Anda di halaman 1dari 31

Setting Mikrotik dengan Speedy

Label: Linux, Unix-Etc


Sekedar pembelajaran dan koleksi, untuk mengingat langkah-langkah mensetup mikrotik
menjadi sebuah router dengan akses Speedy. Tutorial ini dikutip dari orum diskusi
mikrotik.Setting mikrotik ternyata sangat simple, !alau tidak ree seperti linux. "ari segi harga
juga tidak begitu mahal seperti !indo!s ser#er.$odem speedy yang digunakan adalah modem
%y&EL 'restige ()*+-,- - router, !aktu ditanyakan ke telkom, mereka tidak mengakui adanya
modem tersebut .hal yang aneh karena dapatnya modem juga dari telkom sendiri/0 dan
tentunya $ikrotik 1S #ersi 2.3.(
Setting Modem
$elakukan konigur modem tidak jauh beda dengan melakukan konigur pada komputer,
modem speedy juga include dengan router, dimana ungsinya sebagai pintu keluarnya data atau
sebagai media atau sebagai jalur yang harus dilalui oleh computer lain untuk terhubung dengan
4nternet.
5al utama harus tahu 4' modem tersebut, secara deault rata-rata menggunakan 4'
-32.-(6.-.-.Tentunya sebelum itu komputer harus sudah dihubungkan dengan modem, melalui
cable yang disertakan pada !aktu mengambil modem speedy.7edua Tanyakan pass!ord
modem.
-. 7etik http:88-32.-(6.-.- pada bro!ser.......isikan user name dan pass!ord secara deault
root8admin pass!ord root8admin8-2,9 .terdapat dalam buku panduan0
2. Setting L:;
<unakan 4' statik, mudahnya jadikan 4' Statiknya menjadi -32.-(6.-.-, jadi semua gate!ay
client harus mengarah ke router agar client bisa konek ke internet.
,. Setting =an dan :ccount Speedy
yaitu setting koneksi ke telkom yang menggunakan jalur =ide :rea ;et!ork, dalam
mengakses =:; Telkom akan di butuhkan :ccount dan 'ass!ord ''', masukkan User :ccout
dan 'ass!ord yang telah di berikan oleh telkom,sebelum itu rubah pass!ord speedy anda di
speedy-telkom
9. sa#e conigurasi lalu tunggu beberapa saat, modem akan mendial ke ser#er, setelah berhasil
maka coba untuk ping ke salah satu site misal nya ke google, jika re>uest berarti setting
$odem 'lus +outer kita sudah benar, kalau belum berhasil coba isikan dns dikomputer dengan
dns dari telkom 2*2.-,9.-.-*82*2.-,9.-.-)). ?ila di modem ada asilitas dns, sebaiknya isikan
dengan dns telkom,pada use dns jadikan enable
SETUP ROUTER MIKROTIK
@ diambil dari <embel
$ikroTik +outer1SA, merupakan system operasi Linux base yang diperuntukkan sebagai
net!ork router. "idesain untuk memberikan kemudahan bagi penggunanya. :dministrasinya
bisa dilakukan melalui =indo!s application .=in?ox0. =ebbro!ser serta #ia +emote Shell
.telnet dan SS50. Selain itu instalasi dapat dilakukan pada Standard computer 'B. 'B yang
akan dijadi kan router mikrotikpun tidak memerlukan resource yang cukup besar untuk
penggunaan standard, misalnya hanya sebagai gate!ay. Untuk keperluan beban yang besar
. net!ork yang kompleks, routing yang rumit dll0 disarankan untuk mempertimbangkan
pemilihan resource 'B yang memadai.
Casilitas pada mikrotik antara lain sebagai berikut :
- 'rotokoll routing +4', 1S'C, ?<'.
- Stateull ire!all
- 5otSpot or 'lug-and-'lay access
- remote !inbox <U4 admin
Lebih lengkap bisa dilihat di mikrotik
$eskipun demikian $ikrotik bukanlah ree sot!are, artinya keharusan membeli licensi
terhadap segala asiltas yang disediakan. Cree trial hanya untuk 29 jam saja. 'embelian bisa
berbentuk sot!are mikrotik dalam bentuk B" yang diinstall pada 5ard disk atau disk on
module ."1$0.
?entuk "1$ tidak perlu install tetapi tinggal menancapkan "1$ pada slot 4"E 'B kita.
4nstalasi $ikrotik ada beberapa cara :
-. 4nstalasi melalui ;et4nstall #ia jaringan
2. 4nstalasi melalui Cloppy disk
,. 4nstalasi melalui B"-+1$.
Langkah-langkah berikut adalah dasar-dasar setup mikrotik yang dikonigurasikan untuk
jaringan sederhana sebagai 'B +outer8<ate!ay, =eb 'roxy, ";S Ser#er, "5B', Cire!all serta
?and!idth $anagement. 7onigurasi ini dapat dimanaatkan untuk membangun jaringan pada
4nternet Bae atau untuk Testing pada Laboratorium 'ribadi.
--D2.-E-- Topologi Faringan
Topologi jaringan ini di anggap koneksi 4nternetnya melalui $1"E$ x"SL .:"SL atau
S"SL0. "engan catatan konigurasi 4' 'ubliknya ditanam didalam $1"E$, artinya perlu
pula dipilih $1"E$ yang memiliki asilitas seperti +outing, Cire!all, dan lain-lain. Semakin
lengkap semakin bagus, namun biasanya harga semakin mahal, yang patut dipertimbangkan
pilihlah $1"E$ yang memiliki asilitas Cire!all yang bagus.
:gar memudahkan konigurasi, perlu dirancang topologi jaringan yang
dikonigurasi. Sebagai contoh, skema diba!ah ini:
.a0 Skema Faringan
G.
o--H GGGGI
I 8 I Telpon
I G8 -.
H--DGE Splitter
I
I H----H
H---I I $odem x"SL
H--@-H
.-0I H---H
I I I .,0
I I HI---------H
I H-----H I I. . . . . I
I aI I I H--I-I-I-I-H
H---IJJJJJI I I I I I
I I I I I I I
I I---H H-I-I-I--Dclient -E
I Ib H-I-I------------Dclient 2E
I I H-I----------------------Dclient ,E
L-----F H--------Dclient nE
.20
7eterangan skema
.-0 J $odem x"SL .4p :ddress : -32.-(6.-.-8290
.20 J $ikrotik ?ox dengan 2 ethernet card yaitu a .publik0 dan b .local0
.,0 J S!itch
Untuk sambungan ke Blient. :sumsi Blient Fumlahnya 2* Blient
+ange 4p :ddress : -32.-(6.*.*82K
:lokasi 4p Blient J -32.-(6.*.---32.-(6.*.,*
4p ;et 4" : -32.-(6.*.*82K
4p ?roadcast : -32.-(6.*.,-82K
.b0 :lokasi 4' :ddress
D@E $ikrotik ?ox
7eterangan Skema
a J ethernet card - .'ublik0 -L 4p :ddress : -32.-(6.-.2829
b J ethernet card 2 .Local0 -L 4p :ddress : -32.-(6.*.-82K
<ate!ay : -32.-(6.-.- .ke $odem0
D@E Blient
Blient - - Blient n, 4p :ddress : -32.-(6.*.n .... n .--,*0
Bontoh:
Blient (
4p :ddress : -32.-(6.*.(82K
<ate!ay : -32.-(6.*.- .ke $ikrotik ?ox0
B:T:T:; :
:ngka dibelakang 4p address . 82K0 sama dengan nilai netmasknya
untuk angka .82K0 nilainya sama dengan 2)).2)).2)).229.
Untuk Sub ;etmask blok ip address Local kelas B, dapat diuraikan
sebagai berikut :
Subnetmask kelas B
-------------------
2)).2)).2)).* J 29 -L 2)9 mesin
.. .-26 J 2) -L -26 mesin
.. .-32 J 2( -L (9 mesin
.. .229 J 2K -L ,2 mesin
.. .29* J 26 -L -( mesin
.. .296 J 23 -L 6 mesin
.. .2)2 J ,* -L 9 mesin
.. .2)9 J ,- -L 2 mesin
.. .2)) J ,2 -L - mesin
--D2.2E-- 'ersiapan
- Untuk 'B +outer Siapkan 'B, minimal 'entium 4, +:$ (9, 5" )**$ atau pake lash
memory (9 - Sebagai =eb proxy, Siapkan 'B, minimal 'entium 444 9)*$hM, +:$ 2)( $b,
5" 2* <b. $elihat berapa minimum +:$ dan 5" yang dibutuhkan untuk Bache Silahkan
lihat
http:88adminpreman.!eb.id8do!nload8+umus =eb 'roxy $ikrotik.xls
- Siapkan minimal 2 ethernet card, - ke arah luar84nternet dan -
lagi ke ;et!ork local
N ?urn Source B" $ikrotik 1S masukan ke B"+1$.
