Mikrotik Kung Fu Kitab 2

Mikrotik Kung Fu
Kitab 2
DAFTAR ISI
BAB 1
Static Routing…………………………………………………………………………1
Konsep Static Routing………………………………………………………………………….2
Konfigurasi Static Routing……………………………………………………………………5
Load Balance……………………………………………………………………………………….9
Fail Over……………………………………………………………………………………………13
Traceroute………………………………………………………………………………………..16
BAB 2
DHCP Server……………………………………………………………………….19
IP Pool…………………………………………………………………………………………….19
Konfigurasi IP Pool……………………………………………………………………20
Konfigurasi Next Pool……………………………………………………………….22
Konfigurasi DHCP Server………………………………………………………………..23
Address-pool=static-only……………………………………………………………….27
Rogue DHCP Server……………………………………………………………………….29
Konfigurasi DHCP Alert……………………………………………………………29
Valid DHCP Server………………………………………………………………….31
DHCP Relay………………………………………………………………………………….32
Konfigurasi DHCP Server dan DHCP Relay………………………………33

Monitoring…………………………………………………………………………..37
DHCP Rogue vs DHCP Relay………………………………………………….38
BAB 3
Bridging………………………………………………………………………...39
Konsep Bridging…………………………………………………………………………40
Konfigurasi Dasar Bridge……………………………………………………..41
Redundant Link dan Looping……………………………………………….44
Rapid Spanning Tree Protocol……………………………………………..45
Root Bridge…………………………………………………………………………46
Port Role…………………………………………………………………………….48
Implementasi dan Konfigurasi Bridge……………………………………….51
Implementasi Redundant Link………………………………………………….53
Root Bridge………………………………………………………………………..55
Blocking Port………………………………………………………………………55
Ethernet over IP (EoIP)……………………………………………………………..57
Skenario 1………………………………………………………………………….58
Skenario 2…………………………………………………………………………..63
Skenario 3…………………………………………………………………………..66
EoIP + Static Routing…………………………………………………………………68

BAB 4
Wireless Network………………………………………………………..75
Point to Point………………………………………………………………………….77
Konfigurasi Access Point……………………………………………………78
Konfigurasi Client………………………………………………………………80
Monitoring dan Pengujian………………………………………………..83
Point to Multi Point………………………………………………………………..85
Konfigurasi Access Point……………………………………………………87
Konfigurasi Wireless Client………………………………………………..89
Monitoring………………………………………………………………………..91
Routing vs NAT………………………………………………………………….92
Wireless Bridge………………………………………………………………………93
Skenario 1…………………………………………………………………………94
Skenario 2…………………………………………………………………………97
Virtual Access Point……………………………………………………………..100
Skenario 1………………………………………………………………………100
Skenario 2………………………………………………………………………103
Keamanan Jaringan Wireless……………………………………………….106
Hidden SSID…………………………………………………………………...106
Default Forward……………………………………………………………..108
Security Profiles………………………………………………………………109
Snoop and Scan……………………………………………………………………113
Snooper………………………………………………………………………….113
Scan……………………………………………………………………………….114
BAB 5
F irewall (Filer)…………………………………………………………..117
Konsep Paket Filtering………………………………………………………….117
The Rule………………………………………………………………………….118
Asal dan Tujuan Paket…………………………………………………….120
Chain input…………………………………………………………………………..121
Nmap………………………………………………………………………………122
Firewall Tactic…………………………………………………………………122
Taktik 1………………………………………………………………………123
Taktik 2……………………………………………………………………..125
Chain forward……………………………………………………………………..127
Firewall Tactics……………………………………………………………….127
Taktik 1………………………………………………………………………128
Taktik 2……………………………………………………………………..129
Connection State…………………………………………………………………132
Connection State pada chain input…………………………………135
Connection State pada chain forward…………………………….135

Chain tambahan…………………………………………………………………..136
Action=return………………………………………………………………….140
Chain=input , chain=forward dan chain tambahan…………..143
MAC Server…………………………………………………………………………..144
BAB 6
Firewall (NAT)…………………………………………………………….149
Source NAT……………………………………………………………………………151
Action=masquerade…………………………………………………………152
Skenario 1…………………………………………………………………..152
Skenario 2…………………………………………………………………..155
Action=srcnat…………………………………………………………………..157
Skenario 1…………………………………………………………………..158
Skenario 2…………………………………………………………………..160
Parameter lain………………………………………………………………….162
Destination NAT…………………………………………………………………….162
Menjalankan Web Server pada LAN………………………………….163
Akses SSH pada Web Server (Port Translation)………………….168
1 : 1 Mapping………………………………………………………………………..170
BAB 7
Firewall (Mangle)……………………………………………………….173
Connection Mark…………………………………………………………………..174
Content…………………………………………………………………………….177
Connection Mark vs Download Manager…………………………..179
Connection Mark vs Internal Proxy……………………………………180
Packet Mark…………………………………………………………………………..180
Skenario 1…………………………………………………………………………182
Skenario 2…………………………………………………………………………185
Skenario 3…………………………………………………………………………187
Skenario 4…………………………………………………………………………190
Route Mark……………………………………………………………………………194
BAB 8
Tunneling…………………………………………………………………..199
Point to Point Protocol (PPP)………………………………………………….200
Point to Point Protocol over Ethernet (PPPoE)……………………….202
Konfigurasi PPPoE Server (Access Concentrator)……………….204
Konfigurasi PPPoE Client pada Windows 7…………………………209
Monitoring………………………………………………………………………..210
PPP User……………………………………………………………………………211
PPP Profile…………………………………………………………………………212
Mikrotik sebagai PPPoE Client……………………………………………215
Konfigurasi PPPoE Server……………………………………………..216
Konfigurasi PPPoE Client……………………………………………….217
Konfigurasi Routing atau Masquerade………………………….220
Point to Point Tunneling Protocol (PPTP)………………………………..221
Remote Site……………………………………………………………………….222
Konfigurasi PPTP pada Windows 7………………………………..225
Monitoring…………………………………………………………………………226
Site to Site………………………………………………………………………….227
Site to Site (Bridging)………………………………………………………….233
Konfigurasi HeadOffice………………………………………………….233
Konfigurasi Branch-1……………………………………………………..236
Konfigurasi Branch-2……………………………………………………..237
Monitoring…………………………………………………………………….238
BAB 9
PCQ (Per Connection Queue)………………………………………..241
Konsep PCQ………………………………………………………………………………242
PCQ Classifier………………………………………………………………………243
PCQ Rate……………………………………………………………………………..244
PCQ Limit dan PCQ Total Limit……………………………………………..246

Skenario 2……………………………………………………………………………250
Skenario 3……………………………………………………………………………258
BAB 1
Static Routing
Routing merupakan teknik yang digunakan untuk menghubungkan
beberapa jaringan yang memiliki network address maupun teknologi yang
berbeda-beda. Routing juga bertujuan memilihkan jalur terbaik (best path) yang
akan ditempuh paket data untuk menuju komputer tujuan. Ada banyak teknik
routing yang dapat Anda gunakan. Namun, secara garis besar Anda dapat
melakukannya dengan teknik routing static maupun dinamik.
Untuk lebih mudah memahami teknik routing, maka pada buku ini saya
hanya akan membahas teknik routing static (static routing). Saya menyarankan
Anda untuk mempelajari routing static terlebih dahulu untuk kemudian
mempelajari routing dinamik.
Jika Anda ingin mengambil ujian sertifikasi MTCNA (Mikrotik Certified

Network Associate), maka routing static merupakan salah satu materi yang harus
Anda kuasai. MTCNA itu sendiri merupakan sertifikasi tahap awal yang disediakan
MikroTikls, Ltd selaku vendor Router Mikrotik. Seteah lulus dari MTCNA , barulah
Anda dapat mengambil sertifikasi lanjutan seperti MTCRE (MikroTik Certified
Routing Engineer) yang akan membahas routin dinamik.
Konsep Static Routing

Sebelum mengkonfigurasi routing static, maka saya ingin menjelaskan
sedikit tentang konsep routing static. Ini dimaksudkan supaya Anda tidak
kebingungan mana kala akan mengkonfigurasi routing static pada topologi
jaringan yang berbeda. Tentu Anda akan mendapati topologi jaringan yang
berbeda-beda pada saat turun lapangan. Topologi pada buku ini hanya
merupakan contoh, karena tidak mungkin menggambarkan berbagai topologi
yang banyak diterapkan di lapangan.
Untuk memudahkan pemahaman tentang konsep routing static, saya
menggunakan topologi sederhana yang menggunakan dua router seperti terlihat
pada gambar berikut.
Sebagai langkah awal, konfigurasikanlah IP Address pada setiap interface

yang ada pada Router R1 dan R2. Saya tidak akan lagi membahas bagaimana
mengkonfigurasi IP Address tersebut. Jika Anda belum mengetahuinya, maka saya
sarankan Anda kembali membaca buku MikroTik KungFu Kitab 1 , terbitan
Jasakom , terutama pada BAB 2. Ya, seharusnya Anda membaca Kitab 1 terlebih
dahulu barulah membaca buku MikroTik KungFu Kitab 2 ini. Bukankah pada saat
menonton sinetron kesayangan, Anda sebaiknya menonton Session 1 terlebih
dahulu, barulah kemudian menonton Session 2. Itu semua dimaksudkan agar
Anda mengerti alur cerita sinetron maupun konfigurasi-konfigurasi Kung Fu pada
Router MikroTik.
Setelah mengkonfigurasi IP Address pada setiap interface, seharusnya

konfigurasi IP Addess terlihat seperti berikut.
Untuk melakukan teknik routing, Anda harus dapat membaca tabel routing.
Tabel routing itu sendiri adalah tabel yang digunakan router ebagai pedoman
untuk menuju suatu jaringan (network). Tabel ini dapat dianalogikal seperti peta
yang akan digunakan oleh router. Router tidak akan dapat menjangkau suatu
jaringan jika network address dari jaringan tersebut tidak ada dalam tabel routing.
Tentunya, Anda akan kesulitan mencari suatu lokasi jika lokasi tersebut tidak ada
dalam peta.
Untuk melihat tabel routing dari R1 maupun R2, Anda dapat menggunakan
perintah sebagai berikut.
Jika Anda perhatikan dengan seksama, tabel routing pada R1 tidak berisi
informasi tentang network 192.168.2.0/24. Begitu juga dengan R2 yang tidak
berisi informasi tentang 192.168.1.0/24. Ini mengakibatkan komputer 192.168.1.2
tidak dapat berhubungan dengan komputer 192.168.2.2. Pada kondisi ini, tabel
routing pada setiap router dapat dikatakan belum lengkap. Dan untuk
melengkapinya Anda harus melakukan routing static, ataupun dinamik.
Prinsip yang dapat Anda gunakan dalam menerapkan routing static adalah
“Mau ke mana?” dan “Lewat mana?”. Sebagai langkah pertama, marilah kira
jadikan R1 sebagai acuan terlebih dahulu. Jika mlihat topologi, jika R1 ingin
menuju network 192.168.2.0/24, maka R1 harus mewati 10.10.10.2 yang
merupakan interface ether1 dari R2. Dengan kata lain, 10.10.10.2 akan menjadi
gateway bagi Router R1 jika ingin menuju network 192.168.2.0/24. Bagaimana
dengan R2? Jika R2 ingin menuju network 192.168.1.0/24 maka R2 harus
melewati 10.10.10.1 yang merupakan interface ether1 dari R1. Router R2 harus
menggunakan 10.10.10.1 sebagai gateway untuk menuju network
192.168.1.0/24.
Setelah memahami dengan benar konsep, “Mau ke mana?” dan “Lewat

mana?” , maka tibalah saatnya Anda memberikan perintah-perintah konfigurasi
routing static baik pada R1 dan R2.
Adapun perintah yang dapat Anda gunakan pada R1, agar R1 mengenal
network 192.168.1.0/24 adalah sebagai berikut.
Sedangkan untuk R2, perintah yang dapat anda gunakan adalah sebagai
berikut:
Jika ingin melakukan konfigurasi routing static dengan menggunakan

WinBox, maka anda dapat melakukannya melalui menu IP-Routes, klik tombol
Add, seperti terlihat pada gambar berikut:
Setelah konfigurasi static selesai anda lakukan, maka periksalah kembali

tabel routing pada masing-masing router. Seharusny tabel routing pada masing-
masing router terlihat seperti berikut.
Anda dapat melihat tabel routing pada R1 telah lengkap, karena telah berisi
informasi network 192.168.2.0/24 dengan gateway 10.10.10.2. Begitu juga
dengan tabel routing R2 yang telah memuat informasi network 192.168.1.0/24
dengan gateway 10.10.10.1. Jika tabel routing ini sudah lengkap maka seharusnya
komputer 192.168.1.2 sudah dapat berhubungan dengan komputer 192.168.2.2
demikian pula sebaliknya.
Pada saat anda mengkonfigurasikan IP Address pada komputer 192.168.1.2

jangan lupa untuk mengkonfigurasikan 192.168.1.1 sebagai default gateway.
Begitu juga dengan komputer 192.168.2.2 anda harus mengkonfigurasikan
192.168.2.1 sebagai default gateway bagi komputer tersebut.
Konfigurasi Static Routing

Bagaimana dengan konfigurasi routing static pada topologi berikut ini?
Seperti terlihat pada gambar di atas R1 memiliki sebuah network

192.168.1.0/24. Sedangkan pada R2 terdapat juga sebuah network
192.168.2.0/24. Terlihat juga bahwa antara Router R1 R2 dan Gateway dihubgkan
dengan menggunakan Swich pada network 10.10.10.0/29.
Untuk mengkonfigurasikan routing static pada router gateway, maka

perintah yang dapat anda gunakan adalah sebagai berikut.
Sedangkan untuk R1 dan R2 perintah routing static adalah yang dapat anda
gunakan adalah sebagai berikut.
Jaringan tersebut akan digunakan untuk mengakses Internet. Anda harus

melakukan konfigurasi routing static menuju Internet pada setiap router. Internet
merupakan kumpulan jutaan IP Address, sehingga tidak mungkin menuliskan
semua IP Address Internet pada saat akan melakukan konfigurasi routing static.
Untuk melakukan konfigurasi routing static ke internet maka anda dapat
menggunakan IP Address 0.0.0.0/0 untuk mewakili jutaan IP Address yang ada di
internet.
Peintah static routing untuk menuju ke internet pada masingmasing router

adalah sebagai berikut.
Perhatikanlah bahwa router gateway yang harus mengunakan 60.1.1.1

yang merupakan router ISP untuk menuju internet. Sedagkan R1 harus
menggunakan 10.10.10.6 yang merupakan interface ether2 dari router gateway
untuk menuju internet. Begitu pula dengan R2 yang harus menggunakan
10.10.10.6 sebagai gateway untuk menuju internet.
Hasil akhir dari konfigurasi routing static dapat dilihat pada tabel routing
pada setiap router. Seharusnya tabel routing dari ketiga router terlihat seperti
berikut.
Anda juga dapat menggunakan WinBox melalui menu IP-Routes untuk

melihat abel routing. Seharusnya tabel routing dari ketiga router akan terlihat
seperti berikut.
Karena router gateway merupakan batas antara jaringan lokal LAN dan
Internet, maka pada router tersebut harus dikonfigurasikan NAT dengan
action=masquerade. Perintah yang dapat digunakan adalah sebagai berikut:
Juga jangan lupa untuk mengkonfigurasikan DNS pada setiap router. Anda
akan tentu kesulitan mengakses internet jika tidak menggunakan DNS. Perintah
yang dapat Anda gunakan adalah sebagai berikut:
Tentang bagaimana mengkonfigurasikan NAT dengan menggunakan

