Tampilkan postingan dengan label Firewall Mikrotik. Tampilkan semua postingan
Tampilkan postingan dengan label Firewall Mikrotik. Tampilkan semua postingan

Selasa, 09 Juni 2015

Tutorial Port Forwarding Mikrotik untuk Akses HTTP, RDP & VNC

Tutorial Mikrotik kali ini Saya akan bahas tentang Port Forwarding pada Mikrotik. Ada yang tau apa itu Port Forwarding? 

Pengertian Port Forwarding

Port Forwarding adalah salah satu fitur pada Router yang menggunakan fungsi NAT (Network Access Translation) yang mengalihkan (redirect) permintaan komunikasi dari salah satu IP Address atau Port tertentu yang melewati firewall Router dan dialihkan ke IP Address lain dan port lain/sama.
Mudeng ga? 

Gampangan nya gini gan. Saya punya Router Mikrotik yang melayani Client dimana client tersebut mempunyai beberapa aplikasi yang mau saya gunakan yaitu http, Remote Desktop Protocol (RDP) dan VNC. Sementara client tersebut IP nya berada di bawah NAT yang berarti tidak dapat diakses dari luar Router.

IP Mikrotik : 10.6.51.114
IP Client : 192.168.1.254


Saya ingin mengakses web server di client 192.168.1.254 dari PC lain di network 10.6.51.0/24. Karena client di NAT maka PC dari network 10.6.51.0/24 tidak bisa ping apalagi akses ke client. Topologi nya seperti gambar di atas.

Nah untuk bisa mengakses aplikasi di client, maka di Mikrotik perlu diseting port forwarding dimana, Mikrotik akan mem-forward port HTTP, RDP, dan VNC ke client. Sehingga nantinya IP client akan diwakili oleh IP Mikrotik.

Atau lebih gampangnya gini, saya punya Web Server di jaringan lokal (intranet) dan saya ingin Server tersebut bisa diakses dari Internet. Maka saya harus mem-forward port 80 di Router ke port 80 di Server saya, supaya ketika orang-orang mengakses IP Router langsung diarahkan ke Web Server nya.

Oke, cukup ya penjelasannya.

Maksud dan Tujuan

Mengakses aplikasi di Client yang menggunakan Port HTTP (80), RDP (3389), VNC (5900) dari network lain diluar NAT.

Cara dan Metode

Menggunakan salah satu aplikasi NAT yaitu DST-NAT untuk Port Forwarding port 80, 3389, dan 5900 di Mikrotik.

Tutorial Mikrotik Port Forwarding

Berikut adalah Tutorial Port Forwarding Mikrotik untuk Akses Web (HTTP), Remote Desktop (RDP) & VNC.

1. Pastikan Mikrtoik sudah dapat terkoneksi ke jaringan LAN (Intranet) dan WAN (Internet).
2. Untuk konfigurasi Port Forwarding Web (HTTP port 80) berikut seting nya :
- Pada Winbox Masuk ke menu IP --> Firewall --> NAT --> Add Rule :
=> Tab General
- Chain : dstnat
- Dst. Address : 10.6.51.114 (IP Address Mikrotik)
- Protocol : tcp
- Dst. Port : 80


=> Tab Action
- Action : dst-nat
- To Addresses : 192.168.1.254 (IP PC Client)
- To Ports : 80



Atau bisa pakai code berikut di terminal :
/ip firewall nat
add action=dst-nat chain=dstnat comment="Forward HTTP Connection" \
    dst-address=10.6.51.114 dst-port=80 protocol=tcp to-addresses=\
    192.168.1.254 to-ports=80
Namun jika mengaktifkan fitur ini, maka halaman webfig Mikrotik tidak dapat diakses, karena port service webfig di-forward ke client. Seperti pada gambar berikut ini :


Nah untuk mengatasi hal ini, bisa ganti port 80 webfig ke port lain, misal port 88.
Masuk ke menu IP --> Services --> www --> ganti port ke 88.



Untuk mengakses nya, pada web browser masukkan ipaddress:88.


3. Untuk konfigurasi Port Forwarding Remote Desktop Protocol  (RDP) menggunakan port tcp 3389. Seting nya seperti berikut :
  /ip firewall nat
 add action=dst-nat chain=dstnat comment="Forward RDP Connection" dst-address=\
    10.6.51.114 protocol=rdp to-addresses=192.168.1.254

4. Selanjutnya konfigurasi port forwarding VNC. Port Default RealVNC adalah tcp 5900.
/ip firewall nat
 add action=dst-nat chain=dstnat comment="Forward VNC Connection" dst-address=\
    10.6.51.114 dst-port=5900 protocol=tcp to-addresses=192.168.1.254 \
    to-ports=5900
 5. Seting port forwarding sudah selesai. Silakan dicoba untuk mengakses HTTP, RDP, dan VNC nya.