- Oersi mikrotik yang digunakan adalah $ikrotik +outer1S #ersi 2.3.(
--D,E-- 4nstallasi $ikrotik +outer
Setelah desain skema jaringan serta perangkat yang dibutuhkan telah
disiapkan, sekarang saatnya kita mulai proses instalasi ini.
--D,.-E-- ?ooting melalui B"-+1$
:tur di ?41S agar, supaya boot le!at B"-+1$, kemudian tunggu beberapa
saat di monitor akan muncul proses 4nstalasi.
-------------------------------------------------------------------------
4S1L4;U& 2.*6 2**,--2--2 Bopyrigth .B0 -339-2**, 5. 'eter :n#in
Loading linux..................
Loading initrd.rgM.............
+eady
Uncompressing Linux... 1k, booting the kernel
------------------------------------------------------------------------
--D,.2E-- $emilih paket sot!are
Setelah proses booting akan muncul menu pilihan sot!are yang
mau di install, pilih sesuai kebutuhan yang akan direncanakan.
'aket yang tersedia di $ikrotik
ad#anced-tools-2.3.2K.npk
arlan-2.3.2K.npk
dhcp-2.3.2K.npk
gps-2.3.2K.npk
hotspot-2.3.2K.npk
hotspot-ix-2.3.2K.npk
isdn-2.3.2K.npk
lcd-2.3.2K.npk
ntp-2.3.2K.npk
ppp-2.3.2K.npk
radiolan-2.3.2K.npk
routerboard-2.3.2K.npk
routing-2.3.2K.npk
routing-test-2.3.2K.npk
rstp-bridge-test-2.3.2K.npk
security-2.3.2K.npk
synchronous-2.3.2K.npk
system-2.3.2K.npk
telephony-2.3.2K.npk
ups-2.3.2K.npk
user-manager-2.3.2K.npk
!eb-proxy-2.3.2K.npk
!ebproxy-test-2.3.2K.npk
!ireless-2.3.2K.npk
!ireless-legacy-2.3.2K.npk
--------------------------------------------------------------------------
=elcome to $ikrotik +outer Sot!are 4nstallation
$o#e around menu using PpP and PnP or arro! keys, select !ith PspacebarP.
Select all !ith PaP, minimum !ith PmP. 'ress PiP to install locally or PrP to
install remote router or P>P to cancel and reboot.
D&E system D E lcd D E telephony
D E ppp D E ntp D E ups
D E dhcp D E radiolan D E user-manager
D&E and#anced-tools D E routerboard D&E !eb-proxy
D E arlan D E routing D E !ebproxy-test
D E gps D E routing-test D E !ireless
D E hotspot D E rstp-bridge-test D E !ireless-legacy
D E hotspot D&E security
D E isdn D E synchronous
--------------------------------------------------------------------------
Umumnya 'aket $ikrotik untuk =arnet, 7antor atau S151 adalah :
a. SQSTE$ : 'aket ini merupakan paket dasar, berisi 7ernel dari$ikrotik
b. "5B' : 'aket yang berisi asilitas sebagai "5B' Ser#er, "5B' client, pastikan memilih
paket ini jika :nda menginginkanagar Blient diberikan 4' address otomatis dari "5B' Ser#er
c. SEBU+4TQ : 'aket ini berisikan asilitas yang mengutamakan 7eamananjaringan, seperti
+emote $esin dengan SS5, +emote #ia $:B:ddress
d. =E?-'+1&Q : Fika :nda memilih paket ini, maka $ikrotik ?ox anda telahdapat menjalan
ser#ice sebagai =eb proxy yang akan menyimpan cache agar traik ke 4nternet dapat di
reduksi serta bro!sing untuk =eb dapat dipercepat.
e. :"O:;BE" T11LS : 'aket yang berisi Tool didalam melakukan :dmnistrasi jaringan,
seperti ?and!idth meter, Scanning, ;slookup, dan lain sebagainya.
--D,.,E-- 4nstalasi 'aket
ketik RiR setelah selesai memilih sot!are, lalu akan muncul menu
pilihan seperti ini :
- "o you !ant to keep old coniguration / Dy8nE ketik Q
- continue / Dy8nE ketik Q
Setelah itu proses installasi system dimulai, disini kita tidak
perlu membuat partisi hardsik karena secara otomatis mikrotik akan
membuat partisi sendiri.
----------------------------------------------------------------------------
!ireless-legacy .depens on system0:
'ro#ides support or Bisco :ironet cards and or 'risml4 and :theros !ireless
station and :'.
"o you !ant to keep old coniguraion/ Dy8nE:y
=arning: all data on the disk !ill be erasedS
Bontinue/ Dy8nE:y
Breating partition..........
Cormatting disk.......................................
4nstalling system-2.3.2K DTTTTTTTTTTTTTTTTTT E
---------------------------------------------------------------------------
'roses installasi
---------------------------------------------------------------------------
Bontinue/ Dy8nE:y
Breating partition.......................
Cormatting disk............................
4nstalled system-2.3.2K
4nstalled ad#anced-tools-2.3.2K
4nstalled dhcp-2.3.2K
4nstalled security-2.3.2K
installed !eb-proxy-2.3.2K
Sot!are installed.
'ress E;TE+ to reboot
------------------------------------------------------------------------------
B:T:T:; :
'roses 4nstallasi normalnya tidak sampai -) menit, jika lebih berarti gagal,ulangi ke step a!al.
Setelah proses installasi selesai maka kita akan diminta untuk merestart system, tekan enter
untuk merestart system.
--D,.)E-- 'roses Bheck system disk
Setelah komputer booting kembali ke system mikrotik, akan ada pilihan untuk
melakukan check system disk, tekan RyR.
----------------------------------------------------------------------------
Loading system !ith initrd
Uncompressing Linux... 1k, booting the kernel.
Starting.
4t is recomended to check your disk dri#e or error,
but it may take !hile .U-min or -<b0.
4t can be done later !ith R8system check-diskR.
"o you !ant to do it no!/ Dy8nE
-----------------------------------------------------------------------------
--D,.(E-- 'roses 4nstalasi Selesai
Setelah proses instalasi selesai, maka akan muncul menu login dalam modus
terminal, kondisi sistem saat ini dalam keadaan deault.
$ikrotik login J admin
'ass!ord J .kosong, enter saja0
---------------------------------------------------------------------------
$ikrotik 2.3.(
$ikrotik Login:
$$$ $$$ 777 TTTTTTTTTTT 777
$$$$ $$$$ 777 TTTTTTTTTTT 777
$$$ $$$$ $$$ 444 777 777 ++++++ 111111 TTT 444 777 777
$$$ $$ $$$ 444 77777 +++ +++ 111 111 TTT 444 77777
$$$ $$$ 444 777 777 ++++++ 111 111 TTT 444 777 777
$$$ $$$ 444 777 777 +++ +++ 111111 TTT 444 777 777
$ikroTik +outer1S 2.3.( .c0 -333-2**) http:88!!!.mikrotik.com8
Terminal #t-*2 detected, using multiline input mode
DadminV$ikrotiklE L
----------------------------------------------------------------------------
B:T:T:; :
7onigurasi Standar untuk mikrotik ada 2 modus, yaitu modus teks dan
modus <U4. $odus <ui ada 2 juga, yaitu Oia ?ro!ser serta Oia =inbox.
--D9E-- 'erintah "asar
'erintah mikrotik sebenarnya hampir sama dengan perintah yang ada dilinux,sebab pada
dasarnya mikrotik ini merupakan kernel Linux, hasil pengolahan kembali Linux dari "istribusi
"ebian. 'emakaian perintah shellnya sama, seperti penghematan perintah, cukup
menggunakan tombol T:? di keyboard maka perintah yang panjang, tidak perlu lagi
diketikkan, hanya ketikkan
a!al nama perintahnya, nanti secara otomatis Shell akan menampilkan sendiri perintah yang
berkenaan. $isalnya perintah 4' :""+ESS di mikrotik. Bukup hanya mengetikkan 4' :""
spasi tekan tombol T:?, maka otomatis shell akan mengenali dan menterjemahkan sebagai
perintah 4' :""+ESS.
Setelah login, cek kondisi interace atau ethernet card.