WinBox sudah saya jelaskan pada buku MikroTik Kung Fu Kitab 1 terbitan
Jasakom. Begitu pula dengan bagaimana mengkonfigurasikan DNS Server.
Load Balance
Load Balance dalam jaringan komputer adalah teknik untuk membagi
beban (load) ke dalam beberapa jalur atau link. Ini dilakukan jika untuk menuju
suatu network terdapat beberapa jalur (link). Tujuan dari load balance ini agar
tdak ada link yang mendapatkan beban yang lebih besar dari link yang lain.
Diharapkan dengan membagi beban ke dalam bebrapa link tersebut maka akan
tercapai keseimbangan (balance) penggunaan link-link tersebut.
Ada berbagai macam implementasi load balance yang sering dijumpai

dilapangan. Yang paling sering adalah penerapan load balance pada saat suatu
jaringan lokal yang memiliki duan atau lebih koneksi ke internet. Koneksi-koneksi
tersebut dapat saja berasal dari ISP yang sama, maupun berasal dari ISP yang
berbeda. Untuk teknik load balance ke internet akan saya bahas pada kesempatan
lain. Pada bab ini, saya akan memberikan contoh load balance pada jaringan local.
Harapan saya contoh implementasi ini akan menjadi dasar bagi anda jika suatu
saat akan menerapkan load balance pada koneksi internet. Topologi yang kita
gunakan pada sub bab ini dapat dilihat seperti pada gambar berikut.
Jaringan pada gambar 1.7 merupakan penyempurnaan dari topologi

sebelumnya. Jiika pada topologi sebelumnya antara R1 dan R2 hanya
dihubungkan oleh network 10.10.10.0/29 melalui sebuah Swich. Maka pada
gambar 1.7 ini, anda dapat melihat bahwa R1 dan R2 juga terhubung melalui
network 10.1.1.0/30 baik R1 dan R2 terhubung melalui interface ether3 pada
network tersebut.
Karena sudah mempunyai dua link antara R1 dan R2, maka tugas anda
adalah membagi beban jaringan komputer kepada kedua link tersebut. Kedua link
tersebut akan digunakan jika komputer pada network 192.168.1.0/24 akan
berkomunikasi dengan komputer pada network 192.168.2.0/24 demikian pula
sebaliknya.
Cara yang paling mudah untuk membagi beban kepada kedua link tersebut
adalah dengan mengkonfigurasikan dua gateway pada R1 untuk menuju network
192.168.2.0/24 dua gateway tersebut adalah 10.1.1.2 dan 10.10.10.2. Demikian
pula pada R2 anda hanya mengkonfigurasikan dua gateway masing-masing
10.1.1.1 dan 10.10.10.1 untuk menuju 192.168.1.0/24. Teknik ini sering dikenal
dengan istilah Equal Cost Multi Path (ECMP).
Perintah yang dapat digunakan untk menerapkan load balance baik pada R1
dan R2 adalah sebagai berikut.
Setelah anda mengkonfigurasikan load balance baik pada R1 dan R2 maka

tabel routing dari kedua router tersebut harusnya terlihat seperti berikut.
Anda dapat memperhatikan tabel routing dari masing-masing router untuk

menuju network 192.168.2.0/24 R1 dapat menggunakan 10.1.1.2 dan 10.10.10.2
sebagai gateway begitu juga sebaliknya pada tabel routing R2.
Jika ingin menggunakan WinBox untuk mengkonfigurasikan routing static

dengan menerapkan load balance maka anda dapat menggunakan menu IP-
Routes-tombol Add seperti gambar berikut:
Menu IP-Routes juga dapat memperlihat tabel routing. Gambar berikut

memperlihatkan tabel routing R1 yng sudah menerapkan load balance untuk
menuju network 192.168.2.0/24.
Anda dapat melakukan monitor terhadap kedua link yang digunakan untuk
menghubungkan R1 dan R2. Gambar berikut memperlihatkan beban yang ada
pada kedua link tersebut. Anda dapat menggunakan menu Interface-tab Ethernet
untuk melakukan monitoring.
Teknik load balance dengan ECMP ini akan menggunakan prinsip Round
Robin. Prinsip ini akan mengalirkan traffic kepada link yang lain jika link yang
sedang digunakan sudah sangat terbebani oleh traffic.
Teknik load balance yang telah dibahas tadi juga mengikutsertakan teknik
fail over. Teknik fail over itu sendiri adalah teknik yang memungkinkan sebuah link
akan menggantikan tugas link yang lain jika kegagalan. Pada jaringan digambar 1.7
link pada network 10.10.10.0/29 akan tetap menjadi penghubung antara R1 dan
R2 jika ternyata link pada network 10.1.1.0/30 down atau gagal berfungsi.
Demikian juga sebaliknya link pada network 10.1.1.0/30 akan tetap

berfungsi sebagai penghubung kedua router jika link pada network 10.10.10.0/29
down. Sehingga teknik seperti ini sering disebut teknik load balance dengan fail
over.
Perlu diingat, load balance dan fail over adalah dua teknik yang berbeda.
Load balance adalah teknik untuk membagi beban sedangkan fail over lebih
merujuk kepada teknik untuk membuat link cadangan (backup link). Namun, jika
anda menerapkan load balance, pada umumnya akan disertai oleh fail over.
Konfigurasi load balance dengan fail over tadi, masih memiliki respon yang
lambat bila terjadi kegagalan pada suatu link. Diperlukan konfigurasi-konfigurasi
tambahan seperti routing mark dengan paramater check-gateway untuk
membuat fitur fail over bekerja lebih cepat.
Fail Over
Bagaimana jika seandainya Anda hanya menginginkan penerapan fail over
pada jaringan sebelumnya. Mungkin saja Anda berpendapat traffic di jaringan
tidak terlalu besar, sehingga tidak perlu dilakukan pembagian beban. Anda hanya
menginginkan adanya link cadangan antara R1 dan R2 sehingga koneksi antara
network 192.168.1.0/24 dan 192.168.2.0/24 lebih handal.
Untuk menerapkan teknik seperti ini, anda harus menggunakan parameter

distance pada saat akan mengkonfigurasikan routing static. Distance ini
merupakan parameter yang akan menentukan link mana yang akan lebih
diutamakan untuk digunakan, bila ada beberapa link yang tersedia untuk menuju
satu jaringan. Link yang memiliki nilai distance terkecil akan lebih diutamakan
dibandingkan link-link yang lain.
Marilah kita kembali menggunakan jaringan yang ada pada gambar 1.7.
Untuk menerapkan teknik fail over saja (tanpa load balance), anda harus memilih
satu link yang akan menjadi link utama dan satu link lainnya hanya menjadi
cadangan. Sebagai contoh, seandainya anda menginginkan link yang
menggunakan network 10.1.1.0/30 menjadi link utama, maka nilai distance dari
link tersebut harus lebih rendah dari link yang menggunakan network
10.10.10.0/29.
Jika pada saat mengkonfigurasikan routing static anda tidak menambahkan

parameter distance, maka secara default routing mikrotik akan memberikan nilai
1 pada link tersebut. Pada contoh berikut, anda dapat melihat bagaimana
konfigurasi routing static yang menggunakan parameter distance=2 pada link
10.10.10.0/29.
Anda dapat melihat perintah diatas yang menambahkan parameter

distance=2 pada konfigurasi yang menggunakan 10.10.10.2 sebagai gateway
untuk menuju network 192.168.2.0/24. Selain itu untuk mendeteksi baik tidak
kondisi masing-masing link, juga ditambahkan parameter check-gateway.
Opsi ini akan digunakan untuk melakukan pengecekan dengan melakukan

ping secara berkala terhadap 10.1.1.2 dan 10.10.10.2. jika nantinya 10.1.1.2 tidak
memberikan respon pada saat menerima paket ping, maka R1 akan berasumsi
bahwa link 10.1.1.0/30 tidak dapat digunakan. Selanjutnya R1 akan menggunakan
link 10.10.10.0/29 untuk menuju network 192.168.2.0/24 . jika nantinya link yang
menggunaka network 10.10.10.0/29 tidak akan digunakan lagi.
Bagaimana dengan konfigurasi pada R2? Konfigurasi pada R2 pada

prinsipnya sama dengan konfigurasi yang dilakukan pada R1 jika memang hanya
akan menerapkan teknik fail over. Konfigurasi pada R2 dapat dilihat seperti
berikut.
Jika ingin menggunakan WinBox untuk mengkonfigurasikan fail over seperti

pada contoh sebelumnya, kembali anda dapat menggunakan menu IP-Routes-
tombol Add , seperti pada gambar berikut:
Jika konfigurasi fail over telah selesai dilakukan, maka tabel routing pada
masing-masing router akan terlihat seperti berikut.
Mari kita perhatikan dengan baik tabel routing diatas, sebagai contoh
acuan, anda dapat memperhatikan tabel routing pada R1. Pada tabel routing
tersebut konfigurasi routing static dengan gateway 10.1.1.2 memiliki label AS, ini
berarti konfigurasi tersebut adalah konfigurasi routing static dan sedang aktif
(sedang digunakan). Sedangkan konfigurasi dengan gateway 10.10.10.2 hanya
memiliki label S, yang artinya konfigurasi dengan mengunakan gateway
10.10.10.2 sedang tidak digunakan (hanya dijadikan cadangan).
Cobalah anda menguji teknik fail over ini dengan memutuskan link yang
menggunakan network 10.1.1.0/30, amatilah apa yang terjadi dengan tabel
routingnya. Seharusnya konfigurasi routing static dengan gateway 10.10.10.2
akan memiliki label AS, yang menandakan bahwa link tersebut telah
menggantikan link 10.1.1.0/30.
Anda juga dapat melihat tabel routing yang menerapkan fail over melalui
WinBox. Menu yang dapat digunakan adalah menu IP-Routes dan link yang hanya
berfungsi sebagai cadangan akan berwarna biru, seperti pada gambar berikut.
Traceroute
Tool traceroute dapat digunakan untuk melihat link mana saja yang
digunakan oleh router pada saat mengirimkan data. Tool ini sangat berguna pada
saat memeriksa benar tidaknya konfigurasi routing yang dilakukan, baik pada
routing static maupun dinamik. Bekerja tidaknya teknik load balance maupun fail
over yang anda lakukan dapat dianalisa dengan menggunakan tool ini.
Sebagai contoh penggunaan, anda ingin menguji link atau gateway

manakah yang digunakan router gateway untuk menuju komputer 192.168.2.2
pada gambar 1.7. Jika inggin melihat gateway yang digunakan oleh router
gateway, maka perintah traceroute juga harus dilakukan pada router tersebut dan
contoh perintah yang dapat anda gunakan adalah sebagai berikut:
Hasil traceroute dari router gateway memperlihatkan bahwa untuk menuju
komputer 192.168.2.2 , gateway yang digunakan adalah 10.10.10.2. Anda dapat
mencoba menggunakan traceroute dari router yang lain untuk tujuan komputer
yang berbeda-beda pula.
Jika menggunakan WinBox, maka tool traceroute dapat digunakan melalui

menu Tools-Traceroute seperti pada gambar berikut:
BAB 2
DHCP Server
Pada buku MikroTik Kung Fu Kitab 1 , saya sudah membahas konfigurasi
DHCP Server, baik pada jaringan yang menggunakan kabel maupun jaringan
nirkabel (wireless). Cara konfigurasi yang digunakan pada buku tersebut adalah
dengan menggunakan wizard DHCP Setup, baik melalui commad line maupun
WinBox.
Pada buku MikroTik Kung Fu Kitab 2 ini kembali saya akan membahas
konfigurasi DHCP Server pada jaringan yang lebih kompleks. Sesuai skenario yang
digunakan pada BAB 1 sebelumnya, dimana jaringan tersebut memiliki 3(tiga)
buah router, maka konfigurasi yang dibahas pada bab ini tentu akan sedikit lebih
kompleks pula. Konfigurasi DHCP Server akan dilakukan dengan menggunakan IP
Pool , juga ada konfigurasi DHCP Alert yang berguna untuk mendeteksi Rogue
DHCP Server (DHCP Server ilegal) maupun konfigurasi DHCP Relay.
IP Pool
Selain menggunakan cara cepat dengan memanfaatkan Wizard, konfigurasi
DHCP Server juga dapat dilakukan dengan membuat IP Pool terlebih dahulu. IP
Pool itu sendiri merupakan kumpulan IP Addess yang akan diberikan pada
komputer client. IP Pool ini dapat diimplementasikan pada DHCP Server maupun
PPP Server. Pada bab-bab selanjutnya akan dibahas bagaimana membuat Virtual
Private Network maupun PPP Server dengan memanfaatkan IP Pool ini.
Sebenarnya, jika mengkonfigurasikan DHCP Server dengan menggunakan

bantuan wizard seperti dahulu, Router MikroTik akan otomatis membuat IP Pool.
Namun anda bisa saja membuat terlebih dahulu IP Pool untuk kemudian baru
mengkonfigurasikan DHCP Server. Kelebihan yang akan didapatkan dengan
membuat IP Pool terlebih dahulu adalah manajemen IP Addess yang lebih teratur.
Pada sub bab ini yang akan dibahas adalah konfigurasi IP Pool saja, untuk
konfigurasi DHCP Server itu sendiri akan dibahas pada sub bab berikutnya.
Konfigurasi IP Pool
Marilah kita perhatikan topologi berikut, dimana pada R1 akan
dikonfigurasikan DHCP Server. Router R1 tersebut memiliki dua network, yaitu
192.169.1.0/24 yang terhubung pada ether2 dan 192.168.11.0/24 yang terhubung
pada ether3.
Untuk membuat IP Pool yang akan digunakan DHCP Server pada R1, dimana
Pool dengan nama LAN-1 akan melayani network 192.168.1.0/24 dan Pool LAN-2
akan melayani network 192.168.11.0/24, maka perintah yang dapat anda
gunakan adalah sebagai berikut:
Bila menggunakan WinBox, maka untuk membuat IP Pool anda dapat

menggunakan menu IP-Pool seperti gambar berikut:
Anda dapat juga membuat dua range IP Address dalam satu IP Pool,
misalnya IP Address yang akan dibagikan adalah 192.168.1.2 s/d 192.168.1.5 dan
192.168.1.7 s/d 192.168.1.10. Bisa diperlihatkan bahwa IP Address 192.168.1.6
tidak akan dibagikan kepada komputer client karena tidak diikutsertakan pada IP
Pool. Untuk konfigurasi seperti ini, perintah yang dapat digunakan adalah sebagai
berikut:
Dengan menggunakan WinBox, maka konfigurasi diatas akan terlihat
seperti gambar berikut ini.
Konfigurasi Next Pool