Contoh hasil Port Forwarding HTTP, RDP, dan VNC beserta tutorial Port Forwarding Mikrotik selengkapnya silakan lihat di Video Tutorial Mikrotik ini :


Read more

Minggu, 07 Juni 2015

Tutorial Mikrotik : Menggabungkan & Menambahkan Koneksi 2 ISP + Failover

Bagaimana cara menggabungkan sekaligus menambahkan koneksi dari 2 ISP yang berbeda menjadi 1 dan jika salah satu putus link tidak down? Pertanyaan ini lah yang akan kita cari jawabannya dan kita ulas di Tutorial Mikrotik Indonesia kali ini.

Pada Tutorial Mikrotik kali ini, saya menggunakan 2 koneksi Internet dari 2 ISP yang berbeda.
ISP 1 = Three mobile broadband (USB Modem) --> port usb1
IP Address : Dynamic

ISP 2 = Telkomsel Flash (Android Tethering) --> port wlan1
IP Address : 192.168.43.1

Perangkat yang saya gunakan adalah Mikrotik RB751U-2HND. Perangkat ini memiliki 5 Port ethernet, 1 wlan, dan 1 port USB. Ketiga port ini akan kita gunakan untuk membangun sistem Dual ISP + Failover.

Disini saya coba menggunakan USB Modem sebagai koneksi ke ISP Three, dan wlan1 untuk koneksi dari HP Android ke ISP Telkomsel. Jika anda ingin menggunakan port ethernet saja atau port lainnya silakan dapat Anda sesuaikan sendiri setingan di tutorial ini.

Interface yang digunakan :
1. ppp-out --> koneksi ke ISP1
2. wlan1 --> koneksi ke ISP 2
3. ether2 --> koneksi ke client

Langsung saja ke Tutorial Mikrotik : Menggabungkan & Menambahkan Koneksi 2 ISP + Failover berikut ini :

1. Sebelum mulai, saya sarankan untuk me-reset Mikrotik Anda ke konfigurasi awal, agar tidak terjadi error setelah konfigurasi.
2. Masuk ke Mikrotik via Winbox --> Aktifkan interface wlan1 dan ppp-out.
3. Setting ppp-out dengan konfigurasi :
- Name : TRI
- APN : 3 data
- Phone : *99#
- username : 3data
- password : 3data
4. Setting wlan1 koneksikan dengan Android Tethering --> ganti nama wlan1 menjadi TSEL.
5. Buat DHCP Client untuk wlan1 (TSEL) --> IP --> DHCP Client --> Add
6. Tambahkan IP Address untuk ether2
7. Buat DHCP Server untuk ether2
8. Buat Mangle dengan script berikut. Silakan sesuaikan dengan nama interface yang anda gunakan :
/ip firewall mangle
add action=mark-connection chain=input in-interface=TSEL new-connection-mark=\
    ISP2_Conn
add action=mark-connection chain=input in-interface=TRI new-connection-mark=\
    ISP1_Conn
add action=mark-routing chain=output connection-mark=ISP1_Conn \
    new-routing-mark=to_ISP1 passthrough=no
add action=mark-routing chain=output connection-mark=ISP2_Conn \
    new-routing-mark=to_ISP2 passthrough=no
add chain=prerouting dst-address=10.85.187.58 in-interface=ether2
add chain=prerouting dst-address=192.168.43.0/24 in-interface=ether2
add action=mark-connection chain=prerouting dst-address-type=!local \
    in-interface=ether2 new-connection-mark=ISP1_conn \
    per-connection-classifier=both-addresses-and-ports:2/0
add action=mark-connection chain=prerouting dst-address-type=!local \
    in-interface=ether2 new-connection-mark=ISP2_conn \
    per-connection-classifier=both-addresses-and-ports:2/1
add action=mark-routing chain=prerouting connection-mark=ISP1_conn \
    in-interface=ether2 new-routing-mark=to_ISP1
add action=mark-routing chain=prerouting connection-mark=ISP2_conn \
    in-interface=ether2 new-routing-mark=to_ISP2
9. Buat NAT untuk kedua ISP tersebut dengan Script berikut :
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT ISP1" \
    out-interface=TRI
add action=masquerade chain=srcnat comment="NAT ISP2" \
    out-interface=TSEL

10. Buat Route kedua ISP untuk Failover :
/ip route
add check-gateway=ping distance=1 gateway=TRI routing-mark=to_ISP1
add check-gateway=ping distance=1 gateway=192.168.43.1 routing-mark=to_ISP2
add check-gateway=ping distance=1 gateway=TSEL
add check-gateway=ping distance=1 gateway=TRI

11. Setingan Selesai. Coba koneksi dengan bandwidth test menggunakan speedtest.net.
 

12. Coba download test menggunakan IDM.


Bagi anda yang masih bingung dengan Tutorial Mikrotik ini, silakan lihat Video Tutorial Mikrotik : Menggabungkan & Menambahkan Koneksi 2 ISP + Failover berikut ini :

Read more

Kamis, 13 November 2014

Tutorial Cara Hack Admin Mikrotik

Anda mencari Tutorial Cara Hack Admin Mikrotik? Jika iya, mungkin anda mencari cara hack Mikrotik karena anda Lupa Password Mikrotik. Atau mungkin karena ingin bisa masuk admin Mikrotik orang lain? Saya sarankan untuk hal nomor dua ini jangan anda lakukan :D. 

