42450564 all about mikrotik
TRANSCRIPT
Nubielab.com [email protected] Page 1
All About Mikrotik
Routing 2 ISP di mikrotik
Ada kalanya kita bingung untuk melakukan routing 2 isp di mikrotik,namun sering kita
jumpai juga banyak orang yang menggunakan teori load balancing untuk mengakalinya.
Namun kali ini kita tidak akan menggunakan metode load balancing,dikarenakan kita tidak
akan bisa memindahkan routing dan NAT klient kita jikalau memakai metode load
balancing. Dengan metode static routing ini kita bisa jauh lebih leluasa dalam mengatur
setiap klient. Artikel ini cocok untuk di implementasikan pada RT/RW net berbasis
mikrotik
berikut ini tutorial routing nya
mikrotik mempunyai 2 LAN
1.public
2.local
kita mulai dengan create ip address
di sini kita punya 2 group klient
yang pertama kita kasih blok ip 192.168.1.0/24
yang kedua 10.100.100.0/24
untuk IP isp nya adalah
203.89.31.50/29 isp 1
202.10.10.0/29 isp 2
Dalam hal ini kita perlu menentukan isp mana yg kita set sebagai main routing
untuk saat ini kita akan pilih isp 1
(remo@nubielab) ip address add address 10.100.100.1/24 interface local
(remo@nubielab) ip address add address 192.168.1.1/24 interface=local
(remo@nubielab) ip address add address 203.89.31.52/29 interface=public
(remo@nubielab) ip address add address 202.10.10.2/29 interface=public
langkah selanjutnya adalah membuat table mark routing untuk isp 2
(remo@nubielab)ip firewall mangle>add chain=forward action=mark-routing new-
routing-mark=”isp2? passtrhough=yes
untuk isp1 tidak perlu dibuatkan routing mark dikarenakan sudah otomatis menjadi main
routing
langkah berikutnya adalah membuat gateway untuk isp1 dan isp 2
(remo@nubielab)ip route>add destination-address=0.0.0.0/0 gateway=203.89.31.51
(remo@nubielab)ip route>add destination-address=0.0.0.0/0 gateway=202.10.10.1
routing-mark=isp2
berikutnya kita akan masuk ke tahap routing dan NAT
dalam hal ini blok klient 192.168.1.0/24 akan kita NAT ke isp1
blok ip 10.100.100.0/24 akan kita NAT ke isp2
(remo@nubielab)ip route rule>add src-address=192.168.1.0/24 action=lookup table=main
(remo@nubielab)ip route rule>add src-address=10.100.100.0/24 action-lookup table=isp2
selanjutnya proses NAT yang menjadi pasangan proses rule tersebut diatas
(remo@nubielab)ip firewall nat>add chain=srcnat src-address=192.168.1.0/24
action=src-nat to-address=203.89.31.52 to-ports=0-65535
(remo@nubielab)ip firewall nat>add chain=srcnat src-address=10.100.100.0/24
action=src-nat to-address=202.10.100.2 to-ports=0-65535
langkah terakhir adalah set DNS
masukan dns yg anda dapat dari kedua isp tersebut
(remo@nubielab) > ip dns print
primary-dns: 203.89.24.x
Nubielab.com [email protected] Page 2
secondary-dns: 202.134.0.155
allow-remote-requests: yes
cache-size: 4096KiB
cache-max-ttl: 1w
cache-used: 90KiB
ROUTING STATIK DAN DINAMIK PADA MIKROTIK OS
Proses Routing adalah sebuah proses agar router tahu bagaimana dan kemana sebuah paket
harus diteruskan. Router mikrotik merupakan salah satu router yang cukup handal dalam
merouting jaringan.
Terdapat banyak fungsi/konfigurasi diantaranya : firewall, nat, dhcp, dll.
Pastikan di dalam router terdapat minimal 2 Lan Card (1 Local dan 1 Global )
Langkah-langkah sederhana:
1. Tentukan IP local dan IP public dari ISP.
contoh : IP Local 192.168.1.1/24
IP Global 203.130.111.58/29
2. Configurasi IP address ( Misal nama Mikrotik Router yaitu “Heri” )
[remo@nubielab] ip address add address=192.168.1.1/24 interface=ether1 --> local
[remo@nubielab] ip address add address=203.130.111.58/29 interface=ether2 --> global
Untuk checking nya :
[remo@nubielab] ip address print
3. Configurasi Gateway :
[remo@nubielab] ip route add gateway=203.130.111.57
note: sesuaikan Gateway yang dipakai.
4. Configurasi DNS
[remo@nubielab] ip dns set primary-dns=203.130.208.18 allow-remote-requests=yes
[remo@nubielab] ip dns set secondary-dns=202.134.0.155 allow-remote-requests=yes
note: sesuaikan dengan dns ISP yang di pakai.
5. Setelah Configurasi di atas untuk checking apakah sudah tekoneksi dengan internet yaitu
dengan cara:
terminal > ping www.yahoo.com
6. Setelah bisa ping yahoo, kemudian kita konfigurasi sebagai masquerade dengan tujuan
semua komputer client yang terhubung ke router bisa internet.
