Professional Documents
Culture Documents
Kitab 2
DAFTAR ISI
BAB 1
Static Routing…………………………………………………………………………1
Konsep Static Routing………………………………………………………………………….2
Load Balance……………………………………………………………………………………….9
Fail Over……………………………………………………………………………………………13
Traceroute………………………………………………………………………………………..16
BAB 2
DHCP Server……………………………………………………………………….19
IP Pool…………………………………………………………………………………………….19
Konfigurasi IP Pool……………………………………………………………………20
Address-pool=static-only……………………………………………………………….27
DHCP Relay………………………………………………………………………………….32
BAB 3
Bridging………………………………………………………………………...39
Konsep Bridging…………………………………………………………………………40
Root Bridge…………………………………………………………………………46
Port Role…………………………………………………………………………….48
Root Bridge………………………………………………………………………..55
Blocking Port………………………………………………………………………55
Skenario 1………………………………………………………………………….58
Skenario 2…………………………………………………………………………..63
Skenario 3…………………………………………………………………………..66
Konfigurasi Client………………………………………………………………80
Monitoring………………………………………………………………………..91
Routing vs NAT………………………………………………………………….92
Wireless Bridge………………………………………………………………………93
Skenario 1…………………………………………………………………………94
Skenario 2…………………………………………………………………………97
Skenario 1………………………………………………………………………100
Skenario 2………………………………………………………………………103
Hidden SSID…………………………………………………………………...106
Default Forward……………………………………………………………..108
Security Profiles………………………………………………………………109
Snoop and Scan……………………………………………………………………113
Snooper………………………………………………………………………….113
Scan……………………………………………………………………………….114
BAB 5
F irewall (Filer)…………………………………………………………..117
Konsep Paket Filtering………………………………………………………….117
The Rule………………………………………………………………………….118
Chain input…………………………………………………………………………..121
Nmap………………………………………………………………………………122
Firewall Tactic…………………………………………………………………122
Taktik 1………………………………………………………………………123
Taktik 2……………………………………………………………………..125
Chain forward……………………………………………………………………..127
Firewall Tactics……………………………………………………………….127
Taktik 1………………………………………………………………………128
Taktik 2……………………………………………………………………..129
Connection State…………………………………………………………………132
Action=return………………………………………………………………….140
MAC Server…………………………………………………………………………..144
BAB 6
Firewall (NAT)…………………………………………………………….149
Source NAT……………………………………………………………………………151
Action=masquerade…………………………………………………………152
Skenario 1…………………………………………………………………..152
Skenario 2…………………………………………………………………..155
Action=srcnat…………………………………………………………………..157
Skenario 1…………………………………………………………………..158
Skenario 2…………………………………………………………………..160
Parameter lain………………………………………………………………….162
Destination NAT…………………………………………………………………….162
1 : 1 Mapping………………………………………………………………………..170
BAB 7
Firewall (Mangle)……………………………………………………….173
Connection Mark…………………………………………………………………..174
Content…………………………………………………………………………….177
Packet Mark…………………………………………………………………………..180
Skenario 1…………………………………………………………………………182
Skenario 2…………………………………………………………………………185
Skenario 3…………………………………………………………………………187
Skenario 4…………………………………………………………………………190
Route Mark……………………………………………………………………………194
BAB 8
Tunneling…………………………………………………………………..199
Point to Point Protocol (PPP)………………………………………………….200
Monitoring………………………………………………………………………..210
PPP User……………………………………………………………………………211
PPP Profile…………………………………………………………………………212
Mikrotik sebagai PPPoE Client……………………………………………215
Remote Site……………………………………………………………………….222
Monitoring…………………………………………………………………………226
Site to Site………………………………………………………………………….227
Konfigurasi HeadOffice………………………………………………….233
Konfigurasi Branch-1……………………………………………………..236
Konfigurasi Branch-2……………………………………………………..237
Monitoring…………………………………………………………………….238
BAB 9
PCQ (Per Connection Queue)………………………………………..241
Konsep PCQ………………………………………………………………………………242
PCQ Classifier………………………………………………………………………243
PCQ Rate……………………………………………………………………………..244
Skenario 3……………………………………………………………………………258
BAB 1
Static Routing
Routing merupakan teknik yang digunakan untuk menghubungkan
beberapa jaringan yang memiliki network address maupun teknologi yang
berbeda-beda. Routing juga bertujuan memilihkan jalur terbaik (best path) yang
akan ditempuh paket data untuk menuju komputer tujuan. Ada banyak teknik
routing yang dapat Anda gunakan. Namun, secara garis besar Anda dapat
melakukannya dengan teknik routing static maupun dinamik.
Untuk lebih mudah memahami teknik routing, maka pada buku ini saya
hanya akan membahas teknik routing static (static routing). Saya menyarankan
Anda untuk mempelajari routing static terlebih dahulu untuk kemudian
mempelajari routing dinamik.
Untuk melakukan teknik routing, Anda harus dapat membaca tabel routing.
Tabel routing itu sendiri adalah tabel yang digunakan router ebagai pedoman
untuk menuju suatu jaringan (network). Tabel ini dapat dianalogikal seperti peta
yang akan digunakan oleh router. Router tidak akan dapat menjangkau suatu
jaringan jika network address dari jaringan tersebut tidak ada dalam tabel routing.
Tentunya, Anda akan kesulitan mencari suatu lokasi jika lokasi tersebut tidak ada
dalam peta.
Untuk melihat tabel routing dari R1 maupun R2, Anda dapat menggunakan
perintah sebagai berikut.
Jika Anda perhatikan dengan seksama, tabel routing pada R1 tidak berisi
informasi tentang network 192.168.2.0/24. Begitu juga dengan R2 yang tidak
berisi informasi tentang 192.168.1.0/24. Ini mengakibatkan komputer 192.168.1.2
tidak dapat berhubungan dengan komputer 192.168.2.2. Pada kondisi ini, tabel
routing pada setiap router dapat dikatakan belum lengkap. Dan untuk
melengkapinya Anda harus melakukan routing static, ataupun dinamik.
