Port Forwarding Multiple Webserver berbeda Domain

Pada artikel sebelumnya sudah kita coba untuk melakukan port forwarding supaya web server di jaringan lokal dapat diakses menggunakan IP Public yang terpasang di router. Selengkapnya bisa dilihat pada link berikut disini.

Namun bagaimana jika kita ingin mengakses lebih dari satu webserver di jaringan LAN menggunakan nama domain dari internet. Dan setiap nama domain tersebut kita resolve ke satu IP Public yang terpasang di router.

Hal tersebut bisa kita lakukan menggunakan router MikroTik yaitu dengan konfigurasi NAT dan dikombinasikan dengan fitur yang lain yaitu Web Proxydan DNS Static.

Contoh kasus

Dengan topologi seperti diatas, ketika ada user yang akan akses dari internet menggunakan nama domain akan dilakukan resolve ke IP Public yang terpasang di router. Supaya trafik request dari internet bisa di-redirect ke masing-masing webserver di jaringan LAN sesuai nama domain, maka kita akan menggunakan webproxy. Konfigurasi pada web proxy seperti berikut:

• Aktifkan service webproxy pada router

• Untuk keamanan kita akan konfigurasi pada ‘webproxy access’ dengan hanya mengijinkan trafik request dari nama domain kedua webserver tersebut dan trafik yang lain akan di block.

Setelah konfigurasi webproxy seperti diatas kita selanjutnya akan setting NAT pada menu firewall. Untuk NAT nanti kita akan melakukan redirect setiap trafik dengan tujuan port 80 yang masuk router dari jaringan internet ke webproxy. Konfigurasi dari NAT seperti berikut:

• Winbox – pada menu ‘IP–> Firewall –> NAT‘

• CLI Terminal

Dan langkah terakhir kita juga konfigurasi pada DNS  Static di router untuk melakukan mapping/resolve nama domain ke masing-masing alamat IP webserver di jaringan LAN. Contoh konfigurasinya seperti berikut:

• Kita masuk pada menu IP –> DNS, dan klik pada tombol command ‘Static‘. Kemudain kita isikan pada list untuk nama domain dan juga IP Address dari webserver.

Sampai langkah ini konfigurasi sudah selesai. Untuk pengetesan kita coba akses nama domain wenbserver kita dari jaringan internet.

*) Catatan:

Kita harus membeli nama domain terlebih dahulu pada penyedia layanan domain & hosting dan mengisikan pada A record dengan IP Public dari router kita.
Supaya lebih stabil IP Public dari router kita menggunakan IP Public Static.

The post Port Forwarding Multiple Webserver berbeda Domain appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.

Menggunakan Syslog Pada The Dude Server

Sudah bukan hal baru lagi bagi para pengguna Mikrotik dalam melakukan monitoring jaringan pasti sudah mengenal Aplikasi Mikrotik yang disebut The Dude, aplikasi yang bisa digunakan untuk melakukan manajemen dan monitoring jaringan serta memberikan notifikasi jika terdapat masalah pada perangkat perangkat yang ada di jaringan kita.

Penggunaan aplikasi The Dude sudah pernah kita bahas pada artikel Monitoring dengan aplikasi The Dude. Pada versi terbaru, saat ini the dude terdiri dari 2 versi yaitu The Dude Server dan The Dude Client. The Dude server dapat diinstall pada perangkat routerboard dengan arsitektur TILE (CCR), x86, ARM, dan MMIPS. Sedangkan untuk the dude client dapat diinstall pada perangkat Windows PC.

Selain melakukan monitoring perangkat jaringan The Dude juga memiliki fitur syslog server. Syslog server merupakan perangkat yang dapat menerima status log dari perangkat lain, misalnya Router. Router Mikrotik dapat mengirimkan log-nya ke mesin lain dengan tujuan agar perangkat Mikrotik tersebut bisa dipantau dari mesin lain. Misalnya, agar data log bisa dianalisa atau untuk kebutuhan lain.

Aktifkan The Dude

Sebelum dapat menggunakan syslog server pada The Dude, terlebih dahulu tentu kita harus menginstall package the dude pada Router, caranya bisa dilihat pada artikel Monitoring dengan aplikasi The Dude. Pada contoh kali ini kami  menggunakan Cloud Core Router Series (tile) RoS versi 6.35 sebagai The Dude server. Tidak lupa juga gunakan The Dude Client dengan versi yang sama pada PC Windows.

Setelah package The Dude terinstall, aktifkan fitur The Dude Server pada Router melalui CLI dengan perintah  :

Lakukan akses dari The Dude Client pada PC dengan memanggil IP Address Router. Pada saat Dude aktif, maka Syslog server juga otomatis aktif, dapat dicek pada menu Setting -> Syslog

Penambahan Log Folder

Pada implementasi di lapangan, kemungkinan akan ada lebih dari satu Router yang Log nya akan diarahkan ke SysLog. Oleh karena itu, kita dapat menambahkan folder Log untuk masing-masing Router. Penambahan ini dapat dilakukan pada menu Log -> Add

Penambahan Notifications

Untuk mengarahkan penyimpanan Log pada folder tertentu, kita dapat melakukan pengaturan Dude Notifications. Pada contoh ini ditambahkan Notifications baru untuk mengarahkan Log ke masing-masing folder yang sebelumnya sudah dibuat. Pengaturan ini dapat diakses pada menu Notifications->Add

Penambahan Syslog Rule 

Pengaturan Syslog Rules diperlukan untuk menentukan IP Address Router yang diperbolehkan menyimpan log pada Syslog Server. Pengaturannya dapat dilakukan pada menu Setting -> Syslog -> Add(+) . Arahkan menggunakan notifikasi yang sebelumnya telah dibuat agar log tersimpan pada folder yang sesuai.

Konfigurasi Router

Syslog server pada The Dude memang masih sederahana, namun dengan mengaktifkan Syslog server dapat melengkapi fitur The Dude dalam melakukan monitoring jaringan kita.

Sumber:

• http://www.mikrotik.co.id

The post Menggunakan Syslog Pada The Dude Server appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.

Fail Over dengan Recursive Gateway

Dengan menggunakan lebih dari satu gateway internet (ISP) memungkinkan kita untuk melakukan fail over dimana salah satu link bisa dijadikan sebagai gateway utama dan yang lain menjadi link backup. Untuk kebutuhan tersebut konfigurasi yang biasa diterapkan adalah dengan mendefinisikan check-gateway dan membedakan nilai distance pada masing-masing rule routing.

Sebagai contoh seperti pada topologi jaringan berikut

Secara sederhana, failover dapat dilakukan tanpa script dengan mengatur check-gateway dan nilai distance pada tiap rule routing, contohnya seperti berikut

Dengan pengaturan tersebut mekanisme check-gateway akan melakukan pengecekan berkala ke gateway ISP dengan mengirimkan paket PING.

Namun yang menjadi kendala, mekanisme check-gateway hanya dapat melakukan pemantauan gateway terdekat  (ISP), sehingga jika yang terjadi masalah di atas jalur ISP (NAP) misalnya, paket data akan tetap dilewatkan ke ISP, sebab router masih menganggap ISP reachable. Efeknya failover tidak berjalan semestinya sehingga kita tetap tidak bisa akses.

Untuk itu ada sebuah trik pada pengaturan routing untuk membuat fail over secara otomatis tanpa menggunakan script. Selain distance dan check gateway, kita bisa memanfaatkan parameter scope/target scope untuk membuat recursive gateway, sehingga check-gateway dapat melakukan pemantauan gateway / IP Address di internet sekalipun, misalnya ke 8.8.8.8

Secara default Check-gateway tidak bisa melihat status 8.8.8.8 karena IP tersebut bukan sebagai gateway terdekat. Pada kondisi inilah pengubahan scope dan target-scope dapat diterapkan, biasanya pada rule routing gateway utama. Informasi ini pernah dibahas pada artikel Fungsi Dasar Routing.

Pertama, dari rule routing failover sederhana pada contoh di awal artikel ini, ubah routing yang melalui gateway=192.168.3.1 (Link utama) menjadi gateway=8.8.8.8 dan definisikan target-scope=30

Selanjutnya agar menjadi recursive gateway, tambahkan satu rule routing baru dengan dst-address=8.8.8.8 gateway=192.168.3.1 .

Jika dilihat dari rule nya, mungkin rule diatas tidak sesuai standar penentuan gateway, karena menggunakan 8.8.8.8 sebagai gateway, namun dengan target-scope=30 rule tersebut bisa melakukan lookup ke rule lain yang memiliki nilai scope ≤ 30 sehingga menjadi recursive gateway.

