Mtcna PDF

Mikrotik Training Schedule
Certified Network Associate

Organized by : Citraweb Nusa Infomedia
www.mikrotik.co.id
Jadwal Training
Session 1 Session 2 Session 3 Session 4
Installation
Pre Test Bridge
& Basic
Hari 1 & &
Basic Config
Introduction Switch
Networking
Hari 2 Route Wireless Firewall QOS
Hari 3 VPN CERTIFICATION TEST
00-2 Mikrotik Indonesia http://www.mikrotik.co.id 8/25/2016

Jadwal Harian
 Sessi 1 08.30 – 10.00
 Coffee Break 10.00 – 10.30
 Sessi 2 10.30 - 12.00
 Lunch 12.00 – 13.00
 Sessi 3 13.00 – 14.30
 Coffee Break 14.30 – 15.00
 Sessi 4 15.00 - 17.00
00-3 Mikrotik Indonesia http://www.mikrotik.co.id 8/25/2016

Skema Training
MTCNA
MTCTCE MTCRE MTCWE MTCUME
MTCINE
00-4 Mikrotik Indonesia http://www.mikrotik.co.id 25-Aug-16

Sertifikasi
 Ujian online di www.mikrotik.com
 Syarat Kelulusan : ≥ 60% atau ≥ 75%
(Trainer)
 25 Soal dalam 60 menit
 2nd Chance : 50% – 59%

License for training program materials and certification
test questions
All content of written materials, specifically questions, answers and diagrams

of the certification tests questions are the proprietary and confidential property
of Mikrotikls SIA. They may not be copied, reproduced, modified, published,
uploaded, posted, transmitted, or distributed in anyway without prior written
permission of Mikrotikls SIA.
You are expressly prohibited from disclosing, publishing, reproducing, or
transmitting any tests and any related information including, without limitation,
questions, answers, worksheets, computations, drawings, diagrams, length or
number of test segments or questions, or any communication, including oral
communication, regarding or related to the tests (known collectively as
“Proprietary Information”), in whole or in part, in any form or by any means,
oral or written, electronic or mechanical, for any purpose.
A disclosure of Proprietary Information by any means in violation of this license
undermines the integrity and security of the MikroTik training programs
Violation of Test Questions license may lead to a temporary or permanent

ban on future MikroTik certification tests and the cancellation of previously
earned MikroTik certifications.

INTRODUCTION
Academy Preparation Class

www.mikrotik.co.id
Citraweb Nusa Infomedia
 Using Mikrotik since 2001, as Wireless ISP
(CitraNet)
 Mikrotik OEM Authorized Reseller (2002)
http://www.mikrotik.com/buy
 One engineer:
Mikrotik Certified Consultant (2005)
http://www.mikrotik.com/consultants
 Mikrotik Certified Training Partner (2005)
http://www.mikrotik.com/training

Citraweb Nusa Infomedia (2)
 Head Office
 Jalan Petung 31 Papringan
Yogyakarta, 55281
Telp: 0274-554444
Fax: 0274-553055
 Rep. Office
 Gedung Cyber Lt 11
Jl Kuningan Barat 8 Jakarta 12710
Telp: 021-5209612
Fax: 021-5209614
www.mikrotik.co.id
MikroTik ??
 Mikrotik adalah kependekan dari “mikrotikls”
 Artinya: “network kecil” dalam bahasa Latvia
www.mikrotik.com
MikroTik Product
 RouterOS (ROS)
 Merupakan Sistem Operasi berbasis Linux
yang didesain khusus untuk fungsi-fungsi
manajemen jaringan
 RouterBoard (RB)
 Merupakan solusi perangkat keras jaringan
yang didesain secara compact tetapi kaya
fitur karena menggunakan ROS sebagai
sistem operasinya

RouterOS Feature
 IP Routing
 Static, policy, dynamic (RIP, OSPF, BGP), multicast
 Interface
 Ethernet, Wireless, Bridge, Tunnel, VPN, MPLS
 Firewall
 Filter, Mangle, NAT, L7 protocol, Fasttrack
 Bandwidth Management
 HTB, PFIFO, BFIFO, SFQ, PCQ, RED
 Services (Server)
 Proxy, Hotspot, DHCP, DNS, DDNS, NTP, User-Manager, Samba
 AAA
 Radius Client, IP Accounting, Traffic Flow
 Monitoring
 Graphs, Watchdog, Torch, Custom Log, SNMP, The Dude, Netwatch
 Diagnostic Tools & Scripting
 Ping, Tracert, Scheduller, Scripting, Capsman
 VRRP
Detail : http://wiki.mikrotik.com/wiki/Manual:RouterOS_features

RB for Wireless Outdoor
Jenis Processor RAM Ether MiniPCI Radio SFP
RB800 800MHz 256MB 3 GE 4 - -
RB43x series 680/300MHz 256/128/ 64MB 3(GE/FE) 3/5 - -
RB41x series 680/300 64/32MB 1 1 opt -

MHz (GE/FE)
Groove Series 600MHz 128/64MB 1 FE - 1 -
Metal series 400MHz 64MB 1FE - 1 -
NetMetal series 720Mhz 128 MB 1GE - 1 1
BaseBox series 600Mhz 64MB 1GE - 1 -
NetBox series 720 MHz 128 MB 1GE - 1 -
RB91x series 600MHz 64/32MB 1 GE 1/2 opt -
RB71x series 400MHz 64MB 1FE 1/2 opt -
Update : 10 Mei 2016

RB for Wireless Indoor
Jenis Processor RAM Ethernet Antenn SFP
a
RB2011UiAS-2HnD 600MHz 128MB 5FE+5GE 2 x 4 dBi opt
RB962 Series 720MHz 128MB 5GE 3 x 2 dBi opt
RB951 Series 600/650MHz 32/128MB 5(GE/FE) 2 x 2,5 dBi -
RB941 (hAP-Lite) 650MHz 32MB 4FE 2 x 1,5 dBi -
cAP 300Mhz 32MB 1FE 1 x 2 dBi -
wAP 650MHz 64MB 1 x 2 dBi 2 x 2 dBi -
mAP 400/650MHz 32/64MB 1FE 1 x 1,5 dBi -

RB for Indoor Router
Jenis Processor RAM Ethernet Radio SFP
1,2GHz
CCR series (9/16/36/72 2/4/16GB 12GE 0 opt
Core)
RB1100AH X2 1Ghz Dual 2GB 13GE 0 0
RB3011 1.4GHz Dual 1GB 10GE 0 opt
RB2011 Series 600MHz 128/64MB 5FE+5GE opt opt
RB850Gx2 500MHz Dual 512MB 5GE 0 0
RB450 Series 300/680MHz 32/256MB 5(GE/FE) 0 0
RB750 Series 400/850MHz 32/64MB 5(GE/FE) 0 0

Embbeded RB
Jenis Processor RAM Ethernet Radio Antenna SFP
OmniTIK
400MHz 32MB 5 FE 26/30dbm 7,5db -
Series
mANTBox-15s 720 Mhz 128MB 1GE 31dbm 15db 1
SEXTANT 600MHz 32MB 1 GE 30dbm 18db -
SXT Series 400/600MHz 32MB/64MB 1 (FE/GE) 27/31/32dbm 10/16db -
QRT Series 400MHz 64MB 1 GE 35dbm 16db -

Manageable Switch
Type Proc RAM Eth Wireless SFP PoE Out
RB260GS - - 5GE - 1 -
RB260GSP - - 5GE - 1 Yes, eth2-eth5
CRS109-8G-1S-2HnD-IN 600MHz 128MB 8GE Yes 1 -
CRS112-8G-4S-IN 400MHz 128MB 8GE - 4 -
CRS125-24G-1S-2HnD 600MHz 128MB 24GE Yes 1 -
CRS125-24G-1S-IN 600MHz 128MB 24GE - 1 -
CRS125-24G-1S-RM 600MHz 128MB 24GE - 1 -
2
CRS125-24G-2S+IN 400MHz 64MB 24GE -
(10Gig)
-

Discontinue RB
 RB100 series  RB500 series
 RB112,RB133,RB133C  RB532,RB511
 RB153,RB150,RB192  RB600 series
 RB600
 RB200 series
 RB700 series
 RB230
 RB750G
 RB300series
 RB1000 series
 RB333
 RB1000, RB1100,
 RB400 series RB1100AH, RB1200
 RB411A,RB411R Daftar lengkap :
http://mikrotik.co.id/produk.php?kategori=
47

Product Naming
RB 9 2 1 UAGS - 5SHPacD - NM
Fitur Board Fitur Wireless Jenis Casing
Wireless
Ethernet
900 Series
RouterBoard

Product Naming (2)
Fitur Board :
U : USB G : Gigabit
P : PoE-Out L : Light Edition
i : Single PoE-Out S : SFP
A : RAM E : PCIe
H : CPU R : MiniPCIe
Jenis Casing :
BU : Board Unit SA : Sectoral Antenna
RM : Rack Mount HG : High Gain Antenna
IN : Indoor enclosure BB : BaseBox Enclosure
EM : Extended Memory NB : NetBox Enclosure
LM : Light Memory NM : NetMetal Enclosure
BE : Black Edition QRT : QRT Enclosure
TC : Tower Case SX : Sextant Enclosure
Out : Outdoor Enclosure PB : PowerBox Enclosure