Prinsip yang dapat Anda gunakan dalam menerapkan routing static adalah
“Mau ke mana?” dan “Lewat mana?”. Sebagai langkah pertama, marilah kira
jadikan R1 sebagai acuan terlebih dahulu. Jika mlihat topologi, jika R1 ingin
menuju network 192.168.2.0/24, maka R1 harus mewati 10.10.10.2 yang
merupakan interface ether1 dari R2. Dengan kata lain, 10.10.10.2 akan menjadi
gateway bagi Router R1 jika ingin menuju network 192.168.2.0/24. Bagaimana
dengan R2? Jika R2 ingin menuju network 192.168.1.0/24 maka R2 harus
melewati 10.10.10.1 yang merupakan interface ether1 dari R1. Router R2 harus
menggunakan 10.10.10.1 sebagai gateway untuk menuju network
192.168.1.0/24.
Adapun perintah yang dapat Anda gunakan pada R1, agar R1 mengenal
network 192.168.1.0/24 adalah sebagai berikut.
Sedangkan untuk R2, perintah yang dapat anda gunakan adalah sebagai
berikut:
Sedangkan untuk R1 dan R2 perintah routing static adalah yang dapat anda
gunakan adalah sebagai berikut.
Hasil akhir dari konfigurasi routing static dapat dilihat pada tabel routing
pada setiap router. Seharusnya tabel routing dari ketiga router terlihat seperti
berikut.
Karena router gateway merupakan batas antara jaringan lokal LAN dan
Internet, maka pada router tersebut harus dikonfigurasikan NAT dengan
action=masquerade. Perintah yang dapat digunakan adalah sebagai berikut:
Juga jangan lupa untuk mengkonfigurasikan DNS pada setiap router. Anda
akan tentu kesulitan mengakses internet jika tidak menggunakan DNS. Perintah
yang dapat Anda gunakan adalah sebagai berikut:
Karena sudah mempunyai dua link antara R1 dan R2, maka tugas anda
adalah membagi beban jaringan komputer kepada kedua link tersebut. Kedua link
tersebut akan digunakan jika komputer pada network 192.168.1.0/24 akan
berkomunikasi dengan komputer pada network 192.168.2.0/24 demikian pula
sebaliknya.
Cara yang paling mudah untuk membagi beban kepada kedua link tersebut
adalah dengan mengkonfigurasikan dua gateway pada R1 untuk menuju network
192.168.2.0/24 dua gateway tersebut adalah 10.1.1.2 dan 10.10.10.2. Demikian
pula pada R2 anda hanya mengkonfigurasikan dua gateway masing-masing
10.1.1.1 dan 10.10.10.1 untuk menuju 192.168.1.0/24. Teknik ini sering dikenal
dengan istilah Equal Cost Multi Path (ECMP).
Perintah yang dapat digunakan untk menerapkan load balance baik pada R1
dan R2 adalah sebagai berikut.
Anda dapat melakukan monitor terhadap kedua link yang digunakan untuk
menghubungkan R1 dan R2. Gambar berikut memperlihatkan beban yang ada
pada kedua link tersebut. Anda dapat menggunakan menu Interface-tab Ethernet
untuk melakukan monitoring.
Teknik load balance dengan ECMP ini akan menggunakan prinsip Round
Robin. Prinsip ini akan mengalirkan traffic kepada link yang lain jika link yang
sedang digunakan sudah sangat terbebani oleh traffic.
Teknik load balance yang telah dibahas tadi juga mengikutsertakan teknik
fail over. Teknik fail over itu sendiri adalah teknik yang memungkinkan sebuah link
akan menggantikan tugas link yang lain jika kegagalan. Pada jaringan digambar 1.7
link pada network 10.10.10.0/29 akan tetap menjadi penghubung antara R1 dan
R2 jika ternyata link pada network 10.1.1.0/30 down atau gagal berfungsi.
Perlu diingat, load balance dan fail over adalah dua teknik yang berbeda.
Load balance adalah teknik untuk membagi beban sedangkan fail over lebih
merujuk kepada teknik untuk membuat link cadangan (backup link). Namun, jika
anda menerapkan load balance, pada umumnya akan disertai oleh fail over.
Konfigurasi load balance dengan fail over tadi, masih memiliki respon yang
lambat bila terjadi kegagalan pada suatu link. Diperlukan konfigurasi-konfigurasi
tambahan seperti routing mark dengan paramater check-gateway untuk
membuat fitur fail over bekerja lebih cepat.
Fail Over
Bagaimana jika seandainya Anda hanya menginginkan penerapan fail over
pada jaringan sebelumnya. Mungkin saja Anda berpendapat traffic di jaringan
tidak terlalu besar, sehingga tidak perlu dilakukan pembagian beban. Anda hanya
menginginkan adanya link cadangan antara R1 dan R2 sehingga koneksi antara
network 192.168.1.0/24 dan 192.168.2.0/24 lebih handal.
Marilah kita kembali menggunakan jaringan yang ada pada gambar 1.7.
Untuk menerapkan teknik fail over saja (tanpa load balance), anda harus memilih
satu link yang akan menjadi link utama dan satu link lainnya hanya menjadi
cadangan. Sebagai contoh, seandainya anda menginginkan link yang
menggunakan network 10.1.1.0/30 menjadi link utama, maka nilai distance dari
link tersebut harus lebih rendah dari link yang menggunakan network
10.10.10.0/29.
Mari kita perhatikan dengan baik tabel routing diatas, sebagai contoh
acuan, anda dapat memperhatikan tabel routing pada R1. Pada tabel routing
tersebut konfigurasi routing static dengan gateway 10.1.1.2 memiliki label AS, ini
berarti konfigurasi tersebut adalah konfigurasi routing static dan sedang aktif
(sedang digunakan). Sedangkan konfigurasi dengan gateway 10.10.10.2 hanya
memiliki label S, yang artinya konfigurasi dengan mengunakan gateway
10.10.10.2 sedang tidak digunakan (hanya dijadikan cadangan).
Cobalah anda menguji teknik fail over ini dengan memutuskan link yang
menggunakan network 10.1.1.0/30, amatilah apa yang terjadi dengan tabel
routingnya. Seharusnya konfigurasi routing static dengan gateway 10.10.10.2
akan memiliki label AS, yang menandakan bahwa link tersebut telah
menggantikan link 10.1.1.0/30.
Anda juga dapat melihat tabel routing yang menerapkan fail over melalui
WinBox. Menu yang dapat digunakan adalah menu IP-Routes dan link yang hanya
berfungsi sebagai cadangan akan berwarna biru, seperti pada gambar berikut.