Setelah semua langkah dilakukan maka rule routing lengkap dapat dilihat pada gambar di bawah ini

Dengan demikian, check-gateway dapat melakukan pemantauan ke IP 8.8.8.8 yang pada rule tersebut seolah-olah menjadi gateway langsung. Sehingga ketika check-gateway gagal melakukan PING ke 8.8.8.8 maka gateway internet akan dialihkan ke link backup.

Sebagai catatan, mekanisme ini hanya untuk membantu check-gateway melakukan pemantauan link, sedangkan jika dilakukan traceroute traffic aslinya tetap melewati link / gateway ISP.

Sumber:

• http://www.mikrotik.co.id

The post Fail Over dengan Recursive Gateway appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.

Video 10 Kesalahan pada Pemasangan Wireless Mikrotik

The post Video 10 Kesalahan Pada Pemasangan Wireless Mikrotik appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.

Memanfaatkan Hotspot Trial Untuk Akses Internet Gratis

Perkembangan Teknologi internet membuat masyarakat seperti kecanduan internet, kalau tidak online rasanya ada yang kurang. Maka dari itu untuk memenuhi kebutuhan tersebut dibeberapa area publik seperti bandara, stasiun, mall, dan sebagainya sering memberikan layanan internet secara cuma – cuma kepada para pengunjungnya.

Sebagai Admin jaringan di kantor, di toko atau di sekolah misalnya Anda juga ingin menerapkan sistem yang sama, Anda bisa memberikan layanan Gratis kepada pengunjung, tamu atau bahkan untuk siswa di sekolah. Biasanya di masyarakat Indonesia ini kalau ada sesuatu yang Gratis seringnya laris atau akan banyak orang yang ingin menggunakan. Sebagai Admin jaringan kita harus bijak dalam membagi bandwidth, harus kita lakukan management supaya Bandwith tetap pada porsinya masing – masing. Apalagi untuk layanan yang gratis, sudah seharusnya user yang menggunakan akses Gratis diberikan limitasi, bisa berdasarkan waktu, Quota bahkan kita juga bisa memberikan iklan atau kita tunjukkan Profil perusahaan sebelum user gratis mengakses internet.

Hotspot pada mikrotik memiliki fitur Trial, yang bisa dimanfaatkan untuk memberikan akses Internet Gratis pada pelanggan tanpa kita memberikan username dan password. Pelanggan tidak perlu memasukkan username dan password cukup klik tombol pada portal pertama saat terkoneksi dengan wireless AP kita. Di portal pertama tersebut bisa kita edit dari default bawaan mikrotik menjadi profil perusahaan kita misalnya atau kita pasang gambar dari produk beserta harga produk kita.

Konfigurasi dasar Hotspot bisa dipelajari di artikel Setting Dasar Hotspot Mikrotik. Sebelum memberikan akses gratis kepada client yang perlu dilakukan pertama kali adalah memberikan limitasi bandwidth supaya client gratisan tidak mengganggu atau bahkan menghabiskan bandwidth yang ada di kantor. Lebih baik menggunakan konfigurasi PCQ agar bandwidth client gratis dibagi rata.

Selanjutnya buat User Profile pada Hotspot untuk memberikan akses trial atau free akses. Tentukan shared user sesuai kebutuhan dan un-cek parameter Add Mac Cookie supaya jika client sudah logout atau kehabisan quota dan waktu harus klik ulang dihalaman pertama login page. User Profile ada di menu IP >> Hotspot >> User Profiles >> Add.

Jangan lupa arahkan parent queue ke Simple Queue yang sudah dibuat sebelumnya. Silahkan geser ke tab Queue.

Konfigurasi Server profile harus di ubah agar fitur Trial hotspot mikrotik aktif. Cara mengaktifkannya cukup dengan mencentang parameter Trial pada Server Profile yang ada di tab Login. Dari server profile kita bisa membatasi waktu online client gratisan misal 5 menit saja. kemudian Arahkan user profile ke user profile Trial yang sudah dibuat.

Konfigurasi Trial sudah selesai, sudah bisa dicoba dengan mengkoneksikan perangkat hp atau laptop ke interface hotspot.

User trial dapat login tanpa username dan password dengan klik tombol “click here” di atas kotak username dan password. Agar tidak terlihat kaku, tampilan login page bisa Anda ubah sesuai kebutuhan. Untuk mengubah tampilan login page bisa dipelajari di artikel berkut Modifikasi Tampilan Login Hotspot.

Selain limitasi waktu dan kecepatan bisa juga dilimit berdasarkan quota. Untuk memberikan limitasi qouta ada di Hotspot User.

Dengan sekedar klik, sudah tidak perlu repot2 lagi membuat username dan password kepada client yang ingin dapat akses internet secara cuma – cuma. Untuk kepentingan iklan perusahaan atau jualan produk bisa juga setelah klik tombol kita arahkan ke website perusahaan atau toko online kita terlebih dahulu. Carnya cukup kita edit sedikit di file alogin.html hotspot.

Dengan Fitur Trial Hotspot yang ada di hotspot mikrotik dapat di custom sesuai dengan kebutuhan dilapangan.

• http://www.mikrotik.co.id

The post Memanfaatkan Hotspot Trial Untuk Akses Internet Gratis appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.

Optimasi Link Wireless dengan Pemilihan Antenna

Solusi yang biasanya diterapkan adalah dengan menaikkan power wireless card pada AP. Misal yang sebelumnya menggunakan MiniPCI R52H (350mW), kemudian ganti dengan MiniPCI R5SHPn (800 mW). Langkah ini tidak salah, namun terkadang tidak memberikan hasil maksimal. Menaikkan tx-power wireless card hanya akan menaikkan tx-power AP, namun tidak memperbaiki rx-signal nya.

Jika ini dilakukan di sisi Client / Station, mungkin akan cukup efektif, sehingga rx-signal di sisi AP akan lebih baik. Namun bagaimana jika sisi Station tidak dapat diganti / custom seperti halnya pada Laptop atau HP? Solusi lain yang bisa dilakukan adalah kita bisa mengganti antenna dengan gain yang lebih besar di sisi AP.

Percobaan sederhana kami lakukan untuk simulasi kondisi tersebut. Percobaan dilakukan dengan membuat link wireless point-to-point 2 radio menggunakan gain antenna yang berbeda. Percobaan ini difokuskan untuk melihat efek yang ditimbulkan jika di sisi AP menggunakan gain antenna lebih besar dari sebelumnya.

Kondisi I
Pada kondisi awal, kedua sisi menggunakan antenna gain 7dBi pada jarak 30m dengan kondisi banyak penghalang. Signal-Strength yang didapat dari link tidak bagus dan sering Loss Connection.

Kondisi II

Pada kondisi II, antenna pada sisi AP diganti dengan gain yang lebih besar menjadi 9dBi. Hasilnya selain tx-signal-strength meningkat, rx-signal-strength juga ikut terkoreksi dan menjadi lebih baik daripada sebelumnya.

Hasil ini sebenarnya berkaitan dengan perhitungan link budget. Secara teoritis dapat dilakukan dengan aplikasi Link Possibility Calculator. Hal ini juga pernah kami bahas pada video 10 Kesalahan Pemasangan Wireless.

• http://www.mikrotik.co.id

The post Optimasi Link Wireless dengan Pemilihan Antenna appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.

10 Cara Mengamankan Router Mikrotik

Dalam melakukan konfigurasi router mikrotik untuk jaringan yang kita miliki, hal yang sangat penting dan perlu diperhatikan adalah mengenai keamanan router. Sebagai Admin jaringan jangan sampai lupa untuk melakukan proteksi atau mengamankan router dari pihak pihak luar yang tidak bertanggung jawab.

Langkah – langkah yang perlu dilakukan untuk mengamankan Router Mikrotik sebagai berikut :

1. Ganti Username dan Password Router Mikrotik 
Sudah bukan rahasia lagi kalau Router Mikrotik mempunyai Username dan Password bawaan pabrik yaitu Username : Admin, dan Password : (blank). Sebaiknya Username Password default tersebut kita disable, dihapus atau kita ubah, agar tidak digunakan orang lain. Untuk menghapus dan melakukan disable User Default silakan buat terlebih dahulu User yang memiliki hak akses (group) Full. Untuk melakukan management User bisa masuk ke menu System -> Users 

Selain disable, kita juga bisa membuat user baru dengan hak akses Read. Dalam memberikan hak akses Read yang perlu diperhatikan adalah jangan sampai lupa nonaktifkan (un-cek) policies “reboot”. Karena Secara default Group Read masih bisa melakukan Reboot.

2. Ubah atau Matikan Service yang Tidak Diperlukan 
Service di Router Mikrotik secara default sudah terbuka, jadi kita harus mengantisipasi beberapa service yang kita gunakan untuk melakukan remote ke router. Caranya kita bisa menonaktifkan service tersebut, mengubah port defaultnya atau membatasi hanya beberapa ip address saja yang boleh akses menggunakan port tersebut.