Oke, Jika anda Lupa Password Mikrotik, Anda masih bisa mencari password nya dengan menggunakan Cara ini Lupa Username & Password Mikrotik? Ini Solusinya. Namun jika cara itu tidak berhasil, ada dua solusi terakhir : 
1. Reset Mikrotik (Semua konfigurasi dan setingan akan hilang dan kembali ke setingan awal)

Untuk opsi pertama silakan anda reset Mikrotik nya sesuai dengan tipe masing-masing yang pasti berbeda-beda caranya.

Untuk opsi kedua, ini yang akan kita bahas kali ini. Disini kita akan hack mikrotik dengan cara lama yakni menggunakan metode word list dengan tool brutus. Tool brutus ini mungkin sudah ga asing lagi bagi anda yang berkecipung di dunia internet. Dengan tool ini kita akan mengira-ngira username dan password apa yang mungkin digunakan, kemudian tool ini akan mencoba untuk login secara otomatis sebanyak perkiraaan username dan password itu. Jadi kita tidak perlu login manual berkali-kali.

Langkah-langkah Tutorial Cara Hack Admin Mikrotik adalah sebagai berikut :

1. Download tool brutus disini.

2. Extract file download nya

3. Di dalam folder hasil extract terdapat beberapa file .txt. Buka users.txt dan words.txt.

4. Masukkan kemungkinan / perkiraan username pada users.txt --> Save



5. Masukkan kemungkinan / perkiraan password pada words.txt --> Save



6. Buka tool brutus :
- Target : isikan IP address target yang mau di hack

- Type : pilih type autentikasi yang mau digunakan. Dalam hal ini gunakan Telnet.

- Authentication Options : User File (Cari file users.txt) Pass File (Cari file words.txt)

7. Klik Start untuk memulai serangan hack.
8. Tunggu beberapa saat. Lama tidaknya proses serangan tergantung dari banyaknya kombinasi user dan pass yang digunakan.

9. Jika serangana hack sukses, maka hasil username dan password dari mikrotik akan muncul di kolom Positive Authentication Results.

 
10. Coba masuk ke mikrotik dengan user dan pass hasil hack tadi.


11. Pada log dan terminal akan muncul banyak notifikasi gagal login yang disebabkan oleh serangan brutus.

12. Kita bisa hilangkan log itu dengan trik ini : Cara Menghilangkan Log Mikrotik

Oke, selesai sudah. Trik hack mikrotik ini bisa berjalan sukses jika digunakan untuk mencari username dan password kita yang lupa, karena kita akan tau perkiraan kombinasi username dan password yang digunakan, sehingga kesempatan untuk berhasil akan lebih besar dibandingkan jika kita mau meng-hack mikrotik orang lain.

Semoga Tutorial Cara Hack Mikrotik menggunakan brutus ini bermanfaat :) 
Read more

Senin, 13 Oktober 2014

Cara Memproteksi Mikrotik dari Serangan Hacker dengan Port Knocking

Proteksi dan keamanan pada router Mikrotik sangatlah penting untuk menjaga kelangsungan jaringan komputer kita. Terutama untuk menjaga router Mikrotik dari serangan hacker dan orang yang tidak bertanggunga jawab. Salah satu cara untuk memproteksi Mikrotik dari Serangan Hacker yaitu dengan menggunakan Port Knocking.

Port Knocking adalah salah satu cara untuk memproteksi router mikrotik dari hacking ataupun brute force dengan melakukan blocking pada Telnet, Mac Telnet, SSH ataupun Winbox, dan hanya membuka akses tersebut hanya untuk administrator saja. Dengan cara ini network administrator dapat melakukan perubahan setting di router secara lebih aman.

Caranya adalah dengan memblok port Telnet, Mac Telnet, SSH ataupun Winbox dan ketika admin ingin melakukan konfigurasi di mikrotik maka harus mengirimkan paket ICMP / ping dan juga port 80 / mengakses IP router di browser agar port tersebut dibuka. Jadi kita akan Mencegah Serangan Hacker dengan Firewall Mikrotik.

