42450564 all about mikrotik

Nubielab.com [email protected]

All About Mikrotik

Routing 2 ISP di mikrotik

Ada kalanya kita bingung untuk melakukan routing 2 isp di mikrotik,namun sering kita

jumpai juga banyak orang yang menggunakan teori load balancing untuk mengakalinya.

Namun kali ini kita tidak akan menggunakan metode load balancing,dikarenakan kita tidak

akan bisa memindahkan routing dan NAT klient kita jikalau memakai metode load

balancing. Dengan metode static routing ini kita bisa jauh lebih leluasa dalam mengatur

setiap klient. Artikel ini cocok untuk di implementasikan pada RT/RW net berbasis

mikrotik

berikut ini tutorial routing nya

mikrotik mempunyai 2 LAN

1.public

2.local

kita mulai dengan create ip address

di sini kita punya 2 group klient

yang pertama kita kasih blok ip 192.168.1.0/24

yang kedua 10.100.100.0/24

untuk IP isp nya adalah

203.89.31.50/29 isp 1

202.10.10.0/29 isp 2

Dalam hal ini kita perlu menentukan isp mana yg kita set sebagai main routing

untuk saat ini kita akan pilih isp 1

(remo@nubielab) ip address add address 10.100.100.1/24 interface local

(remo@nubielab) ip address add address 192.168.1.1/24 interface=local

(remo@nubielab) ip address add address 203.89.31.52/29 interface=public

(remo@nubielab) ip address add address 202.10.10.2/29 interface=public

langkah selanjutnya adalah membuat table mark routing untuk isp 2

(remo@nubielab)ip firewall mangle>add chain=forward action=mark-routing new-

routing-mark=”isp2? passtrhough=yes

untuk isp1 tidak perlu dibuatkan routing mark dikarenakan sudah otomatis menjadi main

routing

langkah berikutnya adalah membuat gateway untuk isp1 dan isp 2

(remo@nubielab)ip route>add destination-address=0.0.0.0/0 gateway=203.89.31.51

(remo@nubielab)ip route>add destination-address=0.0.0.0/0 gateway=202.10.10.1

routing-mark=isp2

berikutnya kita akan masuk ke tahap routing dan NAT

dalam hal ini blok klient 192.168.1.0/24 akan kita NAT ke isp1

blok ip 10.100.100.0/24 akan kita NAT ke isp2

(remo@nubielab)ip route rule>add src-address=192.168.1.0/24 action=lookup table=main

(remo@nubielab)ip route rule>add src-address=10.100.100.0/24 action-lookup table=isp2

selanjutnya proses NAT yang menjadi pasangan proses rule tersebut diatas

(remo@nubielab)ip firewall nat>add chain=srcnat src-address=192.168.1.0/24

action=src-nat to-address=203.89.31.52 to-ports=0-65535

(remo@nubielab)ip firewall nat>add chain=srcnat src-address=10.100.100.0/24

action=src-nat to-address=202.10.100.2 to-ports=0-65535

langkah terakhir adalah set DNS

masukan dns yg anda dapat dari kedua isp tersebut

(remo@nubielab) > ip dns print

primary-dns: 203.89.24.x


secondary-dns: 202.134.0.155

allow-remote-requests: yes

cache-size: 4096KiB

cache-max-ttl: 1w

cache-used: 90KiB

ROUTING STATIK DAN DINAMIK PADA MIKROTIK OS

Proses Routing adalah sebuah proses agar router tahu bagaimana dan kemana sebuah paket

harus diteruskan. Router mikrotik merupakan salah satu router yang cukup handal dalam

merouting jaringan.

Terdapat banyak fungsi/konfigurasi diantaranya : firewall, nat, dhcp, dll.

Pastikan di dalam router terdapat minimal 2 Lan Card (1 Local dan 1 Global )

Langkah-langkah sederhana:

1. Tentukan IP local dan IP public dari ISP.

contoh : IP Local 192.168.1.1/24

IP Global 203.130.111.58/29

2. Configurasi IP address ( Misal nama Mikrotik Router yaitu “Heri” )

[remo@nubielab] ip address add address=192.168.1.1/24 interface=ether1 --> local

[remo@nubielab] ip address add address=203.130.111.58/29 interface=ether2 --> global

Untuk checking nya :

[remo@nubielab] ip address print

3. Configurasi Gateway :

[remo@nubielab] ip route add gateway=203.130.111.57

note: sesuaikan Gateway yang dipakai.

4. Configurasi DNS

[remo@nubielab] ip dns set primary-dns=203.130.208.18 allow-remote-requests=yes

[remo@nubielab] ip dns set secondary-dns=202.134.0.155 allow-remote-requests=yes

note: sesuaikan dengan dns ISP yang di pakai.

5. Setelah Configurasi di atas untuk checking apakah sudah tekoneksi dengan internet yaitu

dengan cara:

terminal > ping www.yahoo.com

6. Setelah bisa ping yahoo, kemudian kita konfigurasi sebagai masquerade dengan tujuan

semua komputer client yang terhubung ke router bisa internet.