Traceroute
Tool traceroute dapat digunakan untuk melihat link mana saja yang
digunakan oleh router pada saat mengirimkan data. Tool ini sangat berguna pada
saat memeriksa benar tidaknya konfigurasi routing yang dilakukan, baik pada
routing static maupun dinamik. Bekerja tidaknya teknik load balance maupun fail
over yang anda lakukan dapat dianalisa dengan menggunakan tool ini.
BAB 2
DHCP Server
Pada buku MikroTik Kung Fu Kitab 1 , saya sudah membahas konfigurasi
DHCP Server, baik pada jaringan yang menggunakan kabel maupun jaringan
nirkabel (wireless). Cara konfigurasi yang digunakan pada buku tersebut adalah
dengan menggunakan wizard DHCP Setup, baik melalui commad line maupun
WinBox.
Pada buku MikroTik Kung Fu Kitab 2 ini kembali saya akan membahas
konfigurasi DHCP Server pada jaringan yang lebih kompleks. Sesuai skenario yang
digunakan pada BAB 1 sebelumnya, dimana jaringan tersebut memiliki 3(tiga)
buah router, maka konfigurasi yang dibahas pada bab ini tentu akan sedikit lebih
kompleks pula. Konfigurasi DHCP Server akan dilakukan dengan menggunakan IP
Pool , juga ada konfigurasi DHCP Alert yang berguna untuk mendeteksi Rogue
DHCP Server (DHCP Server ilegal) maupun konfigurasi DHCP Relay.
IP Pool
Selain menggunakan cara cepat dengan memanfaatkan Wizard, konfigurasi
DHCP Server juga dapat dilakukan dengan membuat IP Pool terlebih dahulu. IP
Pool itu sendiri merupakan kumpulan IP Addess yang akan diberikan pada
komputer client. IP Pool ini dapat diimplementasikan pada DHCP Server maupun
PPP Server. Pada bab-bab selanjutnya akan dibahas bagaimana membuat Virtual
Private Network maupun PPP Server dengan memanfaatkan IP Pool ini.
Pada sub bab ini yang akan dibahas adalah konfigurasi IP Pool saja, untuk
konfigurasi DHCP Server itu sendiri akan dibahas pada sub bab berikutnya.
Konfigurasi IP Pool
Marilah kita perhatikan topologi berikut, dimana pada R1 akan
dikonfigurasikan DHCP Server. Router R1 tersebut memiliki dua network, yaitu
192.169.1.0/24 yang terhubung pada ether2 dan 192.168.11.0/24 yang terhubung
pada ether3.
Untuk membuat IP Pool yang akan digunakan DHCP Server pada R1, dimana
Pool dengan nama LAN-1 akan melayani network 192.168.1.0/24 dan Pool LAN-2
akan melayani network 192.168.11.0/24, maka perintah yang dapat anda
gunakan adalah sebagai berikut:
Anda dapat juga membuat dua range IP Address dalam satu IP Pool,
misalnya IP Address yang akan dibagikan adalah 192.168.1.2 s/d 192.168.1.5 dan
192.168.1.7 s/d 192.168.1.10. Bisa diperlihatkan bahwa IP Address 192.168.1.6
tidak akan dibagikan kepada komputer client karena tidak diikutsertakan pada IP
Pool. Untuk konfigurasi seperti ini, perintah yang dapat digunakan adalah sebagai
berikut:
Dengan menggunakan WinBox, maka konfigurasi diatas akan terlihat
seperti gambar berikut ini.
Setelah membaca dan mencoba konfigurasi IP Pool, maka anda akan dapat
melanjutkan konfigurasi DHCP Server pada sub bab berikut ini.
Sampai pada tahapan ini, konfigurasi DHCP Server anda telah selesai.
Pengujian dapat dilakukan dengan menggunakan konfigurasi IP Address secara
otomatis pada beberapa komputer client.
Selain itu anda juga dapat melihat lease time (waktu peminjaman) dari
sebuah IP Address yang sudah digunakan. Perintah yang dapat digunakan adalah
sebagai berikut:
Dengan menggunakan WinBox, anda masih dapat melihat sisa lease time
dari suatu IP Address. Sisa lease time menunjukan berapa lama lagi IP Address
tersebut masih akan dipinjamkan kepada komputer client. Untuk melihatnya,
dapat dilakukan melalui menu IP-DHCP Server-tab Leases seperti pada ganbar
berikut:
Address-pool=static-only
Pada saat mengkonfigurasi DHCP Server pada sub bab sebelumnya, anda
mengisikan parameter address-pool dengan nama IP Pool, seperti terlihat pada
uraian berikut:
Jika ternyata pada jaringan terdapat Rogue DHCP Server, maka pada
terminal konfigurasi akan muncul pesan sebagai berikut:
Pesan ini juga dapat dilihat melalui WinBox pada menu Log, seperti pada
gambar berikut:
DHCP Relay
Pada jaringan local (LAN) yang memiliki banyak router seperti topologi pada
gambar 2.15 anda biasanya akan mengkonfigurasikan DHCP Server pada setiap
router. DHCP Server tersebut umumnya dikonfigurasikan pada router-router yang
langsung menangani jaringan yang berisikan komputer-komputer client. Cara
sperti ini terkadang kurang efisien jika dipandang dari sisi maintenance
(perawatan). Misalnya jika anda harus melakukan penambahan IP Pool maka anda
harus login ke beberapa router tersebut untuk melakukan konfigurasi.
Yang pertama kali harus anda lakukan adalah membuat IP Pool untuk
masing-masing network. IP Pool ini dikonfigurasikan pada router gateway, dan
perintah yang dapat digunakan adalah sebagai berikut:
Konfigurasi terakhir yang harus anda lakukan pada router gateway adalah
konfigurasi DHCP Server itu sendiri. DHCP Server pada router gateway harus
dikonfigurasikan pada interface ether2, karena interface inilah yang berhubungan
dengan router R1 dan R2.
Monitoring
Untuk melakukan monitoring pada router gateway yang bertindak sebagai
DHCP Server anda dapat menggunakan perintah-perintah sebelumnya seperti
terlihat berikut ini:
Yang perlu diingat adalah fungsi router dari interface-interface yang di-
bridge akan hilang. Ini berakibat fungsi-fungsi firewall juga nantinya akan hilang di
antara interface-interface tersebut. Namun, dengan beberapa konfigurasi
tambahan, fungsi firewall pada jaringan yang sudah anda bridge akan dapat
dihadirkan kembali.
