengan mengklik drop-down atau segitiga hitam disamping kanan baris Layer 7 Protocol.

Kemudian klik tab “Action” dan pilih Action = mark connection, dan isi New Connection Mark = ilegal-url-connection dengan Passthrough terceklist (biasa pasti sudah terceklist) lalu klik OK.

Lakukan langkah ketiga ini utk setiap baris yang ada di Layer 7 Protocols

Langkah keempat

Masih di tab Mangle klik tanda + lalu pilih Chain ”Prerouting” untuk jaringan Masquerade atau pilih ”Forward”: untuk jaringan non Masqureade, dan pilih Connection Mark dengan ”ilegal-url-connection” dengan mengklik drop-down atau segitiga hitam di samping kanan field/baris Connection Mark.

Kemudian pilih tab Action dan pilih Action = mark packet dan isi New Packet Mark dengan “ilegal-url-packet” dengan Passthroug ter-ceklist. Dan klik OK

Hasilnya bisa dilihat seperti berikut ini

Langkah kelima

Pilih tab “Filter Rules” , jika mikrotik sebagai hotspot gateway pilih Filter Rules = hs-input , jika hanya sebagai router biasa pilih Filter Rules = Forwrad yang berada di kanan atas. Kemudian klik tanda + untuk membuat aturan baru.

Pada field/baris Packet Mark pilih “ilegal-url-packet” kemudian klik tab Action

Pilih Action = jump , dengan jump target = “ilegal-url” kemudian klik OK.

Pastikan rule yang baru dibuat berada paling atas dari rule-rule yang ada. Caranya dengan men-drag baris rule yang baru dibuat ke baris paling atas dari rule-rule yang lainnya.

Langkah keenam

Masih di Filter Rules klik lagi tanda + untuk membuat chain ilegal-url

Isi kotak Chain dengan “ilegal-url” kemudia klik tab Action

Pilih Action dengan “log” dan isi Log Prefix dengan “ILEGAL-URL” lalu OK, dengan action log maka kita dapat melihat di log mikrotik jika ada user yang mencoba mengakses URL tersebut dengan tanda “ILEGAL-URL”

Ulangi lagi langkah keenam diatas dengan mengklik tanda + tetapi pada tab Action diisi dengan “drop” untuk mendrop semua packet yang menuju ke URL yang didefinsikan sebagai “ilegal-url” lalu klik OK.

Hasilnya jika ada user yang mencoba mengakses URL tersebut akan di drop dan pada log dapat dilihat sbb:

Teknik seperti ini dapat digunakan juga untuk memfilter situs porno tetapi tentunya jumlah list yang harus dimasukkan akan sangat banyak “CAPEDEH”

Semoga artikel ini bermanfaat bagi yang membacanya

Artikel Penggunaan IPSec untuk Abacus

2008-08-19T00:47:00.000-07:00

Artikel

Penggunaan IPSec untuk Abacus

Kategori: Tips & Trik

/ ip ipsec policy
add src-address=[your ip address]/32:any dst-address=10.10.1.0/24:any
protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes
sa-src-address=[ip router] sa-dst-address=203.130.231.5
proposal=abacus manual-sa=none dont-fragment=clear disabled=no

/ ip ipsec peer
add address=203.130.231.5/32:0 secret="[secret key nya di sini]"
generate-policy=yes
exchange-mode=main send-initial-contact=yes proposal-check=obey
hash-algorithm=md5 enc-algorithm=des dh-group=modp768 lifetime=1d
lifebytes=0 disabled=no

/ ip ipsec proposal
add name="abacus" auth-algorithms=md5 enc-algorithms=des lifetime=1d
lifebytes=0 pfs-group=none disabled=no

SETTING MICROTIK

2008-08-19T00:46:00.000-07:00

SETTING MICROTIK

pilihlah paket – paket dibawah ini untuk install OS Microtik :

System, dhcp, Advance Tools, RouTing, Security, Web – Proxy.

ganti nama system sesuai dengan selera anda :

[admin@microtik] > system identity set name=warnet

Selanjutnya promt shell akan berubah menjadi :
Seperti yg anda inginkan :
[admin@warnet] >

Ubahlah Password OS microtik anda dengan cara :