[remo@nubielab] ip firewall nat add chain=srcnat action=masquerade out-
interface=ether1
7. Setelah itu configurasi gateway dan dns client ke 192.168.1.1 lalu di coba untuk
berselancar.
DHCP (Dynamic Configuration Protokol)
Configurasi untuk DHCP:
1. ip pool add name=dhcp-pool ranges=192.168.1.100-192.168.1.254
2. ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.1 dns-
server=192.168.1.1
3. ip dhcp-server add name=DHCP_LAN disabled=no interface=ether1 address-pool=dhcp-
pool
Graphing
1. tool graphing set store-every=5min
2. tool graphing interface add-interface=all store-on-disk=yes
Untuk melihat graph penggunaan internet Local maupun Global dengan cara
http://192.168.1.1/graphs
Routing dapat dikelompokkan menjadi 2 kelompok, yaitu:
1. Static Routing – Router meneruskan paket dari sebuah network ke network yang lainnya
berdasarkan rute (catatan: seperti rute pada bis kota) yang ditentukan oleh administrator.
Rute pada static routing tidak berubah, kecuali jika diubah secara manual oleh
administrator.
Nubielab.com [email protected] Page 3
2. Dynamic Routing – Router mempelajari sendiri Rute yang terbaik yang akan
ditempuhnya untuk meneruskan paket dari sebuah network ke network lainnya.
Administrator tidak menentukan rute yang harus ditempuh oleh paket-paket tersebut.
Administrator hanya menentukan bagaimana cara router mempelajari paket, dan kemudian
router mempelajarinya sendiri. Rute pada dynamic routing berubah, sesuai dengan pelajaran
yang didapatkan oleh router.
Static Routing dapat dilakukan dengan memasukkan baris ip route pada mode konfigurasi
global. Adapun format penulisan baris tersebut adalah:
ip route network [mask] {alamat | interface }
dimana:
• network adalah network tujuan
• mask adalah subnet mask
• alamat adalah IP address ke mana network akan dilewatkan
• interface adalah nama interface yang digunakan untuk melewatkan paket yang ditujukan
Gambar di atas memperlihatkan sebuah LAN yang terhubung ke WAN melalui 2 buah
router, yaitu router A dan router B.
Agar LAN tersebut bisa dihubungi dari WAN, maka router A perlu diberikan static routing
dengan baris perintah seperti berikut:
RouterA(config)# ip route 172.16.10.0 255.255.255.0 172.16.158.1
Dan agar router B bisa meneruskan paket-paket yang ditujukan ke WAN, maka router B
perlu dikonfigurasi dengan static routing berikut:
RouterB(config)# ip route 0.0.0.0 0.0.0.0 172.16.158.2
Routing Dinamik adalah jenis routing yang bisa berubah sesuai dengan kondisi yang
diinginkan dengan parameter tertentu sesuai dengan protokolnya. Routing Dinamik
diterapkan pada PC yang berfungsi sebagai router dan dibutuhkan router lain yang sama-
sama menerapkan sistem routing dinamik, jadi tidak bisa berdiri sendiri seperti halnya
Routing statik.
Routing Dinamik menentukan gateway untuk network destination berdasarkan parameter
yang didapat dari router lainnya melalui Protokol Multicast, seperti metrik, cost dsb.
Protocol RIP dan OSPF menggunakan multicast untuk pertukaran informasi antar router,
sedangkan protokol BGP menggunakan koneksi TCP untuk pertukaran routingnya.
Protokol Multicast adalah sebuah pola pengiriman data di mana data dari pengirim (sender)
akan diterima secara bersamaan oleh beberapa penerima (recipient). Salah satu keuntungan
dari sistem multicast adalah mengurangi beban kerja jaringan (network load). Bayangkan
misalnya ketika sebuah rekaman video sebesar 600MB disebarkan ke 10 pengguna, dengan
Protokol Unicast, akan ada trafik sebesar 10 x 600 MB, sedangkan dengan multicast, trafik
hanya sebesar data asli, yaitu 600MB (tentu saja ditambah overhead yang tidak signifikan
besarnya). Perlu diperhatikan bahwa pengiritan trafik ini hanya mungkin terjadi apabila
setiap client memperoleh data dalam rentang waktu yang sama. Artinya protokol ini terasa
keuntungannya dalam aplikasi semacam video/audio broadcast. Dalam IPv4 protokol
multicast masih jarang digunakan sampai ke end-user, tetapi di generasi selanjutnya IPv6
protokol multicast dikembangkan lebih untuk kepentingan audio dan video.
Dalam IPv4 IP address multicast adalah network 224.0.0.0 dengan netmask 255.0.0.0
Selain protokol multicast dikenal juga Protokol Unicast, Protokol Broadcast, dan Protokol
Anycast.
OSPF (Open Shortest Path First) adalah salah satu protokol pada keluarga IP, untuk routing
dinamik. OSPF dikembangkan karena kebutuhan pada network yang besar dan heterogen.
Beberapa keuntungan dari OSPF adalah konvergensi yang cepat, yang pada gilirannya
mencegah routing loop dan menghasilkan network yang stabil.