Jika mengacu pada OSI Model, maka bridging terjadi pada layer 2 (data lik),
sedangkan rounting terjadi di layer 3 (network). Peralatan yang digunakan untuk
melakukan routing adalah router, yang artinya router adalah perangkat jaringan
yang bekerja pada layer 3. Adapun perangkat jaringan yang bekerja pada layer 2
adalah Swich. Sehingga router-router yang menerapkan teknik bridging dapat
dianalogikan telah menjadi sebuah Swich, bukankah Swich berfungsi
menggabungkan beberapa komputer dalam satu segmen jaringan?Apa bedanya
dengan Bridge yang juga menggabungkan beberapa komputer dalam satu segmen
jaringan?
Diawal bab ini, saya akan memberikan pembahasan tentang sedikit konsep
bridge terlebih dahulu. Sehingga nantinya anda akan paham bagaimana
menerapkan konfigurasi-konfigurasi bridge yang tepat dilapangan. Bentuk
jaringan yang berbeda tentu menuntut konfigurasi bridge yang berbeda pula.
Konsep Bridging
Untuk mempelajari sedikit tentang konsep bridging, anda dapat
memperhatikan gambar 3.3. Jaringan pada gambar tersebut terdiri dari dua buah
router yang menghubungkan dua komputer client. Jika anda melihat topologi-
topologi sebelumnya yang tidak menggunakan teknik bridging., maka seharusnya
pada jaringan tersebut akan memiliki tiga network.
Network pertama adalah network pada interface ether2 dari R1, network
kedua adalah network pada interface ether2 dari R2 dan network ketiga adalah
network diantara R1 dan R2. Mungkin anda dapat membandingkan kembali
dengan jaringan pada bab1 , khususnya gambar 1.1:
Nama interface bridge yang ada pada satu router tidak ada hubungannya
dengan nama interface bridge pada router lain. Jadi, bisa saja anda menggunakan
nama interface bridge1 pada R1 dan nama interface bridge100 pada R2. Nama
interface tersebut hanya bersifat local. Yang paling penting adalah interface ether
mana saja yang masuk dalam interface bridge anda.
Sampai pada tahapan ini konfigurasi bridge telah selesai. Pengujian dapat
dilakukan dengan melakukan ping dari komputer 192.168.1.1 kepada komputer
192.168.1.2. kedua host tersebut akan berada dalam satu segemen jaringan. Anda
juga tidak perlu mengkonfigurasikan IP Address pada interface-interface router
yang telah dibridge tadi. Layaknya Switch bukan? Bukankah anda tidak perlu
mengkonfigurasikan IP Address pada Switch.
Pada gambar diatas, dapat dilihat bahwa antara R1 dan R2 terdapat dua
link. Link yang pertama menggunakan interface ether1 pada kedua router
sedangkan link yang kedua menggunakan interface ether3.
Jika sebelumnya interface bridge sudah anda buat seperti pada contoh
konfigurasi sebelumnya, maka untuk mengaktifkan RSTP pada kedua Router,
dapat melakukan seperti gambar berikut ini:
Jika ingin menggunakan WinBox untuk melihat router manakah yang akan
menjadi root bridge, menu yang dapat digunakan adalah Bridge-tab Bridge-pilih
interface bridge1-tab status , seperti gambar berikut:
Port Role
Pada pembahsan sebelumnya anda suda dapat melihat manakah router-
router yang menjadi root bridge , dan mana router yang tidak menjadi root bridge
(non root bridge). Router yang menjadi root bridge adalah router yang tidak
memiliki interface dalam keadaan blocking, sedangkan non root bridge adalah
router yang kemungkinan akan memiliki satu atau beberapa interface yang
mengalami status blocking.
Karena dari uraian sebelumnya, sudah diketahui bahwa yang menjadi root
bridge adalah router R2 maka untuk melihat port mana yang mengalami blocking,
cukup dilakukan pada R1, perintah yang dapat digunakan adalah sebagai berikut:
Dari uraian monitoring interface (port) diatas, dapat dilihat bahwa yang
mengalami status blocking adalah interface ether3.
Jika digambarkan secara logika, maka jaringan pada gambar 3.5 akan
terlihat seperti pada gambar 3.10. Pada gambar 3.10 anda dapat melihat bahwa
interface ether3 pada R1 dalam status blocking. Status blocking tersebut
dilakukan secara logika, artinya LED indikator dari interface ether3 tersebut akan
tetap nyala menandakan bahwa secara hardware, status dari interface tersebut
tetap aktif:
Anda dapat melihat network kedua ini sebagai LAN 3 pada interface ether3
pada router R2. Yang diinginkan dari skenario ini adalah LAN 3 pada R1 dan LAN 3
pada R2 harus berada dalam satu segmen jaringan 192.168.50.0/24.
Sampai pada tahapan ini, konfigurasi bridging telah selesai. Pengujian dapat
dilakukan dengan melihat koneksi antara LAN 3 yang ada pada router R1 dengan
LAN 3 yang ada pada router R2, seharusnya komputer client pada kedua LAN
trsebut dapat berkomunikasi secara langsung.
Pada gambar 3.12 anda dapat melihat bahwa diantara router R1 dan R2
terdapat dua link yang akan di bridge. Link yang pertama adalah link
menggunakan ether4 pada kedua router, sedangkan link yang kedua adalah link
yang menggunakan ether1. Yang perlu diperhatikan lagi adalah masalah looping
pada interface yang akan dibridge. Untuk itu, protocol rapid spanning tree
protocol harus diaktifkan pada kedua router.
Dengan asumsi bahwa interface bridge1 sudah dibuat terlebih dahulu,
maka konfigurasi untuk membuat redundant link pada router R1 dan R2 adalah
sebagai berikut:
Root Bridge
Karena sudah mengaktifkan RSTP, maka diantara kedua router akan
dilakukan pemilihan router mana yang akan menjadi Root Bridge. Untuk melihat
router mana yang akan menjadi Root Bridge, berikut adalah perintah yang dapat
digunakan:
Blocking Port
Untuk melihat status dari masing-masing interface pada router R2 yang
bukan merupakan Root Bridge, anda dapat menggunakan perintah sebagai
berikut:
Misalnya anda memiliki sebuah network dikantor pusat dan network lain
dikantor cabang yang ingin digabungkan menjadi satu segmen jaringan.