Pengaturan ini dapat dilakukan pada menu IP —> Services

3. Non-Aktifkan Neighbors Discovery 
Mikrotik memiliki protocol yang dapat melakukan broadcast domain melalui layer 2 sehingga membuat perangkat Mikrotik bisa saling menemukan jika berada di jaringan layer 2 yang sama, namanya adalah Mikrotik Neighbor Discovery Protocol(MNDP). Perangkat yang support MNDP dan CDP dapat menemukan atau mengetahui informasi router lain seperti informasi identity Router, MAC-Address,dan IP-Address. Contoh paling mudah saat kita akan melakukan winbox di tab Neighbors akan terlihat beberapa informasi Router yang terkoneksi layer 2 dengan laptop kita.

Agar Router tidak memberikan informasi tersebut, sebagai admin jaringan sebaiknya lakukan disable discovery interface. Terutama Interface yang terkoneksi langsung dengan pihak umum misalnya interface wireless untuk jaringan hotspot, interface ethernet untuk jaringan PC client warnet, dan sebagainya.

Pengaturan ini dapat dilakukan pada menu IP —> Neighbors

Tiga langkah cara mengamankan Router Diatas secara detail sudah pernah dibahas pada artikel Langkah Pertama Menjaga Keamanan Router 

4. Non-Aktifkan atau Ubah Fitur MAC Server 
Dengan melakukan disable pada discovery interface bukan berarti Router tidak bisa di remote menggunakan MAC-Address. Jika sebelumnya sudah menyimpan atau mengetahui MAC-Address Router, masih bisa di remote menggunakan MAC-Address. Jika menginginkan Router tidak bisa diremote menggunakan MAC-Address baik melalui Winbox ataupun via telnet, matikan Fitur MAC-Server di Router. Tools -> MAC-Server 

Atau Anda hanya ingin MAC-Winbox dari interface yang  terkoneksi dengan PC Anda saja misal Ether2. Cara melakukannya buat terlebih dahulu MAC-Winbox Interface ke Arah Ether2 selanjutnya disable interface “all”

5. Aktifkan Firewall Filter Untuk Akses Service Router (DNS dan Web Proxy)
Router Mikrotik yang kita tempatkan sebagai Gateway Utama, sering mengaktifkan fitur Allow-remote-request DNS dan web proxy. Kedua fitur tersebut bisa dimanfaatkan oleh pihak luar terutama web proxy yang kadang membuat trafik international kita sering penuh padahal tidak ada user lokal yang menggunakannya.

Untuk mengatasi hal tersebut kita harus mengaktifkan filter pada Firewall agar pihak luar tidak bisa memanfaatkan DNS kita dan Web Proxy kita.

Jangan lupa buat juga action drop untuk trafik DNS yang menggunakan protocol udp.

6. Non-Aktifkan Btest Server
Router Mikrotik juga memiliki fitur Btest Server, yang bisa digunakan untuk melakukan test koneksi yang sudah terbentuk. Tetapi fitur ini jika tiba-tiba di manfaatkan oleh pihak luar, Router kita di paksa untuk men-generate trafik atau menerima trafik bandwith test bisa jadi bandwidth yang kita miliki habis atau tiba-tiba CPU load kita menjadi 100%. Tentu sebagai admin jaringan tidak menginginkan hal itu, lebih baik fitur ini dimatikan.

Pengaturan dapat dilakukan pada menu Tools —> BTest Server 

Artikel mengenai penggunaan Bandwidth test bisa di lihat di halaman berikut Bandwidth Test Menggunakan Mikrotik 

7. Ubah pin atau Non-Aktifkan Fitur LCD
Beberapa Router Mikrotik sudah dilengkapi dengan LCD yang juga bisa digunakan untuk menambahkan perintah-perintah sederhana langsung dari LCD tersebut. Jika router yang memiliki LCD tersebut di tempatkan di tempat yang terjangkau orang banyak sebaiknya lakukan pengubahan pin atau Non-Aktifkan Fitur LCD agar orang lain tidak iseng mengotak atik router kita. Penjelasan mengenai LCD di Mikrotik bisa di lihat di Artikel Pengaturan LCD Display Mikrotik 

8. Lakukan Backup secara berkala serta Enkripsi dan Ambil File backupnya
Agar tidak perlu konfigurasi ulang sebaiknya kita lakukan Backup secara berkala. Apalagi setelah selesai konfigurasi lakukan backup konfigurasi, dan jangan lupa pindahkan file backup tersebut ke PC atau laptop Anda. Untuk menjaga keamanan file backup bisa Anda lakukan Enkripsi saat akan melakukan backup konfigurasi. Untuk detailnya bisa dilihat di Artikel Backup Konfigurasi Mikrotik 

9. Aktifkan Bootloader Protector
Fitur Bootloader Protector digunakan untuk melakukan proteksi terhadap gangguan fisik yang bisa saja terjadi pada routerboard terutama proteksi terhadap tombol reset yang ada di router Mikrotik. Contoh implementasinya sudah pernah kami bahas artikel Protected Bootloader 

10.Amankan Fisik Router
Mikrotik adalah perangkat hardware elektronik sebagaimana perangkat elektronik lainnya yang membutuhkan perawatan Fisik seperti :

• Proteksi kabel power agar jangan terlalu sering di cabut colok
• Ruang pendingin untuk menjaga suhu perangkat mikrotik
• Perlindungan terhadap lonjangan listrik menggunakan UPS, atau yang melewati POE sebaiknya gunakan Arester.

Sumber:

• http://www.mikrotik.co.id

The post 10 Cara Mengamankan Router Mikrotik appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.

Penggunaan Mangle Untuk Load Balance dan Queue Tree

Mangle pada Firewall mikrotik dapat digunakan untuk manandai packet data. Tanda (marking) tersebut bisa digunakan pada fitur lain seperti Filter, Routing, NAT, ataupun Queue. Pada implementasi di lapangan mangle bisa digunakan untuk melakukan loadbalance, Router yang melakukan loadbalance biasanya merupakan router Utama yang juga digunakan untuk melakukan management bandwidth.

Contoh implementasi kali ini seumpama ada 2 jalur koneksi ke arah internet, dan jaringan lokal tidak hanya memiliki satu jaringan saja melainkan lebih dari 1. Sebagai admin jaringan kita ingin menggunakan kedua jalur internet tersebut secara maksimal bukan sekedar hanya digunakan untuk failover saja, nanti bisa rugi bayar bulanannya.

Loadbalance merupakan teknik untuk mendistribusikan beban trafik pada dua atau lebih jalur koneksi secara seimbang agar trafik dapat berjalan optimal dan tidak ada overload pada salah satu jalur koneksi. Salah satu teknik Loadbalance adalah PCC (Per Connection Classifier). Dengan menggunakan fitur PCC kita bisa mengelompokkan trafik koneksi yang melewati ataupun masuk ke router menjadi beberapa kelompok. Router akan mengingat jalur gateway yang dilewati pada awal trafik koneksi sehingga paket selanjutnya yang masih berhubungan akan dilewatkan pada jalur yang sama dengan sebelumnya.

Pada beberapa referensi sebelumnya load balance PCC di contohkan hanya didistribusikan pada 1 jaringan LAN saja. Pada Artikel ini kami akan mendistribusikan koneksi 2 Wan ke dalam 2 WAN(seperti topologi).

Untuk memudahkan dalam melakukan pembuatan rule mangle agar tidak terlalu banyak mangle yang dibuat, manfaatkanlah fitur interface-list.

Setelah mengelompokkan interface-list saatnya melakukan loadbalance menggunkan metode PCC.

Dari beberapa rule di atas, yang pertama kali dilakukan adalah memberikan action accept pada trafik lokal agar trafik lokal tidak ditandai sebagai koneksi ke jaringan internet. Kemudian memberikan tanda terhadap trafik dari ISP 1 maka akan di kembalikan lagi trafik baliknya lewat ISP1 begitu juga jika ada trafik dari ISP2. Selanjutnya adalah metode load balance PCC. Dan Mangle selanjutnya adalah memberikan tanda terhadap trafik agar bisa dilakukan routing.

Mark-route yang sudah dilakukan, masukkan dalam Routing sehingga trafik yang sudah di tandai untuk ISP1 akan lewat gateway ISP1 dan Trafik dengan tanda ISP2 lewat gateway ISP2.

Loadbalance sudah selesai, masalah terakhir adalah bagaimana melakukan management bandwidth-nya. Skema yang akan diterapkan adalah membagi bandwidth dari total 2 layananan internet tersebut ke dalam 2 jaringan LAN.