Protokol ini dikembangkan oleh IETF, dan diatur oleh RFC 2328
Mikrotik Sebagai NAT
Network Address Translation atau yang lebih biasa disebut dengan NAT adalah suatu
metode untuk menghubungkan lebih dari satu komputer ke jaringan internet dengan
menggunakan satu alamat IP. Banyaknya penggunaan metode ini disebabkan karena
Nubielab.com [email protected] Page 4
ketersediaan alamat IP yang terbatas, kebutuhan akan keamanan (security), dan kemudahan
serta fleksibilitas dalam administrasi jaringan.
Saat ini, protokol IP yang banyak digunakan adalah IP version 4 (IPv4). Dengan panjang
alamat 4 bytes berarti terdapat 2 pangkat 32 = 4.294.967.296 alamat IP yang tersedia.
Jumlah ini secara teoretis adalah jumlah komputer yang dapat langsung koneksi ke internet.
Karena keterbatasan inilah sebagian besar ISP (Internet Service Provider) hanya akan
mengalokasikan satu alamat untuk satu user dan alamat ini bersifat dinamik, dalam arti
alamat IP yang diberikan akan berbeda setiap kali user melakukan koneksi ke internet. Hal
ini akan menyulitkan untuk bisnis golongan menengah ke bawah. Di satu sisi mereka
membutuhkan banyak komputer yang terkoneksi ke internet, akan tetapi di sisi lain hanya
tersedia satu alamat IP yang berarti hanya ada satu komputer yang bisa terkoneksi ke
internet. Hal ini bisa diatasi dengan metode NAT. Dengan NAT gateway yang dijalankan di
salah satu komputer, satu alamat IP tersebut dapat dishare dengan beberapa komputer yang
lain dan mereka bisa melakukan koneksi ke internet secara bersamaan
Misal kita ingin menyembunyikan jaringan local/LAN 192.168.0.0/24 dibelakang satu IP
address 202.51.192.42 yang diberikan oleh ISP, yang kita gunakan adalah fitur Mikrotik
source network address translation (masquerading) . Masquerading akan merubah paket-
paket data IP address asal dan port dari network 192.168.0.0/24 ke 202.51.192.42 untuk
selanjutnya diteruskan ke jaringan internet global.
Untuk menggunakan masquerading, rule source NAT dengan action 'masquerade' harus
ditambahkan pada konfigurasi firewall:
[remo@nubielab] > /ip firewall nat add chain=srcnat action=masquerade out-
interface=public
Mikrotik Hotspot dan User Manager
beberapa langkah untuk membangun sebuah system hotspot dan user manager
1. rename interface eth :LAN, LOCAL, INT
[remo@nubielab] > interface print
Flags: X – disabled, D – dynamic, R – running
# NAME TYPE RX-RATE TX-RATE MTU
0 R lan ether 0 0 1500
1 R int ether 0 0 1500
2 R local ether 0 0 1500
[remo@nubielab] >
2. setting ip address ketiga interface
[remo@nubielab] > ip address print
Flags: X – disabled, I – invalid, D – dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.8.8.45/24 10.8.8.0 10.8.8.255 local
1 192.168.10.1/24 192.168.10.0 192.168.10.255 lan
2 202.47.77.24x/28 202.47.77.240 202.47.77.255 int
[remo@nubielab] >
3. setting ip route / gateway
[remo@nubielab] > ip route print
Flags: X – disabled, A – active, D – dynamic, C – connect, S – static, r – rip, b – bgp, o –
ospf,
B – blackhole, U – unreachable, P – prohibit
# DST-ADDRESS PREF-SRC G GATEWAY DISTANCE INTERFACE
0 A S 0.0.0.0/0 r 10.8.8.1 1 local
1 A S 0.0.0.0/0 r 202.47.77.24x 1 int
2 ADC 10.8.8.0/24 10.8.8.45 0 local
3 ADC 192.168.10.0/24 192.168.10.1 0 lan
4 ADC 202.47.77.240/28 202.47.77.249 0 int
[remo@nubielab] >
4. setting dns
[remo@nubielab] > ip dns print
primary-dns: 202.47.78.8
secondary-dns: 202.47.78.9
allow-remote-requests: yes
cache-size: 2048KiB
Nubielab.com [email protected] Page 5
cache-max-ttl: 1w
cache-used: 21KiB
[remo@nubielab] >
5. setting nat / masquerading
[remo@nubielab] > ip firewall nat print
Flags: X – disabled, I – invalid, D – dynamic
0 chain=srcnat action=masquerade
1 chain=srcnat action=masquerade src-address=192.168.10.0/24
2 ;;; masquerade hotspot network
chain=srcnat action=masquerade src-address=192.168.10.0/24
[remo@nubielab] >
6. input address-list nice
7. marking-connection dan marking-routing
[remo@nubielab] > ip firewall mangle print
Flags: X – disabled, I – invalid, D – dynamic
0 chain=output action=mark-connection new-connection-mark=mark-local-con
passthrough=yes dst-address-list=nice
1 chain=output action=mark-routing new-routing-mark=mark-routing-local
passthrough=yes connection-mark=mark-local-con
[remo@nubielab] >
8. marking gateway
9. test traceroute situs local dan international
10. setup hotspot system [ACTIVATE HOTSPOT SYSTEM]
11. activate RADIUS pada hotspot server profile [use radius = yes]
12. add Radius