Anda juga dapat membuat Pool Cadangan, yang bertujuan sebagai
cadangan IP Address jika IP Address yang ada pada Pool utama telah habis. IP Pool
cadangan ini tidak akan dipinjamkan kepada komputer client jika IP Address pada
Pool utama masih tersedia.
Untuk mengimplementasikan IP Pool cadangan, perintah yang dapat anda

Konfigurasi diatas akan membuat DHCP Server nantinya menggunakan IP

Address pada IP Pool dengan nama “LAN-1”. IP Address pada Pool tersebut adalah
192.168.1.2 s/d 192.168.1.5. Jika kemudian IP Address pada Pool “LAN-1” telah
habis, maka DHCP Server nantinya akan menggunakan IP Address pada Pool
dengan nama “LAN-1 Cadangan” dimana IP Address yang akan digunakan adalah
192.168.1.10 s/d 192/168.1.20 , perhatikanlah parameter next-pool=”LAN-1
Cadangan” pada IP Pool LAN-1.
Bila menggunakan WinBox, maka konfigurasi IP Pool cadangan dapat

dilakukan mlalui menu IP-Pool seperti gambar berikut ini:
Setelah membaca dan mencoba konfigurasi IP Pool, maka anda akan dapat
melanjutkan konfigurasi DHCP Server pada sub bab berikut ini.
Konfigurasi DHCP Server

Konfigurasi DHCP Server yang akan dilakukan pada R1 akan melayani dua
network, seperti pada gambar 2.1. Yang pertama kali harus dilakukan adalah
mengkonfigurasikan parameter kedua network pada DHCP Server, perintah yang
dapat anda gunakan adalah sebagai berikut:
Menu pada WinBox yang dapat anda gunakan untuk mengkonfigurasikan
parameter network pada DHCP Server adalah menu IP-DHCP Server-tab
Nerworks, seperti gambar berikut:
Selanjutnya anda harus melakukan konfigurasi DHCP Server itu sendiri,

dengan menggunakan perintah seperti berikut:
Yang harus diperhatikan pada konfigurasi DHCP Server diatas adalah

parameter address-pool yang harus sesuai dengan nama IP Pool. Misalnya saat
mengkonfigurasikan DHCP Server untuk network 192.168.1.0/24 pada ether2
anda harus menggunakan IP Pool dengan nama LAN-1.
Jika menggunakan WinBox, maka konfigurasi DHCP Server dapat dilakukan

melalui menu IP-DHCP Server-tombol Add, seperti gambar berikut:
Sampai pada tahapan ini, konfigurasi DHCP Server anda telah selesai.
Pengujian dapat dilakukan dengan menggunakan konfigurasi IP Address secara
otomatis pada beberapa komputer client.
Anda dapat melakukan monitoring pada DHCP Server, misalnya dengan

melihat Pool IP Address yang digunakan. Perintah yang dapat digunakan adalah
sebagai berikut:
Dengan menggunakan WinBox, anda dapat melakukannya melalui menu IP-

Pool-tab Used Addresses, seperti pada gambar berikut:
Selain itu anda juga dapat melihat lease time (waktu peminjaman) dari
sebuah IP Address yang sudah digunakan. Perintah yang dapat digunakan adalah
sebagai berikut:
Dari penggunaan perintah IP DHCP-Server lease print akan terlihat

beberapa IP Address yang sedang digunakan (status=bound) juga terlihat berasal
dari DHCP Server mana IP Address tersebut. Misalnya IP Address 192.168.11.5
yang berasal dari DHCP Server “dhcp LAN-2”.
Dengan menggunakan WinBox, anda masih dapat melihat sisa lease time
dari suatu IP Address. Sisa lease time menunjukan berapa lama lagi IP Address
tersebut masih akan dipinjamkan kepada komputer client. Untuk melihatnya,
dapat dilakukan melalui menu IP-DHCP Server-tab Leases seperti pada ganbar
berikut:
Address-pool=static-only
Pada saat mengkonfigurasi DHCP Server pada sub bab sebelumnya, anda
mengisikan parameter address-pool dengan nama IP Pool, seperti terlihat pada
uraian berikut:
Parameter address-pool dapat saja dikonfigurasikan dengan pilihan static-

only. Sehingga konfigurasi di atas dapat saja berbentuk seperti berikut:
Konfigurasi dengan opsi static-only akan membuat DHCP Server hanya

memberikan IP Address kepada komputer-komputer yang telah terdaftar MAC
Address-nya. Komputer yang MAC Addressnya tidak terdaftar, tidak akan
mendapatkan IP Address.
Tentunya, untuk menerapkan teknik seperti ini anda harus mendaftarkan

terlebih dahulu MAC Address dari komputer client. Perintah yang dapat
digunakan untuk mendaftarkan MAC Address komputer client dalam pemetaan
static pada DHCP Server adalah sebagai berikut:
Perintah diatas akan mendaftarkan komputer client yang memiliki MAC

Address 00:0C:29:BC:A4:64 pada DHCP Server LAN-1 dengan lease time selama
2jam. Komputer tersebut juga akan mendaftarkan IP Address 192.168.1.2 dari
DHCP Server.
Ini juga berlaku bagi komputer client dengan MAC Address

00:0C:29:FC:85:3F yang nantinya akan mendapatkan IP Address 192.168.1.3.
Hanya dua komputer inilah yang akan mendapatkan IP Address dari DHCP Server.
Jika menggunakan WinBox, maka parameter static-only dapat

dikonfigurasikan melalui menu IP-DHCP Server-tab DHCP-tombol Add seperti
terlihat pada gambar berikut:
Sedangkan untuk mendaftarkan MAC Address komputer sehingga

pemetaan static pada DHCP Server, dapat anda lakukan melalui menu IP-DHCP
Server-tab leases-tombol Add seperti pada gambar berikut:
Rogue DHCP Server
Rogue adalah DHCP Server ilegal dalam jaringan, atau DHCP Server yang
tidak dikonfigurasikan oleh Administrator jaringgan. Rogue DHCP Server biasanya
ditunjukan untuk melakukan aktivitas hacking pada jaringan. Rogue DHCP Server
akan memberikan konfigurasi IP Address yang tidak benar kepada komputer
client.
Rogue DHCP Server dapat saja memberikan konfigurasi default gateway

yang salah, sehingga traffic dari komputer client akan menuju ke Rogue DHCP
Server dan bukan menuju ke dafault gateway yang sebenarnya. Ini akan
menyebabkan penyerang (attacker) dapat melakukan aktifitas penyadapan
(sniffing). Ilustarsinya dapat dilihat pada gambar berikut:
Konfigurasi DHCP Alert

Router MikroTik memiliki fasilitas DHCP Server yang dilengkapi dengan
DHCP Alert. Jiak erdapat DHCP Server yang tidak dikenali dalam jaringan, maka
DHCP Alert akan mengirimkan pesan ke sistem Log dari router. Sebagai contoh,
jika ingin mengkonfigurasikan DHCP Alert pada interface ether2, maka perintah
yang dapat digunakan adalah sebagai berikut:
Jika menggunakan WinBox, konsfigurasi DHCP Alert dapat dilakukan melalui

menu IP-DHCP Server-tab Alert-tombol Add seperti pada gambar berikut:
Parameter alert-timeout=01:00:00 pada konfgurasi diatas akan membuat

DHCP Alert bekerja setiap 1jam. Parameter tersebut dapat disesuaikan sesuai
kebutuhan. Anda juga dapat menamahkan konfigurasi lanjutan berbentuk script
pada parameter on-alert, misalnya melakukan pengiriman informasi ke email
anda jika terdapat Rogue DHCP Server.
Untuk membuat script pengiriman email, anda dapat membaca buku

MikroTik KungFu Kitab 1 terbitan Jasakom.
Jika ternyata pada jaringan terdapat Rogue DHCP Server, maka pada
terminal konfigurasi akan muncul pesan sebagai berikut:
Pesan ini juga dapat dilihat melalui WinBox pada menu Log, seperti pada
gambar berikut:
Valid DHCP Server

Dalam beberapa kondisi, pada suatu jaringan bisa saja terdapat bebrapa
DHCP Server yang saling bekerja sama satu sama lain. Pada kondisi seperti ini,
anda harus memberitahukan mana DHCP Server yang sah (legal) dan mana DHCP
Server yang ilegal (rogue).
Sebagai contoh, jika dalam jaringan 192.168.1.0/24 juga terdapat DHCP

Server kedua dengan MAC Address 00:0C:29:C4:B8:80, maka perintah yang dapat
digunakan pada DHCP Server utama untuk memberitahukan keberadaan DHCP
Server kedua adalah sebagai berikut:
Dengan menggunakan WinBox, anda tinggal menambahkan parameter

Valid Servers seperti gambar berikut:
DHCP Relay
Pada jaringan local (LAN) yang memiliki banyak router seperti topologi pada
gambar 2.15 anda biasanya akan mengkonfigurasikan DHCP Server pada setiap
router. DHCP Server tersebut umumnya dikonfigurasikan pada router-router yang
langsung menangani jaringan yang berisikan komputer-komputer client. Cara
sperti ini terkadang kurang efisien jika dipandang dari sisi maintenance
(perawatan). Misalnya jika anda harus melakukan penambahan IP Pool maka anda
harus login ke beberapa router tersebut untuk melakukan konfigurasi.
Cara lain yang dapat mempermudah maintenance (perawatan) dan

monitoring (pengawasan) DHCP Server adalah dengan membuat konfigurasinya
terpusat pada satu router. Walaupun DHCP Server tersebut terpusat pada satu
router, namun akan tetap dapat melayani komputer client yang ada pada jaringan
lain. Pada kondisi ini ada beberapa router yang akan difungsikan sebagai DHCP
Relay. Anda dapat melihat penerapan DHCP Server yang terpusat ini pada gambar
berikut:
Konfigurasi DHCP Server dan DHCP Relay
Pada gambar 2.15 terlihat bahwa Router Gateway akan berfungsi sebagai
DHCP Server yang akan melayani network 192.168.1.0/24, 192.168.11.0/24,
192.168.2.0/24 dan 192.168.21.0/24. Adapun router R1 dan R2 akan bertindak
sebagai DHCP Relay. DHCP Relay tersebut sebenarnya berfungsi sebagai proxy
yang akan menerima permintaan IP Address (DHCP Request) dari komputer client
untuk kemudian mengirimkan DHCP Request tersebut kepada DHCP Server.
Yang pertama kali harus anda lakukan adalah membuat IP Pool untuk
masing-masing network. IP Pool ini dikonfigurasikan pada router gateway, dan
perintah yang dapat digunakan adalah sebagai berikut:
Selanjutnya adalah membuat konfigurasi network pada DHCP Server ada 4

konfigurasi network yang harus dilakukan pada router gateway, perintah yang
dapat digunakan adalah sebagai berikut:
Konfigurasi terakhir yang harus anda lakukan pada router gateway adalah
konfigurasi DHCP Server itu sendiri. DHCP Server pada router gateway harus
dikonfigurasikan pada interface ether2, karena interface inilah yang berhubungan
dengan router R1 dan R2.
Yang harus diperhatikan pada konfigurasi ini adalah parameterrelay, anda

harus mengisikannya dengan IP Address dari intrface R1 dan R2 yang
berhubungan dengan network yang akan dilayani. Adapun perintah yang dapat
digunakan untuk mengkonfigurasikan DHCP Server pada Router Gateway adalah
sebagai berikut:
Jika anda menggunakan WinBox, maka konfigurasi DHCP Server pada

Router Gateway dapat dilakukan melalui menu IP-DHCP Server-tab DHCP-tombol
Add seperti terlihat pada gambar berikut:
Tahapan terakhir adalah mengkonfigurasikan DHCP Relay baik pada router

R1 maupun R2. Parameter yang harus diperhatikan adalah parameter dhcp-server
yang harus diisikan dengan IP Address dari router gateway. Begitu juga dengan
parameter local-address yang merupakan IP Address dari interface-interfaces R1
dan R2 yang terhubung ke network yang akan dilayani. Perintah yang dapat
digunakan pada router R1 adalah sebagai berikut:
Sedangkan untuk router R2, perintah yang dapat digunakan adalah sebagai
berikut:
Dengan menggunakan WinBox, anda dapat menggunakan menu IP-DHCP

Relay-tombol Add untuk mengkonfigurasikan DHCP Relay, seperti pada gambar
berikut:
Perlu diperhatikan bahwa untuk membuat konfigurasi DHCP Relay seperti

diatas, harus dipastikan bahwa router gateway dapat dengan mudah menjangkau
interface ether2 maupun ether3 pada router R1 dan R2. Jangan sampai anda
menerapkan aturan firewall atau masquerade yang membuat inteface-interface
tersebut tidak “terlihat” dari Router Gateway.
Monitoring
Untuk melakukan monitoring pada router gateway yang bertindak sebagai
DHCP Server anda dapat menggunakan perintah-perintah sebelumnya seperti
terlihat berikut ini:
Dengan menggunakan WinBox, monitoring dapat dilakukan melalui menu