--D9.-E-- $elihat kondisi interace pada $ikrotik +outer
DadminV$ikrotikE L interace print
Clags: & - disabled, " - dynamic, + - running
T ;:$E TQ'E +&-+:TE T&-+:TE $TU
* + ether- ether * * -)**
- + ether2 ether * * -)**
DadminV$ikrotikEL
Fika interacenya ada tanda & .disabled0 setelah nomor .*,-0, maka periksa lagi
etherned cardnya, seharusnya + .running0.
a. $engganti nama interace
DadminV$ikrotikE L interace.enter0
b. Untuk mengganti nama 4nterace ether- menjadi 'ublic .atau terserah namanya0, maka
DadminV$ikrotikE interaceL set * nameJ'ublic
c. ?egitu juga untuk ether2, misalkan namanya diganti menjadi Local, maka
DadminV$ikrotikE interaceL set - nameJLocal
d. atau langsung saja dari posisi root direktori, memakai tanda R8R, tanpa tanda kutip
DadminV$ikrotikE L 8interace set * nameJ'ublic
e. Bek lagi apakah nama interace sudah diganti.
DadminV$ikrotikE L 8interace print
Clags: & - disabled, " - dynamic, + - running
T ;:$E TQ'E +&-+:TE T&-+:TE $TU
* + Local ether * * -)**
- + 'ublic ether * * -)**
--D9.2E-- $engganti pass!ord deault
Untuk keamanan ganti pass!ord deault
DadminV$ikrotikE L pass!ord
old pass!ord: @@@@@
ne! pass!ord: @@@@@
retype ne! pass!ord: @@@@@
DadminV $ikrotikEEL
--D9.,E-- $engganti nama hostname
$engganti nama $ikrotik +outer untuk memudahkan konigurasi, pada langkah ini
nama ser#er akan diganti menjadi WrouterkuR
DadminV$ikrotikE L system identity set nameJrouterku
DadminVrouterkuEL
--D)E-- Setting 4' :ddress, <ate!ay, $as>ureade dan ;ame Ser#er
--D).-E-- 4' :ddress
?entuk 'erintah konigurasi
ip address add address JXip address8netmaskY interaceJXnama interaceY
a. $emberikan 4' address pada interace $ikrotik. $isalkan 'ublic akan kita gunakan untuk
koneksi ke 4nternet dengan 4' -32.-(6.-.2 dan Local akan kita gunakan untuk net!ork L:;
kita dengan 4' -32.-(6.*.- .Lihat topologi0
DadminVrouterkuE L ip address add addressJ-32.-(6.-.2
netmaskJ2)).2)).2)).* interaceJ'ublic commentJR4' ke 4nternetR
DadminVrouterkuE L ip address add addressJ-32.-(6.*.-
netmaskJ2)).2)).2)).229 interaceJLocal comment J R4' ke L:;R
b. $elihat konigurasi 4' address yang sudah kita berikan
DadminVrouterkuE Lip address print
Clags: & - disabled, 4 - in#alid, " - dynamic
T :""+ESS ;ET=1+7 ?+1:"B:ST 4;TE+C:BE
* ZZZ 4' :ddress ke 4nternet
-32.-(6.*.-82K -32.-(6.*.* -32.-(6.*.2)) Local
- ZZZ 4' :ddress ke L:;
-32.-(6.-.2829 -32.-(6.*.* -32.-(6.-.2)) 'ublic
DadminVrouterkuEL
--D).2E-- <ate!ay
?entuk 'erintah 7onigurasi
ip route add gate!ayJXip gate!ayY
a. $emberikan deault <ate!ay, diasumsikan gate!ay untuk koneksi internet adalah
-32.-(6.-.-
DadminVrouterkuE L 8ip route add gate!ayJ-32.-(6.-.-
b. $elihat Tabel routing pada $ikrotik +outers
DadminVrouterkuE L ip route print
Clags: & - disabled, : - acti#e, " - dynamic,
B - connect, S - static, r - rip, b - bgp, o - osp
T "ST-:""+ESS '+ECS+B < <:TE=:Q "4ST:;BE 4;TE+C:BE
* :"B -32.-(6.*.*829 -32.-(6.*.,* Local
- :"B -32.-(6.*.*82K -32.-(6.-.2 'ublic
2 : S *.*.*.*8* r -32.-(6.-.- 'ublic
DadminVrouterkuEL
c. Tes 'ing ke <ate!ay untuk memastikan konigurasi sudah benar
DadminVrouterkuE L ping -32.-(6.-.-
-32.-(6.-.- (9 byte ping: ttlJ(9 time[- ms
-32.-(6.-.- (9 byte ping: ttlJ(9 time[- ms
2 packets transmitted, 2 packets recei#ed, *\ packet loss
round-trip min8a#g8max J *8*.*8* ms
DadminVrouterkuEL
--D).,E-- ;:T .;et!ork :ddress Translation0
?entuk 'erintah 7onigurasi
ip ire!all nat add chainJsrcnat actionJmas>uerade out-inteaceJXethernet
yang langsung terhubung ke 4nternet atau 'ublicY
a. Setup $as>uerading, Fika $ikrotik akan kita pergunakan sebagai gate!ay ser#er maka agar
client computer pada net!ork dapat terkoneksi ke internet perlu kita mas>uerading.
DadminVrouterkuE L ip ire!all nat add chainJscrnat out-interaceJ'ublic actionJmas>uerade
DadminVrouterkuEL
b. $elihat konigurasi $as>uerading
DadminVrouterkuE ip ire!all nat print
Clags: & - disabled, 4 - in#alid, " - dynamic
* chainJsrcnat out-interaceJ'ublic actionJmas>uerade
DadminVrouterkuEL
--D).9E ;ame ser#er
?entuk 'erintah 7onigurasi
ip dns set primary-dnsJXdns utamaY secondary-dnsJXdns ke duaY
a. Setup ";S pada $ikrotik +outers, misalkan ";S dengan 4p :ddressnya
'rimary J 2*2.-,9.*.-)), Secondary J 2*2.-,9.2.)
DadminVrouterkuE L ip dns set primary-dnsJ2*2.-,9.*.-)) allo!-remotere>uestsJyes
DadminVrouterkuE L ip dns set secondary-dnsJ2*2.-,9.2.) allo!-remotere>uestsJyes
b. $elihat konigurasi ";S
DadminVrouterkuE L ip dns print
primary-dns: 2*2.-,9.*.-))
secondary-dns: 2*2.-,9.2.)
allo!-remote-re>uests: no
cache-siMe: 2*967i?
cache-max-ttl: -!
cache-used: -(7i?
DadminVrouterkuEL
c. Tes untuk akses domain, misalnya dengan ping nama domain
DadminVrouterkuE L ping yahoo.com
2-(.-*3.--2.-,) (9 byte ping: ttlJ96 timeJ2)* ms
-* packets transmitted, -* packets recei#ed, *\ packet loss
round-trip min8a#g8max J )K-8)K-.*8)K- ms
DadminVrouterkuEL
Fika sudah berhasil reply berarti seting ";S sudah benar.
Setelah langkah ini bisa dilakukan pemeriksaan untuk koneksi dari jaringan local. "an jika
berhasil berarti kita sudah berhasil melakukan instalasi $ikrotik +outer sebagai <ate!ay
ser#er. Setelah terkoneksi dengan jaringan $ikrotik dapat dimanage menggunakan =in?ox
yang
bisa di do!nload dari $ikrotik.com atau dari ser#er mikrotik kita. $isal 4p address ser#er
mikrotik kita -32.-(6.*.,*, #ia bro!ser buka http:88-32.-(6.*.,*. "i ?ro!ser akan
ditampilkan
dalam bentuk !eb dengan beberapa menu, cari tulisan "o!nload dan do!nload =in?ox dari
situ.
Simpan di local harddisk. Falankan =inbox, masukkan 4p address, username dan pass!ord.
--DKE-- "5B' Ser#er
"5B' merupakan singkatan dari "ynamic 5ost Boniguration 'rotocol, yaitu suatu program
yang
memungkinkan pengaturan 4' :ddress di dalam sebuah jaringan dilakukan terpusat di ser#er,
sehingga 'B Blient tidak perlu melakukan konigurasi 4' :ddres. "5B' memudahkan
administrator
untuk melakukan pengalamatan ip address untuk client.
?entuk perintah konigurasi
ip dhcp-ser#er setup
dhcp ser#er interace J X interace yang digunakan Y
dhcp ser#er space J X net!ork yang akan di dhcp Y
gate!ay or dhcp net!ork J X ip gate!ay Y
address to gi#e out J X range ip address Y
dns ser#ers J X name ser#er Y
lease time J X !aktu se!a yang diberikan Y
Fika kita menginginkan client mendapatkan 4' address secara otomatis maka perlu kita setup
dhcp ser#er pada $ikrotik. ?erikut langkah-langkahnya :
a. Tambahkan 4' address pool
8ip pool add nameJdhcp-pool rangesJ-32.-(6.*.---32.-(6.*.,*
b. Tambahkan "5B' ;et!ork dan gate!aynya yang akan didistribusikan ke client.