services = hotspot
address = 202.47.77.24x [IP dimana radius / user-manager berada]
secret = 123456 [secret harus sama dengan user-manager]
SETTING USER-MANAGER [PAKET DIANGGAP TERPISAH DARI SISTEM
HOTSPOT]
1. install paket user-manager
2. buat account user-manager
[admin@MikroTik] > tool user-manager customer add login=”remo” password=”remo123″
permissions=owner
3. untuk mengakses user-manager di >> http://202.47.77.24x/userman
username = remo
password = remo123
4. setting router
name = remo-router
ip address = 202.47.77.24x [ip address sendiri bisa juga 127.0.0.1]
secret = 123456 [secret ini harus sama dengan router]
OK
5. add user account untuk dapat akses hotspot system dari client
>> account setting lebih lengkap
6. pelajari menu aplikasi user-manager
user-manager juga bisa digunakan untuk login RouterOS
1. konfigurasi user AAA pada sisi routerOS
Nubielab.com [email protected] Page 6
#/ user aaa set use-radius=yes
2. permission pada default group harus full
#/ user aaa set default-group=full
3. setting ip radius dan secret harus sama dengan user-manager
#/ radius add service=login address=202.47.77.24x secret=123456
4. test login menggunakan account user-manager [radius]
BGP-Peer, Memisahkan Routing dan Bandwidth Management
Dalam artikel ini, akan dibahas cara untuk melakukan BGP-Peer ke BGP Router Mikrotik
Indonesia untuk melakukan pemisahan gateway untuk koneksi internet internasional dan
OpenIXP (NICE). Setelah pemisahan koneksi ini dilakukan, selanjutnya akan dibuat queue
untuk tiap klien, yang bisa membatasi penggunaan untuk bandwidth internasional dan
OpenIXP (NICE).
Beberapa asumsi yang akan dipakai untuk kasus kali ini adalah :
Router memiliki 3 buah interface, yang masing-masing terhubung ke gateway internasional,
gateway OpenIXP (NICE), dan ke network klien.
Untuk koneksi ke OpenIXP (NICE), router milik Anda harus memiliki IP publik.
Untuk klien, akan menggunakan IP private, sehingga akan dilakukan NAT (network address
translation)
Mikrotik RouterOS Anda menggunakan versi 2.9.39 atau yang lebih baru, dan
mengaktifkan paket routing-test
Jika Anda menghadapi kondisi yang tidak sesuai dengan parameter di atas, harus dilakukan
penyesuaian.
PENGATURAN DASAR
Diagram network dan konfigurasi IP Address yang digunakan pada contoh ini adalah seperti
gambar berikut ini.
Nubielab.com [email protected] Page 7
Untuk mempermudah pemberian contoh, kami mengupdate nama masing-masing interface
sesuai dengan tugasnya masing-masing.
[admin@MikroTik] > /in pr
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R ether1-intl ether 0 0 1500
1 R ether2-iix ether 0 0 1500
2 R ether3-client ether 0 0 1500
Konfigurasi IP Address sesuai dengan contoh berikut ini. Sesuaikanlah dengan IP Address
yang Anda gunakan. Dalam contoh ini, IP Address yang terhubung ke OpenIXP (NICE)
menggunakan IP 202.65.113.130/29, terpasang pada interface ether2-iix dan gatewaynya
adalah 202.65.113.129. Sedangkan untuk koneksi ke internasional menggunakan IP
Address 69.1.1.2/30 pada interface ether1-intl, dengan gateway 69.1.1.1.
Untuk klien, akan menggunakan blok IP 192.168.1.0/24, dan IP Address 192.168.1.1
difungsikan sebagai gateway dan dipasang pada ether3-client. Klien dapat menggunakan IP
Address 192.168.1-2 hingga 192.168.1.254 dengan subnet mask 255.255.255.0.
Jangan lupa melakukan konfigurasi DNS server pada router, dan mengaktifkan fitur "allow
remote request".
Karena klien menggunakan IP private, maka kita harus melakukan fungsi src-nat untuk
kedua jalur gateway.
[admin@MikroTik] > /ip fi nat pr
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=ether1-intl action=masquerade
1 chain=srcnat out-interface=ether2-iix action=masquerade
CEK: Pastikan semua konfigurasi telah berfungsi baik. Buatlah default route pada router
secara bergantian ke IP gateway OpenIXP (NICE) dan internasional. Lakukanlah ping (baik
dari router maupun dari klien) ke luar network Anda secara bergantian.
PENGATURAN BGP-PEER
Pertama-tama, pastikan bahwa Anda menggunakan gateway internasional Anda sebagai
default route, dalam contoh ini adalah 69.1.1.1. Kemudian Anda perlu membuat sebuah
static route ke mesin BGP Mikrotik Indonesia, yaitu IP 202.65.120.250.
Lalu periksalah apakah Anda bisa melakukan ping ke 202.65.120.250. Periksalah juga
dengan traceroute dari router, apakah jalur pencapaian ke IP 202.65.120.250 telah melalui
jalur koneksi yang diperuntukkan bagi trafik OpenIXP (NICE), dan bukan melalui jalur
internasional.