[admin@warnet] >user set admin password=………………………………

aktivkan kedua Ethernet pada PC yang telah anda install OS Microtik :

[admin@warnet] >interface ethernet enable ether1
[admin@warnet] >interface ethernet enable ether2

Berikan nama pada kedua ethernet untuk memudahkan konfigurasi :

[admin@warnet] >interface Ethernet set ether1 name=modem =====è Ethernet yg utk modem
[admin@warnet] >interface ethernet set ether2 name=local ===è Ethernet yg untuk ke HUB

Masukan IP pada kedua landcard :

[admin@warnet] >ip address add interface=modem address= ( Diisi IP address dari ISP ) / netmask
[admin@warnet] >ip address add interface=lokal address= 192.168.0.1/255.255.255.0

masukkan IP gateway yg di berikan dari ISP :

[admin@warnet] > ip route add gateway=10.11.1.1560

SETTING DNS :

[admin@warnet] >ip dns set primary-dns=10.11.155.1secondary-dns=10.11.155.2

setelah itu coba ping semua IP yang telah di setting di atas.

[b][font="]KONFIGURASI FIREWALL DAN NETWORK
ip firewall nat add action=masquerade chain=srcnat
ip firewall filter add chain=input connection-state=invalid action=drop
ip firewall filter add chain=input protocol=udp action=accept
ip firewall filter add chain=input protocol=icmp action=accept
[font="]/ip firewall filter add chain=input in-interface=(ethernet card yg ke lan) action=accept
/ip firewall filter add chain=input in-interface=(ethernet card yg ke internet) action=accept

ip firewall filter add chain=input action=drop

ip web-proxy set enabled=yes src-address=0.0.0.0. port=8080 hostname=”" yahuu.net=yes parent-proxy=0.0.0.0:0 \
cache-administrator=”webmaster” max-object-size=4096KiB cache-drive=system max-cache-size=unlimited \
max-ram-cache-size=unlimited

ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=3128 /ip firewall nat add in-interface=modem
dst-port=80 protocol=tcp action=redirect
to-ports=3128 chain=dstnat dst-address=!192.168.0.1/24

================================================== ================

yang 3128 semuanya di ganti 8080 : caranya :

ip web-proxy set enable=yes
/ip web-proxy set port=3128
/ip web-proxy set max-cache-size=3145728 ( 3 kali total ram )
/ip web-proxy set hostname=”proxy.prima”
/ip web-proxy set allow-remote-requests=yes
/ip web-proxy set cache-administrator: “primanet.slawi@yahoo.com”
================================================== ================================================== ========
FILTERING :
http://www.mikrotik.com/testdocs/ros/2.9/ip/filter.php/ ip firewall filter
add chain=input connection-state=invalid action=drop \comment=”Drop Invalid connections”
add chain=input connection-state=established action=accept \comment=”Allow Established connections”
add chain=input protocol=udp action=accept \ comment=”Allow UDP”
add chain=input protocol=icmp action=accept \ comment=”Allow ICMP”
add chain=input src-address=192.168.0.0/24 action=accept \ comment=”Allow access to router from known network”
add chain=input action=drop comment=”Drop anything else”

ANTI VIRUS UTK MICROTIK :
add chain=forward action=jump jump-target=virus comment=”jump to the virus chain” ++++++++++++++++++++++++++++++++++++++++++++++++++ +++++

add chain=forward protocol=icmp comment=”allow ping”add chain=forward protocol=udp comment=”allow udp”add chain=forward action=drop comment=”drop everything else”================================================== =====