Untuk menerapkan teknik beridge pada network yang terpisah jauh,
misalnya terpisah oleh internet, maka anda akan menggunakan fitur Ethernet
over IP (EoIP) yang dimiliki oleh router mikrotik.
Skenario 1
Pada skenario pertama ini, anda memiliki network lokal (LAN)
192.168.50.0/24 pada kantor pusat (head office) yang terhubung ke internet.
Selain itu anda memiliki network lokal 192.168.50.0/24 pada kantor cabang
(branch office) yang ingin anda bridge dengan network pada kantor pusat.
Jaringan lokal pada kantor cabang terhubung ke internet melalui router branch 1.
Konfigurasi bridge yang akan anda buat harus menggunakan tunnel yang
dibangun oleh interface EoIP antara kantor cabang tersebut, tunnel tersebut akan
melewati internet. Anda dapat memperhatikan skenario ini pada gambar 3.15:
Konfigurasi dasar yang harus dimiliki oleh kedua router tentunya adalah IP
Address, default gateway ke ISP masing-masing.
Jika menggunakan WinBox, maka untuk membuat interface EoIP ini menu
yang dapat digunakan adalah Interface-tab interface-tombol Add pilih EoIP Tunnel
seperti pada gambar berikut:
Sedangkan konfigurasi interface EoIP pada router branch1 dapat anda lihat
seperti gambar berikut:
Sedangkan perintah yang dapat anda gunakan adalah pada router branch1
adalah sebagai berikut:
Skenario 2
Pada skenario ini anda akan dihadapkan pada sebuah jaringan yang terdiri
dari sebuah kantor pusat (head office) dan dua kantor cabang (branch office).
Skenario ini dapat dilihat pada gambar berikut:
Sedangkan interface EoIP pada router branch1 dan branch2, anda dapat
menggunakan perintah-perintah sebagai berikut:
Langkah terakhir adalah membuat interface bridge pada masing-masing
router. Karena topologi pada skenario ini tidak ada redundant link yang akan
menimbulkan looping, maka tidak perlu mengaktifkan RSTP maupun STP. Adapun
perintah yang dapat digunakan adalah sebagai berikut:
Skenario 3
Untuk menghindari kondisi-kondisi gangguan seperti yang mungkin timbul
pada skenario 2 sebelumnya, maka dapat saja dibuat tunnel lagi antara router
branch1 dan router branch2. Topologi pada gambar 3.20:
Yang perlu dilakukan hanya menambahkan lagi satu interface EoIP pada
router branch1 dengan mengarahkan parameter remote-address ke 70.1.1.2
dengan tunnel-id=2. Perintah yang dapat anda gunakan untuk membuat interface
pada masing-masing router tersebut adalah sebagai berikut:
Pada gambar diatas, terlihat ada tiga jaringan yang berbeda pada masing-
masing router, yaitu 192.168.100.0/24 pada router headoffice dan 192.168.1.0/24
serta 192.168.2.0/24 pada masing-masing router branch.
Karena gambar pada skenario ini sama dengan skenario 3 pada sub bab
sebelumnya. Konfigurasi IP Address pada satu interface EoIP harus berada satu
network dengan IP Address yang akan dikonfigurasikan pada interface EoIP router
yang berlawanan.
Bagi router headoffice jika ingin menuju jaringan 192.168.1.0/24 yang ada
pada router branch1 gateway yang digunakan haruslah 10.10.10.2.
Sehingga hasil akhir dari tabel routing masing-masing router yang sudah
dilengkapi default gateway dapat dilihat seperti berikut:
BAB 4
Wireless Network
Buku MikroTik Kung Fu Kitab 1 sudah membahas konfigurasi-konfigurasi
dasar dari jaringan wireless dengan meggunakan interface wireless pada Router
MikroTik. Pembahasan pada buku tersebut dititik beratkan pada masalah
bagaimana membuat sebuah hotspot dengan sebuah Router MikroTik.
Atau anda dapat menggunakan seri routerboard seri 433 yang memiliki 3
interface kabel dan 3 slot miniPCI. Slot miniPCI tersebut dapat dipasangkan
dengan interface wireless sehingga nantinya anda akan memiliki router mikrotik
dengan 3 interface wireless:
Point to Point
Topologi jaringan wireless point to point umumnya digunakan untuk
menghubungkan beberapa jaringan dengan menggunakan dua perangkat
wireless. Antena yang digunakan sebaiknya adalah antena directional sehingga
dapat memaksimalkan gain yang ingin dicapai.
Contoh topologi point to point dapat anda lihat pada gambar berikut ini:
Sampai pada tahapan ini konfigurasi interface wlan1 pada router gateway
telah selesai.
Karena pada router CPE ada sebuah network 192.168.1.0/24 yang berada di
interface ether1, maka router gateway perlu mengenal network tersebut.
Perintah yang dpat digunakan adalah sebagai berikut:
Konfigurasi Client
Konfigurasi IP Address yang perlu dilakukan pada router CPE adalah sebagai
berikut:
Ini menunjukan bahwa pada link wireless tersebut yang berfungsi sebagai
access point adalah router gateway:
Pada perangkat yang berfungsi sebagai access point antena yang digunakan
bisa saja berupa antena omni directional yang dapat memancarkan signal
kesegala arah (3600). Berikut beberapa gambar yang memperlihatkan
implementasi antena untuk digunakan pada topologi point to multi point:
Diskenariokan SSID yang akan digunakan adalah “point to multi point link”
dengan frekuensi 2,452GHz (channel 9). Perintahnya adalah sebagai berikut:
Karena pada topologi yang ada pada gambar 4.11 terdiri dari network
192.168.1.0/24 dibelakang router CPE-1 dan 192.168.2.0/24 dibelakang CPE-2 ,
perintah digunakan adalah sebagai berikut:
Adapun konfigurasi yang harus dilakukan pada interface wlan1 dapat dilihat
seperti berikut:
Monitoring
Monitoring dapat dilakukan untuk melihat apakah router CPE-1 dan CPE-2
sudah terhubung ke router gateway. Monitorin dapat anda lakukan dengan
melihat registration table pada setiap router , seperti gambar berikut:
Routing vs NAT
Pada konfigurasi anda harus menambahkan konfigurasi static routing pada
router gateway untuk mengenal jaringan 192.168.1.0/24 pada CPE-1 dan
192.168.2.0/24 pada CPE-2. Contoh jaringannya dapat dilihat pada gambar
berikut:
Adapun konfigurasi NAT yang perlu dilakukan pada kedua router CPE
adalah sebagai berikut:
Wireless Bridge
Bila pada bab 3 sebelumnya, anda sudah memperlajari konfigurasi jaringan
yang di bridging dengan menggunakan interface kabel (wired) maka untuk
jaringan wireless.