IP-DHCP Server-tab Leases seperti pada gambar berikut:
DHCP Rogue vs DHCP Relay

Dengan bentuk DHCP Server yang terpuat pada router gateway, maka
kehadiran DHCP Rogue pada network 192.168.1.0/24 dan lainnya akan sulit untuk
diketahui oleh router gateway. DHCP bekerja dengan menggunakan komunikasi
broadcast, sehingga broadcast yang dilakukan oleh DHCP Rogue tidak akan
diteruskan oleh Router R1 maupun R2 kepada Router Gateway.
Ini mengakibatkan DHCP Alert yang dikonfigurasikan pada router gateway

tidak akan sanggup mendeteksi kehadiran DHCP Rogue. Untuk mengetahui
kehadiran DHCP Rogue, anda harus mengkonfigurasikan DHCP Alert pada router
R1 maupun R2.
BAB 3
Bridging
Selain teknik routing, pada jaringan komputer juga dikenal teknik bridging,
beberapa dari kita sering menyebutnya dengan teknik yang menggabungkan
beberapa interface jaringan dari router, sehingga interface-interface tersebut
akan berada dalam satu segmen jaringan.
Sebelumnya anda tentu sudah melihat bahwa dengan hadirnya router,

maka jaringan-jaringan akan terpech-pecah sesuai dengan jumlah interface dari
router tersebut. Nah, dengan teknik bridging ini, network-network yang terpisah-
pisah tadi, dapat digabungkan menjadi satu kesatuan jaringan (single network).
Tentu teknik ini diterapkan dengan berbagai alasan.
Yang perlu diingat adalah fungsi router dari interface-interface yang di-
bridge akan hilang. Ini berakibat fungsi-fungsi firewall juga nantinya akan hilang di
antara interface-interface tersebut. Namun, dengan beberapa konfigurasi
tambahan, fungsi firewall pada jaringan yang sudah anda bridge akan dapat
dihadirkan kembali.
Jika mengacu pada OSI Model, maka bridging terjadi pada layer 2 (data lik),
sedangkan rounting terjadi di layer 3 (network). Peralatan yang digunakan untuk
melakukan routing adalah router, yang artinya router adalah perangkat jaringan
yang bekerja pada layer 3. Adapun perangkat jaringan yang bekerja pada layer 2
adalah Swich. Sehingga router-router yang menerapkan teknik bridging dapat
dianalogikan telah menjadi sebuah Swich, bukankah Swich berfungsi
menggabungkan beberapa komputer dalam satu segmen jaringan?Apa bedanya
dengan Bridge yang juga menggabungkan beberapa komputer dalam satu segmen
jaringan?
Itulah sebabnya, jika ingin mahir dalam menerapkan bridging, maka

sebaiknya anda mempelajari juga ilmu-ilmu tentang Switching, terutama LAN
Switching atau Ethernet Switching.
Diawal bab ini, saya akan memberikan pembahasan tentang sedikit konsep
bridge terlebih dahulu. Sehingga nantinya anda akan paham bagaimana
menerapkan konfigurasi-konfigurasi bridge yang tepat dilapangan. Bentuk
jaringan yang berbeda tentu menuntut konfigurasi bridge yang berbeda pula.
Konsep Bridging
Untuk mempelajari sedikit tentang konsep bridging, anda dapat
memperhatikan gambar 3.3. Jaringan pada gambar tersebut terdiri dari dua buah
router yang menghubungkan dua komputer client. Jika anda melihat topologi-
topologi sebelumnya yang tidak menggunakan teknik bridging., maka seharusnya
pada jaringan tersebut akan memiliki tiga network.
Network pertama adalah network pada interface ether2 dari R1, network
kedua adalah network pada interface ether2 dari R2 dan network ketiga adalah
network diantara R1 dan R2. Mungkin anda dapat membandingkan kembali
dengan jaringan pada bab1 , khususnya gambar 1.1:
Namun pada jaringan pada gambar 3.1, terlihat bahwa R1 dan R2

melakukan bridge pada interface-interfacenya. Sehingga terlihat bahwa hanya
ada satu network yang ada, yaitu network 192.168.1.0/24. Anda dapat
melihatnya juga semua interface dari R1 dan R2 berda pada satu segmen jaringan,
tidak terpecah-pecah lagi seperti pada contoh jaringan sebelumnya.
Dengan mempersatukan interface-interface router menjadi satu segmen

jaringan, maka ada beberapa konsukeunsi yang akan terjadi. Yang paling utama
adalah masalah broadcast, bila salah satu komputer melakukan broadcast, maka
semua komputer dalam segmen jaringan yang telah dibridge akan menerima
broadcast tersebut. Anda dapat melihatnya pada gambar berikut:
Sebagai contoh lain lagi, jika misalnya komputer 192.168.1.1 menjalankan

serangan dengan menggunakan NetCut (tentu anda sudah mengenal aplikasi
“reseh” ini) maka serangan itu nantinya akan dirasakan oleh seluruh komputer,
baik itu komputer 192.168.1.3 maupun 192.168.1.4.
Konfigurasi Dasar Bridge

Untuk mengkonfigurasikan bridge berdasarkan pada gambar 3.1 maka
langkah pertama yang harus dilakukan adalah membuat interface bridge, sebagai
contoh nama interface yang akan dibuat adalah bridge1. Adapun perintah yang
dapat anda gunakan pada router R1 adalah sebagai berikut:
Langkah selanjutnya adalah memasukkan interface ether1 dan ether2 dari
R1 ke dalam interface bridge1 yang sudah dibuat sebelumnya. Perintah yang
dapat digunakan sebagai berikut:
Mungkin konfigurasi untuk R2 tidak berbeda jauh dengan konfigurasi yang

telah digunakan pada R1. Tahap pertama adalah membuat interface bridge,
Selanjutnya memasukkan interface-interface yang akan di bridge pada

interface bridge1 , perintah yang dapt anda gunakan adalah sebagai berikut:
Nama interface bridge yang ada pada satu router tidak ada hubungannya
dengan nama interface bridge pada router lain. Jadi, bisa saja anda menggunakan
nama interface bridge1 pada R1 dan nama interface bridge100 pada R2. Nama
interface tersebut hanya bersifat local. Yang paling penting adalah interface ether
mana saja yang masuk dalam interface bridge anda.
Sampai pada tahapan ini konfigurasi bridge telah selesai. Pengujian dapat
dilakukan dengan melakukan ping dari komputer 192.168.1.1 kepada komputer
192.168.1.2. kedua host tersebut akan berada dalam satu segemen jaringan. Anda
juga tidak perlu mengkonfigurasikan IP Address pada interface-interface router
yang telah dibridge tadi. Layaknya Switch bukan? Bukankah anda tidak perlu
mengkonfigurasikan IP Address pada Switch.
Namun untuk beberapa keperluan, sebaiknya dikonfigurasikan IP Address

pada interface dibridge (dalam hal ether1 dan ether2) maupun pada interface
bridge1 itu sendiri. Sebagai contoh jika anda ingin melakukan konfigurasi router
R1 dan R2 dengan menggunakan WinBox, maka tentunya kedua router tersebut
harus memiliki IP Address.
Bila menggunakan WinBox untuk membuat interface bridge, maka anda

dapat menggunakan menu Bridge-tab Bridge-tombol Add sperti pada gambar
berikut:
Sedangkan untuk memasukan interface ether1 dan ether2 ke dalam

interface bridge1 dengan menggunakan WinBox, dapat dilakukan melalui menu
Bridge-tab Ports-tombol Add seperti pada gambar brikut:
Redudant Link dan Looping
Pada teknik routing anda dapat membuat redundant link (link cadangan)
yang akhirnya dapat membuat jaringan anda memiliki fitur fail over. Namun, pada
jaringan yang menerapkan bridge, membuat redundant link tanpa perhitungan
malah akan membuat jaringan bermasalah.
Jika tidak melakukan konfigurasi tambahan, maka redundant link tersebut

akan menghasilkan looping pada interface-interface bridge. Dan hasil terakhir
yang akan anda “nikmati” adalah jaringan yang macet total:
Pada gambar diatas, dapat dilihat bahwa antara R1 dan R2 terdapat dua
link. Link yang pertama menggunakan interface ether1 pada kedua router
sedangkan link yang kedua menggunakan interface ether3.
Jika interface ether3 pada kedua router, dimasukan kedalam interface

bridge1, maka looping akan terjadi diantara interface-interface yang dibridge.
Anda dapat menguji topologi tersebut dengan melakukan ping antara host
192.168.1.1 dan host 192.168.1.2. Ping yang dihasilkan akan sering mengalami
timeout:
Rapid Spanning Tree Protocol

Untuk mencegah terjadinya looping pada jaringan yang di bridge tadi, maka
Router MikroTik sudah dilengkapi protokol Rapid Spanning Tree Protocol (RSTP).
Protocol ini merupakan penyempurnaan dari Spanning Tree Protocol (STP). Baik
STP maupun RSTP nantinya akan melakukan “blocking” terhadap salah satu
interface yang telah di bridge. Interface yang berada dalam status blocking ini
tidak akan meneruskan traffic, hal inilah yang mencegah terjadinya looping.
Jika sebelumnya interface bridge sudah anda buat seperti pada contoh
konfigurasi sebelumnya, maka untuk mengaktifkan RSTP pada kedua Router,
dapat melakukan seperti gambar berikut ini:
Jika ingin menggunakan WinBox, maka anda dapat mengkonfigurasikan

RSTP melalui menu Bridge-tab Bridge-pilih interface bridge1-tab-STP, seperti pada
gambar berikut:
Root Bridge
Dalam suatu jaringan yang telah menerapkan bridge dan router-router
Mikrotik telah mengaktifkan STP ataupun RSTP maka akan dipilih sebuah router
yang akan menjadi Root Bridge. Root Bridge merupakan router/bridge yang tidak
memiliki interface dalam status “blocking”. Seperti yang sudah saya jelaskan
sebelumnya , bahwa RSTP/STP nantinya akan membuat satu atau beberapa
interface berada dalam status blocking.
Anda harus memeriksa apakah router R1 yang menjadi Root Bridge?

Ataukah Router R2 yang menjadi Router Bridge. Perintah yang dapat digunakan
adalah sebagai berikut:
Jika ingin menggunakan WinBox untuk melihat router manakah yang akan
menjadi root bridge, menu yang dapat digunakan adalah Bridge-tab Bridge-pilih
interface bridge1-tab status , seperti gambar berikut:
Port Role
Pada pembahsan sebelumnya anda suda dapat melihat manakah router-
router yang menjadi root bridge , dan mana router yang tidak menjadi root bridge
(non root bridge). Router yang menjadi root bridge adalah router yang tidak
memiliki interface dalam keadaan blocking, sedangkan non root bridge adalah
router yang kemungkinan akan memiliki satu atau beberapa interface yang
mengalami status blocking.
Karena dari uraian sebelumnya, sudah diketahui bahwa yang menjadi root
bridge adalah router R2 maka untuk melihat port mana yang mengalami blocking,
cukup dilakukan pada R1, perintah yang dapat digunakan adalah sebagai berikut:
Dari uraian monitoring interface (port) diatas, dapat dilihat bahwa yang
mengalami status blocking adalah interface ether3.
Jika anda ingin melihat status dari interface-interface di Router R2 maka

Uraian diatas memperlihatkan bahwa baik interface ether1 dan ether3 dari
R2 tidak dalam keadaan blocking, artinya interface-interface tersebut digunakan
untuk mengirimkan traffic data.
Dengan menggunakan WinBox, monitoring interface-interface yang akan

sudah di bridge akan lebih mudah. Menu yang dapat anda gunakan adalah Bridge-
tab Ports seperti gambar berikut:
Jika digambarkan secara logika, maka jaringan pada gambar 3.5 akan
terlihat seperti pada gambar 3.10. Pada gambar 3.10 anda dapat melihat bahwa
interface ether3 pada R1 dalam status blocking. Status blocking tersebut
dilakukan secara logika, artinya LED indikator dari interface ether3 tersebut akan
tetap nyala menandakan bahwa secara hardware, status dari interface tersebut
tetap aktif:
Implementasi dan Konfigurasi Bridge

Setelah anda memahami konsep dari jaringan yang menerapkan bridge,
maka pada sub bab ini akan diberikan contoh implementasi. Anda dapat
memperhatikan gambar 3.11 yang merupakan jaringan lokal yang digunakan
untuk mengakses ke internet. Sebagai contoh skenario, router R1 dan R2 berada
didua gedung yang terpisah. Diantara kedua router tersebut dihubungkan dengan
sebuah kabel pada interface ether3 pada masing-masing router.
Selanjutnya pada skenario tersebut diinginkan ada sebuah network

192.168.50.0/24 pada gedung pertama. Tentunya network ini harus terhubung
dengan router R1. Anda dapat melihat network ini sebagai LAN 3 yang ada pada
interface ether3 R1. Selain itu, anda juga diminta membuat network yang sama
pada gedung kedua, yang tentunya harus terhubung pada router R2.
Anda dapat melihat network kedua ini sebagai LAN 3 pada interface ether3
pada router R2. Yang diinginkan dari skenario ini adalah LAN 3 pada R1 dan LAN 3
pada R2 harus berada dalam satu segmen jaringan 192.168.50.0/24.
Untuk mempersatukan kedua network digedung yang terpisah tersebut,

anda dapat menggunakan teknik bridge. Adapun interface-interface yang perlu
dibridge adalah interface ether3 dan ether4 pada masing-masing router, anda
dapat memperhatikan kembali gambar 3.11:
Konfigurasi yang pertama dapat dilakukan adalah membuat interface
bridge pada masing-masing router. Perintah yang dapat digunakan adalah sebagai
berikut:
Langkah berikut adalah memasukkan interface ether3 dan ether4 pada

masing-masing router kedalam interface bridge1 yang sudah diaktifkan
sebelumnya. Perintah yang dapat digunakan adalah sebagai berikut:
Sampai pada tahapan ini, konfigurasi bridging telah selesai. Pengujian dapat
dilakukan dengan melihat koneksi antara LAN 3 yang ada pada router R1 dengan
LAN 3 yang ada pada router R2, seharusnya komputer client pada kedua LAN
trsebut dapat berkomunikasi secara langsung.
Selain itu IP Address tersebut dapat dikonfigurasikan pada interface bridge1

itu sendiri. Contoh berikut memperlihatkan perintah yang digunakan untuk
mengkonfigurasikan IP Address pada interface bridge1 dirouter R1:
Implementasi Redundant Link

Mari kita perhatikan kembali gambar 3.11 yang digunakan pada
pembahasan sebelumnya. Bagaimana jika ternyata link antara R1 dan R2 yang
menggunakan ether4 tiba-tiba putus (down)? Jika ini yang terjadi maka kedua
LAN 3 yang terpisah tadi tentu tidak akan mendapatkan akses internet.
Untuk menghindari terjadinya gegagalan ini, maka perlu dibuatkan

redundant link (link cadangan) diantara edua network tersebut.
Redundant link juga merupakan salah satu standar dalam membangun

jaringan.
Pada gambar 3.12 anda dapat melihat bahwa diantara router R1 dan R2
terdapat dua link yang akan di bridge. Link yang pertama adalah link
menggunakan ether4 pada kedua router, sedangkan link yang kedua adalah link
yang menggunakan ether1. Yang perlu diperhatikan lagi adalah masalah looping
pada interface yang akan dibridge. Untuk itu, protocol rapid spanning tree
protocol harus diaktifkan pada kedua router.
Dengan asumsi bahwa interface bridge1 sudah dibuat terlebih dahulu,
maka konfigurasi untuk membuat redundant link pada router R1 dan R2 adalah
sebagai berikut:
Root Bridge
Karena sudah mengaktifkan RSTP, maka diantara kedua router akan
dilakukan pemilihan router mana yang akan menjadi Root Bridge. Untuk melihat
router mana yang akan menjadi Root Bridge, berikut adalah perintah yang dapat
digunakan:
Blocking Port
Untuk melihat status dari masing-masing interface pada router R2 yang
bukan merupakan Root Bridge, anda dapat menggunakan perintah sebagai
berikut:
Uraian diatas memperlihatkan bahwa yang berada dalam status blocking

adalah interface ether1 pada router R2.
Untuk menguji bekerja atau tidaknya redundant link yang telah

dikonfigurasikan sebelumnya. Cobalah untuk memutuskan link yang
menggunakan ether4 diantara R1 dan R2. Jika link ini putus (down), maka secara
otomatis link yang menggunakan ether1 akan digunakan untuk menghubungkan
kedua network 192.168.20.0/24.
Ethernet over IP (EoIP)