SECURITY ROUTER MICROTIK ANDA :
/ ip firewall filteradd chain=input connection-state=established comment=”Accept established connections”add chain=input connection-state=related comment=”Accept related connections”add chain=input connection-state=invalid action=drop comment=”Drop invalid connections” add chain=input protocol=udp action=accept comment=”UDP” disabled=no add chain=input protocol=icmp limit=50/5s,2 comment=”Allow limited pings” add chain=input protocol=icmp action=drop comment=”Drop excess pings” add chain=input protocol=tcp dst-port=22 comment=”SSH for secure shell”add chain=input protocol=tcp dst-port=8291 comment=”winbox” # Edit these rules to reflect your actual IP addresses! # add chain=input src-address=159.148.172.192/28 comment=”From Mikrotikls network” add chain=input src-address=10.0.0.0/8 comment=”From our private LAN”# End of Edit #add chain=input action=log log-prefix=”DROP INPUT” comment=”Log everything else”add chain=input action=drop comment=”Drop everything else”
“http://wiki.mikrotik.com/wiki/Securing_your_router“
================================================== ========================================
SETTING KEAMANAN JARINGAN HANYA UNTUK LOKAL AREA ANDA :
/ip firewall filteradd chain=forward connection-state=established comment=”allow established connections” add chain=forward connection-state=related comment=”allow related connections”add chain=forward connection-state=invalid action=drop comment=”drop invalid connections”
add chain=virus protocol=tcp dst-port=135-139 action=drop comment=”Drop Blaster Worm” add chain=virus protocol=udp dst-port=135-139 action=drop comment=”Drop Messenger Worm” add chain=virus protocol=tcp dst-port=445 action=drop comment=”Drop Blaster Worm” add chain=virus protocol=udp dst-port=445 action=drop comment=”Drop Blaster Worm” add chain=virus protocol=tcp dst-port=593 action=drop comment=”________” add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment=”________” add chain=virus protocol=tcp dst-port=1080 action=drop comment=”Drop MyDoom” add chain=virus protocol=tcp dst-port=1214 action=drop comment=”________” add chain=virus protocol=tcp dst-port=1363 action=drop comment=”ndm requester” add chain=virus protocol=tcp dst-port=1364 action=drop comment=”ndm server” add chain=virus protocol=tcp dst-port=1368 action=drop comment=”screen cast” add chain=virus protocol=tcp dst-port=1373 action=drop comment=”hromgrafx” add chain=virus protocol=tcp dst-port=1377 action=drop comment=”cichlid” add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment=”Worm” add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Bagle Virus” add chain=virus protocol=tcp dst-port=2283 action=drop comment=”Drop Dumaru.Y” add chain=virus protocol=tcp dst-port=2535 action=drop comment=”Drop Beagle” add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Drop Beagle.C-K” add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment=”Drop MyDoom” add chain=virus protocol=tcp dst-port=3410 action=drop comment=”Drop Backdoor OptixPro”add chain=virus protocol=tcp dst-port=4444 action=drop comment=”Worm” add chain=virus protocol=udp dst-port=4444 action=drop comment=”Worm” add chain=virus protocol=tcp dst-port=5554 action=drop comment=”Drop Sasser” add chain=virus protocol=tcp dst-port=8866 action=drop comment=”Drop Beagle.B” add chain=virus protocol=tcp dst-port=9898 action=drop comment=”Drop Dabber.A-B” add chain=virus protocol=tcp dst-port=10000 action=drop comment=”Drop Dumaru.Y” add chain=virus protocol=tcp dst-port=10080 action=drop comment=”Drop MyDoom.B” add chain=virus protocol=tcp dst-port=12345 action=drop comment=”Drop NetBus” add chain=virus protocol=tcp dst-port=17300 action=drop comment=”Drop Kuang2″ add chain=virus protocol=tcp dst-port=27374 action=drop comment=”Drop SubSeven” add chain=virus protocol=tcp dst-port=65506 action=drop comment=”Drop PhatBot, Agobot, Gaobot”
++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++++++++++++

#MatikanPort yang Biasa di pakai Spam :
/ip firewall filter add chain=forward dst-port=135-139 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=135-139 protocol=udp action=drop
/ip firewall filter add chain=forward dst-port=445 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=445 protocol=udp action=drop
/ip firewall filter add chain=forward dst-port=593 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=4444 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=5554 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=9996 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=995-999 protocol=udp action=drop
/ip firewall filter add chain=forward dst-port=53 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-port=55 protocol=tcp action=drop
/ip firewall filter add chain=forward dst-p

diatas di cek di websitenya lagi : http://www.mikrotik.com/documentation/manual_2.7/
http://www.mikrotik.com/docs/ros/2.9/ip/webproxy

lihat di system resource
dan 2/3 dari system resource di gunakan atau di alokasikan untuk : system resource print