Berikut adalah Langkah-langkah Cara Memproteksi Mikrotik dari Serangan Hacker dengan Port Knocking :

1. Login ke Mikrotik via Winbox. Masuk ke Menu IP --> Firewall --> pada tab Filter --> Add (+) rule.

2. Pada tab General :
- Chain : input
- Protocol : icmp



3. Pada tab Action :
- Action : add src to address list
- Address List : ICMP
- Timeout : 00:01:00 (1 menit)
- Apply --> OK



4. Rule diatas berfungsi agar setiap orang yang mengirimkan paket ICMP untuk request buka port hanya valid selama 1 menit, dan nantinya IP tersebut akan masuk ke dalam Address List di Firewall mikrotik.

5. Kita tambahkan juga rule agar router meminta Anda untuk mengirimkan request dengan menggunakan port 80 atau mengakses ip router di web.

6. Tambahkan rule kedua. Pada tab General :
- Chain : input
- Protocol : tcp
- Dst. Port : 80


7. Pada tab Advanced :
- Src. Address List : ICMP


8. Pada tab Action :
- Action : add src to address list
- Address List : ICMP + HTTP
- Timeout : 00:01:00


9. Sekarang kita tambahkan rule ketiga agar Mikrotik dapat mengenali IP admin yang mengirimkan request ICMP dan mengirimkan Web request yang berfungsi untuk membuka port SSH, Telnet dan Winbox.

10. Pada tab General :
- Chain : input
- Protocol : tcp
- Dst. Port : 80,22,8291



11. Pada tab Advanced :
- Src. Address List : ! ICMP + HTTP (Jangan lupa klik kotak sampai muncul tanda "!")



12. Pada tab Action
- Action : drop


13.  Setelah semua rule tersebut dibuat, susunan rule nya adalah seperti ini :


14. Sekarang kita coba uji rule Port Knocking ini. Close Winbox --> Buka Putty (SSH) --> Login ke Mikrotik via Putty. Coba juga login lagi via Winbox. Hasilnya kita tidak bisa login.


15. Agar kita bisa login, buka CMD --> ke IP address Mikrotik --> Buka web Browser --> akses IP Mikrotik melalui web browser.


16. Sekarang kita coba lagi login via Winbox maupun Putty (SSH). Hasilnya kita bisa login. Coba cek ke address list (IP --> Firewall --> tab Address List). IP kita akan terekam di address list selama 1 menit.


17. PERHATIAN INI PENTING!!! Karena IP address kita hanya terekam selama 1 menit saja di address list, maka agar kita bisa tetap login di Mikrotik, rule terakhir harus di disable dulu. Jika tidak, maka setelah 1 menit winbox akan disconnect.




18. Setelah kita selesai mengkonfigurasi Mikrotik, sebelum log off Winbox jangan lupa kita aktifkan (enable) lagi rule ketiga agar proteksi Port Knocking dapat berjalan kembali.

Demikian Tutorial Mikrotik Indonesia tentang Cara Memproteksi Mikrotik dari Serangan Hacker dengan Port Knocking. Silakan dicoba dan diterapkan di Mikrotik masing-masing untuk mencegah Hacking Mikrotik.

Sumber :
http://mediabisnisonline.com/lindungi-router-mikrotik-anda-dari-hacker-dengan-port-knocking/
Read more

Senin, 11 Agustus 2014

Penjelasan Queue Tree & PCQ serta Penerapannya di Mikrotik

Pengaturan dan managemen Bandwidth di Mikrotik tidak dapat lepas dari fitur Queue. Ada dua jenis Queue yang dapat digunakan di Mikrotik, yaitu Simple Queue dan Queue Tree. Untuk penjelasan tentang Simple Queue sudah pernah saya bahas disini :
Cara Membatasi (Limit) Bandwidth Mikrotik dengan Simple Queue
Nah, kali ini kita akan membahas Penjelasan Queue Tree & PCQ (Per Connection Queue) serta Penerapannya di Mikrotik.

Queue Tree 

Queue Tree berfungsi untuk mengimplementasikan fungsi yang lebih komplex dalam limit bandwidth pada mikrotik dimana penggunaan packet mark nya memiliki fungsi yang lebih baik. Digunakan untuk membatasi satu arah koneksi saja baik itu download maupun upload. Secara umum Queue Tree ini tidak terlihat berbeda dari Simple Queue.

Perbedaan yang bisa kita lihat langsung yaitu hanya dari sisi cara pakai atau penggunaannya saja. Dimana Queue Simple secara khusus memang dirancang untuk kemudahan konfigurasi sementara Queue Tree dirancang untuk melaksanakan tugas antrian yang lebih kompleks dan butuh pemahaman yang baik tentang aliran trafik.