[remo@nubielab] ip firewall nat add chain=srcnat action=masquerade out-

interface=ether1

7. Setelah itu configurasi gateway dan dns client ke 192.168.1.1 lalu di coba untuk

berselancar.

DHCP (Dynamic Configuration Protokol)

Configurasi untuk DHCP:

1. ip pool add name=dhcp-pool ranges=192.168.1.100-192.168.1.254

2. ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.1 dns-

server=192.168.1.1

3. ip dhcp-server add name=DHCP_LAN disabled=no interface=ether1 address-pool=dhcp-

pool

Graphing

1. tool graphing set store-every=5min

2. tool graphing interface add-interface=all store-on-disk=yes

Untuk melihat graph penggunaan internet Local maupun Global dengan cara

http://192.168.1.1/graphs

Routing dapat dikelompokkan menjadi 2 kelompok, yaitu:

1. Static Routing – Router meneruskan paket dari sebuah network ke network yang lainnya

berdasarkan rute (catatan: seperti rute pada bis kota) yang ditentukan oleh administrator.

Rute pada static routing tidak berubah, kecuali jika diubah secara manual oleh

administrator.


2. Dynamic Routing – Router mempelajari sendiri Rute yang terbaik yang akan

ditempuhnya untuk meneruskan paket dari sebuah network ke network lainnya.

Administrator tidak menentukan rute yang harus ditempuh oleh paket-paket tersebut.

Administrator hanya menentukan bagaimana cara router mempelajari paket, dan kemudian

router mempelajarinya sendiri. Rute pada dynamic routing berubah, sesuai dengan pelajaran

yang didapatkan oleh router.

Static Routing dapat dilakukan dengan memasukkan baris ip route pada mode konfigurasi

global. Adapun format penulisan baris tersebut adalah:

ip route network [mask] {alamat | interface }

dimana:

• network adalah network tujuan

• mask adalah subnet mask

• alamat adalah IP address ke mana network akan dilewatkan

• interface adalah nama interface yang digunakan untuk melewatkan paket yang ditujukan

Gambar di atas memperlihatkan sebuah LAN yang terhubung ke WAN melalui 2 buah

router, yaitu router A dan router B.

Agar LAN tersebut bisa dihubungi dari WAN, maka router A perlu diberikan static routing

dengan baris perintah seperti berikut:

RouterA(config)# ip route 172.16.10.0 255.255.255.0 172.16.158.1

Dan agar router B bisa meneruskan paket-paket yang ditujukan ke WAN, maka router B

perlu dikonfigurasi dengan static routing berikut:

RouterB(config)# ip route 0.0.0.0 0.0.0.0 172.16.158.2

Routing Dinamik adalah jenis routing yang bisa berubah sesuai dengan kondisi yang

diinginkan dengan parameter tertentu sesuai dengan protokolnya. Routing Dinamik

diterapkan pada PC yang berfungsi sebagai router dan dibutuhkan router lain yang sama-

sama menerapkan sistem routing dinamik, jadi tidak bisa berdiri sendiri seperti halnya

Routing statik.

Routing Dinamik menentukan gateway untuk network destination berdasarkan parameter

yang didapat dari router lainnya melalui Protokol Multicast, seperti metrik, cost dsb.

Protocol RIP dan OSPF menggunakan multicast untuk pertukaran informasi antar router,

sedangkan protokol BGP menggunakan koneksi TCP untuk pertukaran routingnya.

Protokol Multicast adalah sebuah pola pengiriman data di mana data dari pengirim (sender)

akan diterima secara bersamaan oleh beberapa penerima (recipient). Salah satu keuntungan

dari sistem multicast adalah mengurangi beban kerja jaringan (network load). Bayangkan

misalnya ketika sebuah rekaman video sebesar 600MB disebarkan ke 10 pengguna, dengan

Protokol Unicast, akan ada trafik sebesar 10 x 600 MB, sedangkan dengan multicast, trafik

hanya sebesar data asli, yaitu 600MB (tentu saja ditambah overhead yang tidak signifikan

besarnya). Perlu diperhatikan bahwa pengiritan trafik ini hanya mungkin terjadi apabila

setiap client memperoleh data dalam rentang waktu yang sama. Artinya protokol ini terasa

keuntungannya dalam aplikasi semacam video/audio broadcast. Dalam IPv4 protokol

multicast masih jarang digunakan sampai ke end-user, tetapi di generasi selanjutnya IPv6

protokol multicast dikembangkan lebih untuk kepentingan audio dan video.

Dalam IPv4 IP address multicast adalah network 224.0.0.0 dengan netmask 255.0.0.0

Selain protokol multicast dikenal juga Protokol Unicast, Protokol Broadcast, dan Protokol

Anycast.

OSPF (Open Shortest Path First) adalah salah satu protokol pada keluarga IP, untuk routing

dinamik. OSPF dikembangkan karena kebutuhan pada network yang besar dan heterogen.