Product Naming (3)
5 SHP ac D
BAND Power Protocol Number of Chain

Band :
Protocol :
5 : 5GHz
n : 802.11n
2 : 2GHz
ac : 802.11ac
52 : dualband 5GHz/2GHz
Power : Number of Chain

H : High (23-24dBm) D : Dual Chain
HP : High Power (25-26dBm) T : Triple Chain
SHP : Super High Power (>27dBm)

Mikrobits – Enterprise
Router
 7 / 11 Intel gigabit ethernet
 Multi Core Processor
 1U rackmount
 2 GB RAM
 Industrial grade
 Performance :
 2-4 Gbps full duplex (Ainos)
 3-5 Gbps full duplex (Celoica)
 9000 jumbo frame supported
Mikrobits – Fiber Optic Router
 16 Intel gigabit ethernet
 Xeon Multi Core Processor
 1U rackmount
 2 GB RAM
 Industrial grade
 Performance :
 6-8 Gbps full duplex
 9000 jumbo frame supported
 4 SFP or 8 SFP
License Level
Level 3 4 5 6
Wireless CPE/PTP yes
Wireless AP no yes
Sync Interface no yes
EoIP, VLAN unlimited
PPPoE, PPTP, L2TP 200 200 500 unlimited
OpenVPN 200 200 unlimited
Firewall, Queue unlimited
Proxy, Radius Client yes
Dynamic Routing RB = yes yes
Hotspot Active User 1 200 500 unlimited
User Manager Active User 10 20 50 unlimited
Level 0 = Trial 24 Jam , Level 1 = Hanya bisa 1 rule di semua fitur

http://wiki.mikrotik.com/wiki/Manual:License
Quick Tips
 Kenalilah kebutuhan Anda :
 Fungsi perangkat (Router, Server dll)
 Jumlah trafik (Real Troughput)
 Fitur yang dibutuhkan (Proxy, Hotspot, Radius)
 Interface yang dibutuhkan
 Baik menggunakan PC ataupun menggunakan
Routerboard, fitur Mikrotik RouterOS selalu
sama (tergantung pada level yang digunakan)

Buyer Guide
 300 / 400 Mhz Processor ( < 5Mbps Traffic)
 RB450, RB750, RB433, RB941 (hAP-Lite)
 680 Mhz Processor ( 5 ~ 20 Mbps Traffic)
 RB450G, RB850Gx2, RB433AH
 1Ghz Processor ( 20 ~ 100 Mbps Traffic)
 RB1100AHx2
 1Ghz Dual Core Processor ( > 100 Mbps Traffic)
 Cloud Core Router (CCR)
 Multi Core x86 Processor ( > 1 Gbps Traffic)
 Mikrobits : Aneto, Ainos, Dinara
 Xeon Processor ( > 10 Gbps Traffic)
 Mikrobits : Dinara
Product Compare
www.routerboard.co.id

Quiz!
 Untuk distribusi wireless dalam kantor bagi
laptop/gadget karyawan paling tepat menggunakan
akses point Mikrotik dengan Lisensi Level 3
(Benar/Salah)

INSTALLATION

www.mikrotik.co.id
Media Storage
 RouterOS bisa digunakan untuk
routerboard ataupun PC (x86)
 Media yang digunakan untuk OS :
 Harddisk
 CF Disk
 DOM (Disk On Module)
 USB Flashdisk
 NAND Storage (RB Only)

Installation Method
 CD (untuk PC x86)
 Download .iso
 Burn ke CD
 Set PC boot to CDROM lalu Install
 (langkah detil : http://mikrotik.co.id/artikel_lihat.php?id=113)
 Netinstall (untuk PC x86 / RB)
 Download .npk + Netinstall.exe
 Set boot to ethernet
 Install
 (langkah detil : http://www.mikrotik.co.id/artikel_lihat.php?id=25)
 CHR (Untuk virtualiasi)
 Download .vdi / .vmdk
 Mount di virtualbox
 Running
 (langkah detil : http://www.mikrotik.co.id/artikel_lihat.php?id=158)

Download Area
http://www.mikrotik.co.id/download.php IIX
http://www.mikrotik.com/download

RouterOS Package
Jenis Package Tipe Router
RB4xx, RB7xx, RB9xx, Groove,

MIPSBE
Metal, Omnitik, RB2011 Series
MIPSLE RB1xx, RB5xx
PowerPC (PPC) RB3xx, RB6xx, RB8xx
Tilera (Tile) CCR Series
SMIPS hapLite
ARM RB3011 Series
x86 PC x86
CHR Virtual Machine (virtualbox, dsb)

Reset Button
Tombol reset hanya bekerja sebelum proses

OS dimulai, jadi power harus mati dahulu baru
ditekan dan ditahan tombol resetnya
1. Ditahan 3 detik  load backup routerboot
loader
2. Ditahan 2 detik  reset configuration (led
flash kedip)
3. Ditahan 5 detik  mengaktifkan CAP (led
flash nyala solid)
4. Ditahan 5 detik  netinstall mode (led mati)

Netinstall (1)
• Kabel Ethernet dari laptop yang menjalankan Netinstall, terhubung ke
ether1 atau ke port Boot pada Routerboard
• Selain itu juga bisa untuk netinstall ke sebuah PC router, jika PC router
tersebut support boot via ethernet (PXE)

Netinstall (2)
Client IP Address merupakan IP yang akan terpasang di router untuk

proses instalasi dan harus 1 network dengan IP laptop

Netinstall (3)

Netinstall (4)

Netinstall (5)

RouterOS Package (1)
Package bisa dikurangi ataupun ditambahkan lagi sesuai kebutuhan

selama versi masih sama, langkah sama dengan manual upgrade

RouterOS Package (2)
Package Fungsi
Advanced Tools Advanced ping tools, netwatch, ip-scan, sms, WOL
DHCP DHCP Server & Client
Hotspot Hotspot Captive Portal
IPv6 Support IPv6
MPLS Support MPLS
PPP PPP, L2TP, PPPoE, PPTP, SSTP, OpenVPN
Routing RIP, BGP, OSPF dan fungsi dynamic routing filter
Security IPSec, SSH, Secure Winbox
System Fungsi dasar router (static route, ip address, telnet, firewall,
queue, webproxy, dns, tftp, snmp, email dsb
Wireless-CM2 Support Capsman
Wireless-FP Support Fastpath
http://wiki.mikrotik.com/wiki/Manual:System/Packages

Upgrade RouterOS
 Manual
 Winbox (drag n drop package ke menu files)
 FTP (upload file package ke router)
 The Dude
 Automatic
 Check for Update (direct to mikrotik.com)
 Auto Upgrade (mirror lokal)

Manual Upgrade
Upgrade cukup dengan soft-reboot

/system reboot

Check For Updates
Router harus bisa terkoneksi ke internet

Downgrade RouterOS
/system package downgrade

Quiz!
 Proses Upgrade versi RouterOS akan menghapus
konfigurasi yang sudah tersimpan. (Benar/Salah)
 Jika RouterOS package Advanced-Tools di-disable /

uninstall, maka tidak dapat dilakukan ping dan
traceroute dari Router. (Benar/ Salah)
 Netinstall dapat digunakan untuk ?

 Install ulang RouterOS
 Fresh Install RouterOS
 Upgrade RouterOS tanpa menghapus konfigurasi

Basic Configuration

www.mikrotik.co.id
Remote Access
 GUI :
 Winbox
 WebFig
 CLI
 SSH
 Telnet
 Serial

Winbox

Winbox (2)
 MAC-Winbox  Digunakan jika router
BELUM terpasang IP
 IP – Winbox  Digunakan jika router
SUDAH terpasang IP
 Hindari penggunaan mac-winbox di harian
 Default user : admin

 Default pass :

Winbox (3)

Webfig
Menggunakan aplikasi browser dengan membuka alamat IP Router

SSH & Telnet

Command Line Interface
 CLI digunakan pada saat kita remote
menggunakan serial, telnet, ssh atau “New
Terminal” pada winbox
 Struktur perintah (command) pada CLI mirip
dengan sistem hierarki menu pada winbox

 Ex : Menambah IP pada router
/ip address add address=192.168.128.101/24

interface=ether1
/ip  menu utama (level0), address  submenu
(level1), add  command menambahkan rule

General Command CLI
add menambahkan entri tertentu
comment membubuhkan komentar pada suatu entri
disable menonaktifkan entri tertentu
enable mengaktifkan entri tertentu
monitor memonitor parameter secara live
print menampilkan semua entri secara singkat
print detail menampilkan semua entri secara lengkap
remove menghapus entri tertentu
set mengubah parameter tertentu pada
sebuah entri
CLI Navigation
? Menampilkan pilihan perintah yang

tersedia beserta keterangannya
[TAB] Melengkapi perintah yang baru terketik
sebagian
[TAB][TAB] Menampilkan pilihan perintah yang
tersedia beserta keterangannya
.. Berpindah 1 level ke atas pada hirarki
menu
/ Berpindah ke level teratas pada hirarki
menu