************************************************** ******************************************
Graphing /tool graphing set store-every=hour[admin@MikroTik] tool graphing> print store-every: hour[admin@MikroTik] tool graphing> [admin@MikroTik] tool graphing interface> add interface=ether1 \allow-address=192.168.0.0/24 store-on-disk=yes[admin@MikroTik] tool graphing interface> printFlags: X - disabled # INTERFACE ALLOW-ADDRESS STORE-ON-DISK 0 ether1 192.168.0.0/24 yes[admin@MikroTik] tool graphing interface> [admin@VLP InWay] tool graphing> export
# oct/12/2005 09:51:23 by RouterOS 2.9.5
# software id = 1TLC-xxx
#
/ tool graphing
set store-every=5min
/ tool graphing queue
add simple-queue=all allow-address=10.8.2.99/32 store-on-disk=yes allow-target=yes disabled=no
/ tool graphing resource
add allow-address=0.0.0.0/0 store-on-disk=yes disabled=no
/ tool graphing interface
add interface=Inway allow-address=0.0.0.0/0 store-on-disk=yes disabled=no
add interface=LAN allow-address=0.0.0.0/0 store-on-disk=yes disabled=no
add interface=DMZ allow-address=0.0.0.0/0 store-on-disk=yes disabled=no

Tutorial mikrotik

2008-08-19T00:43:00.000-07:00

Tutorial Mikrotik

Langkah-langkah berikut adalah dasar-dasar setup mikrotik yang dikonfigurasikan untuk jaringan
sederhana sebagai gateway server.

1. Langkah pertama adalah install Mikrotik RouterOS pada PC atau pasang DOM.

2. Login Pada Mikrotik Routers melalui console :
MikroTik v2.9.7
Login: admin
Password: (kosongkan)

Sampai langkah ini kita sudah bisa masuk pada mesin Mikrotik. User default adalah admin
dan tanpa password, tinggal ketik admin kemudian tekan tombol enter.

3. Untuk keamanan ganti password default
[admin@Mikrotik] > password
old password: *****
new password: *****
retype new password: *****
[admin@ Mikrotik]] >

4. Mengganti nama Mikrotik Router, pada langkah ini nama server akan diganti menjadi “XAVIERO” (nama ini sih bebas2 aja mo diganti)
[admin@Mikrotik] > system identity set name=XAVIERO
[admin@XAVIERO] >

5. Melihat interface pada Mikrotik Router
[admin@XAVIERO] > interface print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R ether1 ether 0 0 1500
1 R ether2 ether 0 0 1500
[admin@XAVIERO] >

6. Memberikan IP address pada interface Mikrotik. Misalkan ether1 akan kita gunakan untuk koneksi ke Internet dengan IP 192.168.0.1 dan ether2 akan kita gunakan untuk network local kita dengan IP 172.16.0.1

[admin@XAVIERO] > ip address add address=192.168.0.1
netmask=255.255.255.0 interface=ether1
[admin@XAVIERO] > ip address add address=172.16.0.1
netmask=255.255.255.0 interface=ether2

7. Melihat konfigurasi IP address yang sudah kita berikan
[admin@XAVIERO] >ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.1/24 192.168.0.0 192.168.0.63 ether1
1 172.16.0.1/24 172.16.0.0 172.16.0.255 ether2
[admin@XAVIERO] >

8. Memberikan default Gateway, diasumsikan gateway untuk koneksi internet adalah 192.168.0.254
[admin@XAVIERO] > /ip route add gateway=192.168.0.254

9. Melihat Tabel routing pada Mikrotik Routers
[admin@XAVIERO] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf
# DST-ADDRESS PREFSRC G GATEWAY DISTANCE INTERFACE
0 ADC 172.16.0.0/24 172.16.0.1 ether2
1 ADC 192.168.0.0/26 192.168.0.1 ether1
2 A S 0.0.0.0/0 r 192.168.0.254 ether1
[admin@XAVIERO] >

10. Tes Ping ke Gateway untuk memastikan konfigurasi sudah benar
[admin@XAVIERO] > ping 192.168.0.254
192.168.0.254 64 byte ping: ttl=64 time<1 ms
192.168.0.254 64 byte ping: ttl=64 time<1 ms
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0/0.0/0 ms
[admin@XAVIERO] >

11. Setup DNS pada Mikrotik Routers
[admin@XAVIERO] > ip dns set primary-dns=192.168.0.10 allow-remoterequests=no
[admin@XAVIERO] > ip dns set secondary-dns=192.168.0.11 allow-remoterequests=no