Pada pembahasan sebelumnya, telah dijelaskan penerapan bridge pada
jaringan lokal, dimana anda dengan mudah memasukkan interface-interface
router menjadi bagian dari interface bridge. Namun bagaimana jika yang ingin
dibridge adalah dua jaringan lokal yang terpisah dengan internet?
Misalnya anda memiliki sebuah network dikantor pusat dan network lain
dikantor cabang yang ingin digabungkan menjadi satu segmen jaringan.
Untuk menerapkan teknik beridge pada network yang terpisah jauh,
misalnya terpisah oleh internet, maka anda akan menggunakan fitur Ethernet
over IP (EoIP) yang dimiliki oleh router mikrotik.
Ethernet over IP nantikan akan membuat tunnel (terowongan) yang

melewati jaringan Internet untuk menghubungkan dua atau beberapa router:
Skenario 1
Pada skenario pertama ini, anda memiliki network lokal (LAN)
192.168.50.0/24 pada kantor pusat (head office) yang terhubung ke internet.
Selain itu anda memiliki network lokal 192.168.50.0/24 pada kantor cabang
(branch office) yang ingin anda bridge dengan network pada kantor pusat.
Jaringan lokal pada kantor cabang terhubung ke internet melalui router branch 1.
Konfigurasi bridge yang akan anda buat harus menggunakan tunnel yang
dibangun oleh interface EoIP antara kantor cabang tersebut, tunnel tersebut akan
melewati internet. Anda dapat memperhatikan skenario ini pada gambar 3.15:
Konfigurasi dasar yang harus dimiliki oleh kedua router tentunya adalah IP
Address, default gateway ke ISP masing-masing.
Sebelum melakukan konfigurasi EoIP berikut konfigurasi awal yang

seharusnya ada pada kedua router:
Setelah konfigurasi awal diatas beres, pastikan semua komputer client

dikedua jaringan lokal tersebut dapat mengakses internet.
Interface EoIP pada router headoffice harus memiliki parameter remote-

address yang berisikan IP Address dari router branch1 (30.1.1.2).
Adapun perintah yang dapat anda gunakan untuk mengaktifkan interface

EoIP pada kedua router adalah sebagai berikut:
Jika menggunakan WinBox, maka untuk membuat interface EoIP ini menu
yang dapat digunakan adalah Interface-tab interface-tombol Add pilih EoIP Tunnel
seperti pada gambar berikut:
Sedangkan konfigurasi interface EoIP pada router branch1 dapat anda lihat
seperti gambar berikut:
Langkah selanjutnya adalah membuat interface bridge dan kemudian

memasukkan interface EoIP dan ether2, tidak berbeda jauh dengan apa yang
telah anda lakukan pada konfigurasi-konfigurasi bridge sebelumnya:
Sedangkan perintah yang dapat anda gunakan adalah pada router branch1
Sampai pada tahapan ini, seharusnya jaringan 192.168.50.0/24 sudah

berada dalam satu segmen dan dapat berkomunikasi langsung.
Jika dilihat dengan menggunakan WinBox melalui menu Interface maka

baik interface ethernet, bridge dan EoIP akan terlihat seperti gambar berikut:
Skenario 2
Pada skenario ini anda akan dihadapkan pada sebuah jaringan yang terdiri
dari sebuah kantor pusat (head office) dan dua kantor cabang (branch office).
Skenario ini dapat dilihat pada gambar berikut:
Tahapan yang pertama harus dilakukan adalah membuat interface EoIP

pada ketiga router. Yang sedikit berbeda adalah konfigurasi pada router
headoffice. Dalam membuat interface tersebut parameter yang benar-benar
harus diperhatikan adalah remote-address dan tunnel-id.
Untuk parameter tunnel-id, anda harus mengkonfigurasikan parameter

yang sama untuk interface EoIP yang berpasangan. Jadi, jika interface EoIP dari
router headoffice ke branch1 menggunakan tunnel-id=0, maka interface EoIP dari
branch1 ke router headoffice juga harus menggunakan tunnel-id=0. Dalam
skenario ini tunnel-id dari headoffice ke branch2 menggunakan nilai 1 (tunnel-
id=1)
Perintah yang dapat digunakan untuk mengkonfigurasikan interface EoIP

pada router headoffice adalah sebagai berikut:
Sedangkan interface EoIP pada router branch1 dan branch2, anda dapat
menggunakan perintah-perintah sebagai berikut:
Langkah terakhir adalah membuat interface bridge pada masing-masing
router. Karena topologi pada skenario ini tidak ada redundant link yang akan
menimbulkan looping, maka tidak perlu mengaktifkan RSTP maupun STP. Adapun
Setelah konfigurasi-konfigurasi tersebut anda lakukan, seharusnya ketiga

network 192.168.50.0/24 yang ada di network headoffice maupun di branch1 dan
branch2 akan dapat terhubung. Anda dapat mengujinya dengan melakukan ping
dari komputer 192.168.50.2 kepada komputer 192.168.50.5 maupun
192.168.50.6.
Skenario 3
Untuk menghindari kondisi-kondisi gangguan seperti yang mungkin timbul
pada skenario 2 sebelumnya, maka dapat saja dibuat tunnel lagi antara router
branch1 dan router branch2. Topologi pada gambar 3.20:
Bentuk jaringan yang dibridge seperti pada gambar diatas akan

berpotensial menimbulkan looping, sehingga harus diaktifkan protocol RSTP pada
saat akan membuat interfaces bridge.
Bagaimana dengan konfigurasinya? Saya rasa anda mencoba sendiri untuk

membuat konfigurasi tunneling dengan EoIP pada jaringan yang ada digambar
3.20.
Yang perlu dilakukan hanya menambahkan lagi satu interface EoIP pada
router branch1 dengan mengarahkan parameter remote-address ke 70.1.1.2
dengan tunnel-id=2. Perintah yang dapat anda gunakan untuk membuat interface
pada masing-masing router tersebut adalah sebagai berikut:
Selanjutnya tinggal masukkan interface EoIP yang baru tersebut ke

interface bridge yang sudah dibuat pada skenario 2 sebelumnya dengan perintah
sebagai berikut:
EoIP + Static Routing
Skenario-skenario pada sub bab sebelumnya memperlihatkan teknik
bridging yang dilakukan pada jaringan headoffice, branch1 dan branch2. Traffic
broadcast ini akan menurunkan performa jaringan secara keseluruhan.
Untuk menghindari hal-hal seperti diatas, tidak perlu melakukan bridging

pada ketiga router tersebut. Karena , akan menerpkan routing, maka ketiga
jaringan pada masing-masing kantor tidak boleh menggunakan IP Address yang
sama. Anda harus melakukan pengaturan IP Address lagi seperti pada gambar
berikut:
Pada gambar diatas, terlihat ada tiga jaringan yang berbeda pada masing-
masing router, yaitu 192.168.100.0/24 pada router headoffice dan 192.168.1.0/24
serta 192.168.2.0/24 pada masing-masing router branch.
Karena gambar pada skenario ini sama dengan skenario 3 pada sub bab
sebelumnya. Konfigurasi IP Address pada satu interface EoIP harus berada satu
network dengan IP Address yang akan dikonfigurasikan pada interface EoIP router
yang berlawanan.
Misalnya, jika interface EoIP headoffice-to-branch1 menggunakan IP

Address 10.10.10.1/30, maka interface EoIP branch1-to-headoffice yang ada di
router branch1 harus menggunakan IP Address 10.10.10.2/30 pada tabel berikut
ini:
Perhatikanlah interface-interface EoIP yang memiliki tunnel-id yang sama.

IP Address pada interface EoIP dengan tunnel-id yang sama menggunakan IP
Address dari network address yang sama:
Konfigurasikanlah IP Address pada tabel 3.1 tersebut pada setiap interface

EoIP pada masing-masing router sehingga akan terlihat seperti berikut ini:
Bagi router headoffice jika ingin menuju jaringan 192.168.1.0/24 yang ada
pada router branch1 gateway yang digunakan haruslah 10.10.10.2.
Sesuaikanlah parameter gateway ini pada saat anda melakukan konfigurasi

pada router branch1 dan branch2. Berikut adalah konfigurasi pada router
headoffice:
Konfigurasi routing untuk router branch1 dan branch2 harus anda lakukan
sperti berikut:
Sehingga hasil akhir dari tabel routing masing-masing router yang sudah
dilengkapi default gateway dapat dilihat seperti berikut:
Untuk mengakses internet, pada masing-masing router juga harus

dilengkapi dengan konfigurasi NAT (masquerade) dengan parameter out-
interface=ether1. Konfigurasinya sebagai berikut:
Selain menggunakan ping, dengan menggunakan tool traceroute. Windows

192.168.100.2 maka hasil traceroute sebagai berikut:
Perhatikanlah, pengujian dari komputer 192.168.100.2 untuk menuju

komputer 192.168.1.2 yang ada pada Router branch-1 harus melalui interface
EoIP 10.10.10.2.
BAB 4
Wireless Network
Buku MikroTik Kung Fu Kitab 1 sudah membahas konfigurasi-konfigurasi
dasar dari jaringan wireless dengan meggunakan interface wireless pada Router
MikroTik. Pembahasan pada buku tersebut dititik beratkan pada masalah
bagaimana membuat sebuah hotspot dengan sebuah Router MikroTik.
Client wireless yang juga dicontohkan adalah laptop yang ingin

mendapatkan akses internet melalui Router MikroTik. Kalaupun anda sempat
membaca buku tersebut maka akan sangat membantu untuk memahami bab
Wireless Network pada buku ini.
Pada buku MikroTik Kung Fu Kitab 2 ini pembahasan Wireless Network

akan diperluas dengan konfigurasi-konfigurasi yang melibatkan beberapa router
mikrotik.
Pembahasan bab ini lebih dititik beratkan pada konfigurasi interface

wireless dari router mikrotik.
Untuk penerapan indoor maupun outdoor, anda dapat menggunakan
router mikrotik, misalnya routerboard seri 411 yang memiliki satu interface kabel
(ether) dan satu interface wireless (wlan), seperti gambar berikut ini:
Untuk implementasi outdoor, routerboard ini harus ditempatkan pada

casing yang kedap air, sehingga terlindung dari gangguan cuaca:
Atau anda dapat menggunakan seri routerboard seri 433 yang memiliki 3
interface kabel dan 3 slot miniPCI. Slot miniPCI tersebut dapat dipasangkan
dengan interface wireless sehingga nantinya anda akan memiliki router mikrotik
dengan 3 interface wireless:
Point to Point
Topologi jaringan wireless point to point umumnya digunakan untuk
menghubungkan beberapa jaringan dengan menggunakan dua perangkat
wireless. Antena yang digunakan sebaiknya adalah antena directional sehingga
dapat memaksimalkan gain yang ingin dicapai.
Perangkat jaringan wireless kita umumnya bekerja pada rentang frekuensi

2,4GHz, sehingga anda juga harus menggunakan antena yang dirancang untuk
frekuensi 2,4GHz.
Adapun contoh jenis antena directional yang dapat digunakan untuk

topologi point to point ini dapat dilihat pada gambar berikut:
Contoh topologi point to point dapat anda lihat pada gambar berikut ini:
Untuk membuat topologi seperti ini, anda juga harus memperhatikan

network-network yang ada. Seperti network 10.10.10.0/30 yang digunakan untuk
menghubungkan gateway dengan CPE dan network 192.168.1.0/24 yang
merupakan network dimana komputer client ditempatkan.
Konfigurasi Access Point
Diasumsikan bahwa router gateway telah terhubung dengan baik ke
internet.
Selanjutnya untuk konfigurasi jaringan wireless, yang pertama dilakukan

adalah memberikan IP Address pada interface wlan1, perintah yang dapat anda
Langkah selanjutnya adalah mengkonfigurasikan interface wlan1 sebagai

access point dengan menggunakan parameter mode=bridge. Contoh frekuensi
yang akan digunakan adalah 2,452GHz dengan SSID “point to point link”, sebagai
berikut:
Jika konfigurasi ingin dilakukan dengan menggukan WinBox maka menu

yang dapat digunakan adalah Wireless-tab Interface-pilih interface wlan1-tab
wireless , sperti gambar berikut:
Sampai pada tahapan ini konfigurasi interface wlan1 pada router gateway
telah selesai.
Karena pada router CPE ada sebuah network 192.168.1.0/24 yang berada di
interface ether1, maka router gateway perlu mengenal network tersebut.
Perintah yang dpat digunakan adalah sebagai berikut:
Konfigurasi Client
Konfigurasi IP Address yang perlu dilakukan pada router CPE adalah sebagai
berikut:
Langkah selanjutnya adalah melakukan konfigurasi pada interface wlan1

sebagai wireless client. Parameter lain yang perlu anda perhatikan adalah scan-list
yang dapat diisikan rentang frekuensi 2400 MHz sampai 2500 MHz. perintah
konfigurasi wlan1 yang dapat digunakan adalah sebagai berikut:
Setelah anda melakukan konfigurasi interface wlan1 seperti uraian diatas.