Beberapa keuntungan dari OSPF adalah konvergensi yang cepat, yang pada gilirannya

mencegah routing loop dan menghasilkan network yang stabil.

Protokol ini dikembangkan oleh IETF, dan diatur oleh RFC 2328

Mikrotik Sebagai NAT

Network Address Translation atau yang lebih biasa disebut dengan NAT adalah suatu

metode untuk menghubungkan lebih dari satu komputer ke jaringan internet dengan

menggunakan satu alamat IP. Banyaknya penggunaan metode ini disebabkan karena


ketersediaan alamat IP yang terbatas, kebutuhan akan keamanan (security), dan kemudahan

serta fleksibilitas dalam administrasi jaringan.

Saat ini, protokol IP yang banyak digunakan adalah IP version 4 (IPv4). Dengan panjang

alamat 4 bytes berarti terdapat 2 pangkat 32 = 4.294.967.296 alamat IP yang tersedia.

Jumlah ini secara teoretis adalah jumlah komputer yang dapat langsung koneksi ke internet.

Karena keterbatasan inilah sebagian besar ISP (Internet Service Provider) hanya akan

mengalokasikan satu alamat untuk satu user dan alamat ini bersifat dinamik, dalam arti

alamat IP yang diberikan akan berbeda setiap kali user melakukan koneksi ke internet. Hal

ini akan menyulitkan untuk bisnis golongan menengah ke bawah. Di satu sisi mereka

membutuhkan banyak komputer yang terkoneksi ke internet, akan tetapi di sisi lain hanya

tersedia satu alamat IP yang berarti hanya ada satu komputer yang bisa terkoneksi ke

internet. Hal ini bisa diatasi dengan metode NAT. Dengan NAT gateway yang dijalankan di

salah satu komputer, satu alamat IP tersebut dapat dishare dengan beberapa komputer yang

lain dan mereka bisa melakukan koneksi ke internet secara bersamaan

Misal kita ingin menyembunyikan jaringan local/LAN 192.168.0.0/24 dibelakang satu IP

address 202.51.192.42 yang diberikan oleh ISP, yang kita gunakan adalah fitur Mikrotik

source network address translation (masquerading) . Masquerading akan merubah paket-

paket data IP address asal dan port dari network 192.168.0.0/24 ke 202.51.192.42 untuk

selanjutnya diteruskan ke jaringan internet global.

Untuk menggunakan masquerading, rule source NAT dengan action 'masquerade' harus

ditambahkan pada konfigurasi firewall:

[remo@nubielab] > /ip firewall nat add chain=srcnat action=masquerade out-

interface=public

Mikrotik Hotspot dan User Manager

beberapa langkah untuk membangun sebuah system hotspot dan user manager

1. rename interface eth :LAN, LOCAL, INT

[remo@nubielab] > interface print

Flags: X – disabled, D – dynamic, R – running

# NAME TYPE RX-RATE TX-RATE MTU

0 R lan ether 0 0 1500

1 R int ether 0 0 1500

2 R local ether 0 0 1500

[remo@nubielab] >

2. setting ip address ketiga interface

[remo@nubielab] > ip address print

Flags: X – disabled, I – invalid, D – dynamic

# ADDRESS NETWORK BROADCAST INTERFACE

0 10.8.8.45/24 10.8.8.0 10.8.8.255 local

1 192.168.10.1/24 192.168.10.0 192.168.10.255 lan

2 202.47.77.24x/28 202.47.77.240 202.47.77.255 int

[remo@nubielab] >

3. setting ip route / gateway

[remo@nubielab] > ip route print

Flags: X – disabled, A – active, D – dynamic, C – connect, S – static, r – rip, b – bgp, o –

ospf,

B – blackhole, U – unreachable, P – prohibit

# DST-ADDRESS PREF-SRC G GATEWAY DISTANCE INTERFACE

0 A S 0.0.0.0/0 r 10.8.8.1 1 local

1 A S 0.0.0.0/0 r 202.47.77.24x 1 int

2 ADC 10.8.8.0/24 10.8.8.45 0 local

3 ADC 192.168.10.0/24 192.168.10.1 0 lan

4 ADC 202.47.77.240/28 202.47.77.249 0 int

[remo@nubielab] >

4. setting dns

[remo@nubielab] > ip dns print

primary-dns: 202.47.78.8

secondary-dns: 202.47.78.9

allow-remote-requests: yes

cache-size: 2048KiB


cache-max-ttl: 1w

cache-used: 21KiB

[remo@nubielab] >

5. setting nat / masquerading

[remo@nubielab] > ip firewall nat print


0 chain=srcnat action=masquerade

1 chain=srcnat action=masquerade src-address=192.168.10.0/24

2 ;;; masquerade hotspot network

chain=srcnat action=masquerade src-address=192.168.10.0/24

[remo@nubielab] >

6. input address-list nice

7. marking-connection dan marking-routing

[remo@nubielab] > ip firewall mangle print


0 chain=output action=mark-connection new-connection-mark=mark-local-con

passthrough=yes dst-address-list=nice

1 chain=output action=mark-routing new-routing-mark=mark-routing-local

passthrough=yes connection-mark=mark-local-con

[remo@nubielab] >

8. marking gateway

9. test traceroute situs local dan international

10. setup hotspot system [ACTIVATE HOTSPOT SYSTEM]