Kemudian, Anda harus mendaftarkan IP Address Anda di website Mikrotik Indonesia untuk
mengaktifkan layanan BGP-Peer ini. Aktivasi bisa dilakukan di halaman ini. IP Address
yang bisa Anda daftarkan hanyalah IP Address yang bisa di-ping dari mesin kami, dan juga
harus sudah diadvertise di OIXP. Aturan selengkapnya mengenai penggunaan layanan ini
bisa dibaca di halaman ini. Setelah Anda mendaftarkan IP Address Anda, jika semua syarat
Nubielab.com [email protected] Page 8
sudah terpenuhi, Anda akan diinformasikan bahwa aktivasi layanan BGP-Peer Anda sudah
sukses. Selanjutnya Anda bisa melihat status layanan BGP Anda di halaman ini.
BGP Router Mikrotik Indonesia akan menggunakan IP Address 202.65.120.250 dan AS
Number 64888, dan Router Anda akan menjadi BGP Peer dengan menggunakan AS
Number 64666.
Berikutnya adalah langkah-langkah yang harus Anda lakukan pada router Anda. Pertama-
tama Anda harus membuat beberapa prefix-list untuk BGP ini. Untuk prefix yang akan
Anda terima, untuk alasan keamanan dan hematnya agregasi routing, maka Anda perlu
melakukan setting untuk menerima hanya prefix 8 hingga 24. Prefix 0 sampai 7, dan 25
sampai 32 akan Anda blok. Prefix ini kita berinama prefix-in. Untuk prefix-in yang accept,
harap diperhatikan bahwa Anda perlu menentukan gateway untuk informasi routing ini,
yaitu IP gateway OpenIXP (NICE) Anda. Dalam contoh ini adalah 202.65.113.129.
Gantilah IP ini sesuai dengan gateway OpenIXP (NICE) Anda.
Sedangkan karena sifat BGP-Peer ini hanya Anda menerima informasi routing saja, di mana
Anda tidak dapat melakukan advertisement, maka harus dilakukan blok untuk semua prefix
yang dikirimkan, dan kita beri nama prefix-out.
Berikut ini adalah konfigurasi prefix list yang telah dibuat.
Tahap selanjutnya adalah konfigurasi BGP instance. Yang perlu di-set di sini hanyalah AS
Number Anda, pada kasus ini kita menggunakan AS Number private, yaitu 64666.
Dan langkah terakhir pada konfigurasi BGP ini adalah konfigurasi peer. AS Number BGP
Router Mikrotik Indonesia adalah 64888 dan IP Addressnya adalah 202.65.120.250. Karena
kita sulit menentukan berapa hop jarak BGP Router Mikrotik Indonesia dengan Router
Anda, maka kita melakukan konfigurasi TTL menjadi 255. Jangan lupa mengatur rule
prefix-in dan prefix-out sesuai dengan prefix yang telah kita buat sebelumnya.
Setelah langkah ini, seharusnya BGP Router Mikrotik sudah dapat terkoneksi dengan
Router Anda. Koneksi ini ditandai dengan status peer yang menjadi "established" dan akan
dicantumkan pula jumlah informasi routing yang diterima. Anda juga bisa mengecek status
peer ini dari sisi BGP Router Mikrotik Indonesia dengan melihat pada halaman ini.
Cek pula pada bagian IP Route, seharusnya sudah diterima ribuan informasi routing, dan
pastikan bahwa gatewaynya sesuai dengan gateway OpenIXP (NICE) Anda, dan berada
pada interface yang benar, dalam contoh ini adalah "ether2-iix".
Jika semua sudah berjalan, pastikan bahwa penggunaan 2 buah gateway ini sudah sukses
dengan cara melakukan tracerute dari router ataupun dari laptop ke beberapa IP Address
baik yang berada di internasional maupun yang berada di jaringan OpenIXP (NICE).
C:>tracert www.yahoo.com
Nubielab.com [email protected] Page 9
Tracing route to www.yahoo-ht2.akadns.net
[209.131.36.158]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 192.168.1.1
2 1 ms <1 ms <1 ms 69.1.1.1
3 222 ms 223 ms 223 ms 157.130.195.13
4 222 ms 289 ms 222 ms 152.63.54.118
5 226 ms 242 ms ^C
C:>tracert www.cbn.net.id
Tracing route to web.cbn.net.id [210.210.145.202]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 192.168.1.1
2 1 ms <1 ms 1 ms 202.65.113.129
3 11 ms 12 ms 127 ms 218.100.27.218
4 21 ms 41 ms 21 ms 218.100.27.165
5 22 ms 24 ms ^C
PENGATURAN BANDWIDTH MANAGEMENT
Setelah semua routing dan BGP Peer berjalan dengan baik, yang perlu kita lakukan
sekarang adalah mengkonfigurasi bandwidth management. Untuk contoh ini kita akan
menggunakan mangle dan queue tree.
Karena network klien menggunakan IP private, maka kita perlu melakukan connection
tracking pada mangle. Pastikan bahwa Anda telah mengaktifkan connection tracking pada
router Anda.