Beberapa Perbedaan Simple Queue dan Queue Tree :
1. Queue Simple
  • Memiliki aturan urutan yang sangat ketat, antrian diproses mulai dari yang paling atas sampai yang paling bawah.
  • Mengatur aliran paket secara bidirectional (dua arah).
  • Mampu membatasi trafik berdasarkan alamat IP.
  • Satu antrian mampu membatasi trafik dua arah sekaligus (upload/download).
  • Jika menggunakan Queue Simple dan Queue Tree secara bersama-sama, Queue Simple akan diproses lebih dulu dibandingkan Queue Tree.
  • Mendukung penggunaan PCQ sehingga mampu membagi bandwidth secara adil dan merata.
  • Bisa menerapkan antrian yang ditandai melalui paket di /firewall mangle.
  • Mampu membagi bandwidth secara fixed.
  • Sesuai namanya, pengaturannya sangat sederhana dan cenderung statis, sangat cocok untuk admin yang tidak mau ribet dengan traffic control di /firewall mangle.
2. Queue Tree
  • Tidak memiliki urutan, setiap antrian akan diproses secara bersama-sama.
  • Mengatur aliran paket secara directional (satu arah)
  • Membutuhkan pengaturan /firewall mangle untuk membatasi trafik per IP.
  • Membutuhkan pengaturan /firewall mangle terlebih dahulu untuk membedakan trafik download dan upload.
  • Dinomorduakan setelah Queue Simple.
  • Mendukung penggunaan PCQ sehingga mampu membagi bandwidth secara adil dan merata.
  • Pengaturan antrian murni melalui paket yang ditandai di /firewall mangle.
  • Mampu membagi bandwidth secara fixed.
  • Lebih fleksibel dan butuh pemahaman yang baik di /firewall mangle khususnya tentang traffic control.

http://mikrotikindo.blogspot.com/

Penjelasan beberapa argumen di Queue Tree :
1. Parent : berguna untuk menentukan apakah queue yang dipilih bertugas sebagai child queue
Ada beberapa pilihan default di parent queue tree yang biasanya digunakan untuk induk queue:
- Global-in :
Mewakili semua input interface pada umumnya. Maksudnya disini interface yang menerima input data/trafik sebelum difilter seperti trafik upload
 - Global-out :
Mewakili semua output interface pada umumnya. Maksudnya disini interface yang mengeluarkan output data/trafik yang sudah difilter seperti trafik download
- Global-total :
Mewakili semua input dan output interface secara bersama, dengan kata lain merupakan penyatuan dari global-in dan global-out.                                  
 - <interface name>: ex: lan atau wan :
Mewakili salah satu interface keluar. Maksudnya disini hanya trafik yang keluar dari interface ini yang akan diqueue.

2. Packet Mark : Digunakan untuk menandai paket yang sudah ditandai di /ip firewall mangle.

3. Priority ( 1 s/d 8) : Digunakan untuk memprioritaskan child queue dari child queue lainnya. Priority tidak bekerja pada induk queue. Child Queue yang mempunyai priority satu (1) akan mencapai limit-at lebih dulu dari pada child queue yang berpriority (2).

4. Queue Type : Digunakan untuk memilih type queue yang bisa dibuat secara khusus dibagian queue types
- Limit At : Bandwidth minimal yang diperoleh oleh target/ip yang diqueue
- Max Limit : Bandwidth maksimal yang bisa dicapai oleh target/ip yang diqueue.
- Burst limit : Bandwidth maksimal yang bisa dicapai oleh target/ip yang diqueue ketika burst sedang aktif
- Burst time : Periode waktu dalam detik, dimana  data Rate rata-rata dikalkulasikan.
- Burst Threshold : Digunakan ketika data Rate dibawah nilai burst threshold maka burst diperbolehkan.Ketika data Rate sama dengan nilai burst threshold burst dilarang. Untuk mengoptimalkan burst nilai burst threshold harus diatas nilai Limit At dan dibawah nilai
Max Limit.


PCQ (Per Connection Queuing) 

Digunakan untuk mengenali arah arus dan digunakan karena dapat membagai bandwidth secara adil, merata dan masif. PCQ pada mikrotik digunakan bersamaan dengan fitur Queue, baik Simple Queue maupun Queue Tree.

Untuk lebih mudah memahami konsep PCQ, silakan simak analogi berikut ini :
Saya punya 10 PC yang akan saya bagikan bandwidth maksimal 1 Mb dan bandwidth minimal tiap PC 256 kb. Jika hanya satu PC saya yang online maka dia akan dapat BW max 1 Mb, namun jika ada dua PC yang online BW dibagi 2, dan seterusnya hingga 10 dengan pembagian bandwidth yang merata.

Nah, untuk membuat konfigurasi seperti ini, saya harus membuat 1 rule parent Queue dan 10 rule child Queue untuk tiap client. Untuk kondisi sekarang yang hanya 10 PC it's ok, ga masalah. Namun bayangkan jika PC nya ada 100? 200? Gimana kalau yang saya kelola adalah jaringan WiFi Hotspot dengan client yg ga tentu jumlah nya? Apa iya saya harus membuat ratusan rule untuk tiap client? Capek dongg..