Pada sub bab ini, saya akan memberikan beberapa skenario yang mungkin
anda temukan di lapangan.
Skenario 1
Skenario pertama terdiri dari 3 router mikrotik, yang terdiri dari router
gateway sebagai access point dan router CPE sebagai wireless client. Namun
karena akan menerapkan bridging maka hanya ada satu jaringan (network) yaitu
network 192.168.10.0/24 pada gambar berikut:
Sampai pada tahapan ini, konfigurasi wireless bridge anda telah selesai.
Tentunya komputer client tersebut harus menggunakan 192.168.10.1 sebagai
default gateway maupun DNS Server.
Bila anda ingin menguji link wireless antara komputer client ke router
gateway. Contoh berikut memperlihatkan pengujian dari komputer client dimana
komputer tersebut mendapatkan bandwidth 23 Mbps ke router gateway:
Skenario 2
Skenario ini digunakan jika ternyata komputer client pada router CPE-1 dan
CPE-2 adalah laptop yang akan menggunakan koneksi wireless untuk mengakses
internet.
Fitur roaming ini juga bisa dihadirkan jika anda menkonfigurasikan SSID
yang sama pada interface wlan2 dari kedua router CPE.
Setelah anda memahami sedikit konsep dari jaringan wireless yang ingin
menghadirkan fitur roaming tadi, maka langkah selanjutnya adalah melakukan
eksekusi melalui beberapa perintah konfigurasi. Sehingga diasumsikan juga
bahwa router CPE sudah terhubung ke gateway dan konfigurasi bridge juga suda
dilakukan.
Anda tinggal mengaktifkan access point pada interface wlan2 dengan SSID
“kung fu hostpsot” dan frekuensi 2,412GHz (channel 1) pada router CPE-1 dengan
menggunakan perintah sebagai berikut:
Perintah konfigurasi yang sama juga harus anda terapkan pada router CPE-
2, sehingga hasil akhir konfigurasi pada router tersebut dapat dilihat seperti
berikut:
Skenario 1
Pada skenario ini anda diharapkan untuk membuat jaringan wireless pada
suatu sekolah. Namun untuk hitungan efesiensi, fitur Virtual Access Point dapat
menjadi pertimbangan untuk diterapkan pada gambar berikut:
Diasumsikan bahwa router gateway telah terhubung ke internet dengan IP
Address 60.1.1.2, dafault gateway, DNS server dan konfigurasi masquerade.
Perintah yang dapat digunakan sebagai berikut:
Setelah virual access point diaktifkan dengan nama wlan2, perintah sebagai
berikut:
Skenario 2
Anda bisa saja menggunakan Virtual Acces Point untuk mmbuat link
topologi point to point. Router gateway memiliki 2 Virtual access Point (wlan2 dan
wlan3) yang digunakan untuk membuat link dengan router CPE-1 dan CPE-2.
Sedangkan interface fisik wlan1 digunakan untuk memberikan akses internet
kepada beberapa laptop client:
Adapun konfigurasi dasar pada router gateway dapat dilihat pada berikut
ini:
Sedangkan konfigurasi interface wireless beserta Virtual Access Point dapat
dilihat pada uraian ini:
Hidden SSID
Salah satu teknik paling dasar yang dapat anda terapkan adalah
menyembunyikan SSID dari access poin anda. Dengan SSID yang tersembunyi user
harus mengetahui dengan pasti apa nama SSID yang digunakan. Biasanya teknik
ini dapat diterapkan pada topologi point to point maupun point to multi point
untuk menghubungkan router mikrotik wireless.
Dan saat ada user yang akan menggunakan “other network” tersebut maka
akan muncul permintaan nama SSID seperti berikut:
Security Profiles
Security profiles merupakan fitur keamanan yang dapat anda gunakan
untuk melakukan pengacakan terhadap data yang akan dikirimkan melalui link
wireless. Ada berbagai macam teknik encryption yang dapat anda gunakan,
namun yang mempunyai tingkat keamanan yang lebih baik adalah Wi-fi Protected
Acces (WPA2).
Langkah pertama yang harus dilakukan adalah membuat profile baru pada
router gateway dengan menggunakan parameter-parameter tadi. Peritah yang
digunakan adalah:
Setelah itu, lakukan konfigurasi yang sama pada router CPE-1 dan CPE-2:
Scan, yan dapat digunakan pada router yang berfungsi sebagai wireless
client ntuk melihat SSID apa yg dikonfigurasikan pada eccess point, menu
Wireless-pilih interface yang akan digunakan-tab Wireless-tombol Scan seperti
pada gambar:
Sebagai contoh, scan yang dijalankan pada salah satu interface router CPE
akan terlihat pada gambar berikut:
Tentunya masih ada fitur lain seperti layer 7 protocol yang sering
digunakan, namun pada buku ini fitur tersebut belum dibahas.
Saran saya, jika anda ingin mahir bermain firewall, pelajarilah dahulu ilmu
TCP/IP dengan baik. Anda dapat saja menggunakan “alur maju mundur” untuk
mempelajari sesuatu .
The Rule
Kembali ke firewall, bagaimana firewall memeriksa IP paket? Untuk
memeriksa paket, anda harus membuat rule (aturan) firewall. Parameter-
parameter itu adalah src-address, dst-address, protocol, src-port, dst-port, dll.
Paket yang masuk ke dalam firewall akan dicocokkan dengan rule-rule yang
sudah anda buat tadi. Anda dapat melihat gambaran antara paket dan rule
firewall pada gambar berikut:
Packet 1, pada saat paket ini diterima, firewall menggunakan rule 1 untuk
memeriksanya. Ternyata header pada paket 1 tidak cocok dengan
parameter yang ada pada rule 1, paket tersebut diberikan lagi ke rule 2.
Sma seperti sebelumnya, ternyata header yang ada pada paket tersebut
tidak cocok dengan rule 2, kembali paket diberikan ke rule 3.