]
Untuk masing-masing trafik, lokal dan internasional, kita membuat sebuah rule mangle
connection. Dari connection mark tersebut kemudian kita membuat packet-mark untuk
masing-masing trafik.
[admin@MikroTik] > /ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward out-interface=ether1-intl
src-address=192.168.1.2 action=mark-connection
new-connection-mark=conn-intl
passthrough=yes
1 chain=forward out-interface=ether2-iix
src-address=192.168.1.2 action=mark-connection
new-connection-mark=conn-nice
passthrough=yes
2 chain=forward connection-mark=conn-intl
action=mark-packet
new-packet-mark=packet-intl passthrough=yes
3 chain=forward connection-mark=conn-nice
action=mark-packet new-packet-mark=packet-nice
passthrough=yes
Untuk setiap klien, Anda harus membuat rule seperti di atas, sesuai dengan IP Address yang
digunakan oleh klien.
Nubielab.com [email protected] Page 10
Langkah berikutnya adalah membuat queue tree rule. Kita akan membutuhkan 4 buah rule,
untuk membedakan upstream / downstream untuk koneksi internasional dan lokal.
[admin@MikroTik] > queue tree print
Flags: X - disabled, I - invalid
0 name="intl-down" parent=ether3-client
packet-mark=packet-intl limit-at=0
queue=default priority=8 max-limit=128000
burst-limit=0 burst-threshold=0 burst-time=0s
1 name="intl-up" parent=ether1-intl
packet-mark=packet-intl limit-at=0
queue=default priority=8 max-limit=32000
burst-limit=0 burst-threshold=0 burst-time=0s
2 name="nice-up" parent=ether2-iix
packet-mark=packet-nice limit-at=0
queue=default priority=8 max-limit=256000
burst-limit=0 burst-threshold=0 burst-time=0s
3 name="nice-down" parent=ether3-client
packet-mark=packet-nice limit-at=0
queue=default priority=8 max-limit=1024000
burst-limit=0 burst-threshold=0 burst-time=0s
Besarnya limit-at / max-limit dan burst bisa Anda sesuaikan dengan layanan yang dibeli
oleh klien.
Setting Mikrotik Wireless Bridge
Sering kali, kita ingin menggunakan Mikrotik Wireless untuk solusi point to point dengan
mode jaringan bridge (bukan routing). Namun, Mikrotik RouterOS sendiri didesain bekerja
dengan sangat baik pada mode routing. Kita perlu melakukan beberapa hal supaya link
wireless kita bisa bekerja untuk mode bridge.
Mode bridge memungkinkan network yang satu tergabung dengan network di sisi satunya
secara transparan, tanpa perlu melalui routing, sehingga mesin yang ada di network yang
satu bisa memiliki IP Address yang berada dalam 1 subnet yang sama dengan sisi lainnya.
Namun, jika jaringan wireless kita sudah cukup besar, mode bridge ini akan membuat traffic
wireless meningkat, mengingat akan ada banyak traffic broadcast dari network yang satu ke
network lainnya. Untuk jaringan yang sudah cukup besar, kita menyarankan penggunaan
mode routing.
Berikut ini adalah diagram network yang akan kita set.
Konfigurasi Pada Access Point
1. Buatlah sebuah interface bridge yang baru, berilah nama bridge1
2. Masukkan ethernet ke dalam interface bridge
Nubielab.com [email protected] Page 11
3. Masukkan IP Address pada interface bridge1
4. Selanjutnya adalah setting wireless interface. Kliklah pada menu Wireless (1),
pilihlah tab interface (2) lalu double click pada nama interface wireless yang akan
digunakan (3). Pilihlah mode AP-bridge (4), tentukanlah ssid (5), band 2.4GHz-B/G
(6), dan frekuensi yang akan digunakan (7). Jangan lupa mengaktifkan default
authenticated (8) dan default forward (9). Lalu aktifkankanlah interface wireless
(10) dan klik OK (11).
5. Berikutnya adalah konfigurasi WDS pada wireless interface yang digunakan.
Bukalah kembali konfigurasi wireless seperti langkah di atas, pilihlah tab WDS (1).
Tentukanlah WDS Mode dynamic (2) dan pilihlah bridge interface untuk WDS ini
(3). Lalu tekan tombol OK.
Nubielab.com [email protected] Page 12
6. Langkah selanjutnya adalah menambahkan virtual interface WDS. Tambahkan
interface WDS baru seperti pada gambar, lalu pilihlah interface wireless yang kita
gunakan untuk WDS ini. Lalu tekan OK.
7. Jika WDS telah ditambahkan, maka akan tampak interface WDS baru seperti pada
gambar di bawah.
Konfigurasi pada Wireless Station
Konfigurasi pada wireless station hampir sama dengan langkah-langkah di atas,
kecuali pada langkah memasukkan IP Address dan konfigurasi wirelessnya. Pada
konfigurasi station, mode yang digunakan adalah station-wds, frekuensi tidak perlu
ditentukan, namun harus menentukan scan-list di mana frekuensi pada access point
masuk dalam scan list ini. Misalnya pada access point kita menentukan frekuensi
2412, maka tuliskanlah scan-list 2400-2500.