Oleh karena itu, saya dapat gunakan fitur PCQ ini untuk melakukan manajemen bandwidth secara massive kepada semua client secara besar-besaran. Dengan menggunakan PCQ ini, walaupun jumlah client tidak tentu dan sangat banyak, kita hanya perlu membuat satu atau dua konfigurasi Queue. Enak kan?


Penjelasan Beberapa Argumen di PCQ :

PCQ Classifier berfungsi mengklasifikasikan arah koneksi, Misalnya jika Classifier yang digunakan adalah src-address pada Local interface, maka aliran pcq akan menjadi koneksi upload. Begitu juga dgn dst-address akan menjadi pcq download.

PCQ rate berfungsi untuk membatasi bandwidth maksimum yang bisa didapatkan. Dengan memasukkan angka pada rate ini (default: 0) maka maksimal download yang akan didapatkan per IP akan dibatasi mis. 128k (kbps).



Limit berfungsi untuk membatasi jumlah koneksi paralel yang diperkenankan bagi tiap IP. artinya bila kita meletakkan nilai 50, maka cuma 50 koneksi simultan yang bisa didapat oleh 1 IP address (baik itu source / destination).

Total Limit adalah total keseluruhan koneksi paralel yang diperkenankan untuk seluruh ip addresss (baik itu source ataupun destination).

Contoh penerapan PCQ dan Queue Tree di Mikrotik :

Menggabungkan fitur Layer7 dan packet marking menggunakan mangle untuk menandai file yang biasa di download untuk kemudian dibatasi bandwidth download menggunakan Queue Tree + PCQ. Sehingga tiap client akan mendapatkan koneksi limited download dan unlimited browsing.

http://mikrotikindo.blogspot.com/2014/01/tutorial-mikrotik-limited-download-unlimited-browsing.html

Tutorial Bandwidth Mikrotik : Limited Download, Unlimited Browsing Menggunakan Layer 7

Referensi :
http://learningbytutz.blogspot.com/2012/03/memahami-queue-tree-dan-pcq-di-mikrotik.html
http://www.alkomp.net/2014/03/perbedaan-queue-simple-dan-queue-tree.html
Read more

Minggu, 10 Agustus 2014

Cara Memblokir/Membatasi Koneksi IDM di Mikrotik

Memblokir/Membatasi koneksi Internet Download Manager (IDM) di Mikrotik dapat dilakukan menggunakan Layer7 protocol. Jika seorang user melakukan download menggunakan IDM, maka ia dapat menggunakan 16 koneksi sekaligus untuk mendownload file. Hal ini tentunya akan menguras bandwidth yang sudah dialokasikan, sehingga user lain yang tidak download akan terganggu karena koneksi yang lemot.

Nah, untuk mengatasi hal itu, kita dapat membatasi koneksi Internet Download Manager (IDM) menggunakan Layer7 Mikrotik. Caranya dengan menggabungkan fitur Layer7 protocol dengan Firewall filter Mikrotik. Silakan simak caranya berikut ini :

1. Sebelum mulai, kita coba mendownload sebuah file menggunakan IDM dengan 16 koneksi.


2. Selanjutnya, Buka Winbox, masuk ke menu IP --> Firewall --> Tab Layer7. Tambahkan rule baru.
Silakan masukkan setingan seperti berikut ini :


Name : Limit IDM
Regexp :
get /.*(user-agent: mozilla/4.0|range: bytes=)

3. Masuk ke tab Filter. Tambah rule baru. 
=> Pada tab General :
- Chain : Forward
- Protocol : TCP



=> Pada tab Advanced :
- Layer7 Pilih nama Layer7 yang sebelumnya dibuat.



=> Pada tab Extra :
- Limit : 2 (berapa koneksi yang mau dibuka)
- Netmask : 32



=> Pada tab Action :
- Action : drop



4. Setelah setingan dibuat dan dijalankan pada Mikrotik, silakan coba download lagi.

5. Hasilnya, koneksi yang digunakan oleh IDM akan berkurang menjadi 2 koneksi saja.


Oke sekian dulu tutorial mikrotik Indonesia tentang Cara Memblokir/Membatasi Koneksi IDM di Mikrotik. Selamat mencoba :)
Read more

Rabu, 02 Juli 2014

Cara Mengkoneksikan Mikrotik ke Internet

Bagaimana cara mengkoneksikan Mikrotik ke Internet? Mungkin pertanyaan ini pernah muncul ketika anda baru menggunakan Mikrotik. Ada beberapa cara yang dapat ditempuh untuk mengkoneksikan Mikrotik ke Internet. Cara-cara tersebut bergantung pada modem atau perangkat yang digunakan untuk terkoneksi dengan internet.