'ada contoh ini net!orknya adalah -32.-(6.*.*82K dan gate!aynya -22.-(6.*.-
8ip dhcp-ser#er net!ork add addressJ-32.-(6.*.*82K gate!ayJ-32.-(6.*.- dns-
ser#erJ-32.-(6.*.-
commentJRR
c. Tambahkan "5B' Ser#er . pada contoh ini dhcp diterapkan pada interace Local 0
8ip dhcp-ser#er add interaceJlocal address-poolJdhcp-pool
d. Lihat status "5B' ser#er
DadminVrouterkuE L ip dhcp-ser#er print
Clags: & - disabled, 4 - in#alid
T ;:$E 4;TE+C:BE +EL:Q :""+ESS-'11L LE:SE-T4$E :""-:+'
*dhcp- Local
Tanda & menyatakan bah!a "5B' ser#er belum enable maka perlu dienablekan terlebih
dahulu pada langkah e.
e. Fangan Lupa dibuat enable dulu dhcp ser#ernya
8ip dhcp-ser#er enable *
kemudian cek kembali dhcp-ser#er seperti langkah 9, jika tanda & sudah tidak ada berarti
sudah akti
. Tes "ari client
$isalnya :
":Lping !!!.yahoo.com
--D6E-- Transparent 'roxy Ser#er
'roxy ser#er merupakan program yang dapat mempercepat akses ke suatu !eb yang sudah
diakses oleh komputer lain, karena sudah di simpan didalam caching ser#er.Transparent proxy
menguntungkan dalam management client,karena system administrator tidak perlu lagi
melakukan setup proxy di setiap bro!ser komputer client karena redirection dilakukan
otomatis di sisi ser#er.
?entuk perintah konigurasi :
a. Setting !eb proxy :
- ip proxy set enableJyes
portJX port yang mau digunakan Y
maximal-client-connectionsJ-***
maximal-ser#er-connectionsJ-***
- ip proxy direct add src-addressJX net!ork yang akan di
;:TY actionJallo!
- ip !eb-proxy set parent-proxyJXproxy parent8optionalY
hostnameJX nama host untuk proxy8optionalY
portJXport yang mau digunakanY
src-addressJX address yang akan digunakan untuk koneksi
ke parent proxy8deault *.*.*.*Y
transparent-proxyJyes
max-object-siMeJX ukuran maximal ile yang akan disimpan
sebagai cache8deault 9*3( in 7ilobytesY
max-cache-siMeJ X ukuran maximal hardisk yang akan
dipakai sebagai penyimpan ile cache8unlimited
I none I -2 in megabytesY
cache-administratorJX email administrator yang akan digunakan
apabila proxy error, status akan dikirim
ke email tersebutY
enableJJyes
Bontoh konigurasi
-------------------
a. =eb proxy setting
8 ip !eb-proxy
set enabledJyes src-addressJ*.*.*.* portJ6*6*
hostnameJRproxy.routerku.co.idR transparent-proxyJyes
parent-proxyJ*.*.*.*:* cache-administratorJRsupportVrouterku.co.idR
max-object-siMeJ-,-*K27i? cache-dri#eJsystem max-cache-siMeJunlimited
max-ram-cache-siMeJunlimited
;at +edirect, perlu ditambahkan yaitu rule +E"4+EBT4;< untuk membelokkan
traic 5TT' menuju ke =E?-'+1&Q.
b. Setting ire!all untuk Transparant 'roxy
?entuk perintah konigurasi :
ip ire!all nat add chainJdstnat
protocolJtcp
dst-portJ6*
actionJredirect
to-portsJX port proxy Y
'erintahnya:
--------------------------------------------------------------------------------
8 ip ire!all nat
add chainJdstnat protocolJtcp dst-portJ6* actionJredirect to-portsJ6*6*
commentJRR disabledJno
add chainJdstnat protocolJtcp dst-portJ,-26 actionJredirect to-portsJ6*6*
commentJRR disabledJno
add chainJdstnat protocolJtcp dst-portJ6*** actionJredirect to-portsJ6*6*
--------------------------------------------------------------------------------
perintah diatas dimaksudkan, agar semua traik yang menuju 'ort 6*,,-26,6***
dibelokkan menuju port 6*6* yaitu portnya =eb-'roxy.
B:T:T:;:
'erintah
8ip !eb-proxy print X untuk melihat hasil konigurasi !eb-proxyY
8ip !eb-proxy monitor X untuk monitoring kerja !eb-proxyY
--D3E-- ?and!idth $anagement
]oS memegang peranan sangat penting dalam hal memberikan pelayanan yang baik pada
client. Untuk itu kita memerlukan band!idth management untuk mengatur tiap data yang
le!at, sehingga pembagian band!idth menjadi adil. "alam hal ini $ikrotik +outer1s juga
menyertakan packet sot!are untuk memanagement band!idth.
?entuk perintah konigurasi:
>ueue simple add nameJX nama Y
target-addressesJX ip address yang dituju Y
interaceJX interace yang digunakan untuk mele!ati data Y
max-limitJX out8in Y
"iba!ah ini terdapat konigurasi Traik shaping atau band!idth management dengan metode
Simple ]ueue, sesuai namanya, Fenis ]ueue ini memang sederhana, namun memiliki
kelemahan, kadangkala terjadi kebocoran band!idth atau band!idthnya tidak secara real di
monitor. 'emakaian untuk -* Blient, ]ueue jenis ini tidak masalah.
"iasumsikan Blient ada sebanyak -) client, dan masing-masing client diberi jatah band!idth
minimum sebanyak 6kbps, dan maksimum 96kbps. Sedangkan ?and!idth totalnya sebanyak
-32kbps. Untuk upstream tidak diberi rule, berarti masing-masing client dapat menggunakan
band!idth uptream secara maksimum. 'erhatikan perintah priority, range priority di $ikrotik
sebanyak delapan. ?erarti dari - sampai 6, priority - adalah priority tertinggi, sedangkan
priority 6 merupakan priority terendah.
?erikut Bontoh kongiruasinya.