CLI Tips
 Quick Typing
 [TAB] untuk melengkapi perintah tertentu
• /system shut [TAB] = /system shutdown
 Juga bisa menggunakan singkatan
• /sys shut = /system shutdown
 Contoh penggunaan lebih kompleks

 http://wiki.mikrotik.com/wiki/Scripting

Quick Set
Melakukan konfigurasi dasar Mikrotik secara cepat

Basic Topology
Internet
WLAN1 WLAN1 WLAN1

10.10.10.1/24 10.10.10.2/24 10.10.10.X/24
ETHER1 ETHER1 ETHER1

192.168.1.1/24 192.168.2.1/24 192.168.X.1/24
ETHERNET PORT ETHERNET PORT ETHERNET PORT

192.168.1.2/24 192.168.2.2/24 192.168.X.2/24
MEJA 1 MEJA 2 MEJA X

IP Configuration
Lab-1 adalah sebuah simulasi  Routerboard Setting
konfigurasi dasar sebuah Router  WAN IP : 10.10.10.x/24
Mikrotik yang akan digunakan di
 Gateway : 10.10.10.100
jaringan local seperti Warnet,
Office, Kampus atau bahkan di  LAN IP : 192.168.x.1/24
RT/RW-NET
 DNS : 10.100.100.1
X = nomor peserta  Src-NAT and DNS Server
 Laptop Setting
 IP Address : 192.168.x.2/24
 Gateway : 192.168.x.1
 DNS : 192.168.x.1

[LAB-1] Connect to Router
1. Matikan Wireless dan Interface
selain Ethernet (LAN) pada
laptop
2. Setting IP Manual pada laptop
3. Remote router dengan MAC
winbox

[LAB-2]Connect to AP

[LAB-2]Connect to AP*opt

[LAB-3]IP Setting

[LAB-4]Default Gateway

[LAB-5]DNS Config
Jika mengaktifkan “Allow Remote Request” biasakan untuk proteksi dari Internet

[LAB-6]Masquerade

CLI Basic Config
 Konfigurasi wireless sebagai media untuk backbone
 /interface wireless set wlan1 mode=station ssid=training disabled=no
 Konfigurasi IP Address
 /ip address add address=10.10.10.x/24 interface=wlan1
 /ip address add address=192.168.x.1/24 interface=ether1
 Konfigurasi Routing – Default Gateway
 /ip route add gateway=10.10.10.100
 Konfigurasi DNS
 /ip dns set servers=10.100.100.1 allow-remote-request=yes
 Konfigurasi NAT
 /ip firewall nat add chain=srcnat out-interface=wlan1 action=masquerade

Troubleshoot
 Test ping dari Router ke Gateway (10.10.10.100)
 Jika error : Cek Wireless connection, Cek IP Address pada wlan1
 Test ping dari Router ke Internet (contoh: yahoo.com)

 Jika error : Cek DNS Server Setting
 Test ping dari Laptop ke Router Anda (10.10.10.x)

 Jika error : Cek konfigurasi laptop, Cek IP Address pada Ether1
 Test ping dari Laptop ke Gateway (10.10.10.100)

 Jika error : Cek Firewall - NAT
 Test ping dari Laptop ke Internet (contoh: yahoo.com)

 Jika error : Cek setting DNS pada laptop dan router
o Cek koneksi Laptop secara menyeluruh (browsing, chatting,

download,dsb)

Quiz – 1
Dengan konfigurasi router sebagai berikut :
/ip address
add address=202.65.113.16/24 interface=ether1
add address=202.65.114.116/24 interface=ether2
/ip route add gateway 202.65.113.254
/ip dns set server=202.65.112.21 allow-remote-request=no
Sedangkan konfigurasi PC sebagai berikut :

IP : 202.65.114.1 Gatway : 202.65.114.116
Netmask :255.255.255.0 DNS : 202.65.113.16
1. Apakah PC sudah bisa akses ke internet (ex : ping 8.8.8.8) ?

2. Apakah PC sudah bisa browsing ke facebook.com ?

[LAB-7]Identity

Backup Configuration
Ada 2 metode yang bisa kita gunakan untuk
membuat file cadangan konfigurasi router kita
 Metode Backup ( .backup )
• Hasil file berupa binary hanya bisa digunakan di
router yang sama dan tidak bisa diedit
• Menyimpan semua konfigurasi termasuk
username & password router
 Metode Export ( .rsc )
• Hasil file berupa script bisa diedit dan juga bisa
digunakan di router lain
• Tidak bisa menyimpan konfigurasi username &
password router

[LAB-8]Backup

[LAB-9]Reset
*Hanya bisa dilakukan oleh user yang menggunakan hak akses FULL

Default Config
 Terdapat “default-configuration” pada
RouterBoard keluaran terbaru
 Biasanya, pada RouterBoard dengan 5 port
ethernet atau lebih terdapat config :
 Ether2-ether5 dan wireless (jika ada) dikonfigurasi mode
bridge atau switch dengan ip 192.168.88.1/24
 Interface wireless (jika ada) menerapkan authentication
(WPA/WPA2)
 Ether1 tidak dapat diremote, gunakan port ether lain.
 Jika tidak dibutuhkan bisa dihapus pada saat awal
remote Router atau dengan perintah :
/system reset-configuration no-defaults=yes

[LAB-10]Restore

Export
Metode export bisa membackup semua konfigurasi yang kita

create manual (kecuali username & password) atau bisa juga
untuk konfigurasi tertentu
Export Command
 Sebagian atau keseluruhan konfigurasi?
 /export
 Mengambil semua konfigurasi yang telah dilakukan pada
Router
 /[direktori menu] export

 Mengambil hanya konfigurasi pada menu yang ditunjuk.
 Contoh : /ip address export

Export Command
 Disimpan dalam bentuk file atau hanya ditampilkan?
 /export
 Menampilkan hasil export / script pada New Terminal
 /export file-name=export
 Hasil export disimpan pada disk dalam bentuk file rsc
 Contoh : /ip address export file-name=IP

Export (2)

Import
• Metode yang dilakukan import adalah menambahkan rule sesuai

konfig yang ada file rsc
• Hati-hati untuk router yang sudah terdapat konfigurasi

Quiz – 2
 Perintah /import file-name=namaBackup.backup
merupakan perintah untuk mengembalikan konfigurasi
yang telah disimpan
 Router membutuhkan restart / reboot pada saat

proses import. (Benar/Salah)

DHCP
Dynamic Host Configuration Protocol
digunakan untuk secara dinamik
mendistribusikan konfigurasi jaringan, seperti:
 IP Address dan netmask
 IP Address default gateway
 Konfigurasi DNS dan NTP Server
 Dan masih banyak lagi custom option
(tergantung apakah DHCP client bisa support)

DHCP Implementation
Wlan1 DHCP Client
Ether1 Static IP
Internet
Ether5 DHCP server
Karyawan Tetap
Tamu
Mikrotik support DHCP server / client sekaligus

[LAB-11]DHCP Client
Dalam kondisi tertentu, kita tidak mengetahui IP yang ada di sebuah

perangkat (misal : public wifi). Dalam kasus ini kita bisa mengaktifkan
DHCP client

DHCP Client Status

[LAB-12] DHCP Server (1)
/ip dhcp-server setup

[LAB-12] DHCP Server (2)

[LAB-12]DHCP Server (3)
 Ubahlah konfigurasi IP Address dan DNS
pada laptop menjadi otomatis
 Cek pada laptop apakah sudah
mendapatkan alokasi IP Address dari
DHCP
 C:\ ipconfig [enter]
 Cobalah melakukan koneksi internet

DHCP Leases
Berisi semua list IP yang sudah diberikan ke user

Agar client selalu mendapatkan IP yang sama, bisa diset make static

Static Leases

DHCP Static-Only
Jika address-pool=static-only maka DHCP Server hanya meerima client

yang sudah ditambahkan pada Static Leases

IP Pool
Merupakan daftar range IP yang akan

diberikan oleh service Router kita
Service tersebut antara lain :
• DHCP
• Hotspot
• PPP (vpn)

Simple DHCP Security (1)
Dengan menggunakan mode
ARP=Reply-Only pada interface,
maka router hanya akan
berkomunikasi ke perangkat yang
sudah terdaftar MAC serta IP
address di ARP List
Kita bisa menambahkan static ARP untuk perangkat yang menggunakan IP Static
Simple DHCP Security (2)
Add ARP For Leases, router akan mengupdate tabel ARP jika ada client yang
request / release IP DHCP

Quiz – 3
 DHCP Server dan Client dapat diaktifkan pada satu
interface yang sama. (benar/salah)
 IP Pool dapat dikonfigurasi secara manual dan dapat

berisikan IP yang tidak satu segment / network.
(Benar/Salah)

Basic Router Security
GANTI USERNAME + PASSWORD
Untuk keamanan /privacy, fitur yang tidak kita gunakan

bisa kita matikan / disable / modifikasi:
• /ip service
• /ip neighbor discovery
• /tool mac-server

RouterOS User
Jika dirouter terdapat user “lain” yang memiliki access group FULL, maka
username admin bisa kita disable/remove
RouterOS Group
Dengan menggunakan Groups, kita bisa menentukan priviledge / hak

masing-masing user yang meremote router kita

IP Service
Untuk keamanan, bisa dirubah portnya atau ditentukan darimana aksesnya

Jika tidak digunakan bisa kita disable servicenya

IP Neighbors
Neighbors akan menampilkan semua perangkat yang mengaktifkan

MNDP atau CDP dan masih berada di layer 2 yang sama

Neighbors Discovery
Dengan mendisable interface pada
discovery, maka router kita tidak akan
menampilkan list neighbor yang ada di
interface tersebut DAN router kita tidak
tertampil di neighbor router lain ataupun di
winbox Neighbors