12. Melihat konfigurasi DNS
[admin@XAVIERO] > ip dns print
primary-dns: 192.168.0.10
secondary-dns: 192.168.0.11
allow-remote-requests: no
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 16KiB
[admin@XAVIERO] >

13. Tes untuk akses domain, misalnya dengan ping nama domain
[admin@XAVIERO] > ping yahoo.com
216.109.112.135 64 byte ping: ttl=48 time=250 ms
10 packets transmitted, 10 packets received, 0% packet loss
round-trip min/avg/max = 571/571.0/571 ms
[admin@XAVIERO] >

Jika sudah berhasil reply berarti seting DNS sudah benar.

14. Setup Masquerading, Jika Mikrotik akan kita pergunakan sebagai gateway server maka agar client computer pada network dapat terkoneksi ke internet perlu kita masquerading.
[admin@XAVIERO]> ip firewall nat add action=masquerade outinterface=
ether1 chain:srcnat
[admin@XAVIERO] >

15. Melihat konfigurasi Masquerading
[admin@XAVIERO]ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=ether1 action=masquerade
[admin@XAVIERO] >

Setelah langkah ini bisa dilakukan pemeriksaan untuk koneksi dari jaringan local. Dan jika berhasil berarti kita sudah berhasil melakukan instalasi Mikrotik Router sebagai Gateway server. Setelah terkoneksi dengan jaringan Mikrotik dapat dimanage menggunakan WinBox
yang bisa di download dari Mikrotik.com atau dari server mikrotik kita.

Misal Ip address server
mikrotik kita 192.168.0.1, via browser buka http://192.168.0.1 dan download WinBox dari situ.
Jika kita menginginkan client mendapatkan IP address secara otomatis maka perlu kita setup dhcp server pada Mikrotik. Berikut langkah-langkahnya :

1.Buat IP address pool
/ip pool add name=dhcp-pool ranges=172.16.0.10-172.16.0.20

2. Tambahkan DHCP Network dan gatewaynya yang akan didistribusikan ke client Pada contoh ini networknya adalah 172.16.0.0/24 dan gatewaynya 172.16.0.1
/ip dhcp-server network add address=172.16.0.0/24 gateway=172.16.0.1

3. Tambahkan DHCP Server ( pada contoh ini dhcp diterapkan pada interface ether2 )
/ip dhcp-server add interface=ether2 address-pool=dhcp-pool

4. Lihat status DHCP server
[admin@XAVIERO]> ip dhcp-server print
Flags: X - disabled, I - invalid
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0 X dhcp1 ether2
Tanda X menyatakan bahwa DHCP server belum enable maka perlu dienablekan terlebih dahulu pada langkah 5.

5. Jangan Lupa dibuat enable dulu dhcp servernya
/ip dhcp-server enable 0

kemudian cek kembali dhcp-server seperti langkah 4, jika tanda X sudah tidak ada berarti sudah aktif.

6. Tes Dari client
c:\>ping www.yahoo.com

untuk bandwith controller, bisa dengan sistem simple queue ataupun bisa dengan mangle
[admin@XAVIERO] queue simple> add name=Komputer01
interface=ether2 target-address=172.16.0.1/24 max-limit=65536/131072
[admin@XAVIERO] queue simple> add name=Komputer02
interface=ether2 target-address=172.16.0.2/24 max-limit=65536/131072
dan seterusnya…

Cara membuat warnet

2008-08-19T00:33:00.000-07:00

Daer neter
Bikin warnet sekarang gampang dan mudah hanya dengan modal 20 juta bisa jalan tuh warnet...hhehehe
1. pilih PC komputer yang tidak mahal juga masih bisa digunakan misal P3 paling di pasaran yang second itu masih di bawah 1 juta taua paling tidak PC komplit + monitor 17 inchi dah dapet tuh
2. Billing software
3. isp yang paling murah sekarang paling speedy kali ya apalagi ada discount..hheheh
4 udah langsung jalan....
5 untuk realisasinya tunggu ya...babak berikutnya nanti akan di ulas tuntas ampai habis...

tutorial mikrotik

2008-07-08T00:52:00.000-07:00