Secara umum cara mengkoneksikan Mikrotik ke Internet adalah sebagai berikut :

1. Pastikan dulu sumber koneksi internet. Apakah dari modem ADSL (misalnya Speedy) atau dari modem USB.

2. Jika anda menggunakan Modem USB untuk koneksi ke Internet, silakan baca artikel disini.

3. Jika sumber koneksi internet menggunakan Speedy yang menggunakan PPPoE, maka seting Mikrotik silakan baca disini.

4. Jika sumber koneksi Internet langsung tanpa seting modem dulu, seperti koneksi dari modem Speedy atau Router 3G, dimana tidak perlu tambahan seting di Mikrotik maka lanjut ke step ke 5.

5. Login ke Mikrotik via Winbox --> Masuk ke menu  IP --> DHCP Client --> Tambahkan DHCP Client dengan meng-klik menu +
- Interface : Pilih interface yang terhubung ke sumber Internet
- Use Peer DNS : Centang
- Use Peer NTP : Centang
- Add Default Route : yes


6. Setting IP address. Masuk ke menu IP --> Addresses --> Tambahkan IP address untuk interface yang menuju ke client. Disini saya contohkan memberi IP address pada interface LAN yang menuju ke Client dengan IP address 10.10.10.10/24.
Interface NAT sudah mendapatkan IP address secara otomatis karena sebagai DHCP Client dari sumber internet.



7.  Tambahkan setingan DNS Server. Masuk ke menu IP --> DNS. Karena pada step 5 kita sudah mengguakan DHCP Client dimana kolom "Use Peer DNS" dicentang, maka Mikrotik juga sudah dapat DNS Server secara otomatis dari sumber internet. 
Tapi untuk cadangan bisa tambahkan lagi pakai DNS nya Google : 8.8.8.8



8. Tambahkan setingan NAT Masquerade. Masuk ke menu IP --> Firewall --> Masuk Tab NAT --> Tambahkan rule NAT :
~ Tab General
- Chain : srcnat
- Out-interface : pilih interface yang menuju ke sumber internet
~ Tab Action
- Action : Masquerade


9. Sampai disini, Mikrotik seharusnya sudah konek ke internet. Cek koneksi dengan melakukan ping via terminal.


Demikianlah tutorial cara mengkoneksikan Mikrotik ke Internet. Ini adalah tutorial Mikrotik Dasar yang dapat anda terapkan dan silakan anda kembangkan sendiri selanjutnya.
Read more

Selasa, 17 Juni 2014

Cara Membatasi Internet Jam Kantor dengan Mikrotik

Membatasi koneksi internet di kantor terutama pada jam kerja kantor dapat dilakukan dengan menggunakan Mikrotik. Ada beberapa cara yang dapat digunakan untuk membatasi koneksi internet di Kantor dengan Mikrotik. Disini saya akan coba share Cara Membatasi Internet Jam Kantor dengan Mikrotik yang pernah saya pasang di kantor. Topologi nya seperti ini :


Sistem yang saya buat yaitu dengan membatasi akses ke situs-situs sosial media, porno, video streaming, dll pada saat jam kerja (08.00 - 12.00 & 13.30 - 16.00). Untuk detail nya sebagai berikut :

Membatasi akses :
Jam kerja pagi (08.00 – 12.00)

Membuka akses :
Jam istirahat (12.00 – 13.30)

Membatasi akses :
Jam kerja siang (13.30 – 16.00)

Membuka akses :
Jam luar kerja (16.00 – 08.00)
Pembatasan ini dimaksudkan agar karyawan dapat memanfaatkan waktu nya pada saat jam kerja untuk mengerjakan pekerjaan nya bukan untuk hal yang lain.  

Untuk membangun sistem ini, saya menggunakan beberapa tools di Mikroik dan juga bantuan dari DNS external yaitu OpenDNS dan Nawala. Disini saya menggunakan perangkat Mikrotik RB 951Ui-2Hnd yang memiliki port USB sehingga bisa menggunakan modem USB sebagai jalur internet cadangan (untuk failover).
Secara umum konfigurasi yang dilakukan adalah sebagai berikut :

1. Mengatur konfigurasi IP Address untuk jaringan Wi-Fi dan LAN pada mikrotik.
2. Menambahkan konfigurasi NTP (Network Time Protocol) Server untuk sinkronisasi waktu supaya mikrotik dapat berkerja tepat waktu. Ini sangat penting supaya script dapat dieksekusi tepat waktu.  Untuk konfigurasi NTP nya bisa lihat di gambar berikut atau bisa baca di artikel ini : Apa itu NTP? Setting NTP Client di Mikrotik


3. Konfigurasi jaringan internet di Mikrotik. Pastikan koneksi internet sudah jalan di Mikrotik. Untuk memastikannya silakan ping ke Google.com
4. Setting interface wireless mikrotik untuk share koneksi internet melalui Wi-Fi.