11. activate RADIUS pada hotspot server profile [use radius = yes]

12. add Radius

services = hotspot

address = 202.47.77.24x [IP dimana radius / user-manager berada]

secret = 123456 [secret harus sama dengan user-manager]

SETTING USER-MANAGER [PAKET DIANGGAP TERPISAH DARI SISTEM

HOTSPOT]

1. install paket user-manager

2. buat account user-manager

[admin@MikroTik] > tool user-manager customer add login=”remo” password=”remo123″

permissions=owner

3. untuk mengakses user-manager di >> http://202.47.77.24x/userman

username = remo

password = remo123

4. setting router

name = remo-router

ip address = 202.47.77.24x [ip address sendiri bisa juga 127.0.0.1]

secret = 123456 [secret ini harus sama dengan router]

OK

5. add user account untuk dapat akses hotspot system dari client

>> account setting lebih lengkap

6. pelajari menu aplikasi user-manager

user-manager juga bisa digunakan untuk login RouterOS

1. konfigurasi user AAA pada sisi routerOS


#/ user aaa set use-radius=yes

2. permission pada default group harus full

#/ user aaa set default-group=full

3. setting ip radius dan secret harus sama dengan user-manager

#/ radius add service=login address=202.47.77.24x secret=123456

4. test login menggunakan account user-manager [radius]

BGP-Peer, Memisahkan Routing dan Bandwidth Management

Dalam artikel ini, akan dibahas cara untuk melakukan BGP-Peer ke BGP Router Mikrotik

Indonesia untuk melakukan pemisahan gateway untuk koneksi internet internasional dan

OpenIXP (NICE). Setelah pemisahan koneksi ini dilakukan, selanjutnya akan dibuat queue

untuk tiap klien, yang bisa membatasi penggunaan untuk bandwidth internasional dan

OpenIXP (NICE).

Beberapa asumsi yang akan dipakai untuk kasus kali ini adalah :

Router memiliki 3 buah interface, yang masing-masing terhubung ke gateway internasional,

gateway OpenIXP (NICE), dan ke network klien.

Untuk koneksi ke OpenIXP (NICE), router milik Anda harus memiliki IP publik.

Untuk klien, akan menggunakan IP private, sehingga akan dilakukan NAT (network address

translation)

Mikrotik RouterOS Anda menggunakan versi 2.9.39 atau yang lebih baru, dan

mengaktifkan paket routing-test

Jika Anda menghadapi kondisi yang tidak sesuai dengan parameter di atas, harus dilakukan

penyesuaian.

PENGATURAN DASAR

Diagram network dan konfigurasi IP Address yang digunakan pada contoh ini adalah seperti

gambar berikut ini.


Untuk mempermudah pemberian contoh, kami mengupdate nama masing-masing interface

sesuai dengan tugasnya masing-masing.

[admin@MikroTik] > /in pr

Flags: X - disabled, D - dynamic, R - running

# NAME TYPE RX-RATE TX-RATE MTU

0 R ether1-intl ether 0 0 1500

1 R ether2-iix ether 0 0 1500

2 R ether3-client ether 0 0 1500

Konfigurasi IP Address sesuai dengan contoh berikut ini. Sesuaikanlah dengan IP Address

yang Anda gunakan. Dalam contoh ini, IP Address yang terhubung ke OpenIXP (NICE)

menggunakan IP 202.65.113.130/29, terpasang pada interface ether2-iix dan gatewaynya

adalah 202.65.113.129. Sedangkan untuk koneksi ke internasional menggunakan IP

Address 69.1.1.2/30 pada interface ether1-intl, dengan gateway 69.1.1.1.

Untuk klien, akan menggunakan blok IP 192.168.1.0/24, dan IP Address 192.168.1.1

difungsikan sebagai gateway dan dipasang pada ether3-client. Klien dapat menggunakan IP

Address 192.168.1-2 hingga 192.168.1.254 dengan subnet mask 255.255.255.0.

Jangan lupa melakukan konfigurasi DNS server pada router, dan mengaktifkan fitur "allow

remote request".

Karena klien menggunakan IP private, maka kita harus melakukan fungsi src-nat untuk

kedua jalur gateway.

[admin@MikroTik] > /ip fi nat pr

Flags: X - disabled, I - invalid, D - dynamic

0 chain=srcnat out-interface=ether1-intl action=masquerade

1 chain=srcnat out-interface=ether2-iix action=masquerade

CEK: Pastikan semua konfigurasi telah berfungsi baik. Buatlah default route pada router

secara bergantian ke IP gateway OpenIXP (NICE) dan internasional. Lakukanlah ping (baik

dari router maupun dari klien) ke luar network Anda secara bergantian.