Anda seharusnya melihat label R (running) didepan interface wlan1 pada kedua
router.
Untuk mengkonfigurasikan interface wlan1 sebagai wireless cilent dengan
menggunakan WinBox, maka menu yang dapat digunakan adalah Wireless-tab
interface-pilih interface wlan1-tab wireless, seperti pada gambar berikut:
Karena sudah terhubung ke router gateway dengan melakukan ping dari

router CPE:
Langkah terakhir adalah membuat konfigurasi routing static untuk menuju

internet pada router CPE, routing static ini menggunakan IP Address 10.10.10.1
sebagai gateway:
Pengujian dari router CPE ke situs internet dapat dilakukan dengan

menggunakan perintah sperti berikut:
Setelah konfigurasi routing static di atas, seharusnya komputer client

192.168.1.2 dapat menggunakan akses internet.
Monitoring dan Pengujian

Anda dapat melakukan monitoring untuk melihat apakah koneksi point to
point yang dibangun sudah berjalan dengan baik , seperti gambar berikut:
Uraian diatas, memperlihatkan beberapa parameter, seperti MAC Address

dari interface wlan1 milik CPE juga beberapa bandwidth antara kedua router, juga
informasi bahwa router CPE hanyalah sebuah client (ap=no).
Ini menunjukan bahwa pada link wireless tersebut yang berfungsi sebagai
access point adalah router gateway:
Dengan emnggunakan WinBox maka monitoring dapat dilakukan melalui

menu Wireless-tab registration seperti gambar berikut ini:
Pengujian dilakukan dari router CPE dan anda harus menggunakan

username dan password milik router gateway seperti gambar berikut:
Dengan menggunakan WinBox, maka menu yang dapat anda gunakan

adalah Tools-bandwidth test, seperti gambar berikut:
Point to Multi Point
Pada jaringan wireless dengan topologi point to point digunakan dua
perangkat wireless. Salah satu dari perangkat tersebut akan berfungsi sebagai
access point dan perangkat wireless lainnya akan berperan sebagai wireless
client.
Pada perangkat yang berfungsi sebagai access point antena yang digunakan
bisa saja berupa antena omni directional yang dapat memancarkan signal
kesegala arah (3600). Berikut beberapa gambar yang memperlihatkan
implementasi antena untuk digunakan pada topologi point to multi point:
Topologi point to multi point? Anda dapat melihat topologinya pada

gambar sebagaai berikut:
Konfigurasi Access Point

Diasumsikan bahwa router gateway sudah terhubung ke internet, dengan
konfigurasi IP Address, default gateway, DNS dan masquerade. Perbedaannya
terletak pada IP Address wlan1 (10.10.10.6/29) sehingga konfigurasi dasarnya
seperti gambar ini:
Diskenariokan SSID yang akan digunakan adalah “point to multi point link”
dengan frekuensi 2,452GHz (channel 9). Perintahnya adalah sebagai berikut:
Dengan adanya radio-name pekerjaan pembacaan registration table akan

terasa lebih mudah.
Jika ingin menggunakan WinBox, menu Wireless-tab interface-pilih

interface wlan1-tab wireless-tombol advanced mode , seperti gambar berikut:
Karena pada topologi yang ada pada gambar 4.11 terdiri dari network
192.168.1.0/24 dibelakang router CPE-1 dan 192.168.2.0/24 dibelakang CPE-2 ,
perintah digunakan adalah sebagai berikut:
Dengan emnggunakan WinBox, maka tabel routing pada router gateway

akab terlihat seprti berikut:
Konfigurasi Wireless Client
Kofigurasi pada router CPE-1 dan CPE-2 selaku wireless client tidak berbeda
dengan konfigurasi wireless pada topologi point to point , seperti uraian berikut
ini:
Adapun konfigurasi yang harus dilakukan pada interface wlan1 dapat dilihat
seperti berikut:
Bila ingin menggunakan WinBox, maka dilakukan melalui menu Wireless-

tab interface-pilih wlan1-tab wireless-tombol advanced mode seperti gambar
berikut:
Monitoring
Monitoring dapat dilakukan untuk melihat apakah router CPE-1 dan CPE-2
sudah terhubung ke router gateway. Monitorin dapat anda lakukan dengan
melihat registration table pada setiap router , seperti gambar berikut:
Dengan menggunakan WinBox, maka registration table pada router

gateway akan terlihat seperti gambar dibawah ini:
Sedangkan registration table pada router CPE-1 akan terlihat seperti

gambar berikut:
Routing vs NAT
Pada konfigurasi anda harus menambahkan konfigurasi static routing pada
router gateway untuk mengenal jaringan 192.168.1.0/24 pada CPE-1 dan
192.168.2.0/24 pada CPE-2. Contoh jaringannya dapat dilihat pada gambar
berikut:
Adapun konfigurasi NAT yang perlu dilakukan pada kedua router CPE
Wireless Bridge
Bila pada bab 3 sebelumnya, anda sudah memperlajari konfigurasi jaringan
yang di bridging dengan menggunakan interface kabel (wired) maka untuk
jaringan wireless.
Umumnya ditujukan untuk mengelola wireless hotspot yang lokasinya

tersebar dan berjauhan.
Pada sub bab ini, saya akan memberikan beberapa skenario yang mungkin
anda temukan di lapangan.
Sebenarnya, konfigurasi yang harus dilakukan untuk membuat jaringan

wireless yang di bridge tidak berbeda jauh dengan konfigurasi pada saat anda
membuat topologi point to point maupun point to multi point sebelumnya.
Sedangkan tahapan melakukan bridging sama seperti pada bab 3

sebelumnya. Pertama-tama anda harus membuat interface bridge dan kemudian
memasukkan semua interface.
Skenario 1
Skenario pertama terdiri dari 3 router mikrotik, yang terdiri dari router
gateway sebagai access point dan router CPE sebagai wireless client. Namun
karena akan menerapkan bridging maka hanya ada satu jaringan (network) yaitu
network 192.168.10.0/24 pada gambar berikut:
Diasumsikan bahwa konfigurasi router gateway telah selesai. Namun

jaringan yang anda lihat bis saja menambahkan fitur DHCP Server pada interface
wlan1 router gateway , perintah yang dapat digunakan adalah sebagai berikut:
Pastikan router CPE-1 terhubung ke gateway periksalah apakah ada label R

didepan interface wlan1 perika pula registration table. Contoh uraian berikut
memperlihatkan bahwa router CPE-1 sudah terhubung ke gateway:
Langkah berikut adalah membuat interface bridge pada router CPE-1.

Perintah yang digunakan sebagai berikut:
Konfigurasikan IP Address pada interfaces bridge1 paling tidak anda akan
membutuhkannya untuk keperluan konfigurasi lanjutan:
Sampai pada tahapan ini, konfigurasi wireless bridge anda telah selesai.
Tentunya komputer client tersebut harus menggunakan 192.168.10.1 sebagai
default gateway maupun DNS Server.
Bila anda ingin menguji link wireless antara komputer client ke router
gateway. Contoh berikut memperlihatkan pengujian dari komputer client dimana
komputer tersebut mendapatkan bandwidth 23 Mbps ke router gateway:
Secara singkat , hasil konfigurasinya adalah sebagai berikut:
Skenario 2
Skenario ini digunakan jika ternyata komputer client pada router CPE-1 dan
CPE-2 adalah laptop yang akan menggunakan koneksi wireless untuk mengakses
internet.
Walaupun demikian, bisa saja anda membangun topologi seperti skenario 2

ini.
Topologi pada skenario 2 ini dapat dilihat pada gambar berikut:
Jaringan wireless tersebut juga akan di bridge, sehingga menghasilkan satu

kesatuan jaringan wireless dengan netwoork address 192.168.10.0/24.
Dengan hadirnya kemampuan roaming pada jaringan wireless anda, maka

client laptop tidak akan mengalami disconnected (putus koneksi) walaupun client
tersebut sering berpindah-pindah tempat.
Fitur roaming ini juga bisa dihadirkan jika anda menkonfigurasikan SSID
yang sama pada interface wlan2 dari kedua router CPE.
Cobalah terlebih dahulu dengan menghubungkan diri ke CPE-1 tentunya

anda harus berada didekat router tersebut.
Setelah anda memahami sedikit konsep dari jaringan wireless yang ingin
menghadirkan fitur roaming tadi, maka langkah selanjutnya adalah melakukan
eksekusi melalui beberapa perintah konfigurasi. Sehingga diasumsikan juga
bahwa router CPE sudah terhubung ke gateway dan konfigurasi bridge juga suda
dilakukan.
Anda tinggal mengaktifkan access point pada interface wlan2 dengan SSID
“kung fu hostpsot” dan frekuensi 2,412GHz (channel 1) pada router CPE-1 dengan
menggunakan perintah sebagai berikut:
Untuk mencegah terjadinya interferensi frekuensi, jangan sampai

menggunakan frekuensi (channel) yang sama dengan link wireless point to multi
point ke router gateway.
Selanjutnya yang harus dilakukan dilakukan adalah memasukkan interface

wlan2 kedalam interface bridge1 dengan menggunakan perintah sebagai berikut:
Perintah konfigurasi yang sama juga harus anda terapkan pada router CPE-
2, sehingga hasil akhir konfigurasi pada router tersebut dapat dilihat seperti
berikut:
Virtual Access Point

Router MikroTik menyediakan fitur Virtual Access Point (VAP) pada
interface wireless-nya. Virtual Access Point tersebut nantinya dapat menggunakan
SSID yang berbeda-beda, IP Address yang berbeda-beda bahkan MAC-Address
yang berbeda pula.
Anda juga dapat menghidupkan DHCP Server pada masing-masing Virtual

Access Point tersebut. Fitur ini sama dengan teknik VLAN (Virtual Local Area
Network) pada jaringan kabel.
Skenario 1
Pada skenario ini anda diharapkan untuk membuat jaringan wireless pada
suatu sekolah. Namun untuk hitungan efesiensi, fitur Virtual Access Point dapat
menjadi pertimbangan untuk diterapkan pada gambar berikut:
Diasumsikan bahwa router gateway telah terhubung ke internet dengan IP
Address 60.1.1.2, dafault gateway, DNS server dan konfigurasi masquerade.
Perintah yang dapat digunakan sebagai berikut:
Tentunya anda harus memberikan IP Address pada interface wlan1,

perintah berikut ini:
Langkah terakhir yang harus dilakukan adalah mengaktifkan DHCP Server

pada interface wlan1 dengan perintah berikut:
Perintah yang dapat digunakan untuk mengaktifkan hotspot gateway

system pada interface wlan1 sebagai berikut:
Jika menggunakan WinBox melalui menu wireless-tab interface-tombol

add-pilih virtualAP seperti gambar berikut:
Setelah virual access point diaktifkan dengan nama wlan2, perintah sebagai
berikut:
Dengan menggunakan WinBox, konfigurasi interface wlan2 ini dapat

dilakukan pada tab wireless seperti berikut:
Skenario 2
Anda bisa saja menggunakan Virtual Acces Point untuk mmbuat link
topologi point to point. Router gateway memiliki 2 Virtual access Point (wlan2 dan
wlan3) yang digunakan untuk membuat link dengan router CPE-1 dan CPE-2.
Sedangkan interface fisik wlan1 digunakan untuk memberikan akses internet
kepada beberapa laptop client:
Topologi diatas hanyalah topologi pengembangan, jadi konfigurasi-

konfigurasi yang harus dilakukan pada interface wlan1, wlan2 dan wlan3 pada
router gateway sama seperti konfigurasi-konfigurasi access point sebelumnya.
Untuk sedikit memberikan petunjuk, konfigurasi akhir Virtual Access Point

yang harus dilakukan pada router gateway:
Adapun konfigurasi dasar pada router gateway dapat dilihat pada berikut
ini:
Sedangkan konfigurasi interface wireless beserta Virtual Access Point dapat
dilihat pada uraian ini:
Keamanan Jaringan Wireless

Mengamankan jaringan wireless membutuhkan perhatian yang lebih, baik
dari segi desain maupun konfigurasi apa yang akan diterapkan. Ini disebabkan
signal wireless bisa menyebar kemana saja dan setiap user bisa dengan leluasa
mendapatkan signal tersebut. Jika tidak menerapkan standar keamanan yang
tepat, maka semudah user legal anda mendapatkan signal, semudah itu pula user
(ilegal) masuk kedalam jringan anda.
Hidden SSID
Salah satu teknik paling dasar yang dapat anda terapkan adalah
menyembunyikan SSID dari access poin anda. Dengan SSID yang tersembunyi user
harus mengetahui dengan pasti apa nama SSID yang digunakan. Biasanya teknik
ini dapat diterapkan pada topologi point to point maupun point to multi point
untuk menghubungkan router mikrotik wireless.
Jika ingin menggunakan client laptop dengan mesin windows, maka

jaringan wireless yang menyembunyikan SSID akan terlihat seperti berikut:
Dan saat ada user yang akan menggunakan “other network” tersebut maka
akan muncul permintaan nama SSID seperti berikut:
Kesimpulannya, untuk menyembunyikan SSID yang ada pada interface

wireless acces point, dapat digunakan perintah seperti berikut:
Jika menggunakan WinBox, dapat melakukannya pada parameter interface

wlan1 seperti pada berikut ini:
Default Forward
Parameter default-forward dapat di nonaktifkan pada router yang berfungsi
sebagai access point. Dengan kondisi default-forward dinonaktifkan, maka client
wireless anda tidak akan dapat saling berhubungan, router CPE-1 nantinya tidak
akan dapat berhubungan dengan CPE-2 pada topologi point to multi point
sebelumnya. Perintah yang dapat digunakan untuk menonaktifkan fitur ini adalah
sebagai berikut:
Dengan menggunakan WinBox, dapat anda lihat seperti gambar berikut:
Security Profiles
Security profiles merupakan fitur keamanan yang dapat anda gunakan
untuk melakukan pengacakan terhadap data yang akan dikirimkan melalui link
wireless. Ada berbagai macam teknik encryption yang dapat anda gunakan,
namun yang mempunyai tingkat keamanan yang lebih baik adalah Wi-fi Protected
Acces (WPA2).
Untuk menerapkan WPA2 pada jaringan wireless, anda dapat

melakukannya dengan menggunakan menu Security Profiles. Untuk melihat
profile defaultnya anda dapat menggunakan perintah seperti berikut:
Perhatikanlah parameter mode=none yang menandakan tidak adanya

teknik encryption yang diterapkan pada profile default ini. Dengan menggunakan
WinBox, menu Wireless-tab security profiles seperi gambar berikut:
Anda dapat saja menggunakan profile default ini untuk mengkonfigurasikan

WPA Key. Bisa saja anda menerapkan key yang berbeda antara access point dan
virtual access point.
Langkah pertama yang harus dilakukan adalah membuat profile baru pada
router gateway dengan menggunakan parameter-parameter tadi. Peritah yang
digunakan adalah:
Jika ingin menggunakan WinBox, menu Wireless-Security profiles-tombol

Add seperti gambar berikut:
Kemudian konfigurasikanlah interface wlan1 untuk menggunakan security
profile ini dengan perintah sebagai berikut:
Dengan menggunakan WinBox, parameter security profile wlan1 akan

terlihat seperti dibawah ini:
Setelah itu, lakukan konfigurasi yang sama pada router CPE-1 dan CPE-2:
Snoop and Scan

Snoop, adalah tool yang dapat digunakan untuk melihat rentang frekuensi
yang tersedia beserta perangkat-perangkat wireless apa saja yang sedang aktif
pada frekuensi tertentu.
Pada saat menjalankan Snooper pada sebuah interface, maka intercace

tersebut tidak bekerja untuk melayani client.
Untuk menjalankan Snooper ini dilakukan melalui perintah-perintah

command ilne, maupun melalui WinBox. Dengan WinBox, menu Wireless-tab
Interface-tombol snooper-tombol start seperi berikut:
Bila anda ingin menggunakan command line, perintah berikut menjalankan

Snooper:
Scan, yan dapat digunakan pada router yang berfungsi sebagai wireless
client ntuk melihat SSID apa yg dikonfigurasikan pada eccess point, menu
Wireless-pilih interface yang akan digunakan-tab Wireless-tombol Scan seperti
pada gambar:
Sebagai contoh, scan yang dijalankan pada salah satu interface router CPE
akan terlihat pada gambar berikut:
Dengan menggunakan command line anda dapat menggunakan perintah

seperti berikut:
BAB 5
Firewall (Filter)
Pada buku MikroTik Kung Fu Kitab 1 , saya sudah membahas fitur firewall
pada satu bab khusus. Namun pada bab itu, pembahasan sederhana untuk
membuat jaringan local dapat mengakses internet. Buku tersebut juga telah
membahas sedikit konfigurasi tentang bagaimana mengamankan router mikrotik
anda.
Adapun pembahasan konfigurasi firewall pada buku MikroTik Kung Fu