--------------------------------------------------------------------------------
8 >ueue simple
add nameJRtraikshapingR target-addressesJ-32.-(6.*.*82K dst-addressJ*.*.*.*8*
interaceJall parentJnone priorityJ- >ueueJdeault8deault
limit-atJ*8(9*** max-limitJ*8-32*** total->ueueJdeault disabledJno
add nameJR*-R target-addressesJ-32.-(6.*.-8,2 dst-addressJ*.*.*.*8*
interaceJall parentJtraikshaping priorityJ- >ueueJdeault8deault
limit-atJ*86*** max-limitJ*896*** total->ueueJdeault disabledJno
add nameJR*2R target-addressesJ-32.-(6.*.28,2 dst-addressJ*.*.*.*8*
interaceJall parentJtraikshaping priorityJ- >ueueJdeault8deault
limit-atJ*86*** max-limitJ*896*** total->ueueJdeault disabledJno
add nameJR*,R target-addressesJ-32.-(6.*.,8,2 dst-addressJ*.*.*.*8*
interaceJall parentJtraikshaping priorityJ- >ueueJdeault8deault
limit-atJ*86*** max-limitJ*896*** total->ueueJdeault disabledJno
add nameJR*9R target-addressesJ-32.-(6.*.98,2 dst-addressJ*.*.*.*8*
interaceJall parentJtraikshaping priorityJ- >ueueJdeault8deault
limit-atJ*86*** max-limitJ*896*** total->ueueJdeault disabledJno
add nameJR-*R target-addressesJ-32.-(6.*.2)8,2 dst-addressJ*.*.*.*8*
interaceJall parentJtraikshaping priorityJ- >ueueJdeault8deault
limit-atJ*86*** max-limitJ*896*** total->ueueJdeault disabledJno
add nameJR*)R target-addressesJ-32.-(6.*.)8,2 dst-addressJ*.*.*.*8*
interaceJall parentJtraikshaping priorityJ- >ueueJdeault8deault
limit-atJ*86*** max-limitJ*896*** total->ueueJdeault disabledJno
add nameJR*(R target-addressesJ-32.-(6.*.(8,2 dst-addressJ*.*.*.*8*
interaceJall parentJtraikshaping priorityJ- >ueueJdeault8deault
limit-atJ*86*** max-limitJ*896*** total->ueueJdeault disabledJno
add nameJR*KR target-addressesJ-32.-(6.*.K8,2 dst-addressJ*.*.*.*8*
interaceJall parentJtraikshaping priorityJ- >ueueJdeault8deault
limit-atJ*86*** max-limitJ*896*** total->ueueJdeault disabledJno
add nameJR*6R target-addressesJ-32.-(6.*.68,2 dst-addressJ*.*.*.*8*
interaceJall parentJtraikshaping priorityJ- >ueueJdeault8deault
limit-atJ*86*** max-limitJ*896*** total->ueueJdeault disabledJno
add nameJR*3R target-addressesJ-32.-(6.*.38,2 dst-addressJ*.*.*.*8*
interaceJall parentJtraikshaping priorityJ- >ueueJdeault8deault
limit-atJ*86*** max-limitJ*896*** total->ueueJdeault disabledJno
add nameJR-*R target-addressesJ-32.-(6.*.-*8,2 dst-addressJ*.*.*.*8*
interaceJall parentJtraikshaping priorityJ- >ueueJdeault8deault
limit-atJ*86*** max-limitJ*896*** total->ueueJdeault disabledJno
add nameJR--R target-addressesJ-32.-(6.*.--8,2 dst-addressJ*.*.*.*8*
interaceJall parentJtraikshaping priorityJ- >ueueJdeault8deault
limit-atJ*86*** max-limitJ*896*** total->ueueJdeault disabledJno
add nameJR-2R target-addressesJ-32.-(6.*.-28,2 dst-addressJ*.*.*.*8*
interaceJall parentJtraikshaping priorityJ- >ueueJdeault8deault
limit-atJ*86*** max-limitJ*896*** total->ueueJdeault disabledJno
add nameJR-,R target-addressesJ-32.-(6.*.-,8,2 dst-addressJ*.*.*.*8*
interaceJall parentJtraikshaping priorityJ- >ueueJdeault8deault
limit-atJ*86*** max-limitJ*896*** total->ueueJdeault disabledJno
add nameJR-9R target-addressesJ-32.-(6.*.-98,2 dst-addressJ*.*.*.*8*
interaceJall parentJtraikshaping priorityJ- >ueueJdeault8deault
limit-atJ*86*** max-limitJ*896*** total->ueueJdeault disabledJno
add nameJR-)R target-addressesJ-32.-(6.*.-)8,2 dst-addressJ*.*.*.*8*
interaceJall parentJtraikshaping priorityJ- >ueueJdeault8deault
limit-atJ*86*** max-limitJ*896*** total->ueueJdeault disabledJno
'erintah diatas karena dalam bentuk command line, bisa juga di copy paste, selanjutnya di
paste saja ke consol mikrotiknya. ingat lihat dulu path atau direktory akti. Silahkan dipaste
saja, kalau posisi direktorynya di +oot.
-------------------------------------------------------------------
Terminal #t-*2 detected, using multiline input mode
DadminVmikrotikE L
------------------------------------------------------------------
'ilihan lain metode band!idth manajemen ini, kalau seandainya ingin band!idth tersebut
dibagi sama rata oleh $ikrotik, seperti band!idth 2)(kbps do!nstream dan 2)(kbps upstream.
Sedangkan client yang akan mengakses sebanyak -* client, maka otomatis masing-masing
client mendapat jatah band!idth upstream dan do!nstream sebanyak 2)(kbps dibagi -*. Fadi
masing-masing dapat 2),(kbps. :ndaikata hanya 2 Blient yang mengakses maka masing-
masing dapat -26kbps.
Untuk itu dipakai type 'B] .'er Bonnection ]ueue0, yang bisa secara otomatis membagi
traik per client. Tentang jenis >ueue di mikrotik ini dapat dibaca pada manualnya di
http:88!!!.mikrotik.com8testdocs8ros82.38root8>ueue.php.
Sebelumnya perlu dibuat aturan di bagian $:;<LE. Seperti :
--------------------------------------------------------------------
8ip ire!all mangle add chainJor!ard src-addressJ-32.-(6.*.*82K
actionJmark-connection ne!-connection-markJusers-con
8ip ire!all mangle add connection-markJusers-con actionJmark-packet
ne!-packet-markJusers chainJor!ard
----------------------------------------------------------------------
7arena type 'B] belum ada, maka perlu ditambah, ada 2 type 'B] ini.
'ertama diberi nama pc>-do!nload, yang akan mengatur semua traik
melalui alamat tujuan8destination address. Traik ini mele!ati
interace Local. Sehingga semua traik do!nload8do!nstream yang
datang dari jaringan -32.-(6.*.*82K akan dibagi secara otomatis.
Tipe 'B] kedua, dinamakan pc>-upload, untuk mengatur semua traik upstream
yang berasal dari alamat asal8source address. Traik ini mele!ati
interace public. Sehingga semua traik upload8upstream yang berasal
dari jaringan -32.-(6.*.*82K akan dibagi secara otomatis.
'erintah:
-------------------------------------------------------------------------
8>ueue type add nameJpc>-do!nload kindJpc> pc>-classiierJdst-address
8>ueue type add nameJpc>-upload kindJpc> pc>-classiierJsrc-address
-------------------------------------------------------------------------
Setelah aturan untuk 'B] dan $angle ditambahkan, sekarang untuk aturan
pembagian traiknya. ]ueue yang dipakai adalah ]ueue Tree, Qaitu:
-------------------------------------------------------------------------
8>ueue tree add parentJLocal >ueueJpc>-do!nload packet-markJusers
8>ueue tree add parentJ'ublic >ueueJpc>-upload packet-markJusers
-------------------------------------------------------------------------
'erintah diatas mengasumsikan, kalau band!idth yang diterima dari pro#ider
4nternet berlukstuasi atau berubah-rubah. Fika kita yakin bah!a band!idth
yang diterima, misalkan dapat 2)(kbs do!nstream, dan 2)(kbps upstream, maka
ada lagi aturannya, seperti :
Untuk traik do!nstreamnya :
------------------------------------------------------------------------
8>ueue tree add nameJ"o!nload parentJLocal max-limitJ2)(k
8>ueue tree add parentJ"o!nload >ueueJpc>-do!nload packet-markJusers
-------------------------------------------------------------------------
"an traik upstreamnya :
---------------------------------------------------------------------------
8>ueue tree add nameJUpload parentJ'ublic max-limitJ2)(k
8>ueue tree add parentJUpload >ueueJpc>-upload packet-markJusers
---------------------------------------------------------------------------
--D-*E-- $onitor $+T< #ia =eb
Casilitas ini diperlukan untuk monitoring traik dalam bentuk graik, dapat
dilihat dengan menggunakan bro!ser. $+T< .The $ulti +outer Traic <rapher0
telah dibuild sedemikian rupa, sehingga memudahkan kita memakainya. Telah
tersedia dipaket dasarnya.
Bontoh konigurasinya
-------------------------------------------------------------------------
8 tool graphing
set store-e#eryJ)min
8 tool graphing interace
add interaceJall allo!-addressJ*.*.*.*8* store-on-diskJyes disabledJno
---------------------------------------------------------------------------
'erintah diatas akan menampilkan graik dari traik yang mele!ati interace
jaringan baik berupa 4nterace 'ublic dan 4nterace Local, yang dirender
setiap ) menit sekali. Fuga dapat diatur :lamat apa saja yang dapat mengakses
$+T< ini, pada parameter allo!-address.
--D--E-- 7eamanan di $ikrotik
Setelah beberapa 7onigurasi diatas telah disiapkan, tentu tidak lupa kita
perhatikan keamanan dari $esin gate!ay $ikrotik ini, ada beberapa asilitas
yang dipergunakan. "alam hal ini akan dibahas tentang Cire!allnya. Casilitas
Cire!all ini secara pringsip serupa dengan 4' T:?LES di <nu8Linux hanya saja
beberapa perintah telah di sederhanakan namun berdaya guna.
"i $ikrotik perintah ire!all ini terdapat dalam modus 4', yaitu
DadminVrouterkuE L 8ip ire!all
Terdapat beberapa packet ilter seperti mangle, nat, dan ilter.
-------------------------------------------------------------------------
DadminVrouterkuE ip ire!allL /
Cire!all allo!s 4' packet iltering on per packet basis.
.. -- go up to ip
mangle8 -- The packet marking management
nat8 -- ;et!ork :ddress Translation
connection8 -- :cti#e connections
ilter8 -- Cire!all ilters
address-list8 --
ser#ice-port8 -- Ser#ice port management
export --
--------------------------------------------------------------------------
Untuk kali ini kita akan lihat konigurasi pada ip ire!all ilternya.