MAC Server
Di MAC Server, kita bisa menonaktifkan fitur MAC-TELNET, MAC-WINBOX

serta MAC PING atau menentukan di interface tertentu saja fitur tersebut aktif

RouterOS Tools
 Selain sebagai router, Mikrotik RouterOS juga tersedia
berbagai macam tools yang bisa kita gunakan untuk
memonitoring jaringan atau router kita
 Antara lain :
 Email
 Netwatch
 Ping &Traceroute
 Profile
 Torch
 Graphing
 SNMP
 The Dude
 Logging

Email
Email Setting digunakan untuk pengaturan SMTP Server

Fungsi kirim email secara manual bisa dilakukan via “Send Email”
Biasanya dikombinasikan dengan scripting atau scheduler untuk pengiriman

warning atau file backup secara rutin
Contoh : http://mikrotik.co.id/artikel_lihat.php?id=119
Netwatch
Dengan netwatch, router kita akan mengirimkan icmp ke sebuah host dengan
interval yang kita tentukan

Netwatch (2)
Router akan menjalankan script pada tab “UP” atau “DOWN” sesuai kondisi
host yang dimonitoring
Contoh : http://mikrotik.co.id/artikel_lihat.php?id=85

Ping
Fitur ping di routerOS juga bisa digunakan untuk ping ke MAC-ADDRESS

(MAC-PING) selama target juga mensupport

Traceroute
Digunakan untuk menampilkan host / gateway yang dilewati untuk ke sebuah tujuan

Profile
Memonitor service yang berjalan di router kita dan efeknya ke cpu load router

Torch
Torch bisa digunakan untuk memonitor trafik secara realtime di router kita

Graphing (1)
Merupakan fitur untuk menampilkan graph dari trafik yang berlangsung di

sebuah interface atau Queue simple
Selain itu juga bisa digunakan untuk membuat graph dari resource router kita
(CPU, RAM, DISK)
Graph ini bisa akan diupdate per 5menit / per jam atau perhari sesuai interval
yang ada di graphing settings
Graphing (2)

SNMP
Simple Network Management Protocol (SNMP) biasanya terdiri dari 2 mesin,

mesin yang mengaktifkan SNMP (agent) dan mesin yang mengambil serta
mengolah data (manager)
Mikrotik RouterOS support SNMP v1, v2 dan v3
Contoh implementasi : http://mikrotik.co.id/artikel_lihat.php?id=81

The Dude (1)
 Aplikasi MikroTik yang bisa kita gunakan untuk
memonitor jaringan secara utuh.
 Feature :
 Automatic discovery + layout map of devices
 Monitoring of services & Alerting
 Support SNMP, ICMP, DNS & TCP monitoring
 GRATIS 
 Dude Server berjalan di CCR, CHR atau X86
sedangkan untuk client bisa dijalankan di OS
Windows
The Dude (2)

Logging
Digunakan untuk notifikasi aktifitas atau
status dari router kita
Contoh detil : http://mikrotik.co.id/artikel_lihat.php?id=50

BTEST
Aplikasi yang bisa kita gunakan
untuk melakukan bandwidth test
ke router mikrotik atau ke PC lain
yang juga menjalankan BTEST

Quiz – 4
 Tool Graph digunakan untuk menampilkan data
secara real time (Benar/Salah)
 Log pada Mikrotik secara default disimpan pada

memory (RAM). (Benar/Salah)

Bridging, Switching &
Routing

www.mikrotik.co.id
Interconnection
Eth3<>Eth4<>Eth5 = BRIDGING/SWITCHING
Eth1<>Eth2<>(Bridge1) = ROUTING
INTERNET
192.168.2.1/24 192.168.1.1/24 192.168.1.2/24 192.168.1.3/24

Bridge / Switch Concept
 Digunakan untuk menggabungkan 2 atau
lebih interface yang bertipe ethernet
kedalam sebuah broadcast domain yang
sama
 Proses ini dilakukan di OSI layer 2
 Software mode : Bridge

 Hardware Mode : Switch

Bridge VS Switch
Feature BRIDGE SWITCH
Level Software Hardware
Platform Semua (RB / PC) Hanya RB tertentu
Interfaces Ethernet, VLAN, Wireless, Ethernet (tergantung chipset)
SFP, Tunnel
Monitoring Trafik antar port bisa dikontrol Trafik antar port yang dalam
1 switch tidak bisa dikontrol
Firewall Support Tidak
Speed Slower (CPU HOG) Faster

[LAB-1]Bridge Mode
Ether2 Ether2
Ether1 Ether1
172.16.1.1/24 172.16.1.2/24

[LAB-1]Bridge Interfaces

[LAB-1]Bridge Port

[LAB-1]Testing
 Set IP laptop sesuai dengan topologi [LAB-
1]
 Test ping antar laptop
 Amati service yang semula dijalankan di
ether1 (DHCP server, IP Address)
 Amati di tabel neighbor dan Bridge HOST
 Test file sharing antar laptop dan amati
CPU load serta Interfaces stats

Bridge Note
 Service yang ada di slave port, harus
dipasangkan ke interface Bridge agar berjalan
normal
 Wireless mode yang support bridging :
 apbridge, bridge, station-wds, station-
pseudobridge, station-pseudobridge-clone,
station-brige, wds-slave
 Tunnel yang support bridging : EoIP
 MAC interface bridge akan mengacu ke
interface slave yang pertama kali running
 Gunakan bridge host untuk memapping mac
perangkat lain di tiap brige port

STP / RSTP
 Spanning Tree Protocol
 Rapid Spanning Tree
Protocol
 By default aktif
 Berfungsi untuk
mencegah terjadinya
bridge loop

Bridge Firewall
Bridge Filter & Nat bisa kita gunakan untuk melakukan

firewall antar port yang masih dalam 1 bridge

IP Firewall
Aktifkan “Use IP Firewall” jika trafik antar portnya ingin diatur di layer 3
- /Ip firewall
- /queue

[LAB-2]Switch Mode
Ether2 Ether2
Ether3 Ether3
172.16.1.1/24 172.16.1.2/24

[LAB-2]Master Port

[LAB-2]Testing
 Test ping antar laptop
 Amati di tabel neighbor dan Switch HOST
 Test file sharing antar laptop dan amati
CPU load serta Interfaces stats

Switch Tips
 Fitur-fitur switch dan interface yang bisa
digabung menjadi switch di tiap routerboard
bisa berbeda tergantung chipset
controllernya
 Setiap service yang dijalankan di
masterport, secara otomatis akan berjalan
juga di semua slave portnya
 Jika di router terdapat 2 switch chip dan
ingin digabungkan ke dalam 1 broadcast
domain, kedua masterport bisa dibridging
Switch Chip

Switch Chip Group
RouterBoard Switch Group RouterBoard Switch Group
RB3011 Series Eth1 – Eth5; RB941-2nD (hAP Eth1 – Eth4
Eth6 – Eth10 –Lite )
RB951Ui-2nD Eth1 – Eth5 RB750 Series Eth1 – Eth5
RB433 Eth2 – Eth3 RB450 Eth2 – Eth5
RB1100AHx2 Eth1 – Eth5; RB2011 Eth1 – Eth5 +sfp1
Eth6 – Eth10 Eth6 – Eth10
Selengkapnya : http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features

Quiz – 1
 Jika ether1 dan ether2 sudah di bridge, dan kita
menginginkan DHCP untuk dapat diakses dari kedua
interface tersebut, maka DHCP Server bisa dijalankan
pada ether1 (Benar/Salah)
 Switch mode bisa dijalankan untuk interface Wlan1

dan ether3 pada RB941-2nD. (Benar/Salah)

Routing
 Merupakan metode untuk menentukan jalur yang akan
digunakan oleh trafik ke sebuah tujuan
 Bekerja pada OSI Layer 3 (Network)

Routing Advantages
 Memungkinkan kita melakukan
pemantauan dan pengelolaan jaringan
yang lebih baik
 Lebih aman dibandingkan bridge/switch
 Gangguan di satu segment tidak
mengganggu segment lain
 Adanya dynamic route protocol (RIP,
OSPF, BGP dsb) sangat berguna untuk
jaringan skala besar

Routing Type
 Static Route
 Merupakan informasi routing yang dibuat
secara manual oleh user untuk menentukan
jalur mana yang akan digunakan
 Dynamic Route
 Merupakan informasi routing yang dibuat
secara otomatis oleh router karena service
tertentu (misal : mengaktifkan OSPF, BGP
dsb)

Routing Type (2)
A: Active
S: Static
A: Active
D: Dynamic
C: Connected Setiap memasang IP disebuah interface, secara
otomatis akan dibuatkan rule routing dengan flag
DAC

Routing Parameter
 Destination : tujuan dari trafik
 Sebuah host : 202.65.113.16
 Sebuah network : 202.65.113.0/24
 Semua network : 0.0.0.0/0
 Gateway : jalur yang akan digunakan
 IP Address dari router depannya
 Interface yang akan digunakan (biasanya
untuk PPP interface)