Packet 2, anda dapat melihat bahwa header dari paket tersebut barulah
cocok dengan rule 4. Namun anda melihat bahwa paket 2 masih diteruskan
lagi ke rule berikut (rule 5) untuk menjalani pemeriksaan lagi. Untuk situasi
tertentu, anda dapat saja mengkonfigurasika agar sebuah paket dapat
diperiksa oleh beberapa rule.
Packet 3, paket ini merupakan paket dengan header yang tidak memiliki
kecocokkan dengan rule yang ada. Pada umumnya default frule ini tidak
terlihat, anda tidak akan menemukan rule tersebut pada farewall.
Untuk fitur filter pada router mikrotik, default rule yang digunakan adalah
accept all, artinya bila ada paket yang tidak cocok dengan rule yang ada
sebelumnya, maka paket tersebut akan diterima atau dizinkan .
Contoh urutan rule yang dilihat dengan menggunakan WinBox dari sebuah
firewall adalah sebagai berikut:
Packet 1, adalah paket yang berasal dari komputer client dan ditujukan bagi
interface ether2 dari router mikrotik. Paket ini nantinya akan ditangani oleh
chain input. Chain input juga yang akan melakukan filtering.
Packet 2, adalah paket yang brasal dari komputer client dan menuju
internet. Paket ini sering disebut paket yang melintasi firewall. Paket
forward terlihat akan masuk juga melalui interface ether2.
Contoh paket ini adalah pada saat anda melakukan akses internet dari
komputer client.
Packet 3, paket ini berasal dari router itu sendiri dan ditujukan bagi host
yang ada di internet, paket ini ditangani oleh chain output. Jika anda
melakukan ping dari router mikrotik, maka paket yang dihasilkan juga
merupakan paket yang akan ditangani oleh chain output.
Chain Input
Chain input berperan untuk melakukan filter terhadap paket-paket yang
ditujukan bagi interface-interface router. Dalam dunia network security sering
diistilahkan dengan teknik membatasi akses terhadap port-port router yang dapat
menimbulkan celah keamanan.
Secara default, baik router mikrotik yang diintsal pada personal computer
maupun routerboard akan membuka port-port untuk keperluan konfigurasi.
Nmap
Untuk mengetahui port-port apa saja yang terbuka dari router mirotik,
aplikasi nmap sangat bermanfaat. Banyak para professional IT yang berkecimpung
dalam network security yang mengaandalkan aplikasi ini. Aplikasi ini dapat
dijalankan pada mesin windows, linux, MAC maupun UNIX.
Perintah nmap yang dapat digunakan adalah nmap –sS 192.168.1.1 seperti
berikut:
Firewall Tactic
Sebagai panduan untuk menyusun farewall, saya membagi dua pendekatan
taktik dalam penyusunan rule farewall, yaitu:
Taktik 1
Jika taktik pertama yang anda gunakan maka, anda terlebih dahulu harus
melakukan filter pada port-port yang terbuka dengan menerapkan action drop
bagi paket yang ingin masuk melalui port tersebut. Adapun port 8291 tidak boleh
anda filter dengan action drop karena sesuai skenario, port ini akan digunakan
oleh WinBox.
Taktik 2
Jika taktik kedua yang akan digunakan, maka anda cukup memberikan
akses kepada port 8291 dengan parameter action=accept. Kemudian dilanjutkan
dengan melakukan filter terhadap semua port yang tidak dibutuhkan dengan
parameter accept=drop. Contoh perintah sebagai berikut:
Rule yang banyak akan mengurus memori router dan juga akan
memperlambat proses pengolahan paket data, karena paket harus dicocokan
pada sederetan rule yang telah dibuat.
Chain Forward
Chain forward bertugas untuk melakukan filter terhadap paket yang akan
melintasi router. Chain inilah yang sebenarnya dapat menentukan
layananinternet apa yang bisa dinikmati oleh komputer client pada suatu jaringan
lokal (LAN) tentunya dapat juga digunakan untuk membatasi layanan tersebut.
Karena digunakan untuk melakukan filter terhadap paket yang akan melintasi
router, maka harus diperhatikan arah dari paket tersebut.
Apakah paket tersebut berasal dari komputer client menuju internet, atau
sebaliknya, dari internet menuju komputer client.
Firewall Tactics
Untuk menyusun rule-rule farewall dengan menggunakan chain forward,
anda juga dapat menggunakan dua pendekatan firewall taktik yang sudah dibahas
pada chain input. Komputer client juga diizinkan untuk melakukan ping (ICMP) ke
internet.
Taktik 1
Taknik firewall pertama yang dapat digunakan adalah drop some and
accept all. Ada banyak paket-paket yang dihasilkan oleh virus/worm, namun saya
hanya memberikan contoh beberapa saja.
Connection state
Saat membangun firewall, anda juga harus memperhatikan status koneksi
dari sebuah paket data. Ada 4 connection state yang dapat dimiliki sebuah paket:
HTTP Request akan dikirimkan oleh komputer client dan akan direspon oleh
Web Server dengan HTTP Response:
Rule tersebut semula ditujukan untuk membuang paket ICMP Request yang
dikeluarkan oleh komputer client saja, dapat dilihat pada gambar berikut:
Chain Tambahan
Secara default firewall memiliki 3 chain yang sudah tersedia, chain-chain
tersebut adalah input, forward, dan output.
Action=return
Setelah paket data masuk kedalam chain tambahan untuk diperiksa, maka
anda dapat mengembalikan paket tersebut ke chain input lagi bila ternyata tidak
ada rule yang cocok pada chain “tcp drop” tadi. Ilustrasinya dapat dilihat pada
gambar berikut:
Dari gambar diatas, anda juga dapat melihat jika ada paket data dengan
protocol TCP dan ternyata field destination port-nya tidak ada yang cocok dengan
parameter dst-port pada chain “tcp drop” maka paket tersebut akan
dikembalikan lagi pemeriksaannya pada chain input.
Anda juga dapat menggunakan perintah berikut untuk melihat log dari log
router mikrotik anda:
Chain=input, chain=forward dan Chain Tambahan
Penggunaan chain tambahan juga akan menghindarkan anda dari pekerjaan
menulis konfigurasi firewall berulang-ulang. Jika tidak menggunakan chain
tambahan, maka anda menuliskan rule firewall tersebut berulang kali. Seperti
pada gambar berikut:
Jika anda masih ingin menambahkan rule dengan action=log pada masing-
masing chain, maka total rule firewall akan menjadi 18 baris.