7arena Luasnya parameter dari ire!all ilter ini untuk pembahasan Cire!all
Cilter selengkapnya dapat dilihat pada manual mikrotik, di
http:88!!!.mikrotik.com8testdocs8ros82.38ip8ilter.php
7onigurasi diba!ah ini dapat memblokir beberapa Trojan, Oirus, ?ackdoor
yang telah dikenali sebelumnya baik ;omor 'ort yang dipakai serta 'rotokolnya.
Fuga telah di konigurasikan untuk menahan Clooding dari Faringan 'ublik dan
jaringan Lokal. Serta pemberian rule untuk :ccess control agar, +entang
jaringan tertentu saja yang bisa melakukan +emote atau mengakses ser#ice
tertentu terhadap $esin $ikrotik kita.
Bontoh :plikasi Cilternya
-----------------------------------------------------------------------------
8 ip ire!all ilter
add chainJinput connection-stateJin#alid actionJdrop commentJR"rop 4n#alid
connectionsR disabledJno
add chainJinput src-addressJS-32.-(6.*.*82K protocolJtcp src-portJ-*29-()),)
dst-portJ6*6* actionJdrop commentJR?lock to 'roxyR disabledJno
add chainJinput protocolJudp dst-portJ-2((K actionJdrop commentJRTrinooR
disabledJno
add chainJinput protocolJudp dst-portJ2K(() actionJdrop commentJRTrinooR
disabledJno
add chainJinput protocolJudp dst-portJ,-,,) actionJdrop commentJRTrinooR
disabledJno
add chainJinput protocolJudp dst-portJ2K999 actionJdrop commentJRTrinooR
disabledJno
add chainJinput protocolJudp dst-portJ,9))) actionJdrop commentJRTrinooR
disabledJno
add chainJinput protocolJudp dst-portJ,)))) actionJdrop commentJRTrinooR
disabledJno
add chainJinput protocolJtcp dst-portJ2K999 actionJdrop commentJRTrinooR
disabledJno
add chainJinput protocolJtcp dst-portJ2K(() actionJdrop commentJRTrinooR
disabledJno
add chainJinput protocolJtcp dst-portJ,-,,) actionJdrop commentJRTrinooR
disabledJno
add chainJinput protocolJtcp dst-portJ,-69( actionJdrop commentJRTrinooR
disabledJno
add chainJinput protocolJtcp dst-portJ,9))) actionJdrop commentJRTrinooR
disabledJno
add chainJinput protocolJtcp dst-portJ,)))) actionJdrop commentJRTrinooR
disabledJno
add chainJinput connection-stateJestablished actionJaccept commentJR:llo!
Established connectionsR disabledJno
add chainJinput protocolJudp actionJaccept commentJR:llo! U"'R disabledJno
add chainJinput protocolJicmp actionJaccept commentJR:llo! 4B$'R disabledJno
add chainJinput src-addressJ-32.-(6.*.*82K actionJaccept commentJR:llo! access
to router rom kno!n net!orkR disabledJno
add chainJinput actionJdrop commentJR"rop anything elseR disabledJno
add chainJor!ard protocolJtcp connection-stateJin#alid actionJdrop
commentJRdrop in#alid connectionsR disabledJno
add chainJor!ard connection-stateJestablished actionJaccept commentJRallo!
already established connectionsR disabledJno
add chainJor!ard connection-stateJrelated actionJaccept commentJRallo!
related connectionsR disabledJno
add chainJor!ard src-addressJ*.*.*.*86 actionJdrop commentJRR disabledJno
add chainJor!ard dst-addressJ*.*.*.*86 actionJdrop commentJRR disabledJno
add chainJor!ard src-addressJ-2K.*.*.*86 actionJdrop commentJRR disabledJno
add chainJor!ard dst-addressJ-2K.*.*.*86 actionJdrop commentJRR disabledJno
add chainJor!ard src-addressJ229.*.*.*8, actionJdrop commentJRR disabledJno
add chainJor!ard dst-addressJ229.*.*.*8, actionJdrop commentJRR disabledJno
add chainJor!ard protocolJtcp actionJjump jump-targetJtcp commentJRR
disabledJno
add chainJor!ard protocolJudp actionJjump jump-targetJudp commentJRR
disabledJno
add chainJor!ard protocolJicmp actionJjump jump-targetJicmp commentJRR
disabledJno
add chainJtcp protocolJtcp dst-portJ(3 actionJdrop commentJRdeny TCT'R
disabledJno
add chainJtcp protocolJtcp dst-portJ--- actionJdrop commentJRdeny +'B
portmapperR disabledJno
add chainJtcp protocolJtcp dst-portJ-,) actionJdrop commentJRdeny +'B
portmapperR disabledJno
add chainJtcp protocolJtcp dst-portJ-,K--,3 actionJdrop commentJRdeny ;?TR
disabledJno
add chainJtcp protocolJtcp dst-portJ99) actionJdrop commentJRdeny cisR
disabledJno
add chainJtcp protocolJtcp dst-portJ2*93 actionJdrop commentJRdeny ;CSR
disabledJno
add chainJtcp protocolJtcp dst-portJ-2,9)--2,9( actionJdrop commentJRdeny
;et?usR disabledJno
add chainJtcp protocolJtcp dst-portJ2**,9 actionJdrop commentJRdeny ;et?usR
disabledJno
add chainJtcp protocolJtcp dst-portJ,-,, actionJdrop commentJRdeny
?ack1riiceR disabledJno
add chainJtcp protocolJtcp dst-portJ(K-(6 actionJdrop commentJRdeny "5B'R
disabledJno
add chainJudp protocolJudp dst-portJ(3 actionJdrop commentJRdeny TCT'R
disabledJno
add chainJudp protocolJudp dst-portJ--- actionJdrop commentJRdeny '+B
portmapperR disabledJno
add chainJudp protocolJudp dst-portJ-,) actionJdrop commentJRdeny '+B
portmapperR disabledJno
add chainJudp protocolJudp dst-portJ-,K--,3 actionJdrop commentJRdeny ;?TR
disabledJno
add chainJudp protocolJudp dst-portJ2*93 actionJdrop commentJRdeny ;CSR
disabledJno
add chainJudp protocolJudp dst-portJ,-,, actionJdrop commentJRdeny
?ack1riiceR disabledJno
add chainJinput protocolJtcp psdJ2-,,s,,,- actionJadd-src-to-address-list
address-listJRport scannersR address-list-timeoutJ2! commentJR'ort
scanners to list R disabledJno
add chainJinput protocolJtcp tcp-lagsJin,Ssyn,Srst,Spsh,Sack,Surg
actionJadd-src-to-address-list address-listJRport scannersR
address-list-timeoutJ2! commentJR;$:' C4; Stealth scanR disabledJno
add chainJinput protocolJtcp tcp-lagsJin,syn actionJadd-src-to-address-list
address-listJRport scannersR address-list-timeoutJ2! commentJRSQ;8C4;
scanR disabledJno
add chainJinput protocolJtcp tcp-lagsJsyn,rst actionJadd-src-to-address-list
address-listJRport scannersR address-list-timeoutJ2! commentJRSQ;8+ST
scanR disabledJno
add chainJinput protocolJtcp tcp-lagsJin,psh,urg,Ssyn,Srst,Sack
actionJadd-src-to-address-list address-listJRport scannersR
address-list-timeoutJ2! commentJRC4;8'S58U+< scanR disabledJno
add chainJinput protocolJtcp tcp-lagsJin,syn,rst,psh,ack,urg
actionJadd-src-to-address-list address-listJRport scannersR
address-list-timeoutJ2! commentJR:LL8:LL scanR disabledJno
add chainJinput protocolJtcp tcp-lagsJSin,Ssyn,Srst,Spsh,Sack,Surg
actionJadd-src-to-address-list address-listJRport scannersR
address-list-timeoutJ2! commentJR;$:' ;ULL scanR disabledJno
add chainJinput src-address-listJRport scannersR actionJdrop commentJRdropping
port scannersR disabledJno
add chainJicmp protocolJicmp icmp-optionsJ*:* actionJaccept commentJRdrop
in#alid connectionsR disabledJno
add chainJicmp protocolJicmp icmp-optionsJ,:* actionJaccept commentJRallo!
established connectionsR disabledJno
add chainJicmp protocolJicmp icmp-optionsJ,:- actionJaccept commentJRallo!
already established connectionsR disabledJno
add chainJicmp protocolJicmp icmp-optionsJ9:* actionJaccept commentJRallo!
source >uenchR disabledJno
add chainJicmp protocolJicmp icmp-optionsJ6:* actionJaccept commentJRallo!
echo re>uestR disabledJno
add chainJicmp protocolJicmp icmp-optionsJ--:* actionJaccept commentJRallo!