Routing Basic Concept
Gateway harus IP address dari router yang ada didepannya
(yang akan dilewati) dan IP tersebut 1 segment dengan
router kita (direct connect)
• Router B, jika akan ke internet harus melewati

router A
Internet
• Di Router B, default gatewaynya harus diset ke
10.10.0.2/24
Router A
A • Maka default gatewaynya menggunakan IP
10.10.2.1/24 10.10.2.1 karena yang satu segmen dengan
router B
10.10.2.2/24
/ip route add dst-address=0.0.0.0/0 gateway=10.10.2.1
B
10.10.4.1/24 • Begitu juga dengan laptop, karena melewati
Router B jika ke internet, maka default
10.10.4.2/24 gatewaynya 10.10.4.1
Routing Implementation
(DAC) Dst-addr= 10.10.1.0/24 (DAC) Dst-addr= 10.10.2.0/24
pref-source=10.10.1.2 pref-source=10.10.2.2
Internet pref-source=10.10.2.1 pref-source=10.10.3.1
(AS) Dst-addr= 0.0.0.0/0 gw=10.10.1.1 (AS) Dst-addr= 0.0.0.0/0 gw=10.10.2.1
10.10.0.1/24 (AS) Dst-addr= 10.10.3.0/24 gw=10.10.2.2
10.10.0.2/24
10.10.2.2/24
10.10.1.1/24 10.10.1.2/24 10.10.2.1/24
10.10.3.1/24
(DAC) Dst-addr= 10.10.0.0/24

pref-source=10.10.0.2 10.10.3.2/24
pref-source=10.10.1.1 pref-source=10.10.3.2
(AS) Dst-addr= 0.0.0.0/0 gw=10.10.0.1

(AS) Dst-addr= 0.0.0.0/0 gw=10.10.3.1
(AS) Dst-addr= 10.10.2.0/24 gw=10.10.1.2
(AS) Dst-addr= 10.10.3.0/24 gw=10.10.1.2

[LAB-3]Static Route
Ether2 Ether2
10.1.1.1/30 10.1.1.2/30
Ether1 Ether1
192.168.x.2/24 192.168.x.2/24

[LAB-3]Langkah
 Matikan interface bridge dan & switch dari lab
sebelumnya dan kembalikan konfig laptop
sesuai meja masing-masing
 Matikan firewall nat masquerade di setiap
router
 Tambahkan routing di kedua laptop
 Contoh :
 Meja 1 : /ip route add dst-
address=192.168.2.0/24 gateway=10.1.1.2
 Meja 2 : /ip route add dst-
address=192.168.1.0/24 gateway=10.1.1.1
 Test ping atau file sharing antar laptop

[LAB-4] Static Route 192.168.X.2/24
WLAN1:10.10.10.X/24 1
Internet 10.10.10.100/24
Buatlah konfigurasi berikut dan lakukan pengaturan ETHER3:
static route sehingga semua laptop dapat 10.Y.1.1/24
terkoneksi ke internet dan semua laptop dapat
melakukan ping ke laptop lainnya.
Matikanlah src-nat/masquerade. ETHER2:
10.Y.1.2/24
ETHER3: ETHER3:
4 10.Y.3.1/24 3 10.Y.2.1/24 2
ETHER2: ETHER2:
10.Y.3.2/24 10.Y.2.2/24
192.168.X.2/24
192.168.X.2/24
192.168.X.2/24
Route Selection (1)
Untuk pemilihan routing, router akan memilih
berdasarkan:
 Rule routing yang paling spesifik tujuannya
• Contoh: destination 192.168.0.128/26 lebih
spesific dari 192.168.0.0/24
 Distance
• Router akan memilih yang distance nya paling
kecil
 Round robin (random)

Route Selection (2)
Untuk koneksi dengan destination 192.168.0.9,
manakah urutan prioritas rule yang digunakan ?
DESTINATION DISTANCE GATEWAY
192.168.0.0/24 1 10.10.1.1 2
192.168.0.0/27 2 10.10.2.1 1
192.168.0.0/29 4 10.10.3.1
192.168.0.0/24 5 10.10.4.1 3
0.0.0.0/0 1 10.10.10.100 4

Static Route Trick & Tips
 Check Gateway bisa kita gunakan untuk
mendeteksi apakah gateway kita terkoneksi /
tidak. Fungsi check gateway akan
mengirimkan arp / echo request secara
berkala (per 10 detik)
 Sebuah rule check gateway, akan berlaku
disemua rule yang menggunakan gateway
sama
 Jika router tidak menerima reply dari gateway
yang di check beberapa kali, maka gateway
tersebut dianggap putus dan rule routing yang
menggunakan gateway tersebut tidak
digunakan

Quiz – 2
 Perlu ditambahkan RouterOS package routing untuk dapat
membuat static route. (Benar/Salah)
 Manakah rule default-route berikut yang akan aktif

/ip route
add dst-address=0.0.0.0/0 distance=1 gateway=192.168.20.1
add dst-address=0.0.0.0/0 distance=5 gateway=192.168.30.1

Wireless 802.11

www.mikrotik.co.id
Wireless Standarts
Standart Frequency Width Speed
802.11a 5GHz 20MHz 54Mbps
802.11b 2.4GHz 20MHz 11Mbps
802.11g 2.4GHz 20MHz 54Mbps
802.11n 2.4GHz / 5GHz 20, 40MHz Up to 450Mbps*
20, 40, 80,

802.11ac 5GHz Up to 1300Mbps*
160MHz
* Routerboard tertentu

2,4GHz Frequency
World Wide Band
915 MHz 2.4 GHz 5.8 GHz
26 MHz 84.5 MHz 125 MHz
2401 1 2423 2426 6 2448 2451 11 2473

2412 2437 2462
2406 2 2428 2431 7 2453 2456 12 2478

2417 2442 2467
Channel number
2411 3 2433 2436 8 2458 2461 13 2483
2422 2447 2472
Top of channel
2416 4 2438 2441 9 2463 2473 14 2495

2427 2452 2484
2421 5 2443 2446 10 2468 Center frequency

2432 2457
2400 2410 2420 2430 2440 2450 2460 2470 2480 MHz Bottom of
channel
ISM Band
(14) 20 MHz standart channels

5GHz Frequency
36 40 42 44 48 50 52 56 58 60 64
5210 5250 5290
5150 5180 5200 5220 5240 5260 5280 5300 5320 5350
149 152 153 157 160 161

5760 5800
5735 5745 5765 5785 5805 5815
 (12) 20 MHz wide channels

 (5) 40MHz wide turbo channels
Frequency Regulation
 Tiap negara memiliki regulasi mengenai
wireless yang berbeda-beda. Dimana regulasi
ini akan mengatur frekuensi, maximum power
/ eirp, band dan sebagainya yang boleh
digunakan
 Setting Country, jika diterapkan di interface
wireless, maka secara otomatis router akan
mengikuti regulasi yang ditetapkan sesuai
negara tersebut.

Scan Tools

Snooper

Wireless AP Mode
Mode=bridge
Mode=ap-bridge

Wireless Client Mode (1)
172.16.1.1/24 172.16.1.2/24
192.168.1.1/24
Mode=station
192.168.1.2/24

Wireless Client Mode (2)
172.16.1.1/24 172.16.1.2/24
Mode=station-pseudobridge
Mode=station-pseudobridge-clone
Mode=station-bridge
172.16.1.3/24

Wireless Mode
 ap-bridge – Mode wireless sebagai Access Point untuk
topologi Point-to-Multipoint.
 bridge – Mode wireless sebagai Access Point untuk topologi
Point-to-Point (hanya bisa menerima satu client).
 station – Mode Wireless sebagai Client untuk topologi Point-
to-Point dan juga Point-to-Multipoint
 station-pseudobridge – Mode wireless sebagai client
yang bisa mengaktifkan bridge pada “station” tanpa
harus menggunakan protocol WDS
 station-pseudobridge-clone – Mode wireless sama
seperti station-pseudobridge yang dilengkapi dengan
fungsi cloning mac-address dari interface ethernet
 station-bridge – Mode wireless client untuk bridge
network sesama perangkat Mikrotik

[LAB-1]Point to Point
wlan1 wlan1
10.10.10.x/24 10.10.10.x/24
Ether1 Ether1
192.168.x.2/24 192.168.x.2/24

[LAB-1] P2P (AP Side)
 Konfigurasi :
 Set mode, ssid, band dan frequency
 mode=bridge

[LAB-1] P2P (Client Side)
 Konfigurasi :
 Set mode, ssid, band dan scan-list
 mode=station

[LAB-1]Testing
 Test ping antar router via terminal winbox
 Jika antar laptop ingin saling komunikasi,
tambahkan static router seperti [LAB-3]
materi routing

Registration Table

[LAB-2] PTP Bridge Network
wlan1 wlan1
Ether1 Ether1
192.168.x.2/24 192.168.x.20/24

[LAB-2]Client Side

[LAB-2]Testing
 Buat interface bridge dan tambahkan
ether1 serta wlan1 ke dalam bridge port
(cek [LAB-1] materi Bridge)
 Rubah IP laptop di salah satu sisi agar 1
segment dengan laptop yang lain
 Test ping / file sharing

[LAB-3]Point to Multi Point
wlan1
192.168.x.2/24
Ether1 wlan1
Ether1
192.168.x.20/24

[LAB-3]PtMP AP Side
 Membutuhkan lisensi level 4
 Set mode=ap-bridge
 Konfigurasi lainnya sama dengan konfigurasi
point-to-point

Wireless Access Management
 Access List – adalah filter autentikasi sebuah AP (AP side)
terhadap client yang terkoneksi.
 Connect List – adalah filter autentikasi sebuah wireless station
(client side) terhadap AP mana yang ingin terkoneksi.
 Rule autentikasi atau filter autentikasi dibaca secara terurut dari
atas ke bawah seperti halnya sebuah filter firewall sampai
request autentikasi mencapai kecocokan.
 Sangat dimungkinkan untuk memasang beberapa filter untuk
mac-address yang sama dan juga satu rule untuk semua mac-
address.
 Sebuah rule filter mac-adress bisa diterapkan pada sebuah
interface wireless saja atau bisa juga untuk semua interface.
 Jika tidak ada rule yang sesuai maka akan digunakan default
policy (default authentication & default forward) dari wireless
interface tersebut.