Nubielab.com [email protected] Page 13
Pengecekan link
Jika link wireless yang kita buat sudah bekerja dengan baik, maka pada menu
wireless, akan muncul status R (lihat gambar di bawah).
Selain itu, mac-address dari wireless yang terkoneksi juga bisa dilihat pada jendela
registration (lihat gambar di bawah).
Konfigurasi keamanan jaringan wireless
Pada Mikrotik, cara paling mudah untuk menjaga keamanan jaringan adalah dengan
mendaftarkan mac-address wireless pasangan pada access list. Hal ini harus
dilakukan pada sisi access point maupun pada sisi client. Jika penginputan access-
list telah dilakukan, maka matikanlah fitur default authenticated pada wireless,
maka wireless lain yang mac addressnya tidak terdaftar tidak akan bisa terkoneksi
ke jaringan kita.
Jika kita menginginkan fitur keamanan yang lebih baik, kita juga bisa menggunakan
enkripsi baik WEP maupun WPA.
Nubielab.com [email protected] Page 14
Static Routing Multiple Gateway – Mikrotik
Melakukan Static Routing 2 koneksi (wireless-adsl) ke 2 tujuan (IIX-intl)..
Asumsi adsl untuk koneksi international, wireless untuk koneksi lokal (IIX)
Asumsi 3 interface (Router OS Box) ..
public –>terhubung dengan lan port router adsl
public-wireless, –>terhubung dengan radio client-infrastructure/ client-bridge yang
terasosiasi dengan ap di pihak ISP
local –> terhubung dengan Swicth ke Jaringan Lokal
Asumsi IP Address
public 202.xx.xx.62/30 –>gateway 202.xx.xx.61 (ip lan modem adsl)
public-wireless 172.xx.xx.2/29 –> gateway 172.xx.xx.1 (ip local router isp)
lan 192.168.10.1/24 –> berfungsi sebagai gateway untuk jaringan local..
Kalau gua lebih prefer pakai static-routing, pernah sih coba2 pake routing-mark
melalui mangle .. kitangnya tidak berhasil…
Static Routing
Untuk melakukan static routing iix-intl yg pertama harus kita ketahui adalah IP2
apa saja yang termasuk ke dalam IP blok IIX.. daftar lengkapnya terupdate dapat
diakses melalui fasilitas looking glass (nice) yg salah satunya bisa diakses di
http://lg.mohonmaaf.com , klik submit keluar deh.
Update sekarang di http://lg.mohonmaaf.com sudah ada script untuk Router OS,
tinggal edit gatewaynya aja..
Network Next Hop Metric LocPrf Weight Path
*> 58.65.240.0/24 218.100.27.242 0 1000 0 24535 i
*> 58.65.241.0/24 218.100.27.242 0 1000 0 24535 i
*> 58.65.242.0/24 218.100.27.242 0 1000 0 24535 i
*> 58.65.243.0/24 218.100.27.242 0 1000 0 24535 i
*> 58.65.244.0/24 218.100.27.242 0 1000 0 24535 i
*> 58.65.245.0/24 218.100.27.242 0 1000 0 24535 i
*> 58.65.246.0/24 218.100.27.242 0 1000 0 24535 i
*> 58.65.247.0/24 218.100.27.242 0 1000 0 24535 i
Masih banyak lagi…
Yang di bawah kolom Network adalah ip blok yang termasuk ke dalam IIX.
Di mikrotik masukkan terlebih dahulu default gatewaynya.. (default routing) dalam
kasus ini adalah
/ ip route add dst-address=0.0.0.0/0 gateway=202.xx.xx.61 comment=”Default”
disabled=no
kemudian masukkan ip-blok yg tadi di dapat dari nice ke dalam tabel routing, biar
gampang pake excel seperti yg bro diatas bilang bisa …dalam kasus ini seperti
berikut;
/ ip route
add dst-address=58.65.240.0/24 gateway=172.xx.xx.1 scope=255 target-scope=10 \
comment=”Gateway IIX” disabled=no
add dst-address=58.65.241.0/24 gateway=172.xx.xx.1 scope=255 target-scope=10 \
comment=”Gateway IIX” disabled=no
add dst-address=58.65.242.0/24 gateway=172.xx.xx.1 scope=255 target-scope=10 \
comment=”Gateway IIX” disabled=no
add dst-address=58.65.243.0/24 gateway=172.xx.xx.1 scope=255 target-scope=10 \
comment=”Gateway IIX” disabled=no
add dst-address=58.65.244.0/24 gateway=172.xx.xx.1 scope=255 target-scope=10 \
comment=”Gateway IIX” disabled=no
add dst-address=58.65.245.0/24 gateway=172.xx.xx.1 scope=255 target-scope=10 \
comment=”Gateway IIX” disabled=no
Nubielab.com [email protected] Page 15
add dst-address=58.65.246.0/24 gateway=172.xx.xx.1 scope=255 target-scope=10 \
comment=”Gateway IIX” disabled=no
…… dan seterusnya
Dikasih comment Gateway IIX untuk implementasi netwatch kl link wireless putus,
akan digambarkan belakangan… skript yg mungkin gak update bisa diliahat di
http://indoupload.net/files/1/Router…ix-routing.rsc
Jangan lupa gantikan 172.xx.xx.1 dengan gateway wireless anda
, kalau pake ultraedit Ctrl-R .. find&replace , kopi dan paste di ssh router os atau
terminal…
Setelah static routing dimasukkan maka otomatis permintaan ke IIX akan memakai
gateway 172.xx.xx.1 dan permintaan ke intl akan memakai gateway 202.xx.xx.61,
jika di traceroute dari routernya akan terlihat seperti ini;
Untuk Intl..