time exceedR disabledJno
add chainJicmp protocolJicmp icmp-optionsJ-2:* actionJaccept commentJRallo!
parameter badR disabledJno
add chainJicmp actionJdrop commentJRdeny all other typesR disabledJno
add chainJtcp protocolJtcp dst-portJ2) actionJreject
reject-!ithJicmp-net!ork-unreachable commentJRSmtpR disabledJno
add chainJtcp protocolJudp dst-portJ2) actionJreject
reject-!ithJicmp-net!ork-unreachable commentJRSmtpR disabledJno
add chainJtcp protocolJtcp dst-portJ--* actionJreject
reject-!ithJicmp-net!ork-unreachable commentJRSmtpR disabledJno
add chainJtcp protocolJudp dst-portJ--* actionJreject
reject-!ithJicmp-net!ork-unreachable commentJRSmtpR disabledJno
add chainJtcp protocolJudp dst-portJ--* actionJreject
reject-!ithJicmp-net!ork-unreachable commentJRSmtpR disabledJno
-----------------------------------------------------------------------------
--D--.-E-- Ser#ice dan $elihat Ser#ice yang :kti dengan 'ortScanner
Untuk memastikan Ser#ice apa saja yang akti di $esin mikrotik, perlu kita
pindai terhadap port tertentu, seandainya ada ser#ice yang tidak dibutuhkan,
sebaiknya dimatikan saja.
Untuk menonaktikan dan mengaktikan ser#ise, perintah adalah :
7ita periksa dahulu ser#ice apa saja yang akti
----------------------------------------------------------------------------------
DadminVrouterkuE L ip ser#ice
DadminVrouterkuE ip ser#iceL print
Clags: & - disabled, 4 - in#alid
T ;:$E '1+T :""+ESS BE+T4C4B:TE
* & telnet 2, *.*.*.*8*
- tp 2- *.*.*.*8*
2 !!! 6* *.*.*.*8*
, ssh 22 *.*.*.*8*
9 !!!-ssl 99, *.*.*.*8* none
DadminVrouterkuE ip ser#iceL
----------------------------------------------------------------------------------
$isalkan ser#ice CT' akan dinonaktikan, yaitu di datar diatas terletak pada
nomor - .lihat bagian Clags0 maka :
---------------------------------------------------------------------------------
DadminVrouterkuE ip ser#iceL set - disabledJyes
---------------------------------------------------------------------------------
'erlu kita periksa lagi,
---------------------------------------------------------------------------------
DadminVrouterkuE ip ser#iceL print
Clags: & - disabled, 4 - in#alid
T ;:$E '1+T :""+ESS BE+T4C4B:TE
* & telnet 2, *.*.*.*8*
- & tp 2- *.*.*.*8*
2 !!! 6* *.*.*.*8*
, ssh 22 *.*.*.*8*
9 !!!-ssl 99, *.*.*.*8* none
DadminVrouter.dprd.pro#insiE ip ser#iceL
---------------------------------------------------------------------------------
Sekarang ser#ice CT' telah dinonaktikan.
"engan memakai tool nmap kita dapat mencek port apa saja yang akti pada mesin
gate!ay yang telah dikonigurasikan.
'erintah : nmap -## -sS -sO -'* -32.-(6.*.,*
5asil :
-------------------------------------------------------------------------------------
Starting ;map 9.2* . http:88insecure.org 0 at 2**K-*9-*9 -3:)) SE :sia Standard Time
4nitiating :+' 'ing Scan at -3:))
Scanning -32.-(6.*.,* D- portE
Bompleted :+' 'ing Scan at -3:)), *.,-s elapsed .- total hosts0
4nitiating 'arallel ";S resolution o - host. at -3:))
Bompleted 'arallel ";S resolution o - host. at -3:)), *.*)s elapsed
4nitiating SQ; Stealth Scan at -3:))
Scanning -32.-(6.*.,* D-(3K portsE
"isco#ered open port 228tcp on -32.-(6.*.,*
"isco#ered open port ),8tcp on -32.-(6.*.,*
"isco#ered open port 6*8tcp on -32.-(6.*.,*
"isco#ered open port 2-8tcp on -32.-(6.*.,*
"isco#ered open port ,36(8tcp on -32.-(6.*.,*
"isco#ered open port 2***8tcp on -32.-(6.*.,*
"isco#ered open port 6*6*8tcp on -32.-(6.*.,*
"isco#ered open port ,-268tcp on -32.-(6.*.,*
Bompleted SQ; Stealth Scan at -3:)), K.92s elapsed .-(3K total ports0
4nitiating Ser#ice scan at -3:))
Scanning 6 ser#ices on -32.-(6.*.,*
Bompleted Ser#ice scan at -3:)K, --,.6*s elapsed .6 ser#ices on - host0
5ost -32.-(6.*.,* appears to be up ... good.
4nteresting ports on -32.-(6.*.,*:
;ot sho!n: -(63 closed ports
'1+T ST:TE SE+O4BE OE+S41;
2-8tcp open tp $ikroTik router tpd 2.3.2K
228tcp open ssh 1penSS5 2.,.* mikrotik 2.3.2K .protocol -.330
),8tcp open domain/
6*8tcp open http $ikroTik router http conig
2***8tcp open callbook/
,-268tcp open http-proxy S>uid !ebproxy 2.).ST:?LE--
,36(8tcp open mapper-!sGethd/
6*6*8tcp open http-proxy S>uid !ebproxy 2.).ST:?LE--
2 ser#ices unrecogniMed despite returning data. 4 you kno! the ser#ice8#ersion,
please submit the ollo!ing ingerprints at
http:88!!!.insecure.org8cgi-bin8ser#icep-submit.cgi :
JJJJJJJJJJJJJJ;E&T SE+O4BE C4;<E+'+4;T .SU?$4T
4;"4O4"U:LLQ0JJJJJJJJJJJJJJ
SC-'ort),-TB':OJ9.2*\4JK\"J989\TimeJ9(-,:*,B\'Ji(6(-pc-!indo!s-!indo!s\r."
SC:;SOersion?ind+e>,E,Rx*cx*(x6-x69R0\r.";SStatus+
SC:e>uest,E,Rx*cx3*x69R0Z
JJJJJJJJJJJJJJ;E&T SE+O4BE C4;<E+'+4;T .SU?$4T
4;"4O4"U:LLQ0JJJJJJJJJJJJJJ
SC-'ort2***-TB':OJ9.2*\4JK\"J989\TimeJ9(-,:*,K\'Ji(6(-pc-!indo!s-!indo!s\r
SC:.;ULL,9,Rx*-R0\r.<enericLines,9,Rx*-R0\r.<et+e>uest,-6,R
SC:x*-x*2d/xe9Xx3dx*2x-axccx6bxd-Oxb2Cx3xb*R0\r.
SC:5TT'1ptions,-6,Rx*-x*2d/xe9Xx3dx*2x-axccx6bxd-Ox
SC:b2Cx3xb*R0\r.+TS'+e>uest,-6,Rx*-x*2d/xe9Xx3dx*2x
SC:-axccx6bxd-Oxb2Cx3xb*R0\r.+'BBheck,-6,Rx*-x*2d/
SC:xe9Xx3dx*2x-axccx6bxd-Oxb2Cx3xb*R0\r.";SOersion?ind+e>,-6,R
SC:x*-x*2d/xe9Xx3dx*2x-axccx6bxd-Oxb2Cx3xb*R0\r.
SC:";SStatus+e>uest,9,Rx*-R0\r.5elp,9,Rx*-R0\r.&--'robe,9,R
SC:x*-R0\r.Cour1hCour+e>uest,-6,Rx*-x*2xb3x-)^x-:
SC:EHx--nx(x3bxa*,xb*xe-xa)R0\r.L'"String,9,Rx*-R0\r.L":'
SC:?ind+e>,9,Rx*-R0\r.L:;"esk-+B,-6,Rx*-x*2xb3x-)^
SC:x-:EHx--nx(x3bxa*,xb*xe-xa)R0\r.TerminalSer#er,9,Rx*-
SC:*R0\r.;B',-6,Rx*-x*2xb3x-)^x-:EHx--nx(x3bxa*,
SC:xb*xe-xa)R0\r.;otes+'B,-6,Rx*-x*2xb3x-)^x-:EHx-
SC:-nx(x3bxa*,xb*xe-xa)R0\r.;essusT'#-*,9,Rx*-R0Z
$:B :ddress: **:3*:9B:3-:KK:*2 .Epigram0
Ser#ice 4no: 5ost: routerkuZ "e#ice: router
Ser#ice detection perormed. 'lease report any incorrect results at
http:88insecure.org8nmap8submit8 .