Access List (Client Management)
 Di sisi Access Point, kita dapat melakukan pengaturan
untuk setiap client yang akan terhubung ke Access
point kita berdasarkan :
 MAC Address
 Signal Strength
 Time
 Private Key

Klasifikasi mac-address
dari client
Option policy boleh

terkoneksi atau tidak
Option waktu untuk

mengaktifkan rule access
list

Connect List (AP Management)
 Disisi client, kita dapat melakukan pengaturan untuk AP
yang akan kita hubungkan
 Connect List:
 MAC Address
 SSID
 Area

Wireless Security
 Karena sifat dari wireless yang “open access” maka
sebuah access point akan rentan terhadap serangan
dari pihak yang tidak bertanggung jawab.
 Sudah saatnya untuk mengimplementasikan Wireless
Security untuk menjaga AP tersebut dari berbagai
serangan.

Tentukan metode securitynya
Tentukan passwordnya

Interface Security Profile
Security Profile pada AP dan Client harus sama, baik Pre-Shared Key
ataupun authentication type

Wifi Protected Setup (WPS)
 Merupakan fitur baru yang tersedia di
RouterOS
 Fitur ini menerapkan “manual
authentication” dengan menekan tombol
WPS
 Tombol WPS ini bisa berupa virtual
(menu WPS Accept) ataupun fisik di
routerboard tertentu
 Contoh Implementasi :
http://mikrotik.co.id/artikel_lihat.php?id=1
53

802.11n – 802.11ac
Tentukan lebar channelnya

Antenna Chain
• Mulai 802.11n, sudah mengenal konsep wireless MIMO, dimana dalam

pengiriman dan penerimaan data menggunakan multi radio secara paralel
• Chain digunakan untuk mengaktifkan fitur MIMO, 2x2, atau 3x3
• Semakin banyak chain semakin besar throughput yang bisa dilewatkan

Datarate
Datarate bisa kita tentukan secara manual sesuaik kebutuhan kita dilapangan.
Digunakan untuk menghindari rate-flapping akibat signal yang tidak stabil

TX Power
 Digunakan untuk mengatur tx power dari card
wireless kita
 Digunakan HANYA untuk mengecilkan tx-
power
 Check Datasheet sebelum merubah nilainya

TX Power VS MIMO
Power per
Type Enable Chain Total Power
Chain
Sesuai dengan
tx-power yang
1 Sesuai dengan dipilih
802.11n tx-power yang
dipilih
2 +3dbm
3 +5dbm
Sesuai dengan
1 tx-power yang Sesuai dengan
802.11ac dipilih tx-power yang
2 -3dBm dipilih
3 -5dBm

Quiz
 Jika AP dan Client menggunakan konfigurasi country
yang berbeda, maka keduanya tidak dapat terkoneksi.
(Benar/Salah)
 Jika AP menggunakan band=2GHz-B/G/N dan Client

diset band=2GHz-B maka dapat terbentuk link
wireless dengan data rate maksimal 54Mbps.
(Benar/Salah)
 Client tidak harus menentukan / setting frekuensi

untuk dapat terkoneksi ke sebuah AP. (Benar/Salah)

FIREWALL

www.mikrotik.co.id
Firewall Concept
 Service yang melakukan pengecekan atau
modifikasi paket data yang menuju atau melewati
router
 Usaha untuk pengaman / preventif jaringan kita.
 Contoh real, perangkat firewall di antara Internet
dan LAN.
Switch Server
Internet
Router + Firewall

How It Work? (1)
 Berdasarkan rule set yang dibuat oleh user
dan dieksekusi secara berurutan sampai
ada trafik yang cocok (menggunakan logika
if-then)
 Rule set ini dipasangkan di “Chain” dimana
tergantung flow trafiknya
 Chain ini ada yang default (predefined) dan
kita juga bisa membuat custom chain
dengan action “JUMP”

How It Work? (2)
 Setiap rule akan terdiri dari 2 bagian
 Matcher : Digunakan untuk menspesifikan
paket data yang akan diatur
 Action : Perlakuan jika paket data sesuai
dengan matcher

Firewall Filter Chain
INTERNET
OUTPUT
INPUT
FORWARD

Filter Action
 accept – paket diterima dan tidak melanjutkan
membaca baris berikutnya
 drop – menolak paket secara diam-diam (tidak
mengirimkan pesan penolakan ICMP)
 reject – menolak paket dan mengirimkan pesan
penolakan ICMP
 tarpit – menolak, tetapi tetap menjaga TCP
connections yang masuk (membalas dengan
SYN/ACK untuk paket TCP SYN yang masuk)
 log – menambahkan informasi paket data ke log

[LAB-1]Securing Router
INTERNET
SSH Bruteforce
Telnet Bruteforce

[LAB-1]Firewall Filter

[LAB-1]Filter Input

[LAB-2]Securing User
INTERNET
PING to 8.8.8.8
Browsing

[LAB-2]Filter Forward

[LAB-3]Router Output
** Sangat jarang dilakukan, tetapi hal tersebut bisa saja dilakukan **
INTERNET
Go to 8.8.8.8

[LAB-3]Filter Output

[LAB-4]Testing
 Silahkan minta teman semeja untuk
mencoba telnet / ssh ke router kita
 Test lakukan browsing dari laptop masing-
masing
 Test ping ke 8.8.8.8 dan 8.8.4.4 dari laptop
 Test ping dari new terminal router ke
8.8.8.8 dan ke 8.8.4.4

Common Ports & Protocols
PORT PROTOCOL DESCRIPTION PORT PROTOCOL DESCRIPTION
20-21 tcp FTP 53 udp DNS
22 tcp SSH, SFTP 67 udp DHCP Server
23 tcp Telnet 68 udp DHCP Client
53 tcp DNS 123 udp NTP
80 tcp HTTP 161-162 udp SNMP
179 tcp BGP 500 udp IPSec
443 tcp HTTPS 520-521 udp RIP
646 tcp LDP (MPLS) 646 udp LDP (MPLS)
1080 tcp SoCKS 1698 udp RSVP (MPLS)
1723 tcp PPTP 1699 udp RSVP (MPLS)
1968 tcp MME 1701 udp L2TP
2000 tcp BTest Server 1812 udp User-Manager
2210 tcp Dude Server 1813 udp User-Manager
2211 tcp Dude Server 1900 udp uPnP
2828 tcp uPnP 1966 udp MME
3128 tcp Web Proxy 5678 udp MNDP
8291 tcp Winbox --- /47 PPRP, EoIP
8728 tcp API --- /50 IPSec
--- /1 ICMP --- /51 IPSec
--- /2 IGMP (Multicast) --- /89 OSPF
--- /4 IPIP --- /103 PIM (Multicast)
/41 IPv6 (encap) --- /112 VRRP
/46 RSVP (MPLS)

Address List
Kita dapat melakukan pengelompokan IP
Address dengan Address List
Address List bisa

digunakan sebagai SRC
atau DST Address pada
Firewall

Dynamic Address List
Address List juga bisa ditambahkan dari action yang ada di Firewall.
Dengan menggunakan action add-src-to-address-list atau add-dst-to-address-
list maka IP tersebut akan tercatat di address-list sesuai timeout yang ditentukan
Parameter timeout jika tidak digunakan, list akan tercatat sampai router reboot

[LAB-5]Ping’ers
 Tambahkan rule untuk cek ICMP dengan
action add-src-to-address-list dan add-dst-
to-address-list agar tahu siapa yang
melakukan ping dan ping ke mana

Quiz -1
 Dengan rule Firewall Filter berikut, Client 192.168.20.2
tidak dapat PING ke 8.8.8.8 (Benar/Salah)
/ip firewall filter pr
0 chain=forward action=accept src-address=192.168.20.0/24
dst- address=8.8.8.8 protocol=icmp
1 chain=forward action=drop src-address=192.168.20.0/24
dst- address=8.8.8.8 protocol=icmp

NAT ??
Merupakan sebuah fitur dalam firewall untuk
merubah alamat IP yang ada didalam packet header
Src-add = IP Laptop Src-add = IP Router
Dst-add = IP Google Dst-add = IP Google
Src-add = IP Google Src-add = IP Google

Dst-add = IP Laptop Dst-add = IP Router
Cara kerja NAT ketika client mencoba mengakses google

SRCNAT
 Source NAT digunakan untuk merubah
alamat asal IP ataupun port
 Chain yang digunakan adalah srcnat
 Action yang banyak digunakan adalah
 Src-nat : Merubah ke IP atau PORT yang
kita tentukan manual
 Masquerade : Merubah ke IP yang ada di
out-interface. Action sangat membantu jika
out-interfacenya berupa IP dynamic (DCHP,
PPPoE, PPTP dsb)
DSTNAT
 Kebalikan dari srcnat, DSTNAT digunakan
untuk merubah alamat IP / Port Tujuan
 Biasa dikenal dengan istilah Port
Forwarding
 Action yang sering digunakan :
 dst-nat : Trafik dibelokkan ke mesin lain,
kita tentukan secara manual IP dan portnya
 Redirect : Trafik dibelokkan ke router.
Biasanya digunakan untuk transparent
service (webproxy, dns, hotspot dsb)
NAT ACTION
SRCNAT DSTNAT

NAT Implementation
192.168.10.2/24
Internet
202.65.113.16
Server
LAN
User Internet
Contoh ada di artikel : http://www.mikrotik.co.id/artikel_lihat.php?id=75

Connection State (1)
Setiap paket data didalam sebuah koneksi memiliki
status:
 Invalid – paket tidak dimiliki oleh koneksi apapun,
tidak berguna
 New – paket yang mengawali sebuah koneksi
 Established – merupakan paket kelanjutan dari
paket dengan status new.
 Related – paket pembuka sebuah koneksi baru,
tetapi masih berhubungan dengan koneksi
sebelumnya.