Tentu jaringan LAN tersebut berada pada interface yang berbeda sehingga dalam kasus ini bisa menggunakan Parent Global pada Queue tree RouterOS v6.x, namun perlu mangle yang lebih spesifik untuk membedakan trafik upload dan download, sebab parent=global berada pada setiap out-interface pada packet flow ROS v.6.x.

Agar lebih simple sebaiknya pisahkan mangle untuk queue tree dari mangle yang digunakan untuk melakukan Loadbalance. Dengan kata lain buat mangle baru khusus untuk melakukan Queue tree.

Queue Tree dapat dibuat dengan metode hirarki parent dan child. Maka parent menggunakan max-limit sesuai akumulasi 2 layanan internet yang dimiliki. Sebagai contoh pada kasus ini setiap ISP memberikan bandwidth 512k.

Kemudian child bisa menggunakan kombinasi dengan PCQ di Queue Type-nya untuk memberikan pembagian secara merata jika di setiap LAN ada banyak user di dalamnya.

Sehingga kedua LAN bisa berbagi bandwidth dengan metode HTB tanpa mepertimbangkan trafik tersebut melewati gateway ISP yang mana.

Jika LAN 1 tidak menggunakan bandwidth maka bisa digunakan oleh LAN 2, begitu pula sebaliknya. Jika kedua Online secara bersamaan akan dibagi sama besar.

Sumber:

• http://www.mikrotik.co.id

The post Penggunaan Mangle Untuk Load Balance dan Queue Tree appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.

10 Tips Cara Menggunakan Winbox Mikrotik

Dalam melakukan konfigurasi sebuah router bisa menggunakan beberapa metode yaitu dengan menggunakan SSH, Telnet, serial console, dan bisa juga menggunakan browser(webfig). Tetapi Mikrotik memiliki aplikasi khusus yang Gratis dan sangat praktis yang sangat populer karena GUI, yakni Winbox.

Mungkin sudah banyak yang mengetahui dan dapat mengoperasikan Aplikasi Winbox karena memang sudah sangat terkenal dikalangan pengguna Router Mikrotik. Tetapi Pada artikel kali ini kami akan membahas mengenai beberapa Tips dan Trik dalam menggunakan Aplikasi Winbox supaya semakin maksimal dalam memanfaatkan atau menggunakan aplikasi Winbox ini.

1. Remote Router MAC Address dan IP Address

Mikrotik bisa diremote menggunakan MAC-Address maupun IP-Address. Remote MAC-Address sebaiknya digunakan saat awal melakukan konfigurasi sebelum Router memiliki IP Address saja.

Penggunaan Winbox harian untuk konfigurasi Router Mikrotik sebaiknya menggunakan IP-Address. Konfigurasi menggunakan IP-Address akan lebih stabil karena menggunakan protocol TCP.

2. Fitur Safe Mode

Dalam melakukan konfigurasi kadang sering tanpa sengaja atau karena mencoba suatu fitur sehingga melakukan kesalahan setting yang mengakibatkan winbox putus dan Router tidak bisa diakses. Atau bisa juga konfigurasi yang kita tambahkan mengganggu kinerja router yang sedang berjalan. Untuk meminimalkan kesalahan konfigurasi kita dapat menggunakan tombol “Safe Mode”.

Pada saat Safe mode di tekan / aktif, konfigurasi tambahan tidak akan tersimpan jika winbox close, baik secara sengaja atau winbox putus karena konfigurasi baru yang ditambahkan. Jika sudah yakin dengan konfigurasi tambahan yang di buat tekan sekali lagi tombol safe mode (nonaktif), maka konfigurasi baru akan tersimpan.

Mengenai fitur Safe Mode sebelumnya sudah pernah dibahas pada artikel Meminimalkan Kesalahan Konfigurasi dengan Safe Mode.

3. Hide Password

Fitur yang secara default aktif, dimana fitur ini akan menyembunyika karakter asli yang diinputkan sebagai password pada beberapa konfigurasi, seperti password pada PPP Secret, Wireless Security Profile dan Hotspot User. Jika ingin melihat karakter asli password tersebut, fitur Hide Password bisa dinonaktifkan.

Caranya cukup mudah tinggal lakukan uncek saja pada fitur Hide Password. Walaupun sudah dinonaktifkan, password pada System–>User tetap akan di sembunyikan dengan mengganti karakter menjadi tanda bintang (*).

4. Dashboard

Dashboard winbox bisa digunakan untuk menampilkan beberapa informasi yaitu Time, Date, CPU load, memory, dan Uptime.

Time adalah waktu saat ini, tentu saja informasi time akan valid jika kita sudah mensetting SNTP client atau kita menggunakan RouterOS yang baru dimana fitur update time secara default aktif saat terkoneksi internet. Informasi yang ditampilkan merupakan informasi real time.

Sama halnya dengan tampilan Time & Date, informasi CPU merupakan data real time penggunaan CPU Router. Memory merupakan informasi real time dari sisa RAM yang ada di router. Uptime menunjukkan lama waktu Router sudah aktif / menyala.

Dengan adanya informasi yang tertampil langsung di dashboard akan lebih memudahkan kita dalam monitoring Router saat melakukan remote winbox.

5. Kolom Pada Winbox

Pada tampilan – tampilan jendela yang ada di winbox secara default hanya menampilkan sedikit informasi saja. Contoh di queue list hanya ada nama, target, upload – download max limit, packet marks, dan total max limit.

Jika ingin menampilkan informasi lain Anda bisa klik kotak kecil seperti anak panah kebawah, di bawah kotak find. kemudian “Show Columns”, ada banyak parameter yang bisa ditampilkan atau bisa juga uncek untuk tidak ditampilkan. Atur tampilan kolom sesuai kebutuhan, untuk memudahkan kita dalam melakukan monitoring.

Selain itu setiap column memiliki fitur sorting untuk mengurutkan nilai pada column dari A-Z, besar ke kecil atau sebaliknya.

Fitur ini digunakan untuk mempermudah dalam meilihat data mana yang paling besar, sedangkan Rule Queue, Firewall dsb tetap berjalan sesuai urutan angkat (nomor)

6. Buka Tutup Parameter

Dalam melakukan konfigurasi sering kita membuka-buka parameter yang ada dalam membuat sebuah rule tertentu, namun kadang sering lupa untuk menutup kembali parameter yang tidak digunakan. Padahal router mikrotik akan menganggap bahwa parameter tersebut terisi atau parameter tersebut dianggap aktif oleh router. Sehingga rule tersebut malah tidak jalan atau tidak berguna. Hal tersebut sering terjadi saat kita membuat rule firewall karena memang dalam firewall memiliki banyak parameter apalagi di tab extra yang tak jarang mengundang rasa penasaran kita.

Maka jika sebuah parameter tidak jadi digunakan, sebaiknya jangan dihapus manual, namun ditutup dengan klik tanda panah kecil di sebelah kanan.

7. Versi Winbox Loader

Aplikasi winbox ternyata juga memiliki versi yang berbeda. versi terbaru saat dibuatnya artikel ini adalah v3.11. Anda dapat melihat versi tersebut pada bagian atas aplikasi winbox sebelum melakukan remote.

RouterOS yang baru biasanya tidak bisa diremote menggunakan winbox versi lama. Maka dari itu jika ada rilis winbox baru sebaiknya gunakan winbox yang paling baru. Untuk mendapatkan versi winbox versi terbaru bisa masuk ke menu Tools –> Check for Updates. Kemudian lakukan upgrade, dengan syarat laptop kita terkoneksi dengan internet. Winbox terbaru bisa digunakan untuk semua versi RouterOS.

8. File Management

Dulu dalam melakukan upload maupun download file ke router untuk OS selain windows harus menggunakan software FTP. Saat ini menggunakan Winbox yang baru, sudah ada tombol upload jika ingin menambahkan file ke dalam router.

Untuk mengambil file dari Router, bisa dilakukan dengan memilih file kemudian klik kanan download.

9. Cara Backup List

Winbox Loader juga dapat melakukan penyimpanan data remote Router baik untuk IP Address, Username maupun Password. Caranya dengan menekan tombol Add/Set sebelum klik tombol Connect saat melakukan remote Router. Dengan begitu maka informasi Router akan tersimpan pada tab Managed. Jika ingin melakukan remote ulang, tinggal double click pada list Router yang diinginkan.

Saat sudah memiliki banyak list router di winbox loader, jika Anda ingin ganti laptop atau PC, Anda bisa melakukan export import untuk list yang sudah ada di winbox loader laptop/PC sebelumnya.

10. Master Password 

Saat Anda memiliki banyak List Router di winbox loader, hati hati jika laptop Anda digunakan oleh orang lain, sebaiknya lakukan “Set Master Password” untuk melindungi list winbox loader di laptop Anda.