;map inished: - 4' address .- host up0 scanned in -2,.*,- seconds
+a! packets sent: -K*( .K).*(27?0 I +c#d: -K22 .K3.9)*7?0
---------------------------------------------------------------------------
"ari hasil scanning tersebut dapat kita ambil kesimpulan, bah!a ser#ice dan
port yang akti adalah CT' dalam #ersi $ikroTik router tpd 2.3.2K. Untuk
SS5 dengan #ersi 1penSS5 2.,.* mikrotik 2.3.2K .protocol -.330. Serta =eb
proxy memakai S>uid dalam #ersi S>uid !ebproxy 2.).ST:?LE--.
Tentu saja pihak #endor mikrotik telah melakukan patch terhadap 5ole atau
Oulnerabilities dari Oersi 'rotocol diatas.
--D--.2E-- Tool administrasi Faringan
Secara praktis terdapat beberapa tool yang dapat dimanaatkan dalam mela
kukan troubleshooting jaringan, seperti tool ping, traceroute, SS5, dll.
?eberapa tool yang sering digunakan nantinya dalam administrasi sehari-hari
adalah :
o Telnet
o SS5
o Traceroute
o Snier
a. Telnet
'erintah remote mesin ini hampir sama penggunaan dengan telnet yang ada
di Linux atau =indo!s.
DadminVrouterkuE L system telnet /
'erintah diatas untuk melihat sekilias paramater apa saja yang ada. $isalnya
mesin remote dengan ip address -32.-(6.*.2- dan port 2,. $aka
DadminVrouterkuE L system telnet -32.-(6.*.2-
'enggunaan telnet sebaiknya dibatasi untuk kondisi tertentu dengan alasan
keamanan, seperti kita ketahui, packet data yang dikirim melalui telnet
belum di enskripsi. :gar lebih amannya kita pergunakan SS5.
b. SS5
Sama dengan telnet perintah ini juga diperlukan dalam remote mesin, serta
pringsipnya sama juga parameternya dengan perintah di Linux dan =indo!s.
DadminVrouterkuE L system ssh -32.-(6.*.2-
'arameter SS5 diatas, sedikit perbedaan dengan telnet. Fika lihat helpnya
memiliki parameter tambahan yaitu user.
------------------------------------------------------------------------------
DadminVrouterkuE L system ssh /
The SS5 eature can be used !ith #arious SS5 Telnet clients to securely connect
to and administrate the router
--
user -- User name
port -- 'ort number
DadminVrouterkuE L
------------------------------------------------------------------------------
$isalkan kita akan melakukan remote pada suatu mesin dengan sistem
operasinya Linux, yang memiliki :ccount, username +oot dan 'ass!ord
-2,9)( pada :ddress ((.2-,.K.,*. $aka perintahnya,
-----------------------------------------------------------------------------
DadminVrouterkuE L system ssh ((.2-,.K.,* userJroot
rootV((.2-,.K.,*Ps pass!ord:
----------------------------------------------------------------------------
c. Traceroute
$engetahui hops atau router apa saja yang dile!ati suatu packet sampai packet
itu terkirim ke tujuan, laMimnya kita menggunakan traceroute. "engan tool ini
dapat di analisa kemana saja route dari jalannya packet.
$isalkan ingin mengetahui jalannya packet yang menuju ser#er yahoo, maka:
----------------------------------------------------------------------------
DadminVrouterkuE L tool traceroute yahoo.com :""+ESS ST:TUS
- (,.2-3.(.nnn **:**:** **:**:** **:**:**
2 222.-29.9.nnn **:**:** **:**:** **:**:**
, -32.-(6.,9.9- **:**:** **:**:** **:**:**
9 (-.39.-.2), **:**:** **:**:** **:**:**
) 2*,.2*6.-9,.-K, **:**:** **:**:** **:**:**
( 2*,.2*6.-62.) **:**:** **:**:** **:**:**
K 2*,.2*6.-62.--9 **:**:** **:**:** **:**:**
6 2*,.2*6.-(6.--6 **:**:** **:**:** **:**:**
3 2*,.2*6.-(6.-,9 timeout **:**:** **:**:**
-* 2-(.--).-*-.,9 **:**:** timeout timeout
-- 2-(.--).-*-.-23 timeout timeout **:**:**
-2 2-(.--).-*6.- timeout timeout **:**:**
-, 2-(.-*3.-2*.293 **:**:** **:**:** **:**:**
-9 2-(.-*3.--2.-,) **:**:** timeout timeout
------------------------------------------------------------------------------
d. Snier
7ita dapat menangkap dan menyadap packet-packet yang berjalan
di jaringan kita, tool ini telah disediakan oleh $ikrotik yang berguna
dalam menganalisa traik.
----------------------------------------------------------------------------
DadminVrouterkuE L tool snier
'acket sniering
.. -- go up to tool
start -- Start8reset sniering
stop -- Stop sniering
sa#e -- Sa#e currently snied packets
packet8 -- Snied packets management
protocol8 -- 'rotocol management
host8 -- 5ost management
connection8 -- Bonnection management
print --
get -- get #alue o property
set --
edit -- edit #alue o property
export --
----------------------------------------------------------------------------
Untuk memulai proses sniing dapat menggunakan perintah Start, sedangkan
menghentikannya dapat menggunaka perintah Stop.
DadminVrouterkuE L tool snier start
'roses sniing sedang dikerjakan, tunggu saja beberapa lama, kemudian
ketikkan perintah stop jika ingin menghentikannya. $elihat hasil packet
yang ditangkap dapat menggunakan perintah print, untuk mengeksportnya
dalam bentuk ile dapat digunakan perintah export.
--D-2E-- 7esimpulan
Untuk pemakaian jaringan berskala 7ecil-menengah produk dari Lat#ia ini,
dapat menjadi pilihan, saya disini bukan untuk mempromosikan 'roduk ini.
;amun sebagai gambaran, bagaimana memanaatkan produk ini untuk berbagai
keperluan, lagipula sebagai alternati dari produk sejenis yang harganya
cenderung mahal.
"engan $ikrotik yang saat ini sedang populernya diterapkan pada berbagai
4S' =ireless, =arnet-!arnet serta beberapa 'erusahaan. $aka :dministrasi
Sistem Faringan dapat lebih mudah dan sederhana. Qang jelas untuk sekedar
memanaatkan asilitas +outing saja, 'B TU: anda dapat digunakan.
$udah-mudahan paparan diatas dapat membantu pembaca dalam memahami, apa
dan bagaimana mikrotik ini.
--D-,E-- +eerensi
:rtikel ini merupakan kompilasi dari berbagai sumber
-. =eb ?log
- http:88dhanis.!eb.id
- http:88oka!ardhana.!eb.id
- http:88harrychanputra.!eb.id
2. =ebsite
- http:88!!!.cgd.co.id
- http:88!!!.ilmukomputer.org
- http:88!!!.mikrotik.com
- http:88!!!.mikrotik.co.id
- http:88orum.mikrotik.com
o1 Using no !ay as a !ay, Using no limitations as a limitation 1o
Salam dan terimakasih,
r*t*r
-----------------------------------------------------------------------
Bopylet Unreser#ed by La! -33) - 2**K 7ecoak Elektronik 4ndonesia
http:88!!!.kecoak-elektronik.net
.L.:.$.'.4.+.:.;.
"atar 'ort dan 'rotocol berbagai jenis Trojan, ?ackdoor, Oirus.
datar ini dapat saja tidak berlaku, atau dapat pula perlu ditambah
seiring perkembangan $al!are tersebut. Update terus Cilter +ule
mesin mikrotik anda.
TTTTTTTTTT 'embatasan ?rute Corce TTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTT
8 ip ire!all ilter
add chainJinput protocolJtcp dst-portJ22 connection-limitJ-,,2
actionJadd-src-to-address-list address-listJsshGlogins
address-list-timeoutJ2m commentJRR disabledJno
add chainJinput protocolJtcp dst-portJ22 src-address-listJSsshGlogins
actionJaccept commentJRR disabledJno
add chainJor!ard src-addressJ-32.-(6.-.-* protocolJtcp src-portJ2-
contentJRpass!ord incorrectR actionJadd-dst-to-address-list
address-listJtpGlogins address-list-timeoutJ-m commentJRR disabledJno
add chainJor!ard src-address-listJtpGlogins actionJdrop commentJRR disabledJno
TTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTT
'emblokiran beberapa U+L tertentu dapat dilakukan pada mikrotik.
Fika paket !eb-proxy telah terinstall dan !eb-proxynya juga telah
dikonigurasi, maka perintah diba!ah ini dapat disertakan.