PENGATURAN BGP-PEER

Pertama-tama, pastikan bahwa Anda menggunakan gateway internasional Anda sebagai

default route, dalam contoh ini adalah 69.1.1.1. Kemudian Anda perlu membuat sebuah

static route ke mesin BGP Mikrotik Indonesia, yaitu IP 202.65.120.250.

Lalu periksalah apakah Anda bisa melakukan ping ke 202.65.120.250. Periksalah juga

dengan traceroute dari router, apakah jalur pencapaian ke IP 202.65.120.250 telah melalui

jalur koneksi yang diperuntukkan bagi trafik OpenIXP (NICE), dan bukan melalui jalur

internasional.

Kemudian, Anda harus mendaftarkan IP Address Anda di website Mikrotik Indonesia untuk

mengaktifkan layanan BGP-Peer ini. Aktivasi bisa dilakukan di halaman ini. IP Address

yang bisa Anda daftarkan hanyalah IP Address yang bisa di-ping dari mesin kami, dan juga

harus sudah diadvertise di OIXP. Aturan selengkapnya mengenai penggunaan layanan ini

bisa dibaca di halaman ini. Setelah Anda mendaftarkan IP Address Anda, jika semua syarat


sudah terpenuhi, Anda akan diinformasikan bahwa aktivasi layanan BGP-Peer Anda sudah

sukses. Selanjutnya Anda bisa melihat status layanan BGP Anda di halaman ini.

BGP Router Mikrotik Indonesia akan menggunakan IP Address 202.65.120.250 dan AS

Number 64888, dan Router Anda akan menjadi BGP Peer dengan menggunakan AS

Number 64666.

Berikutnya adalah langkah-langkah yang harus Anda lakukan pada router Anda. Pertama-

tama Anda harus membuat beberapa prefix-list untuk BGP ini. Untuk prefix yang akan

Anda terima, untuk alasan keamanan dan hematnya agregasi routing, maka Anda perlu

melakukan setting untuk menerima hanya prefix 8 hingga 24. Prefix 0 sampai 7, dan 25

sampai 32 akan Anda blok. Prefix ini kita berinama prefix-in. Untuk prefix-in yang accept,

harap diperhatikan bahwa Anda perlu menentukan gateway untuk informasi routing ini,

yaitu IP gateway OpenIXP (NICE) Anda. Dalam contoh ini adalah 202.65.113.129.

Gantilah IP ini sesuai dengan gateway OpenIXP (NICE) Anda.

Sedangkan karena sifat BGP-Peer ini hanya Anda menerima informasi routing saja, di mana

Anda tidak dapat melakukan advertisement, maka harus dilakukan blok untuk semua prefix

yang dikirimkan, dan kita beri nama prefix-out.

Berikut ini adalah konfigurasi prefix list yang telah dibuat.

Tahap selanjutnya adalah konfigurasi BGP instance. Yang perlu di-set di sini hanyalah AS

Number Anda, pada kasus ini kita menggunakan AS Number private, yaitu 64666.

Dan langkah terakhir pada konfigurasi BGP ini adalah konfigurasi peer. AS Number BGP

Router Mikrotik Indonesia adalah 64888 dan IP Addressnya adalah 202.65.120.250. Karena

kita sulit menentukan berapa hop jarak BGP Router Mikrotik Indonesia dengan Router

Anda, maka kita melakukan konfigurasi TTL menjadi 255. Jangan lupa mengatur rule

prefix-in dan prefix-out sesuai dengan prefix yang telah kita buat sebelumnya.

Setelah langkah ini, seharusnya BGP Router Mikrotik sudah dapat terkoneksi dengan

Router Anda. Koneksi ini ditandai dengan status peer yang menjadi "established" dan akan

dicantumkan pula jumlah informasi routing yang diterima. Anda juga bisa mengecek status

peer ini dari sisi BGP Router Mikrotik Indonesia dengan melihat pada halaman ini.

Cek pula pada bagian IP Route, seharusnya sudah diterima ribuan informasi routing, dan

pastikan bahwa gatewaynya sesuai dengan gateway OpenIXP (NICE) Anda, dan berada

pada interface yang benar, dalam contoh ini adalah "ether2-iix".

Jika semua sudah berjalan, pastikan bahwa penggunaan 2 buah gateway ini sudah sukses

dengan cara melakukan tracerute dari router ataupun dari laptop ke beberapa IP Address

baik yang berada di internasional maupun yang berada di jaringan OpenIXP (NICE).