Master password bisa diaktifkan untuk melindungi list Router yang telah tersimpan. Tanpa memasukkan Master Password kita tidak bisa melihat list Router pada tab Managed serta melakukan export / import list Router yang telah ada.

Sumber:

• http://www.mikrotik.co.id

The post 10 Tips Cara Menggunakan Winbox Mikrotik appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.

Private Pre-Shared Key pada jaringan Wireless

Jaringan dengan wireless dikenal dengan keamanan yang lebih terbuka dibanding menggunakan kabel. Karena siapapun bisa terkoneksi dan cukup rentan jika tidak ada fitur keamanan. Pada artikel-artikel sebelumnya sudah dibahas perihal bagaimana konfigurasi keamanan pada jaringan wireless secara umum.

Fitur keamanan yang paling banyak diterapkan adalah autentikasi wireless menggunakan WPA/WPA2 Pre-Shared-Key yang diseting pada wireless Security profile. Autentikasi ini akan berlaku untuk semua user yang ingin terkoneksi ke wireless.

Pada artikel ini kita akan mencoba membahas sebuah fitur yang bisa diterpkan untuk menambah keamanan jaringan wireless, yaitu Private Pre-Shared Key. Fitur ini memungkinkan kita untuk dapat membuat password yang berbeda untuk tiap Client yang akan terkoneksi wireless.

Konfigurasinya dapat dilakukan di sisi wireless AP pada menu Wireless -> Access List. Yang perlu dilakukan adalah menambahkan MAC-Address perangkat Client dan tentukan password khusus untuk perangkat Client tersebut pada paramater Private Pre-Shared Key.

Penggunaan Private Pre-Shared Key ini bukan berarti tidak perlu konfigurasi WPA/WPA2-PSK default. Agar fungsi Private Pre-Shared Key ini berjalan, konfigurasi WPA/WPA2 PSK pada Security-Profile tetap harus diaktifkan dan pastikan interface wlan sudah mengarah pada Security-Profile tersebut.

Dengan konfigurasi tersebut, ketika ada Client yang ingin terkoneksi dan tidak terdaftar pada Access List maka tetap menggunakan autentikasi dari WPA/WPA2 PSK sesuai konfigurasi Wireless Security Profile.

Sumber:

• http://www.mikrotik.co.id

The post Private Pre-Shared Key pada jaringan Wireless appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.

Implementasi Proxy-ARP di Jaringan

Ada beberapa mode dari ARP di interface MikroTik diantara Enabled (default), Reply-Only, Disabled, Proxy-ARP. Masing-masing mode memiliki fungsi yang bisa kita sesuaikan dengan kebutuhan jaringan yang ada.

Mode Reply-Only sudah dibahas pada artikel sebelumnya yang biasanya banyak digunakan untuk fungsi keamanan jaringan. Artikel kali ini akan membahas bagaimana fungsi dari mode ‘Proxy-ARP’ jika diimplementasikan di jaringan.

Penggunaan mode ‘Proxy-ARP’ ini biasanya digunakan ketika kita mempunyai sebuah jaringan dimana dial-in client (ppp, pppoe, pptp, dll) menggunakan IP Address dengan range yang sama dengan jaringan lokal (LAN). Pada dasarnya ketika terdapat konfigurasi IP Address dengan subnet yang sama pada lebih dari satu interface router, maka hal ini akan membuat tabel routing tidak berjalan dengan baik. Efeknya antara dial-in client dan client pada jaringan lokal tidak bisa komunikasi.

Pada kondisi inilah mode Proxy-ARP bisa digunakan. Agar bisa saling komunikasi, mode ARP pada interface perlu diubah, yang defaultnya adalah ‘Enabled‘ menjadi ‘Proxy-ARP‘.

Konfigurasi ARP-Proxy

Kita hanya perlu mengubah pada interface ethernet dimana client jaringan local tersambung.

Selanjutnya untuk dial-in client (PPTP) terkoneksi biasa ke router. Setelah terkoneksi secara otomatis client tersebut akan mendapatkan alokasi IP Address dari koneksi PPTP.

Kemudian kita bisa melakukan test PING dari LAN ke VPN Client atau sebaliknya. Dengan konfigurasi ‘Proxy-ARP’ yang sudah kita lakukan diatas, maka antar client sudah bisa saling berkomunikasi.

Jika kita cek pada ARP-List di salah satu client pada jaringan LAN, maka akan muncul IP Address dari VPN Client dengan MAC-Address yang semuanya mengacu pada MAC-Address dari interface ethernet LAN Router.

*) Catatan:

Dengan topologi diatas, pastikan untuk alokasi IP Address benar-benar dialokasikan secara khusus. Misal range IP Address 192.168.88.2-192.168.88.50 untuk client LAN dan sisanya untuk VPN Client. Jika terdapat IP Address yang sama pada keduanya maka tentu komunikasi antar perangkat tersebut tetap tidak bisa dilakukan (semacam terjadi IP Conflict).

Sumber:

• http://www.mikrotik.co.id

The post Implementasi Proxy-ARP di Jaringan appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.

Port Forwarding pada Modem GPON Indihome

Mungkin banyak pertanyaan diantara kita pengguna jaringan ketika menggunakan layanan internet dari indihome, ketika akan melakukan koneksi VPN ke MikroTik. Karena secara topologi IP Public dari Internet Provider terpasang di perangkat modem GPON atau istilah lain pada ONT.

Untuk service yang terdahulu mungkin perangkat modem bisa disetting bridging, dan untuk VPN kita bisa langsung dil-up IP Public yang terpasang di MikroTik. Namun kebanyakan dengan teknologi GPON perangkat ONT tidak bisa di bridging karena adanya service-service yang mungkin dengan adanya bridging tidak akan berjalan. Lalu, bagaimana solusinya?

Dengan kasus seperti itu kita bisa memanfaatkan fitur port forwarding pada perangkat ONT, kemudian selanjutnya trafik untuk VPN Connection akan dibelokkan ke MikroTik

Untuk konfigurasi disisi ONT kita bisa setting pada menu ‘Forwarding Rules’, kemudian ditentukan service yang akan dilakukan redirect trafiknya. Disitu sudah ada opsi sendiri pada parameter ‘Application’. Misal, servicenya adalah VPN PPTP.

Pada parameter ‘Internal Host’ diisi dengan IP dari MikroTik-nya. Dengan demikian ketika ada koneksi VPN-PPTP (TCP 1723) yang masuk ke ONT Indihome nanti akan di-forward langsung ke Mikrotik.

Untuk sisi MikroTiknya sendiri cukup kita setting/aktifkan service VPN PPTP seperti pada umumnya.

Contoh konfigurasi VPN PPTP Server pada Mikrotik lebih detailnya bisa dilihat pada artikel sebelumnya disini.

Sumber:

• http://www.mikrotik,co.id

The post Port Forwarding pada Modem GPON Indihome appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.

[Local Proxy-ARP] – Mode ARP Baru di ROS v6.38

Sejak dirilisnya RouterOS versi 6.38 terdapat juga fitur baru yang ditambahkan di sistemnya. Salah satu contoh penambahan fitur ada di mode ARP. Sebelumnya pada mode ARP terdapat 4 mode yaitu Enabled (default), Disabled, Proxy-ARP dan Reply-Only. Namun sekarang dengan menggunakan RouterOS versi terbaru terdapat tambahan satu mode ‘Local Proxy-ARP’.

Lalu apa beda dari ARP-Proxy dan Local Proxy-ARP?

Secara fungsi tidak jauh berbeda diantara keduanya. Hanya saja Proxy-ARP digunakan untuk menghandle komunikasi perangkat yang tersambung di lebih dari satu interface router. Sedangkan Local Proxy-ARP hanya khusus pada satu interface router. Jadi fungsi dari Local Proxy-ARP lebih digunakan unuk satu segment jaringan lokal.

Seperti yang kita ketahui untuk komunikasi antar perangkat yang satu segment bisa dilakukan secara langsung dan hanya melewati proses layer2 atau dengan kata lain proses hanya sampai ke perangkat switch tanpa campur tangan dari fungsi router. Namun dengan diaktifkannya ‘Local Proxy-ARP’ di router maka komunikasi antar client tersebut juga akan melewati router.

Misal, terdapat subnet 192.168.88.0/24 pada sebuah jaringan. Akan tetapi antar perangkat pada subnet tersebut tidak dapat berkomunikasi secara langsung via Layer 2 (ARP tidak berjalan). Biasanya dalam sebuah kasus untuk keamanan seperti Port Protected atau Private VLAN.

Seperti contoh topologi diatas setiap PC tidak bisa berkomunikasi karena terdapat ‘ARP Filter’ di sisi Switch Manageable (Layer 2). Sehingga ARP List pada masing-masing perangkat tidak bisa di-update informasinya.