Connection State (2)
Firewall
New Established Related Invalid

Connection Tracking
Maximum Connection
yang bisa dihandle

Connection Tracking (2)
Untuk router yang tidak
membutuhkankan fitur
connection tracking, fitur
tersebut bisa dimatikan

Connection Tracking (3)
Jika connection-tracking disable, maka fungsi
berikut tidak bisa digunakan :
NAT
Parameter P2P pada simple queue
Firewall dengan parameter :
 connection-bytes  connection-rate
 connection-mark  layer7-protocol
 connection-type  p2p
 connection-state  new-connection-mark
 connection-limit  tarpit

FASTTRACK
 Merupakan metode untuk “akselerasi” paket
data yang melalui router
 Fasttrack ini diterapkan pada koneksi-koneksi
yang statusnya establish atau related
 Setiap paket yang terkena fasttrack, akan
membypass connection tracking, queue dan
fitur lainnya
 Saat ini support untuk TCP dan UDP saja
 Lebih detil bisa dilihat di
http://mikrotik.co.id/artikel_lihat.php?id=162

Fasttrack Performance

Simple Queue

www.mikrotik.co.id
Unmanaged Traffic
Available = 5Mbps
Usage=512kbps
Usage=4Mbps
Usage=4,5Mbps
Usage=1Mbps

Quality Of Service
 QoS tidak hanya berarti bandwidth limiter.
Tetapi cara yang digunakan untuk
mengatur distribusi bandwidth yang ada
secara rasional
 Pada MikroTik ada banyak fitur yang bisa
gunakan untuk mengatur bandwidth ini
seperti bandwidth shaping, scheduler,
guaranty, priority dan sebagainya
 Metode paling mudah menggunakan simple
queue
Simple Queue
Target : Berupa single atau multiple IP atau Interface

yang akan diatur bandwidthnya
Simple queue bisa melimit upload, download atau
total (upload+download) sekaligus dalam 1 rule

Bandwidth Max-Limit
Available = 5Mbps
User1 max-limit=2Mbps Usage=2Mbps
Usage=1Mbps
User2 max-limit=2Mbps
Usage=2Mbps

[LAB-1]Max-limit PC
 Buatlah queue untuk mengatur maximum
bandwidth pc kita
Download 128 Kbps
Internet
Upload 64 Kbps
Router MikroTik Laptop

[LAB-1]Queue PC
Test download dari routeros.co.id sambil diamati dengan

torch atau interface graphs

Custom Destination
Available = 5Mbps
If open routeros.co.id = 3Mbps
Usage=3Mbps
Usage=2Mbps

[LAB-2]Destination Limit
Download routeros.co.id = 256k Kbps
Download 128 Kbps
Internet
Upload 64 Kbps

[LAB-2]Queue Destination
1. Lakukan test di mikrotik.com dan juga di router.co.id

secara paralel
2. Amati interface graph dan statistik queue, apakah ada
perubahan dari [LAB-1]

Burst Overview
 Merupakan metode untuk memberikan bandwidth
sebesar burst-limit, selama rata-rata
penggunaannya kurang dari burst-threshold.
 Jika rata-rata penggunaan bandwidth sudah
melebihi burst-threshold, maka user tersebut
akan diberikan sesuai max-limit
 Perhitungan rata-rata ini dilakukan berdasar
pemakaian berapa detik kebelakang. Yang
ditentukan di burst-time
 Jadi burst-time BUKAN berapa lama
mendapatkan burst-limit


Burst Example
Max-limit=256kbps, burst-time=16,
burst-threshold=128kbps, burst-limit=512kbps.
Rate(kbps) Actual Rate

512 Burst-limit
Average Rate
384
256 Max-limit
128 Burst-Threshold
64 Limit-at
0 5 10 15 20 time(s)

[LAB-3]Burst Queue
 Ubah queue dari [LAB-1] menggunakan parameter
burst-limit=512k, burst-threshold 256k dan burst-
time=30s
Download 128 Kbps
Internet
Upload 64 Kbps

[LAB-3]Burst Test
Lakukan btest ke router dan amati efek burst pada graph

Staged Limitation
Pada RouterOS, dikenal 2 buah limitasi:
 CIR (Committed Information Rate)
• dalam keadaan terburuk, client akan mendapatkan
bandwidth sesuai dengan
“limit-at” (dengan asumsi bandwidth yang tersedia
cukup untuk CIR semua client)
 MIR (Maximal Information Rate)
• jika masih ada bandwidth yang tersisa setelah
semua client mencapai “limit-at”, maka client bisa
mendapatkan bandwidth tambahan hingga “max-
limit”

Staged Limitation - Example
Bandwith share
1Mbps 1:4
Internet
Total Bandwith : 1 Mbps
Client 1 Bandwith: Client 2 Bandwith: Client 3 Bandwith: Client 4 Bandwith:

Min : 256Kbps Min : 256Kbps Min : 256Kbps Min : 256Kbps
Up-to 1Mbps Up-to 1Mbps Up-to 1Mbps Up-to 1Mbps
[LAB-4] Staged Queue - Parent
Parent queue harus dibuat terlebih dahulu untuk
membantu router menentukan Total bandwith
yang dimiliki.

[LAB-4] Staged Queue - Child
 Child queue baru dibuat untuk melimit tiap clientnya.
 Untuk pembagian bandwithnya adalah :
• Limit-At = Total Bandwith / Jumlah Client
• Max-Limit ≤ Total Bandwith
 Jika jumlah client terlalu banyak maka best effort perhitungannya :

• Limit-At = Total Bandwith / jumlah rata-rata maksimal client
yang aktif
• Max-Limit = TotalBandwith / jumlah rata-rata minimal client
yang aktif

[LAB-4] Staged Queue - Child
Rule child dibuat

untuk semua ke
empat client
Staged Queue - Priority
Memiliki nilai dari 1 sampai 8
Priority : 1  tertinggi
Priority : 8  terendah

Priority Effect
Name = A
Max-limit=5Mbps
Limit-at=1Mbps
Parent=none
Prio = 1
Name = B Name = C Name = D

Max-limit=2Mbps Max-limit=2Mbps Max-limit=2Mbps
Limit-at=1Mbps Limit-at=2Mbps Limit-at=1Mbps
Parent=A Parent=A Parent=A
Prio = 1 Prio = 2 Prio = 3

Quiz!
 Berapa kecepatan transfer data maksimal yang akan
didapatkan oleh Client, dengan pengaturan Simple
Queue berikut?
/queue simple pr
0 name=“limit1” target=192.168.20.2/32 max-lmit=1M/1M
1 name=“limit2” target=192.168.20.2/32 max-limit=2M/2M

PCQ (Per Connection Queue)
Untuk kondisi client yang sangat banyak dan sangat
merepotkan jika harus membuat banyak rule maka
bisa menggunakan metode PCQ :
 PCQ bisa membatasi bandwith client secara
merata secara dynamic
 PCQ membutuhkan memori yang cukup besar
Internet
Total Bandwith : 1 Mbps

192.168.0.0/24
Bandwith share 254 Client
PCQ in Action (1)
Pcq-rate=128000
2 ‘users’ 4 ‘users’ 7 ‘users’
73k
128k
73k
128k 73k
queue=pcq-down
73k
max-limit=512k
128k 128k 73k
73k
128k 128k
73k

PCQ in Action (2)
Pcq-rate=0
1 ‘user’ 2 ‘users’ 7 ‘users’
73k
256k 73k
73k
queue=pcq-down
512k 73k
max-limit=512k
73k
256k 73k
73k

[LAB-5] Queue Kind - PCQ

[LAB-5] Queue Kind - PCQ

Virtual Private Network

www.mikrotik.co.id
Overview
INTERNET
VPN
Internet
INTERNET
VPN
Head Office
Metode untuk membentuk jaringan baru

didalam jaringan yang sudah ada agar
lebih aman

VPN Type
 VPN bisa diimplementasikan di berbagai type
network :
 Routed Network :
 VPN yang dilakukan di network yang sudah
melewati multi hop router atau melewati internet.
Contohnya adalah menggunakan PPTP &
SSTP.
 Bridge Network :
 VPN yang diimplementasikan di jaringan yang
masih satu segment. Contohnya adalah
menggunakan PPPoE.

PPTP
 Penggunaan PPTP :
 Koneksi antar router over Internet yang bersifat secure.
 Untuk menghubungkan jaringan local over WAN.
 Untuk digunakan sebagai mobile client atau remote client
yang ingin melakukan akses ke network local (Intranet)
sebuah perusahaan.
 Sebuah koneksi PPTP terdiri dari Server dan Client.
 Mikrotik RouterOS bisa berfungsi sebagai PPTP server
maupun PPTP Client atau gabungan dari keduanya.
 Koneksi PPTP menggunakan TCP port 1723 dan IP
protocol 47/GRE.
 Fungsi PPTP clients sudah tersedia atau termasuk
dalam sebagian besar Sistem Operasi.