Jika ilustrasi pada gambar 5.21, diwujudkan dalam bentuk konfigurasi maka
hasil akan terlihat seperti berikut:
MAC Server
Router MikroTik yang belum memiliki IP Address pun dapat dikonfigurasi
baik dengan menggunakan WinBox maupun MAC talnet. Namun untuk
melakukan konfigurasi melalui MAC Address, anda harus terhubung langsung
pada interface router, minimal laptop yang akan digunakan berada pada satu
network dengan router tersebut.
Yang perlu dilakukan adalah menjalankan MAC Telnet pada router gateway
dengan menggunakan perintah verikut:
Solusi yang bisa diambil adalah menjalankan MAC Scan untuk mengetahui
seperti perintah berikut:
BAB 6
Firewall (NAT)
Network Address Translation (NAT) adalah salah satu fitur pada firewall
yang digunakan untuk melakukan perubahan field IP Address, baik IP Address
pengirim maupun IP Address Tujuan.
Selain field IP Addres, NAT juga dapat melakukan perubahan field port
pengiriman maupun port tujuan pada paket data.
Firewall NAT juga terdiri dari susunan rule-rule, seperti yang pernah ada
pada firewall filter di bab 5 sebelumnya. Jika pada bab sebelumnya anda juga
sudah melihat penggunaan chain tambahan dengan memanfaatkan action jump
dan action return, maka penggunaan chain tambahan tersebut dapat juga nada
lakukan pada firewall NAT ini.
Sedangkan pada gambar 6.2, Anda dapat melihat bagaimana chain dstant
melakukan perubahan field IP Address pada paket:
Pada gambar diatas , Anda dapat melihat posisi dari setiap chain pada
sebuah router. Terlihat bahwa jika ada sebuah paket data yang ingin melintasi
router,maka chain pertama yang dapat digunakan adalah chain srcnat. Setelah
paket data melewati chain dstant, maka paket akan diberikan kechain forward.
Chain forward ini dapat memutuskan apakah paket dapat diteruskan (accept)
atau paket harus dibuang (drop).
Pada buku Mikro Tik Kung Fu Kitab 1,penggunaan chain srcnat sudah
dibahas. Penggunaan chain srcnat pada buku tersebut ditunjukan untuk
memberikan akses internet pada beberapa komputer client yang ada pada
jaringan lokal. Sedangkan action yang digunakan pada pembahasan tersebut
adalah masquerade.
Adapun pembahasan chain srcnat pada buku Mikro Tik Kung Fu Kitab 2 ini,
tetap bertujuan memberikan akses internet pada komputer client namun dengan
beberapa skenario yang berbeda . Skenario yang akan dibahas adalah kondisi
dimana router Mikro Tik memiliki koneksi ke Internet melalui beberapa ISP.
Dengan hadirnya beberapa koneksi Internet, maka Anda dapat menerapkan
teknik load balancing.
Teknik ini akan membagi beban (traffic) dari jaringan lokal ke beberapa
koneksi ISP yang dimiliki. Ini dapat mencegah menumpuknya traffic kepada satu
koneksi ISP, sehingga semua koneksi Internet yang ada dapat digunakan adalah
metode Equal Cost Multi Path(ECMP), yang merupakan teknik yang sederhana,
namun menjadi dasar bagi Anda un tuk membuat teknik yang lebih rumit,
tentunya dengan parameter konfigurasi yang lebih banyak.
Action=masquerade
Skenario 1
Pada skenario ini, Router Gateway memiliki koneksi internet dari dua ISP
yang berbeda. Koneksi Internet tersebut terdiri dari upload maupun
memdownload sebesar 512 kbps dari ISP-A dan 512 kbps dari ISP-B. ISP-A
terhubung pada interface ether1 Router Gateway sedangkan ISP-B terhubung ke
ether2. Yang diingikan adalah memanfaatkan kedua koneksi Internet seperti
terlihat pada gambar berikut ini :
Karena memiliki dua ISP,maka tentunya Router Gateway akan memiliki dua
gateway. Dan Karena kedua ISP tersebut akan digunakan bersama-sama maka
pada saat mengkonfigurasikan default gateway menuju internet, Anda harus
memasukan dua IP Address dari router ISP secara bersamaan. Perintah yang
dapat digunakan adalah sebagai berikut:
Hasil dari konfigurasi load balancing diatas akan bersifat round robin,
artinya kedua link akan digunakan secara acak. Bila mana koneksi ISP-A sudah
terbebani secara penuh, maka traffic selanjutnya akan dialihkan ke ISP-B . Jika
Beban sudah terbagi bagi pada kedua ISP, maka kondisi seimbang (balance) akan
tercapai, anda dapat melihat berapa bandwidth yang digunakan melalui menu
Interface , seperti pada gambar berikut. Perhatikanlah bagian RX pada interface
ether1 dan ether2 yang memperlihatkan besarnya traffic download yang
didapat dari kedua ISP:
Skenario 2
Jika Anda ingin memisahkan traffic dari beberapa komputer ke ISP tertentu
maka Anda dapat memanfaatkan parameter scr-address. Pada skenario
ini,diingikan komputer client dengan IP Address 192.168.10.2 s/d 192.168.10.10
akan menggunakan koneksi Internet melalui ISP-A . Sedangkan komputer client
dengan IP Address 192.168.10.11 s/d 192.168.10.20 akan menggunakan koneksi
Internet melalui ISP-B. Sehingga akan dihasilkan dua group dalam jaringan lokal
Anda , dan Masing-masing group akan mendapatkan jatah bandwidth download
dan upload sebesar 512 kbps. Ilustrasi dari skenario ini dapat Anda lihat pada
gambar berikut:
Action=srcnat
Selain menggunakan action masquerade untuk menyembunyikan IP
Address privat sehingga tidak terlihat oleh server-server di Internet, Anda juga
dapat menggunakan action src-nat. Jika action masquerade dapat membuat
komputer-komputer client dapat mengakses Internet, begitu juga dengan action
srcn-nat. Yang menjadi pertanyaan adalah kapan Anda menggunakan action
masquerade dan kapan Anda harus menggunakan action src-nat.