Dengan kasus tersebut bisa saja kita membuat antar client saling komunikasi tanpa mengubah konfigurasi yang ada di Switch Manageable. Caranya yaitu dengan mengubah ARP Mode dari interface routernya yang sebelumnya menggunakan ‘Enabled’ (Default) menjadi ‘Local Proxy-ARP’.

Dengan contoh topologi diatas, ketika PC1 (192.168.88.2) akan berkomunikasi dengan PC2 (192.168.88.98) maka proses update ARP akan di-handle oleh router. Jika kita lihat pada tabel ARP-List di masing-masing perangkat maka MAC-Address yang dipakai adalah MAC-Address dari routernya. Dengan kata lain ketika PC1 mengirim paket ke PC2 maka trafik akan menuju ke router terlebih dahulu baru di-redirect ke PC2.

Di samping contoh penerapan di atas, fungsi Local Proxy ARP juga dapat diaktifkan jika kita ingin melakukan manajemen traffic antar PC Client. Pada umumnya untuk komunikasi satu segment traffic nya tidak bisa di manajemen di perangkat router (Layer 3) karena trafik hanya melewati switch/bridge (layer 2). Namun dengan ‘Local Proxy-ARP’ trafik dari client masuk ke router terlebih dahulu, maka kita bisa juga melakukan manajemen traffic antar client langsung di sisi router.

Sebagai contoh misalnya PC1 (192.168.88.2) tidak diperbolehkan komunikasi dengan PC2 (192.168.88.98). Maka kita bisa melakukan filtering menggunakan menu IP Firewall filter.

Sumber:

• http://www.mikrotik.co.id

The post [Local Proxy-ARP] – Mode ARP Baru di ROS v6.38 appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.

Perubahan Konfigurasi Mode Switch

Mikrotik baru-baru ini mengeluarkan RouterOS versi Release Candidate yaitu versi 6.41rc44. Ada beberapa hal baru di versi tersebut yang mungkin akan diterapkan di versi RouterOS stable selanjutnya. Pengaturan Switch dengan menggunakan Master Port Interface sudah tidak ada lagi di versi tersebut. Kini konfigurasi yang menggunakan layer 2 disatukan pada menu Bridge. Sebelumnya kami pernah membahas mengenai perbedaan dari mode Bridge dan mode Switch pada artikel Perbedaan Bridge dan Switch.

Pada artikel sebelumnya, sudah dibahas mengenai perbedaan Bridge dan Switch yang sangat mendasar adalah jika Switch menggunakan Switch chip sehingga trafik yang dilewatkan tidak melalui Processor dan jika Bridge karena berbasis software trafik yang dilewatkan harus melewati CPU sehingga memungkinkan CPU load naik saat ada trafik lewat melalui bridge.

Di versi Release Candidate (rc) pada menu Bridge Port terdapat parameter baru yang di sebut “Hardware Offload”. Parameter tersebut yang akan membedakan trafik akan dilewatkan melalui Switch Chip atau melalui Processor.

Sebagai contoh, pada RouterBoard dengan switch chip type ICPlus175D maka hw-offload tidak dapat berjalan jika STP/RSTP pada bridge aktif, begitu seterusnya.

Sampai saat ini HW-Offload baru ada pada RoS versi RC, sedangkan pada versi stable release belum ada.

Sumber:

• http://www.mikrotik.co.id

The post Perubahan Konfigurasi Mode Switch appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.

Hotspot HTTPS Login

Pada Mikrotik terdapat sebuah fitur dimana kita bisa menggunakan sebuah captive portal (halaman login) sebagai metode authentikasi user yang ingin terkoneksi ke jaringan. Fitur ini lebih dikenal dengan istilah ‘Hotspot’. Sebagian besar tempat untuk public area, seperti cafe, hotel, bandara, stasiun kereta api, perpustakaan umum banyak menggunakan fitur hotspot ini.

Dengan hotspot nantinya user akan ditampilkan secara otomatis sebuah halaman login (tergantung dari fitur perangkat dari user) dan disitu diharuskan untuk mengisikan sebuah username dan password yang akan digunakan sebagai authentikasi.

Jika halaman login dari hotspot tidak tertampil maka kita diharuskan untuk melakukan akses website terlebih dahulu kemudian akan di-redirect ke halaman login. Secara default kita harus melakukan akses website dengan port 80 (HTTP). Namun ketika kita melakukan akses website dengan port 443 (HTTPS) maka halaman login tidak tertampil.

Lalu dengan kondisi tersebut bagaimana supaya halaman login hotspot dapat tampil walaupun akses pertama kali menggunakan website HTTPS?

Pada fitur hotspot kita bisa menggunakan halaman login dengan format HTTPS atau biasa disebut sebagai ‘Hotspot HTTPS’. Terdapat perbedaan dengan hotspot yang biasa, dengan Hotpsot HTTPS kita diharuskan mengaktifkan port 443 pada MikroTik RouterOS dan menambahkan sertifikat SSL/TLS.

Konfigurasi

Secara umum untuk konfigurasi yang akan dilakukan ada 2, yaitu kita harus menambahkan SSL Certificate ke MikroTik dan selanjutnya kita setting halaman login hotspot dengan menggunakan SSL Certificate tersebut. Untuk SSL Certificate sendiri bisa dibuat secara manual menggunakan fitur di MikroTik atau menggunakan aplikasi OpenSSL.

Jika menggunakan fitur di MikroTik bisa menggunakan script CLI berikut:

Pertama, kita buat CA (Certificate Authority) karena disini kita menggunakan Self-Sifned Certificate.

/certificate
add name=ca-template common-name=myCa key-usage=key-cert-sign,crl-sign
sign ca-template name=myCa

Kedua, kita buat sertifikat untuk hotspot.

/certificate
add name=Hotspot-template common-name=Hotspot
sign Hotspot-template ca=myCa name=Hotspot

Ketiga, mengubah sertifikat menjadi Trusted-Certificate.

/certificate
set [find name=Hotspot] trusted=yes

Hotspot HTTPs Login

*) Catatan:

Jika menggunakan sertifikat dengan Self-Signed Certificate maka ketika kita mencoba akses website HTTPS akan muncul peringatan ‘SSL Redirect Warning’ pada browser. Hal ini disebabkan Certificate Authority (CA) yang kita gunakan tidak dikenal di public karena memang kita buat sendiri menggunakan aplikasi OpenSSL dan fitur Certificate MikroTik.

Untuk menghindari warning tersebut maka kita harus menggunakan SSL Certificate dengan Trusted Certificate Authority, seperti RapidSSL, ComodoSSL, Symantec, ThawteSSL, GeoTrust, dll. 

Sumber:

• http://www.mikrotik.co.id

The post Hotspot HTTPS Login appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.

Load Balance pada PPP & LTE Interface

Biasanya koneksi internet yang sering kita temukan adalah menggunakan service dial-up dengan PPP interface dan juga LTE interface. Untuk service dial-up ini koneksi internet melalui perantara perangkat modem. Di beberapa produk MikroTik terdapat sebuah port USB yang mana kita bisa menghubungkan dengan USB Modem sebagai sumber internet.

Ketika kita mempunyai lebih dari satu koneksi modem pada MikroTik lalu bagaimana cara melakukan management trafiknya menggunakan load-balance? Sebenarnya konfigurasi load-balance tidak ada perbedaan ketika menggunakan koneksi dengan sumber internet dari modem atau jaringan kabel. Hanya saja di beberapa koneksi modem akan membuat interface baru secara dinamis, juga DHCP Client dan Default-gateway. Selain itu khusus untuk LTE interface, kita tidak bisa melakukan modifikasi dari rule dinamis tersebut.

Sebagai solusi kita bisa menghapus rule dinamis (DHCP Client & Default-Gateway) kemudian membuatnya lagi secara manual. Dengan ini kita juga bisa melakukan modifikasi pada rule tersebut sesuai kebutuhan, misal pada default-gateway nanti kita bisa menambahkan ‘Routing Mark’ dan juga pengaturan ‘Distance’.

Konfigurasi

Langkah awal kita akan mengaktfikan ‘DHCP-Client’ pada interface LTE yang muncul. Pada parameter ‘Add Default Route‘ kita pilih opsi ‘No‘. Karena nantinya kita akan membuat ‘Default route’ secara manual.

Namun sebelum menambahkan ‘Default Route’, kita akan konfigurasi terlebih dahulu pada firewall mangle. Karena metode load balance yang digunakan adalah PCC, maka kita setting untuk ‘Mark Connection’ dan ‘Mark Routing’.

Pertama, kita tambahkan dulu network jaringan local pada Address list. Ini nanti digunakan untuk melakukan bypass trafik lokal di pengaturan mangle supaya tidak ikut masuk kedalam load balance.