C:>tracert www.yahoo.com


Tracing route to www.yahoo-ht2.akadns.net

[209.131.36.158]

over a maximum of 30 hops:

1 <1 ms <1 ms <1 ms 192.168.1.1

2 1 ms <1 ms <1 ms 69.1.1.1

3 222 ms 223 ms 223 ms 157.130.195.13

4 222 ms 289 ms 222 ms 152.63.54.118

5 226 ms 242 ms ^C

C:>tracert www.cbn.net.id

Tracing route to web.cbn.net.id [210.210.145.202]

over a maximum of 30 hops:

1 <1 ms <1 ms <1 ms 192.168.1.1

2 1 ms <1 ms 1 ms 202.65.113.129

3 11 ms 12 ms 127 ms 218.100.27.218

4 21 ms 41 ms 21 ms 218.100.27.165

5 22 ms 24 ms ^C

PENGATURAN BANDWIDTH MANAGEMENT

Setelah semua routing dan BGP Peer berjalan dengan baik, yang perlu kita lakukan

sekarang adalah mengkonfigurasi bandwidth management. Untuk contoh ini kita akan

menggunakan mangle dan queue tree.

Karena network klien menggunakan IP private, maka kita perlu melakukan connection

tracking pada mangle. Pastikan bahwa Anda telah mengaktifkan connection tracking pada

router Anda.

]

Untuk masing-masing trafik, lokal dan internasional, kita membuat sebuah rule mangle

connection. Dari connection mark tersebut kemudian kita membuat packet-mark untuk

masing-masing trafik.

[admin@MikroTik] > /ip firewall mangle print

Flags: X - disabled, I - invalid, D - dynamic

0 chain=forward out-interface=ether1-intl

src-address=192.168.1.2 action=mark-connection

new-connection-mark=conn-intl

passthrough=yes

1 chain=forward out-interface=ether2-iix

src-address=192.168.1.2 action=mark-connection

new-connection-mark=conn-nice

passthrough=yes

2 chain=forward connection-mark=conn-intl

action=mark-packet

new-packet-mark=packet-intl passthrough=yes

3 chain=forward connection-mark=conn-nice

action=mark-packet new-packet-mark=packet-nice

passthrough=yes

Untuk setiap klien, Anda harus membuat rule seperti di atas, sesuai dengan IP Address yang

digunakan oleh klien.


Langkah berikutnya adalah membuat queue tree rule. Kita akan membutuhkan 4 buah rule,

untuk membedakan upstream / downstream untuk koneksi internasional dan lokal.

[admin@MikroTik] > queue tree print

Flags: X - disabled, I - invalid

0 name="intl-down" parent=ether3-client

packet-mark=packet-intl limit-at=0

queue=default priority=8 max-limit=128000

burst-limit=0 burst-threshold=0 burst-time=0s

1 name="intl-up" parent=ether1-intl

packet-mark=packet-intl limit-at=0



2 name="nice-up" parent=ether2-iix

packet-mark=packet-nice limit-at=0



3 name="nice-down" parent=ether3-client

packet-mark=packet-nice limit-at=0



Besarnya limit-at / max-limit dan burst bisa Anda sesuaikan dengan layanan yang dibeli

oleh klien.

Setting Mikrotik Wireless Bridge

Sering kali, kita ingin menggunakan Mikrotik Wireless untuk solusi point to point dengan

mode jaringan bridge (bukan routing). Namun, Mikrotik RouterOS sendiri didesain bekerja

dengan sangat baik pada mode routing. Kita perlu melakukan beberapa hal supaya link

wireless kita bisa bekerja untuk mode bridge.

Mode bridge memungkinkan network yang satu tergabung dengan network di sisi satunya

secara transparan, tanpa perlu melalui routing, sehingga mesin yang ada di network yang

satu bisa memiliki IP Address yang berada dalam 1 subnet yang sama dengan sisi lainnya.

Namun, jika jaringan wireless kita sudah cukup besar, mode bridge ini akan membuat traffic

wireless meningkat, mengingat akan ada banyak traffic broadcast dari network yang satu ke

network lainnya. Untuk jaringan yang sudah cukup besar, kita menyarankan penggunaan

mode routing.

Berikut ini adalah diagram network yang akan kita set.

Konfigurasi Pada Access Point

1. Buatlah sebuah interface bridge yang baru, berilah nama bridge1

2. Masukkan ethernet ke dalam interface bridge


3. Masukkan IP Address pada interface bridge1

4. Selanjutnya adalah setting wireless interface. Kliklah pada menu Wireless (1),

pilihlah tab interface (2) lalu double click pada nama interface wireless yang akan

digunakan (3). Pilihlah mode AP-bridge (4), tentukanlah ssid (5), band 2.4GHz-B/G

(6), dan frekuensi yang akan digunakan (7). Jangan lupa mengaktifkan default

authenticated (8) dan default forward (9). Lalu aktifkankanlah interface wireless

(10) dan klik OK (11).

5. Berikutnya adalah konfigurasi WDS pada wireless interface yang digunakan.

Bukalah kembali konfigurasi wireless seperti langkah di atas, pilihlah tab WDS (1).

Tentukanlah WDS Mode dynamic (2) dan pilihlah bridge interface untuk WDS ini

(3). Lalu tekan tombol OK.


6. Langkah selanjutnya adalah menambahkan virtual interface WDS. Tambahkan

interface WDS baru seperti pada gambar, lalu pilihlah interface wireless yang kita

gunakan untuk WDS ini. Lalu tekan OK.