[LAB-1] PPTP
Topologi
10.10.10.100/24
10.10.10.1/24 10.10.10.2/24
PPTP Tunnel
S 172.16.1.1 172.16.1.2
C
Meja 1 Meja 2

[LAB-1]Server Side Enable

[LAB-1]Secret

Secret
 Merupakan Local Database yang berisi
informasi client dari VPN kita.
 Services digunakan untuk menentukan client
tersebut boleh login menggunakan vpn apa
 Default-profile ada 2 , apakah menggunakan
enkripsi atau tidak
 Local-address : IP baru yang akan terpasang
di sisi server setelah client login
 Remote-address : IP baru yang akan
terpasang di sisi client setelah client login

Secret Tips
 Username & password case sensitive !!!
 Secret hanya bisa terbaca di router yang
sama.
 Jika ingin 1 database username tetapi ada
banyak server vpn yang menggunakan
database tersebut, bisa menggunakan
radius / userman
 Untuk user windows 7 keatas, gunakan
profile=default-encryption

[LAB-1]Client Side

PPTP Client
Membuat PPTP-Client :
 Username dan Password – Sesuaikan dengan konfigurasi
server.
 Connect-to – Parameter Alamat IP dari PPTP-Server.
 Add-Default-Route – Jika akan menggunakan koneksi
PPTP sebagai gateway utama
 Dial on Demand – Jika diaktifkan (centang), koneksi PPTP
hanya akan aktif ketika digunakan (terdapat traffic)

VPN Monitoring
 Pada sisi server bisa dilihat berapa banyak
koneksi VPN yang terbentuk (aktif) .

[LAB-1]Test PPTP
 Test ping antar router menggunakan ip pptp
yang sudah ditentukan
 Test ping antar laptop dan traceroute,
apakah sudah menggunakan jalur vpn

Secure Socket Tunneling
Protocol (SSTP)
 PPP Tunnel over SSL
 Mikrotik RouterOS bisa berfungsi sebagai SSTP server
maupun SSTP Client atau gabungan dari keduanya
 Dibutuhkan SSL Certificate untuk dapat terkoneksi, baik
pada Server maupun Client (tidak berlaku jika kedua nya
Mikrotik RouterOS )
 Koneksi SSTP menggunakan TCP port 443 / HTTPS
 Lebih aman dibandingkan menggunakan PPTP

[LAB-2]SSTP Server

[LAB-2]SSTP Client
Contoh penggunaan certificate : www.mikrotik.co.id/artikel_lihat.php?id=137

PPPoE (Point to Point Protocol over Ethernet)
 Penggunaan PPPoE :
 Koneksi antar Client dan Router yang bersifat secure.
 Untuk digunakan sebagai koneksi internet bersifat secure
di jaringan local (LAN).
 Sebuah koneksi PPPoE terdiri dari Server dan Client.
 Mikrotik RouterOS bisa berfungsi sebagai PPPoE server
maupun PPPoE Client atau gabungan dari keduanya.
 Koneksi PPPoE menggunakan Ethernet frame sebagai
protocol transportnya.
 Fungsi PPPoE clients sudah tersedia atau termasuk
dalam sebagian besar Sistem Operasi.
 PPPoE bisa dijalankan di interface Ethernet, Wireless
ataupun Bridge

[LAB-3]PPPoE Client

[LAB-4]PPPoE Server

[LAB-4]Testing
 Set IP pada laptop menggunakan DHCP
 Pasangkan laptop pada ether2 (ether yang
diaktifkan PPPoE server)
 Lakukan dial pppoe di laptop (windows =
broadband connection)

PPP Profiles
 Profiles digunakan untuk membuat setting custom
yang bisa sama atau berbeda antar usernya.
 Profile yang sudah dibuat, harus dipasangkan di
secret user yang bersangkutan

Profile Example
- Saat vpn terbentuk, ip akan mengambil

dari pool-vpn
- Trafik VPN akan menggunakan enkripsi
MPPE 128bit
- Satu username bisa digunakan banyak
client sekaligus

Secret Custom Profile

Quiz!
 PPTP Server dan Client dapat dijalankan pada satu
Router dalam waktu bersamaan (Benar/Salah)
 PPP Profile dapat digunakan untuk melakukan

blocking paket data dari VPN Client. (Benar/Salah)

Mikrotik_id
Mikrotik.Indonesia
Diijinkan menggunakan sebagian atau seluruh materi pada modul ini, baik
berupa ide, foto, tulisan, konfigurasi dan diagram selama untuk
kepentingan pengajaran, dan memberikan kredit kepada penulis serta link
ke www.mikrotik.co.id

Mtcna PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Mtcna PDF

Uploaded by

Copyright:

Available Formats

Mikrotik Training Schedule

Certified Network Associate

Hari 2 Route Wireless Firewall QOS

Hari 3 VPN CERTIFICATION TEST

00-2 Mikrotik Indonesia http://www.mikrotik.co.id 8/25/2016

00-3 Mikrotik Indonesia http://www.mikrotik.co.id 8/25/2016

MTCTCE MTCRE MTCWE MTCUME

00-4 Mikrotik Indonesia http://www.mikrotik.co.id 25-Aug-16

00-5 Mikrotik Indonesia http://www.mikrotik.co.id 25-Aug-16

All content of written materials, specifically questions, answers and diagrams

Violation of Test Questions license may lead to a temporary or permanent

00-6 Mikrotik Indonesia http://www.mikrotik.co.id 25-Aug-16

Academy Preparation Class

00-8 Mikrotik Indonesia http://www.mikrotik.co.id 25-Aug-16

00-11 Mikrotik Indonesia http://www.mikrotik.co.id 25-Aug-16

00-12 Mikrotik Indonesia http://www.mikrotik.co.id 25-Aug-16

RB43x series 680/300MHz 256/128/ 64MB 3(GE/FE) 3/5 - -

RB41x series 680/300 64/32MB 1 1 opt -

Metal series 400MHz 64MB 1FE - 1 -

NetMetal series 720Mhz 128 MB 1GE - 1 1

BaseBox series 600Mhz 64MB 1GE - 1 -

NetBox series 720 MHz 128 MB 1GE - 1 -

RB91x series 600MHz 64/32MB 1 GE 1/2 opt -

RB71x series 400MHz 64MB 1FE 1/2 opt -

Update : 10 Mei 2016

00-13 Mikrotik Indonesia http://www.mikrotik.co.id 25-Aug-16

RB962 Series 720MHz 128MB 5GE 3 x 2 dBi opt

RB951 Series 600/650MHz 32/128MB 5(GE/FE) 2 x 2,5 dBi -

RB941 (hAP-Lite) 650MHz 32MB 4FE 2 x 1,5 dBi -

cAP 300Mhz 32MB 1FE 1 x 2 dBi -

wAP 650MHz 64MB 1 x 2 dBi 2 x 2 dBi -

mAP 400/650MHz 32/64MB 1FE 1 x 1,5 dBi -

Update : 10 Mei 2016

00-14 Mikrotik Indonesia http://www.mikrotik.co.id 25-Aug-16

RB3011 1.4GHz Dual 1GB 10GE 0 opt

RB2011 Series 600MHz 128/64MB 5FE+5GE opt opt

RB850Gx2 500MHz Dual 512MB 5GE 0 0

RB450 Series 300/680MHz 32/256MB 5(GE/FE) 0 0

RB750 Series 400/850MHz 32/64MB 5(GE/FE) 0 0

Update : 10 Mei 2016

00-15 Mikrotik Indonesia http://www.mikrotik.co.id 25-Aug-16

mANTBox-15s 720 Mhz 128MB 1GE 31dbm 15db 1

SEXTANT 600MHz 32MB 1 GE 30dbm 18db -

SXT Series 400/600MHz 32MB/64MB 1 (FE/GE) 27/31/32dbm 10/16db -

QRT Series 400MHz 64MB 1 GE 35dbm 16db -

Update : 10 Mei 2016

00-16 Mikrotik Indonesia http://www.mikrotik.co.id 25-Aug-16

RB260GSP - - 5GE - 1 Yes, eth2-eth5

CRS109-8G-1S-2HnD-IN 600MHz 128MB 8GE Yes 1 -

CRS112-8G-4S-IN 400MHz 128MB 8GE - 4 -

CRS125-24G-1S-2HnD 600MHz 128MB 24GE Yes 1 -

CRS125-24G-1S-IN 600MHz 128MB 24GE - 1 -

CRS125-24G-1S-RM 600MHz 128MB 24GE - 1 -

Update : 10 Mei 2016

00-18 Mikrotik Indonesia http://www.mikrotik.co.id 25-Aug-16

Fitur Board Fitur Wireless Jenis Casing

00-19 Mikrotik Indonesia http://www.mikrotik.co.id 25-Aug-16

00-20 Mikrotik Indonesia http://www.mikrotik.co.id 25-Aug-16

BAND Power Protocol Number of Chain

Power : Number of Chain

00-21 Mikrotik Indonesia http://www.mikrotik.co.id 25-Aug-16

Level 0 = Trial 24 Jam , Level 1 = Hanya bisa 1 rule di semua fitur

00-25 Mikrotik Indonesia http://www.mikrotik.co.id 25-Aug-16