Selanjutnya pengaturan pada firewall mangle bisa dikonfigurasi seperti script CLI berikut:

Setelah pengaturan mangle selesai kita akan konfigurasi pada menu IP Routes untuk mengatur jalur ke internet dan mengaktifkan fungsi load-balance. Nanti kita akan menambahkan beberapa ‘Default-Route’ yang mana masing-masing ada yang menggunakan parameter ‘Routing Mark’ dan disetting nilai ‘Distance’ yang berbeda-beda.

Tujuan dengan konfigurasi diatas adalah selain kita setting load-balance kita juga mendapatkan fungsi fail-over. Ketika salah satu gateway putus maka trafik dari semua ‘Routing Mark’ tetap akan aktif.

Sumber:

• http://www.mikrotik.co.id

The post Load Balance pada PPP & LTE Interface appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.

QoS di Mikrobits Switch PICO

Salah satu nilai lebih dari MikroBits PICO diantaranya memiliki fitur QOS dimana digunakan untuk melakukan management trafik dan paket data secara efisien. Parameter QOS pada produk ini memang tidak sekompleks Queue MikrotikOS namun dapat digunakan untuk kebutuhan QOS pada jaringan yang masih satu segmen.

Untuk fitur QoS yang ada cukup sederhana untuk diimplemntasikan pada jaringan lokal yang terhubung dalam komunikasi layer 2. Ada beberapa menu pada setting QOS di MikroBits PICO, diantaranya  yaitu QOS Mode, Port 802.1p IP/DS based, TCP/UDP Port based.

1. QOS Mode 

   Digunakan untuk menentukan metode QOS yang akan dijalankan oleh perangkat. Ada 3 mode disini, pertama FIFO (First-In-First-Out) dimana paket yang pertama masuk akan menjadi paket pertama yang keluar, menggunakan sistem antrian standart. Kedua, All-High-before-Low dimana paket dengan prioritas tingga akan diutamakan. Dan terakhir, Weight-Round-Robin atau paket dilewatkan secara random berdasarkan parameter weight.
2. Port, 802.1p ,IP/DS based 

   Dengan mengaktifkan fitur ini, maka QOS bisa dijalankan berdasarkan Port ethernet, 802.1P (QOS pada level mac-address), atau IP/DS (IP yang memiliki content (28,48,68,88,B8,C0,E0) akan diberikan prioritas lebih tinggi.
3. TCP/UDP Port Based 

   QOS yang dijalankan berbasiskan protokol TCP/UDP. Di menu ini, admin juga bisa mendefinisikan protokol dan port sesuai kebutuhan.

Sumber:

• http://www.mikrotik.co.id

The post QoS di Mikrobits Switch PICO appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.

Fitur Isolation pada Cloud Router Switch (CRS) Series

Selain produk Router, MikroTik saat ini mulai banyak mengeluarkan produk switch manageable. Perangkat switch manageable pertama yang dikeluarkan adalah RB250/260 series menggunakan Switch OS (SwOS) yang simple namun memiliki banyak fitur. Kemudian muncul produk Cloud Router Switch (CRS) series yang dibekali dengan RouterOS. Selain dapat mengatur komunikasi Layer2 CRS juga dapat digunakan untuk menghandle trafik Layer3 (Routing).

Seperti pada perangkat manageable switch pada umumnya, produk CRS series juga memiliki fitur isolation antara lain Port level isolation dan protocol level isolation. Pada artikel kali ini akan dibahas mengenai fitur isolation pada perangkat switch Mikrotik yang menggunakan RouterOS yakni pada perangkat CRS series.

Port Level Isolation 

Sama dengan fitur Port Isolation pada SwOS, fitur Port Level Isolation pada CRS dapat digunakan untuk membatasi komunikasi antar host berdasarkan interface / port. Dalam pembuatan rule Port Isolation masing-masing port dapat berdiri sendiri atau dapat juga beberapa port disusun menjadi sebuah group (community).

Fitur ini biasa diterapkan pada jaringan satu subnet, namun dengan penerapan kebijakan akses setiap Client yang berbeda. Agar lebih jelas kita akan coba dalam sebuah contoh kasus di bawah ini.

Topologi 

Terdapat sebuah jaringan dengan topologi seperti gambar di bawah ini, dimana semua Client menggunakan alamat IP subnet yang sama alokasi dari Router.

Dari topologi diatas akan diterapkan pengaturan hak akses yang berbeda untuk tiap Client.

• Client A hanya boleh berkomunikasi ke gateway atau internet.
• Client B dan C bisa akses internet, file sharing antar keduanya namun tidak diperbolehkan akses ke port lain termasuk ke Client A

Konfigurasi yang harus dilakukan pertama adalah memfungsikan CRS sebagai Switch dengan mengkonfigurasi master-port pada tiap ethernet yang digunakan, dalam Topologi diatas master-port=ether2.

Selanjutnya, untuk implementasi Port Level Isolation sesuai konsep sebelumnya, terlebih dahulu tentukan Isolation-Profile pada tiap port ethernet, bisa dikonfigurasi pada menu Switch -> Port.

Klik 2x pada port yang ingin diubah, kemudian isikan Isolation Profile sesuai kebutuhan.

Isolation Profile merupakan angka identifier untuk port group, dapat didefinisikan dengan angka 0 s/d 30. Secara default, sudah terdapat 2 Isolation Profile (predefined), yakni Isolation-Profile=0 dan 1. Keduanya bisa kita gunakan, sebagai contoh untuk port Uplink Ether2 Isolation-profile=0.

Isolation-Profile=1 kita terapkan pada port yang akan diisolasi, sebagai contoh pada kasus ini pada ether7, dimana nantinya Client hanya bisa berkomunikasi dengan internet/uplink.

Jika ingin membuat port group (community) yang lebih banyak kita bisa definisikan secara manual Isolation-Profile = 2 s/d 30. Seperti contoh pada topologi dalam kasus ini terdapat community Div.Admin, maka kita dapat definisikan Isolation-Profile=2 pada port ether5 dan ether6.

Setelah Isolation-Profile pada tiap port didefinisikan, langkah selanjutnya adalah membuat rule Port Isolation untuk memberikan batasan hak akses berdasarkan Isolation-Profile sebelumnya.

Untuk Isolation-Profile=1 (client A) hanya diperbolehkan untuk akses internet saja, tidak bisa akses ke Client lain, maka rule nya sebagi berikut

Untuk Isolation-Profile=2 (Client B dan C) bisa akses internet, file sharing antar community member, namun tidak diperbolehkan akses ke port lain termasuk ke Client A

Jika dalam satu Community bisa saling berkomunikasi maka tidak menutup kemungkinan ada DHCP Rogue. untuk menanggulangi hal tersebut di CRS series juga ada Fitur Protocol level Isolation.

Topologi 2

Dari Topologi ke-2 berarti kita tambahkan interface ether4 sebagai salah satu anggota dari community div.Admin. Cara nya sama dengan sebelumnya yaitu mengubah parameter “isolation Profile override” di interface ether4 menjadi profile 2 dan menambahkan interface ether 4 pada switch port isolation profile 2.

Untuk mencegah agar Client di dalam sebuah community hanya akan meminta IP dari DHCP server bukan DHCP Rogue, maka kita buat rule baru di Port isolation dengan memanfaatkan protocol type.

Rule memiliki nomor sehingga dibaca berurutan agar protocol isolation dapat berjalan maka kita drag n drop saja rule yang baru di buat supaya berada diatas rule port isolation untuk Community.

Jadi dengan konfigurasi tersebut kita dapat mencegah Client meminta service IP, DNS, gateway dll hanya ke interface uplink tidak ke interface lain di dalam sebuah Community.

Catatan :

Dalam satu perangkat CRS series sebaiknya hanya menggunakan 1 Masterport saja.

Dalam pembuatan Community, interface yang digunakan harus berurutan tidak boleh acak.

Sumber:

• http://www.mikrotik.co.id

The post Fitur Isolation pada Cloud Router Switch (CRS) Series appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.

Implementasi VLAN dengan MikroBits PICO

Sebagai sebuah produk Switch Manageable yang lengkap, MikroBits PICO juga dilengkapi fitur untuk dapat me-manage distribusi VLAN. Ada 2 metode VLAN yang dapat diterapkan pada MiroBits PICO yaitu Port Based VLAN dan Tag Based VLAN.

Untuk artikel kali ini kita akan mencoba melakukan konfigurasi VLAN pada MikroBits PICO dengan metode Tag Based VLAN.

Topologi

Dari gambar topologi diatas pada ether10 Router Utama terdapat 2 buah Vlan, yakni Vlan1 (Vlan-Id=50) dan Vlan2 (Vlan-Id=150). Kedua informasi VLAN ini akan diteruskan ke MikroBits Switch Pico dengan menghubungkan Ether10 Router ke ether9 Switch.