Kitab 2 ini adalah konfigurasi yang lebih mendalam lagi.
Tentunya masih ada fitur lain seperti layer 7 protocol yang sering
digunakan, namun pada buku ini fitur tersebut belum dibahas.
Konsep Paket Filtering

Firewall berfugsi meningkatkan keamanan jaringan dengan cara
menentukan paket data apa saja yang bisa masuk maupun keluar dari jaringan
tersebut.
Umumnya yang diperiksa pada header adalah IP Address pengirim, IP

Address tujuan, jenis protocol, port pengirim, port tujuan bahkan fragmentation
yang terjadi pada pake juga dapat diperiksa oleh firewall.
Saran saya, jika anda ingin mahir bermain firewall, pelajarilah dahulu ilmu
TCP/IP dengan baik. Anda dapat saja menggunakan “alur maju mundur” untuk
mempelajari sesuatu .
The Rule
Kembali ke firewall, bagaimana firewall memeriksa IP paket? Untuk
memeriksa paket, anda harus membuat rule (aturan) firewall. Parameter-
parameter itu adalah src-address, dst-address, protocol, src-port, dst-port, dll.
Paket yang masuk ke dalam firewall akan dicocokkan dengan rule-rule yang
sudah anda buat tadi. Anda dapat melihat gambaran antara paket dan rule
firewall pada gambar berikut:
 Packet 1, pada saat paket ini diterima, firewall menggunakan rule 1 untuk
memeriksanya. Ternyata header pada paket 1 tidak cocok dengan
parameter yang ada pada rule 1, paket tersebut diberikan lagi ke rule 2.
Sma seperti sebelumnya, ternyata header yang ada pada paket tersebut
tidak cocok dengan rule 2, kembali paket diberikan ke rule 3.
 Packet 2, anda dapat melihat bahwa header dari paket tersebut barulah
cocok dengan rule 4. Namun anda melihat bahwa paket 2 masih diteruskan
lagi ke rule berikut (rule 5) untuk menjalani pemeriksaan lagi. Untuk situasi
tertentu, anda dapat saja mengkonfigurasika agar sebuah paket dapat
diperiksa oleh beberapa rule.
 Packet 3, paket ini merupakan paket dengan header yang tidak memiliki
kecocokkan dengan rule yang ada. Pada umumnya default frule ini tidak
terlihat, anda tidak akan menemukan rule tersebut pada farewall.
Untuk fitur filter pada router mikrotik, default rule yang digunakan adalah
accept all, artinya bila ada paket yang tidak cocok dengan rule yang ada
sebelumnya, maka paket tersebut akan diterima atau dizinkan .
Contoh urutan rule yang dilihat dengan menggunakan WinBox dari sebuah
firewall adalah sebagai berikut:
Asal dan Tujuan Paket

Untuk mengkonfigurasikan firewall, anda juga harus mengetahui asal dari
sebuah paket dan kemana paket tersebut akann pergi. Gambar 5.3
memerlihatkan beberapa paket berdasarkan arah dan tujuan.
Farewall bekerja dengan menggunakan parameter chain yang nantinya

akan digunakan saat akan membuat rule. Pada filter router mikrotik secara
default terdapat 3 chain, yaitu input, forward, dan output:
 Packet 1, adalah paket yang berasal dari komputer client dan ditujukan bagi
interface ether2 dari router mikrotik. Paket ini nantinya akan ditangani oleh
chain input. Chain input juga yang akan melakukan filtering.
 Packet 2, adalah paket yang brasal dari komputer client dan menuju
internet. Paket ini sering disebut paket yang melintasi firewall. Paket
forward terlihat akan masuk juga melalui interface ether2.
Contoh paket ini adalah pada saat anda melakukan akses internet dari
komputer client.
 Packet 3, paket ini berasal dari router itu sendiri dan ditujukan bagi host
yang ada di internet, paket ini ditangani oleh chain output. Jika anda
melakukan ping dari router mikrotik, maka paket yang dihasilkan juga
merupakan paket yang akan ditangani oleh chain output.
Chain Input
Chain input berperan untuk melakukan filter terhadap paket-paket yang
ditujukan bagi interface-interface router. Dalam dunia network security sering
diistilahkan dengan teknik membatasi akses terhadap port-port router yang dapat
menimbulkan celah keamanan.
Secara default, baik router mikrotik yang diintsal pada personal computer
maupun routerboard akan membuka port-port untuk keperluan konfigurasi.
Nmap
Untuk mengetahui port-port apa saja yang terbuka dari router mirotik,
aplikasi nmap sangat bermanfaat. Banyak para professional IT yang berkecimpung
dalam network security yang mengaandalkan aplikasi ini. Aplikasi ini dapat
dijalankan pada mesin windows, linux, MAC maupun UNIX.
Perintah nmap yang dapat digunakan adalah nmap –sS 192.168.1.1 seperti
berikut:
Firewall Tactic
Sebagai panduan untuk menyusun farewall, saya membagi dua pendekatan
taktik dalam penyusunan rule farewall, yaitu:
 Taktik 1, anda membuang (drop) beberapa paket yang tidak dibutuhkan,

kemudian anad menerima (accept) semua paket. Istilah “drop some and
accept all”
 Taktik 2, anda menerima (accept) beberapa paket yang anda butuhkan,
kemudian membuang (drop) semua paket. Istilah “accept some and drop
all”.
Taktik 1
Jika taktik pertama yang anda gunakan maka, anda terlebih dahulu harus
melakukan filter pada port-port yang terbuka dengan menerapkan action drop
bagi paket yang ingin masuk melalui port tersebut. Adapun port 8291 tidak boleh
anda filter dengan action drop karena sesuai skenario, port ini akan digunakan
oleh WinBox.
Parintah yang digunakan adalah sebagai berikut:
Protokol konfigurasi diatas anda tidak perlu menambahkan rule dengan

konfigurasi protocol=tcp dst-port=8291 action=accept untuk mengizinkan akses
konfigurasi dengan menggunakan WinBox. Jadi, jika rule untuk akses WinBox
tidak dituliskan maka sebenarnya akses tersebut sudah diizinkan.
Taktik 2
Jika taktik kedua yang akan digunakan, maka anda cukup memberikan
akses kepada port 8291 dengan parameter action=accept. Kemudian dilanjutkan
dengan melakukan filter terhadap semua port yang tidak dibutuhkan dengan
parameter accept=drop. Contoh perintah sebagai berikut:
Rule yang banyak akan mengurus memori router dan juga akan
memperlambat proses pengolahan paket data, karena paket harus dicocokan
pada sederetan rule yang telah dibuat.
Jika menggunakan WinBox, maka seperti pada gambar dibawah ini:
Chain Forward
Chain forward bertugas untuk melakukan filter terhadap paket yang akan
melintasi router. Chain inilah yang sebenarnya dapat menentukan
layananinternet apa yang bisa dinikmati oleh komputer client pada suatu jaringan
lokal (LAN) tentunya dapat juga digunakan untuk membatasi layanan tersebut.
Karena digunakan untuk melakukan filter terhadap paket yang akan melintasi
router, maka harus diperhatikan arah dari paket tersebut.
Apakah paket tersebut berasal dari komputer client menuju internet, atau
sebaliknya, dari internet menuju komputer client.
Firewall Tactics
Untuk menyusun rule-rule farewall dengan menggunakan chain forward,
anda juga dapat menggunakan dua pendekatan firewall taktik yang sudah dibahas
pada chain input. Komputer client juga diizinkan untuk melakukan ping (ICMP) ke
internet.
Taktik 1
Taknik firewall pertama yang dapat digunakan adalah drop some and
accept all. Ada banyak paket-paket yang dihasilkan oleh virus/worm, namun saya
hanya memberikan contoh beberapa saja.
Adapun contoh konfigurasi yang dapat digunakan adalah sebagai berikut:
Jika dilihat dengan menggunakan WinBox, maka rule-rule diatas akan

terlihat seperti berikut:
Taktik 2
Jika taktik accept some and drop all yang akan digunakan maka yang harus
dilakukan terlebi dahulu adalah memberikan akses terhadap beberapa layanan
internet dengan menggunakan action=accept.
Contoh berikut memperlihatkan rule farewall yang hanya mengizinkan

komputer client mendapatkan layanan HTTP (dst-port=80), HTTPS (dst-port=443)
dan DNS (dst-post=53) ke internet. Perintah yang dapat digunakan adalah sebagai
berikut:
Jika dilihat dengan menggunakan WinBox, maka susunan rule farewall

diatas akan terlihat seperti berikut:
Connection state
Saat membangun firewall, anda juga harus memperhatikan status koneksi
dari sebuah paket data. Ada 4 connection state yang dapat dimiliki sebuah paket:
 New, paket dengan status ini menunjukan bahwa paket tersebut

merupakan paket pertama dari sebuah koneksi.
 Established, paket dengan status ini menunjukkan bahwa paket tersebut
merupakan kelanjutan dari paket yang memiliki status New tadi.
 Related, paket ini merupakan paket baru tapi sebenarnya merupakan
kalanjutan dari koneksi yang telah ada sebelumnya.
 Invalid, paket ini adalah paket yang tidak memiliki hubungan dengan paket
lain maupun koneksi lain.
HTTP Request akan dikirimkan oleh komputer client dan akan direspon oleh
Web Server dengan HTTP Response:
Contoh perintah yang digunakan adalah sebagai berikut:
Rule tersebut semula ditujukan untuk membuang paket ICMP Request yang
dikeluarkan oleh komputer client saja, dapat dilihat pada gambar berikut:
Maka seharusnya konfigurasi tadi dilengkapi dan hasilnya terlihat seperti

berikut:
Jika sudah menerapkan parameter connection state, maka paket ICMP
Reply akan diterima oleh R1, seperti terlihat pada gambar berikut:
Connection State pada Chain Input

Sebagai contoh, anda dapat melihat susunan rule firewall berikut yang
hanya mengizinkan akses WinBox terhadap interface ether2. Susunan rule tidak
mengizinkan komputer client melakukan ping terhadap interface ether2. Rule-rule
tersebut sudah menggunakan parameter connection state dan menganut aliran
accept some and drop all:
Connection State pada Chain Forward

Penggunaan connection state pada chain forward dapat anda lihat pada
susunan firewall dibawah ini. Rule-rule firewall tersebut hanya mengizinkan
layanan internet HTTP/HTTPS dan DNS dari jaringan lokal yang terhubung melalui
interface ether2:
Chain Tambahan
Secara default firewall memiliki 3 chain yang sudah tersedia, chain-chain
tersebut adalah input, forward, dan output.
Dengan menggunakan chain tambahan, anda bisa menghemat baris-baris

firewall. Firewall yang memilki rule yang panjang dan bersifat flat, akan menguras
resource router pada saat akan memeriksa sebuah paket:
Bila ilustrasi pada gambar 5.14 diimplementasikan maka rule-rule tersebut

akan terlihat seperti berikut:
Chain tambahan ini dapat berisi parameter protocol=tcp dengan

action=drop:
Tidak sama seperti contoh sebelumnya yang harus melewati 7 baris.

Sedangkan bila ada paket data yang berisi protokol TCP dan ditujukan pada
interface router, maka pemeriksaan paket akan diberikan kepada chain “tcp
drop”.
Yang pertama harus dilakukan adalah membuat chain tambahan tersebut

dengan menggunakan perintah tersebut:
Selanjutnya anda membuat rule firewall pada chain input dengan

menggunakan parameter action=jump. Perintah yang dapat digunakan adalah
sebagai berikut:
Aturlah urutan firewall anda, sehingga jika dilihat dengan menggunakan

WinBox akan terlihat seperti gambar berikut:
Action=return
Setelah paket data masuk kedalam chain tambahan untuk diperiksa, maka
anda dapat mengembalikan paket tersebut ke chain input lagi bila ternyata tidak
ada rule yang cocok pada chain “tcp drop” tadi. Ilustrasinya dapat dilihat pada
gambar berikut:
Dari gambar diatas, anda juga dapat melihat jika ada paket data dengan
protocol TCP dan ternyata field destination port-nya tidak ada yang cocok dengan
parameter dst-port pada chain “tcp drop” maka paket tersebut akan
dikembalikan lagi pemeriksaannya pada chain input.
Untuk mewujudkan skenario pada gambar 5.17 anda dapat menggunakan

perintah-perintah berikut ini:
Dengan menggunakan WinBox, maka rule firewall dengan menggunakan

perintah-perintah berikut ini:
Gambar berikut memperlihatkan pencatatn pada saat ada komputer client

yang mengakses port 24 dari router mikrotik anda:
Anda juga dapat menggunakan perintah berikut untuk melihat log dari log
router mikrotik anda:
Chain=input, chain=forward dan Chain Tambahan
Penggunaan chain tambahan juga akan menghindarkan anda dari pekerjaan
menulis konfigurasi firewall berulang-ulang. Jika tidak menggunakan chain
tambahan, maka anda menuliskan rule firewall tersebut berulang kali. Seperti
pada gambar berikut:
Jika anda masih ingin menambahkan rule dengan action=log pada masing-
masing chain, maka total rule firewall akan menjadi 18 baris.
Anda dapat melihat gambar berikut yang memperhatikan penggunaan

chain tambahan:
Jika ilustrasi pada gambar 5.21, diwujudkan dalam bentuk konfigurasi maka
hasil akan terlihat seperti berikut:
MAC Server
Router MikroTik yang belum memiliki IP Address pun dapat dikonfigurasi
baik dengan menggunakan WinBox maupun MAC talnet. Namun untuk
melakukan konfigurasi melalui MAC Address, anda harus terhubung langsung
pada interface router, minimal laptop yang akan digunakan berada pada satu
network dengan router tersebut.
Perhatikanlah gambar berikut yang memperlihatkan router CPE yang

belum memiliki IP Address:
Yang perlu dilakukan adalah menjalankan MAC Telnet pada router gateway
dengan menggunakan perintah verikut:
Solusi yang bisa diambil adalah menjalankan MAC Scan untuk mengetahui
seperti perintah berikut:
Jika ingin menggunakan WinBox, maka anda dapat menggunakan menu