[remo@nubielab] > /tool traceroute google.com
ADDRESS STATUS
1 202.xx.xx.61 2ms 1ms 1ms
2 202.xx.xx.33 61ms 85ms 64ms
3 202.xx.xx.230 67ms 59ms 67ms
4 202.xx.xx.233 57ms 61ms 73ms
5 202.xx.xx.1 65ms 68ms 63ms
.. dan seterusnya ada kira2 20 hop
Untuk IIX
[remo@nubielab] > /tool traceroute boleh.com
ADDRESS STATUS
1 172.xx.xx.1 4ms 3ms 2ms
2 202.xx.xx.105 15ms 5ms 10ms
3 202.xx.xx.1 6ms 10ms 7ms
4 202.xx.xx.141 11ms 7ms 7ms
5 218.xx.xx.173 7ms 10ms 13ms
6 202.xx.xx.6 8ms 6ms 10ms
ada 6 hop
Apabila koneksi wirelessnya rentan putus, atau link adsl lebih stabil gua
menganjurkan untuk melakukan static routing ip2 dns ke gateway adsl (meskipun
ip2 tersebut masuk ke golongan lokal)…
Disable Static Routing Gateway IIX
Berhubung koneksi kabel harusnya lebih stabil dari koneksi wireless, artinya ada
juga putusnya, maka ada baiknya apabila kita berjaga-jaga agar koneksi lokal tidak
ikut terputus apabila link wireless nya putus.
Dalam contoh ini fasilitas yang digunakan adalah /tool netwatch .. melakukan ping
ke gateway IIX atau pun IP yg terletak di Cyber (apabila backhaul ISP juga
menggunakan wireless yg rentan putus) dalam contoh ini adalah 202.xx.xx.141
(lihat hasil traceroute lokal no.4)..
Ping dilakukan secara periodik misalnya 15 detik sekali dengan batasan time-out
100ms.
Apabila link terputus.. baik link antara kita dengan ISP atau ISP dengan Cyber,
maka status di netwatch akan berubah menjadi down, dan akan menjalankan script
yang mendisable entry static routing yang memiliki coment “Gateway
IIX”…Apabila telah up kembali maka status berubah menjadi up dan akan
menjalan script yang mengenable..
/ tool netwatch
add host=172.xx.xx.1 timeout=100ms interval=15s \
Nubielab.com [email protected] Page 16
up-script=”/ip route enable \[/ip route find \
comment=\"Gateway IIX\"\]” down-script=”/ip route \
disable \[/ip route find comment=\"Gateway IIX\"\]” \
comment=”Ping Gateway IIX” disabled=no
Jangan lupa ganti 172.xx.xx.1 dengan gateway wirelessnya…
Update routing untuk IP Blok modem ADSL kita jangan lupa diarahkan ke gateway
modem/router ADSL, juga ada kasus dimana koneksi ADSL menjadi tidak stabil /
sering putus setelah static routing diterapkan, belum diketahui sebabnya kenapa,
namun cara menanggulanginya adalah dengan melakukan ping ke salah satu IP
yang terdapat di jalur ADSL (periksa melalui traceroute), secara rutin (misal setiap
60 detik).
Sumber : www.mikrotik.co.id
Mark Routing di Mikrotik
Pada prinsipnya jika kita menggunakan satu router untuk beberapa koneksi kita
harus membedakan antara koneksi ke ISP yang satu dan yang lainnya, agar tidak
terjadi kacawnya jalur dari / ke IP tersebut. Langsung saja coba kita praktekkan sbb
:
1. Tentukan Ip address di masing masing ethernet :
/ip address pr
Flags: X – disabled, I – invalid, D – dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 ;;; Ip LAN
192.168.0.1/24 192.168.0.0 192.168.0.255 Eth1
1 ;;; Ip LAN
172.168.0.1/24 172.168.0.0 172.168.0.255 Eth2
2. Lakukan mark routing pada ip firewall mangel
0 add chain=prerouting action=mark-routing new-routing-mark=dari-eth1
passthrough=no src-address=192.168.0.1/24
1 add chain=prerouting action=mark-routing new-routing-mark=dari-eth2
passthrough=no src-address=172.168.0.1/24
3. Lakukan Ip route agar masing – masing IP ke jalur yang baik dan benar
lalu lakukan add route :
Destination : 0.0.0.0/0
Gateway : 192.168.0.1
Routing mark : dari-eth1
untuk eth1 seharusnya sudah melalui jalur eth1 tersebut, selanjutnya di buat untuk
routing mark ke eth2 sama spt cara di atas
Destination : 0.0.0.0/0
Gateway : 172.168.0.1
Routing mark : dari-eth2