7. Jika WDS telah ditambahkan, maka akan tampak interface WDS baru seperti pada

gambar di bawah.

Konfigurasi pada Wireless Station

Konfigurasi pada wireless station hampir sama dengan langkah-langkah di atas,

kecuali pada langkah memasukkan IP Address dan konfigurasi wirelessnya. Pada

konfigurasi station, mode yang digunakan adalah station-wds, frekuensi tidak perlu

ditentukan, namun harus menentukan scan-list di mana frekuensi pada access point

masuk dalam scan list ini. Misalnya pada access point kita menentukan frekuensi

2412, maka tuliskanlah scan-list 2400-2500.


Pengecekan link

Jika link wireless yang kita buat sudah bekerja dengan baik, maka pada menu

wireless, akan muncul status R (lihat gambar di bawah).

Selain itu, mac-address dari wireless yang terkoneksi juga bisa dilihat pada jendela

registration (lihat gambar di bawah).

Konfigurasi keamanan jaringan wireless

Pada Mikrotik, cara paling mudah untuk menjaga keamanan jaringan adalah dengan

mendaftarkan mac-address wireless pasangan pada access list. Hal ini harus

dilakukan pada sisi access point maupun pada sisi client. Jika penginputan access-

list telah dilakukan, maka matikanlah fitur default authenticated pada wireless,

maka wireless lain yang mac addressnya tidak terdaftar tidak akan bisa terkoneksi

ke jaringan kita.

Jika kita menginginkan fitur keamanan yang lebih baik, kita juga bisa menggunakan

enkripsi baik WEP maupun WPA.


Static Routing Multiple Gateway – Mikrotik

Melakukan Static Routing 2 koneksi (wireless-adsl) ke 2 tujuan (IIX-intl)..

Asumsi adsl untuk koneksi international, wireless untuk koneksi lokal (IIX)

Asumsi 3 interface (Router OS Box) ..

public –>terhubung dengan lan port router adsl

public-wireless, –>terhubung dengan radio client-infrastructure/ client-bridge yang

terasosiasi dengan ap di pihak ISP

local –> terhubung dengan Swicth ke Jaringan Lokal

Asumsi IP Address

public 202.xx.xx.62/30 –>gateway 202.xx.xx.61 (ip lan modem adsl)

public-wireless 172.xx.xx.2/29 –> gateway 172.xx.xx.1 (ip local router isp)

lan 192.168.10.1/24 –> berfungsi sebagai gateway untuk jaringan local..

Kalau gua lebih prefer pakai static-routing, pernah sih coba2 pake routing-mark

melalui mangle .. kitangnya tidak berhasil…

Static Routing

Untuk melakukan static routing iix-intl yg pertama harus kita ketahui adalah IP2

apa saja yang termasuk ke dalam IP blok IIX.. daftar lengkapnya terupdate dapat

diakses melalui fasilitas looking glass (nice) yg salah satunya bisa diakses di

http://lg.mohonmaaf.com , klik submit keluar deh.

Update sekarang di http://lg.mohonmaaf.com sudah ada script untuk Router OS,

tinggal edit gatewaynya aja..

Network Next Hop Metric LocPrf Weight Path

*> 58.65.240.0/24 218.100.27.242 0 1000 0 24535 i

*> 58.65.241.0/24 218.100.27.242 0 1000 0 24535 i

*> 58.65.242.0/24 218.100.27.242 0 1000 0 24535 i

*> 58.65.243.0/24 218.100.27.242 0 1000 0 24535 i

*> 58.65.244.0/24 218.100.27.242 0 1000 0 24535 i

*> 58.65.245.0/24 218.100.27.242 0 1000 0 24535 i

*> 58.65.246.0/24 218.100.27.242 0 1000 0 24535 i

*> 58.65.247.0/24 218.100.27.242 0 1000 0 24535 i

Masih banyak lagi…

Yang di bawah kolom Network adalah ip blok yang termasuk ke dalam IIX.

Di mikrotik masukkan terlebih dahulu default gatewaynya.. (default routing) dalam

kasus ini adalah

/ ip route add dst-address=0.0.0.0/0 gateway=202.xx.xx.61 comment=”Default”

disabled=no

kemudian masukkan ip-blok yg tadi di dapat dari nice ke dalam tabel routing, biar

gampang pake excel seperti yg bro diatas bilang bisa …dalam kasus ini seperti

berikut;

/ ip route

add dst-address=58.65.240.0/24 gateway=172.xx.xx.1 scope=255 target-scope=10 \

comment=”Gateway IIX” disabled=no














…… dan seterusnya

Dikasih comment Gateway IIX untuk implementasi netwatch kl link wireless putus,

akan digambarkan belakangan… skript yg mungkin gak update bisa diliahat di

http://indoupload.net/files/1/Router…ix-routing.rsc

Jangan lupa gantikan 172.xx.xx.1 dengan gateway wireless anda

, kalau pake ultraedit Ctrl-R .. find&replace , kopi dan paste di ssh router os atau

terminal…

Setelah static routing dimasukkan maka otomatis permintaan ke IIX akan memakai

gateway 172.xx.xx.1 dan permintaan ke intl akan memakai gateway 202.xx.xx.61,

jika di traceroute dari routernya akan terlihat seperti ini;

Untuk Intl..