5. Menambahkan konfigurasi DNS Server dari OpenDNS dan Nawala sebagai filter dan memblokir konten berbahaya. Tutrorial nya silakan baca disini : Cara Mudah Memblokir Situs-situs Dewasa dengan DNS di Mikrotik


6. OpenDNS dapat digunakan untuk memfilter situs berbahaya dan memblokir akses ke situs tertentu sepeti social media, video streaming, dan lain - lain. Sementara untuk DNS Nawala hanya memblokir akses ke situs berbahaya.
7. OpenDNS digunakan saat jam kerja. DNS Nawala digunakan diluar jam kerja. Pengaturan nya menggunakan Script & Scheduller. Seting inilah yang akan dibahas pada artikel ini.

8. Mengaktifkan fitur Web Proxy untuk mempercepat koneksi internet (cache) dan memonitor konten yang diakses client. Silakan baca tutorial nya disini : Cara Membuat Transparent Proxy Mikrotik
9. Menambahkan konfigurasi firewall mikrotik untuk keamanan. Ada beberapa konfigurasi firewall yang saya gunakan :



10. Menambahkan konfigurasi fail over, untuk menambah jalur akses internet cadangan (backup) menggunakan modem USB dan mengaktifkannya saat koneksi jalur utama mati. Silakan lihat tutorialnya disini :

Oke, kembali ke point nomor 7 di atas, disini saya akan bahas Script & Scheduller nya. Silakan simak step-by-step nya berikut ini :

11. Yang pertama, kita akan membuat Script dulu. Pada Winbox, masuk ke System --> Scripts. Ada beberapa Script yang akan kita buat seperti gambar berikut :


12. Untuk Script back2main dan failover digunakan untuk konfigurasi failover menggunakan jalur cadangan modem USB. Silakan lihat point nomor 10 di atas.

13. Script pertama yang kita buat yaitu script jam kerja. Script ini akan memberikan perintah ke Mikrotik untuk mengganti setingan DNS ke IP DNS nya OpenDNS, kemudian melakukan flush cache DNS. Script nya sebagai beriku (masukkan ke kolom Source)

/ip dns set servers=208.67.220.220,208.67.222.222
/ip dns cache flush

14. Script selanjutnya digunakan untuk mengganti IP DNS ke Nawala.

/ip dns set servers=180.131.144.144,180.131.145.145
/ip dns cache flush

15. Hari libur yaitu Sabtu dan Minggu koneksi internet tidak dibatasi, tetapi masih menggunakan DNS Nawala. Caranya dengan mematikan penjadwalan (Scheduler) yang nanti akan kita buat.

/system scheduler disable 0
/system scheduler disable 1
 

16. Ketika masuk lagi ke hari kerja yakni hari senin, maka aturan nya kembali seperti semula dengan pembatasan internet pada jam kerja. Caranya dengan mengaktifkan kembali scheduler nya.

/system scheduler enable 0
/system scheduler enable 1

17. Script yang sudah kita buat sebelumnya akan dijalankan secara otomatis berdasarkan waktu (jam). Pastikan anda membuat scheduler nya urutan nya sama seperti gambar berikut ini; supaya script pada point 15 dan 16 bisa berjalan.


18.  Buat scheduler untuk mengeksekusi script jam kerja (pagi). 
Name : Filter Jam Kerja Pagi
Start Date : Pilih tanggal kapan script akan mulai dieksekusi secara otomatis
Start Time : Jam berapa script akan dieksekusi
Interval : 1 hari
On Event : nama script yang dieksekusi (jam kerja)

19. Buat scheduler lagi untuk jam kerja sore yakni pukul 13.30 (sesuaikan jam nya dengan jam kantor anda). Lihat gambar berikut :


20. Ketika masuk jam istirahat, pegawai dapat mengakses social media, video streaming, dll kecuali web dan konten porno. Caranya dengan mengganti ke DNS Nawala. Buat scheduler pada jam 12.00 dengan script luar jam kerja (LJK).


21.  Ketika masuk jam pulang kerja, maka koneksi akan sama seperti pada jam istirahat. Disini diasumsikan jam pulang kantor pukul 16.00.


22. Pada hari libur (Sabtu & Minggu) script libur akan dieksekusi secara otomatis pada Jum'at malam pukul 23.59 dengan interval waktu 7 hari. Jadi script ini akan dieksekusi seminggu sekali yakni hari Jum'at malam. 
Jadi, Pastikan Start Date nya adalah hari jum'at


23. Pada hari senin koneksi akan kembali dibatasi secara otomatis dengan script senin yang akan dieksekusi pada senin dini hari pukul 00.00. lebih 50 detik dengan interval 7 hari.
Pastikan start date nya hari senin.


Sampai disini konfigurasi script dan scheduler sudah selesai. Jika setingan nya benar seperti di atas maka script nya akan berjalan dengan baik secara otomatis.

Oke sekian dulu tutorial Cara Membatasi Internet Jam Kantor dengan Mikrotik. Silakan dicoba, semoga berhasil, dan semoga bermanfaat :)
Read more