Tools-Telnet-pilih MAC Telnet-tombol Telnet, seperti pada gambar berikut:
Anda dapat melihat parameter-parameter MAC server pada router mikrotik

dengan menggunakan perintah seperti berikut:
Secara default, MAC Server akan aktif disemua interface router, sehingga
konfigurasi melalui L2 tadi, dapat dilakukan dari interface manapun, dengan
menggunakan WinBox dapat menggunakan perintah seperti berikut ini:
Contoh berikut memperlihatkan session login ke dalam router yang sedang

aktif:
Dengan menggunakan WinBox, anda dapat menggunakan menu Tools-MAC

Server-tab WinBox Interface-tombol Add, seperti pada gambar berikut ini:
BAB 6
Firewall (NAT)
Network Address Translation (NAT) adalah salah satu fitur pada firewall
yang digunakan untuk melakukan perubahan field IP Address, baik IP Address
pengirim maupun IP Address Tujuan.
Selain field IP Addres, NAT juga dapat melakukan perubahan field port
pengiriman maupun port tujuan pada paket data.
Firewall NAT juga terdiri dari susunan rule-rule, seperti yang pernah ada
pada firewall filter di bab 5 sebelumnya. Jika pada bab sebelumnya anda juga
sudah melihat penggunaan chain tambahan dengan memanfaatkan action jump
dan action return, maka penggunaan chain tambahan tersebut dapat juga nada
lakukan pada firewall NAT ini.
Terdapat dua chain pada firewall NAT yaitu:
 Chain source NAT (srcnat), digunakan untuk mengubah field IP Address

pengirim maupun port pengirim yang ada pada paket.
 Chain destination NAT (dstnat), digunakan untuk mengubah field IP
Address tujuan maupun port tujuan yang ada pada paket.
Anda dapat memperhatikan gambar 6.1 untuk melihat bagaimana chain
srcnat melakuakan perubahan field IP Address:
Sedangkan pada gambar 6.2, Anda dapat melihat bagaimana chain dstant
melakukan perubahan field IP Address pada paket:
Karena umumnya digunakan pada router yang menghubungkan beberapa

jaringan,maka penggunaan NAT erat kaitannya dengan chain forward pada
firewall filter. Anda dapat melihat gambar berikut untuk melihat kaitan antara
chain srcnat maupun chain dstant dengan chain forward pada firewall filter.
Saya tidak akan menggambarkan diagram lengkap yang lebih kompleks

tentang Packet Flow pada sebuah router.Saya menginginkan Anda dapat
memahami konsep firewall secara sederhana terlebih dahulu untuk kemudian ke
tahap yang lebih rumit dan kompleks. Itulah sebebnya pada gambar tersebut
saya hanya memperlihatkan tiga buah chain. Namun jika Anda ingin sedikit
berpusing ria, silahkan menuju URL
http://wiki.mikrotik.com/wiki/Manual:Packet_Flow:
Pada gambar diatas , Anda dapat melihat posisi dari setiap chain pada
sebuah router. Terlihat bahwa jika ada sebuah paket data yang ingin melintasi
router,maka chain pertama yang dapat digunakan adalah chain srcnat. Setelah
paket data melewati chain dstant, maka paket akan diberikan kechain forward.
Chain forward ini dapat memutuskan apakah paket dapat diteruskan (accept)
atau paket harus dibuang (drop).
Jika pada chain dstant sebelumnya sudah dilakukan perubahan IP Address

tujuan, maka field IPAddress tujuan yang baru ini lah yang akan digunakan chain
forward sebagai pedoman untuk meneruskan paket. Setelah melewati chain
dstant dan chain forward, maka selanjutnya paket akan diberikan kepada chain
srcnat yang dapat melakukan perubahan field IP Address pengirim maupun port
pengirim.
Dengan memahami hubungan ketiga chain tersebut ,Anda dapat membuat

susunan rule firewall sesuai kebutuhan, lebih efisien, lebih efektif dan tentunya
dengan “taste” Anda sendiri.
Source NAT
Pada buku Mikro Tik Kung Fu Kitab 1,penggunaan chain srcnat sudah
dibahas. Penggunaan chain srcnat pada buku tersebut ditunjukan untuk
memberikan akses internet pada beberapa komputer client yang ada pada
jaringan lokal. Sedangkan action yang digunakan pada pembahasan tersebut
adalah masquerade.
Adapun pembahasan chain srcnat pada buku Mikro Tik Kung Fu Kitab 2 ini,
tetap bertujuan memberikan akses internet pada komputer client namun dengan
beberapa skenario yang berbeda . Skenario yang akan dibahas adalah kondisi
dimana router Mikro Tik memiliki koneksi ke Internet melalui beberapa ISP.
Dengan hadirnya beberapa koneksi Internet, maka Anda dapat menerapkan
teknik load balancing.
Teknik ini akan membagi beban (traffic) dari jaringan lokal ke beberapa
koneksi ISP yang dimiliki. Ini dapat mencegah menumpuknya traffic kepada satu
koneksi ISP, sehingga semua koneksi Internet yang ada dapat digunakan adalah
metode Equal Cost Multi Path(ECMP), yang merupakan teknik yang sederhana,
namun menjadi dasar bagi Anda un tuk membuat teknik yang lebih rumit,
tentunya dengan parameter konfigurasi yang lebih banyak.
Sedangkan action yang digunakan juga tidak hanya action masquerade

namun akan dibahas penggunaan action srcnat. Selain kedua action
tersebut(masquerade dan srcnat), Anda dapat saja menggunakan action-action
yang lain, yang bersifatnya sama dengan action yang ada pada firewall filter
sebelumnya. Misalnya, jika Anda inin melakukan logging terhadap beberapa paket
yaang akan diproses oleh chain srcnat ,maka anda bisa saja memilih action=log.
Begitu juga dengan action-action yang lain seperti pengunaan action accept, add-
src-to src-address-list,add-dst-to-dst-address-list maupun action yang lainnya.
Action=masquerade
Skenario 1
Pada skenario ini, Router Gateway memiliki koneksi internet dari dua ISP
yang berbeda. Koneksi Internet tersebut terdiri dari upload maupun
memdownload sebesar 512 kbps dari ISP-A dan 512 kbps dari ISP-B. ISP-A
terhubung pada interface ether1 Router Gateway sedangkan ISP-B terhubung ke
ether2. Yang diingikan adalah memanfaatkan kedua koneksi Internet seperti
terlihat pada gambar berikut ini :
Yang pertama kali harus dilakukan tentunya adalah mengkonfigurasikan IP

Address. Saya tidak akan lagi menuliskan bagaimana melakukan konfigurasi IP
Address pada interface Router Mikro Tik. Anda tentunya sudah mempelajarinya
pada buku Mikro Tik Kung Fu Kitab 1. Adapun hasil konfigurasi IP Address yang
harus dilakukan dapat dilihat sebagai berikut :
Karena memiliki dua ISP,maka tentunya Router Gateway akan memiliki dua
gateway. Dan Karena kedua ISP tersebut akan digunakan bersama-sama maka
pada saat mengkonfigurasikan default gateway menuju internet, Anda harus
memasukan dua IP Address dari router ISP secara bersamaan. Perintah yang
dapat digunakan adalah sebagai berikut:
Jika menggunakan WinBox, menu yang dapat digunakan adalah IP

Routes, seperti terlihat pada gambar berikut:
Dengan mememiliki dua koneksi Internet, sebaiknya Router Gateway juga

menggunakan konfigurasi DNS Server dari kedua ISP tersebut. Pada skenario, ISP-
A menjalankan DNS Servernya pada IP Address 60.1.1.1 Sedangkan ISP-B pada
30.1.1.1. Sehingga perintah konfigurasi DNS Server yang dapat dilakukan pad
Router Gateway adalah sebagai berikut:
Tahap terakhir adalah mengkonfigurasikan Firewall NAT yang akan
melakukan perubahan field IP Address pengirim lokal menjadi IP Address publik
yang ada pada interface ether1 maupun ether2. Karena memiliki dua gateway dan
IP Address publik dimasing –masing interface tersebut, maka harus dilakukan dua
konfigurasi Firawell NAT, masing-masing menggunakan parameter out-
interface=ether1 dan out-interface=ether2. Perintah yang dapat digunakan adalah
sebagai berikut:
Jika menggunakan WinBox,konfigurasi dapat dilakukan melalui menu IP

Firewall tab NAT tombol ADD, dan hasilnya dapat dilihat seperti gambar
berikut:
Hasil dari konfigurasi load balancing diatas akan bersifat round robin,
artinya kedua link akan digunakan secara acak. Bila mana koneksi ISP-A sudah
terbebani secara penuh, maka traffic selanjutnya akan dialihkan ke ISP-B . Jika
Beban sudah terbagi bagi pada kedua ISP, maka kondisi seimbang (balance) akan
tercapai, anda dapat melihat berapa bandwidth yang digunakan melalui menu
Interface , seperti pada gambar berikut. Perhatikanlah bagian RX pada interface
ether1 dan ether2 yang memperlihatkan besarnya traffic download yang
didapat dari kedua ISP:
Skenario 2
Jika Anda ingin memisahkan traffic dari beberapa komputer ke ISP tertentu
maka Anda dapat memanfaatkan parameter scr-address. Pada skenario
ini,diingikan komputer client dengan IP Address 192.168.10.2 s/d 192.168.10.10
akan menggunakan koneksi Internet melalui ISP-A . Sedangkan komputer client
dengan IP Address 192.168.10.11 s/d 192.168.10.20 akan menggunakan koneksi
Internet melalui ISP-B. Sehingga akan dihasilkan dua group dalam jaringan lokal
Anda , dan Masing-masing group akan mendapatkan jatah bandwidth download
dan upload sebesar 512 kbps. Ilustrasi dari skenario ini dapat Anda lihat pada
gambar berikut:
Untuk menjalankan skenario ini, harus dilakukan dua konfigurasikan rule

Firewall NAT dengan memanfaatkan parameter scr-address. Rule yang pertama
menggunakan parameter scr-address=192.168.10.2-192.168.10.10 out-
interface=ether1 sedangkan rule yang kedua menggunakan parameter scr-
address=192.168.10.11-192.168.10.20 out-interface=ether2. Secara Lengkap
Jika menggunakan WinBox, maka konfigurasi dapat dilakukan melalui menu

IP Firewall tab NAT tombol Add , sama seperti konfigurasi sebelumnya,
hanya saja kali ini anda harus mengisikan parameter Src. Address, seperti gambar
berikut:
Sedangkan hasil akhir konfigurasi jika dilihat dengan menggunakan WinBox,

akan terlihat seperti gambar berikut:
Action=srcnat
Selain menggunakan action masquerade untuk menyembunyikan IP
Address privat sehingga tidak terlihat oleh server-server di Internet, Anda juga
dapat menggunakan action src-nat. Jika action masquerade dapat membuat
komputer-komputer client dapat mengakses Internet, begitu juga dengan action
srcn-nat. Yang menjadi pertanyaan adalah kapan Anda menggunakan action
masquerade dan kapan Anda harus menggunakan action src-nat.
Action masquerade digunakan untuk melakukan perubahan secara

otomatis field IP Address yang ada pada paket data menjadi IP Address publik
yang ada pada interface publik . Bila Anda mengambil contoh jaringan pada
gambar 6.4, maka jika pada paket yang keluar keInternet melalui interface
ether1, maka field IP Address pengirim yang ada pada paket data yang keluar ke
Internet melalui interface ether2, maka field IP Address pengirim pada paket
tersebut akan dirubah menjadi 30.1.1.2.

Mikrotik Kung Fu Kitab 2

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Mikrotik Kung Fu Kitab 2

Uploaded by

Copyright:

Available Formats

Mikrotik Kung Fu

Konfigurasi Static Routing……………………………………………………………………5

Konfigurasi Next Pool……………………………………………………………….22

Konfigurasi DHCP Server………………………………………………………………..23

Rogue DHCP Server……………………………………………………………………….29

Konfigurasi DHCP Alert……………………………………………………………29

Valid DHCP Server………………………………………………………………….31

Konfigurasi DHCP Server dan DHCP Relay………………………………33

DHCP Rogue vs DHCP Relay………………………………………………….38

Konfigurasi Dasar Bridge……………………………………………………..41

Redundant Link dan Looping……………………………………………….44

Rapid Spanning Tree Protocol……………………………………………..45

Implementasi dan Konfigurasi Bridge……………………………………….51

Implementasi Redundant Link………………………………………………….53

Ethernet over IP (EoIP)……………………………………………………………..57

EoIP + Static Routing…………………………………………………………………68

Konfigurasi Access Point……………………………………………………78

Monitoring dan Pengujian………………………………………………..83

Point to Multi Point………………………………………………………………..85

Konfigurasi Access Point……………………………………………………87

Konfigurasi Wireless Client………………………………………………..89

Virtual Access Point……………………………………………………………..100

Keamanan Jaringan Wireless……………………………………………….106

Asal dan Tujuan Paket…………………………………………………….120

Connection State pada chain input…………………………………135

Connection State pada chain forward…………………………….135

Chain=input , chain=forward dan chain tambahan…………..143

Menjalankan Web Server pada LAN………………………………….163

Akses SSH pada Web Server (Port Translation)………………….168

Connection Mark vs Download Manager…………………………..179

Connection Mark vs Internal Proxy……………………………………180

Point to Point Protocol over Ethernet (PPPoE)……………………….202

Konfigurasi PPPoE Server (Access Concentrator)……………….204

Konfigurasi PPPoE Client pada Windows 7…………………………209

Konfigurasi PPPoE Server……………………………………………..216

Konfigurasi PPPoE Client……………………………………………….217

Konfigurasi Routing atau Masquerade………………………….220

Point to Point Tunneling Protocol (PPTP)………………………………..221

Konfigurasi PPTP pada Windows 7………………………………..225

Site to Site (Bridging)………………………………………………………….233

PCQ Limit dan PCQ Total Limit……………………………………………..246

Jika Anda ingin mengambil ujian sertifikasi MTCNA (Mikrotik Certified

Konsep Static Routing

Sebagai langkah awal, konfigurasikanlah IP Address pada setiap interface

Setelah mengkonfigurasi IP Address pada setiap interface, seharusnya

Setelah memahami dengan benar konsep, “Mau ke mana?” dan “Lewat

Jika ingin melakukan konfigurasi routing static dengan menggunakan

Setelah konfigurasi static selesai anda lakukan, maka periksalah kembali

Pada saat anda mengkonfigurasikan IP Address pada komputer 192.168.1.2

Konfigurasi Static Routing

Seperti terlihat pada gambar di atas R1 memiliki sebuah network

Untuk mengkonfigurasikan routing static pada router gateway, maka

Jaringan tersebut akan digunakan untuk mengakses Internet. Anda harus

Peintah static routing untuk menuju ke internet pada masingmasing router

Perhatikanlah bahwa router gateway yang harus mengunakan 60.1.1.1

Anda juga dapat menggunakan WinBox melalui menu IP-Routes untuk

Tentang bagaimana mengkonfigurasikan NAT dengan menggunakan

Ada berbagai macam implementasi load balance yang sering dijumpai

Jaringan pada gambar 1.7 merupakan penyempurnaan dari topologi

Setelah anda mengkonfigurasikan load balance baik pada R1 dan R2 maka

Anda dapat memperhatikan tabel routing dari masing-masing router untuk

Jika ingin menggunakan WinBox untuk mengkonfigurasikan routing static

Menu IP-Routes juga dapat memperlihat tabel routing. Gambar berikut

Demikian juga sebaliknya link pada network 10.1.1.0/30 akan tetap