[remo@nubielab] > /tool traceroute google.com

ADDRESS STATUS

1 202.xx.xx.61 2ms 1ms 1ms

2 202.xx.xx.33 61ms 85ms 64ms

3 202.xx.xx.230 67ms 59ms 67ms

4 202.xx.xx.233 57ms 61ms 73ms

5 202.xx.xx.1 65ms 68ms 63ms

.. dan seterusnya ada kira2 20 hop

Untuk IIX

[remo@nubielab] > /tool traceroute boleh.com

ADDRESS STATUS

1 172.xx.xx.1 4ms 3ms 2ms

2 202.xx.xx.105 15ms 5ms 10ms

3 202.xx.xx.1 6ms 10ms 7ms

4 202.xx.xx.141 11ms 7ms 7ms

5 218.xx.xx.173 7ms 10ms 13ms

6 202.xx.xx.6 8ms 6ms 10ms

ada 6 hop

Apabila koneksi wirelessnya rentan putus, atau link adsl lebih stabil gua

menganjurkan untuk melakukan static routing ip2 dns ke gateway adsl (meskipun

ip2 tersebut masuk ke golongan lokal)…

Disable Static Routing Gateway IIX

Berhubung koneksi kabel harusnya lebih stabil dari koneksi wireless, artinya ada

juga putusnya, maka ada baiknya apabila kita berjaga-jaga agar koneksi lokal tidak

ikut terputus apabila link wireless nya putus.

Dalam contoh ini fasilitas yang digunakan adalah /tool netwatch .. melakukan ping

ke gateway IIX atau pun IP yg terletak di Cyber (apabila backhaul ISP juga

menggunakan wireless yg rentan putus) dalam contoh ini adalah 202.xx.xx.141

(lihat hasil traceroute lokal no.4)..

Ping dilakukan secara periodik misalnya 15 detik sekali dengan batasan time-out

100ms.

Apabila link terputus.. baik link antara kita dengan ISP atau ISP dengan Cyber,

maka status di netwatch akan berubah menjadi down, dan akan menjalankan script

yang mendisable entry static routing yang memiliki coment “Gateway

IIX”…Apabila telah up kembali maka status berubah menjadi up dan akan

menjalan script yang mengenable..

/ tool netwatch

add host=172.xx.xx.1 timeout=100ms interval=15s \


up-script=”/ip route enable \[/ip route find \

comment=\"Gateway IIX\"\]” down-script=”/ip route \

disable \[/ip route find comment=\"Gateway IIX\"\]” \

comment=”Ping Gateway IIX” disabled=no

Jangan lupa ganti 172.xx.xx.1 dengan gateway wirelessnya…

Update routing untuk IP Blok modem ADSL kita jangan lupa diarahkan ke gateway

modem/router ADSL, juga ada kasus dimana koneksi ADSL menjadi tidak stabil /

sering putus setelah static routing diterapkan, belum diketahui sebabnya kenapa,

namun cara menanggulanginya adalah dengan melakukan ping ke salah satu IP

yang terdapat di jalur ADSL (periksa melalui traceroute), secara rutin (misal setiap

60 detik).

Sumber : www.mikrotik.co.id

Mark Routing di Mikrotik

Pada prinsipnya jika kita menggunakan satu router untuk beberapa koneksi kita

harus membedakan antara koneksi ke ISP yang satu dan yang lainnya, agar tidak

terjadi kacawnya jalur dari / ke IP tersebut. Langsung saja coba kita praktekkan sbb

:

1. Tentukan Ip address di masing masing ethernet :

/ip address pr


# ADDRESS NETWORK BROADCAST INTERFACE

0 ;;; Ip LAN

192.168.0.1/24 192.168.0.0 192.168.0.255 Eth1

1 ;;; Ip LAN

172.168.0.1/24 172.168.0.0 172.168.0.255 Eth2

2. Lakukan mark routing pada ip firewall mangel

0 add chain=prerouting action=mark-routing new-routing-mark=dari-eth1

passthrough=no src-address=192.168.0.1/24

1 add chain=prerouting action=mark-routing new-routing-mark=dari-eth2

passthrough=no src-address=172.168.0.1/24

3. Lakukan Ip route agar masing – masing IP ke jalur yang baik dan benar

lalu lakukan add route :

Destination : 0.0.0.0/0

Gateway : 192.168.0.1

Routing mark : dari-eth1

untuk eth1 seharusnya sudah melalui jalur eth1 tersebut, selanjutnya di buat untuk

routing mark ke eth2 sama spt cara di atas

Destination : 0.0.0.0/0

Gateway : 172.168.0.1

Routing mark : dari-eth2

42450564 all about mikrotik

Documents