Pada MikroBits Pico masing-masing Vlan akan didistribusikan ke interface yang berbeda. Vlan1 (Vlan-Id=50) akan didistribusikan ke ether3 dan Vlan2 (Vlan-Id=150) akan diakses melalui ether2.

Konfigurasi Tag Based VLAN di MikroBits PICO

Remote MikroBits Pico dengan menggunakan web browser pada PC, jika lupa cara melakukan remote, silakan lihat kembali artikel Review MikroBits Pico. Pengaturan VLAN di MikroBits PICO dapat dilakukan pada menu VLAN Settings.

Secara default untuk mode VLAN di mikroBits PICO menggunakan Port Based. Untuk implementasi Tag Based VLAN kita bisa mengganti pada sub-menu VLAN Mode dengan klik tombol Change VLAN Mode. Secara otomatis VLAN Mode akan berubah ke mode Tag Based VLAN.

Konfigurasi pertama yang dilakukan adalah menentukan ‘Tag Mode‘ pada interface MikroBits PICO yang akan digunakan untuk distribusi VLAN. Seperti topologi diatas kita akan menggunakan Port 9 sebagai Tag Port (Trunk) ke Router sedangkan Port2 dan Port3 sebagai UnTag-Port (Access) untuk distribusi ke arah Client.

Untuk kebutuhan tersebut maka pada ‘Tag Mode‘ di MikroBits PICO, opsi pada Port 9 kita pilih ‘Add Tag‘, sedangkan Port2 dan Port3 kita pilih ‘Remove Tag‘. Jika sudah klik tombol ‘Update’.

Setelah kita konfigurasi di sub-menu VLAN Mode, langkah selanjutnya kita akan konfigurasi di sub-menu VLAN Member. Disini kita akan lebih banyak mengatur VID (VLAN-ID) untuk melakukan distribusi yang sesuai dengan pengaturan VLAN di Router. Terlebih dahulu kita definisikan VLAN-ID yang akan dilewatkan pada MikroBits Pico.

Seperti pada gambar topologi ada 2 VLAN-ID yang akan di teruskan yaitu VLAN 150 dan VLAN 50. Pada parameter ‘VID‘ kita tambahkan satu per satu kedua VLAN-ID tersebut. Setelah menambahkan masing-masing VLAN-ID kita juga harus melakukan konfigurasi ‘VLAN Member‘.

Vlan Member untuk VID 50

VLAN Member untuk VID 150

Dengan konfigurasi tersebut, semua perangkat yang terkoneksi ke Ether2 dan ether3 MikroBtis Pico berada pada subnet / segment IP dan juga service yang berbeda. Komunikasi antar keduanya dapat dicapai dengan Routing Layer 3.

Sumber:

• http://www.mikrotik.co.id

The post Implementasi VLAN dengan MikroBits PICO appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.

IPsec Tunnel dengan IKEv2

Salah satu service VPN yang sering digunakan adalah IPSec. Dengan menggunakan IPsec Tunnel kita bisa mengamankan koneksi dari jaringan kita melalui internet dengan metode keamanan yang fleksibel. Dalam IPSec kita mengenal istilah Internet Key Exchange (IKE) yang mana merupakan sebuah protokol pada IPSec yang mempunyai peran cukup penting.

Dengan IKE ini koneksi/link dari IPSec Tunnel (dari sisi Initiator dan Responder) terbentuk. Secara umum IKE ini memiliki fungsi sebagai mekanisme ‘Key Exchange’ dimana sebelum terbentuk sebuah IPSec tunnel maka akan dilakukan peering dengan melakukan negosiasi metode keamanan yang digunakan di sisi initiator maupun responder.

Untuk menjalankan fungsinya IKE ini menggunakan protokol UDP dan Port 500. Dan saat ini telah dikembangkan sebuah IKE versi baru yaitu IKE2. Ada beberapa perbedaan antara IKEv1 dan IKEv2 ini, diantaranya adalah sebagai berikut:

Lalu, bagaimana IKEv2 pada MikroTik? Di MikroTik sendiri sudah ditambahkan IKEv2 pada fitur IPSec mulai versi RouterOS v6.38.1. Jadi jika kita ingin mengggunakan IKEv2 pada IPSec, maka kita harus upgrade router kita minimal ke versi tersebut.

Contoh Konfigurasi

Selanjutnya kita akan mencoba melakukan konfigurasi IPSec Tunnel di MikroTik menggunakan IKEv2. Untuk topologinya nanti ada sebuah jaringan LAN dibawah router MikroTik dan ada beberapa perangkat end-user di jaringan internet yang terkoneksi ke jaringan LAN menggunakan IPSec Tunnel.

Dengan kebutuhan diatas kita akan konfigurasi terlebih dahulu pada sisi router MikroTik dan mengaktifkan IPSec + IKE2. Kemudian kita menggunakan Digital Signature (RSA-Sig) dengan sertifikat SSL/TLS untuk authentikasinya. Untuk sertifikatnya sendiri bisa kita buat secara langsung pada router MikroTik dengan fitur ‘Certificates’. Pembuatan sertifikat bisa

Dengan script diatas akan membuat 3 file di menu ‘certificate’ yaitu CA, Server1, Client1.

Selanjutnya kita akan export file dari menu ‘Certficates’ yaitu CA dan Client1 ke masing-masing perangkat end-user. Ketika di-export nanti akan terdapat 4 file yaitu CA.crt, CA.key, Client1.crt, Client1.key.

Kemudian sebelum ditambahkan ke masing-masing perangkat end-user kita akan ‘convert’ 3 file yaitu CA.crt, Client1.crt, Client1.key menjadi sebuah file dengan format pkcs12. Hal ini dilakukan karena perangkat client smartphone, PC/Laptop dengan OS Windows tidak bisa menambahkan sertifikat secara terpisah. Adapun cara ‘convert’ file tersebut bisa dilakukan dengan aplikasi OpenSSL. Berikut scriptnya:

Dengan script diatas nanti akan menghasilkan sebuah file dengan nama FileKonvert.pfx

Konfigurasi Router

Kita akan membuat terlebih dahulu sebuah ‘Pool IP’ yang nantinya digunakan untuk alokasi IP Address di sisi End-User ketika sudah terkoneksi ke IPSec Tunnel.

Kemudian kita setting di menu IPSec. Masuk ke menu IP –> IPSec dan setting pada tab ‘Mode Configs’. Berikut parameter yang perlu dikonfigurasi.

Selanjutnya kita juga konfigurasi di Tab ‘Peers’. Disini nanti kita akan mengaktifkan IPSec dengan menggunakan IKE2. Selain itu ada beberapa parameter pendukung yang juga kita setting. Berikut contoh konfigurasinya:

Dan sampai sini langkah konfigurasi di sisi router.

Konfigurasi Perangkat END-USER

Langkah selanjutnya kita harus konfigurasi juga disisi perangkat end-user. Untuk konfigurasi di sisi end user yang paling penting adalah menambahkan sertifikat yang sudah kita buat sebelumnya ke masing-masing perangkat dengan menambahkan FileKonvert.pfx

Windows OS

Untuk penambahan sertifikat pada WindowsOS adalah seperti berikut:

Kita buka pada Microsoft Management Console (MMC). Selanjutnya tekan ‘Ctrl+M’ dan tambahkan ‘Certificates’ yang terdapat pada list ‘Available Snap-Ins’ ke ‘Selected Snap-Ins’. Pilih ‘Computer account’ dan selanjutnya pilih opsi ‘Local Computer’. Hasilnya akan seperti tampilan dibawah ini.

Android OS

Untuk PC/Laptop sudah kita konfigurasi seperti diatas. Selanjutnya kita akan konfigurasi client yang menggunakan perangkat Smartphone Android. Disini kita juga harus menambhakan sertifikat melalui FileKonvert.pfx yang nantinya secara otomatis akan di ‘Extract’ dan terinstall di system Android.

Supaya dapat terkoneksi IPSec Tunnel dengan IKE2 maka kita akan meng-install aplikasi android yaitu StrongSwan. Kemudian kita akan setting pada StrongSwan seperti berikut:

Test Koneksi

Setelah selesai konfigurasi seperti diatas kita akan test koneksinya, apakah bisa tersambung dengan baik atau tidak. Jika tersambung maka di sis Router MikroTik pada menu IP Sec akan muncul ‘Policy’ secara dinamis. dan pada Tab ‘Installed SAs’ juga terdapat informasi enkripsi yang digunakan.

Sumber:

• http://www.mikrotik.co.id

The post IPsec Tunnel dengan IKEv2 appeared first on Cara PDKT, Cara menjadi pria idaman, Cara memikat hati wanita.