Certified Network Associate

(MTCNA)
Banjarbaru
September 2016

About Trainer
Name : Omar M. A. A.
Project & Focus:
MikroTik, Cisco,
SysAdmin, and
Virtualization
Email :
me@omar.web.id
http://www.mikrotik.com/
consultants

Materi
Perkenalan RouterOS dan produk
RouterBOARD

Training dasar konfigurasi,

perawatan, dan troubleshooting

router MikroTik

Goal
Setelah mengikuti kegiatan peserta diharapkan:

Mampu melakukan konfigurasi, manajemen,

dan troubleshooting dasar perangkat MikroTik
RouterOS
Mampu menyediakan layanan-layanan
sederhana kepada client
Mempunyai dasar yang dasar pengetahuan
mengenai tools MikroTik untuk manajemen
jaringan
4

Level Sertifikasi MikroTik

Introduction
Course

MTCRE

MTCNA

MTCWE

MTCTCE

MTCUME

MTCINE

For more info see: http://training.mikrotik.com

5

MTCNA Outline

Modul 1: Introduction
Modul 2: DHCP
Modul 3: Bridging
Modul 4: Routing
Modul 5: Wireless

Modul 6: Firewall
Modul 7: QoS
Modul 8: Tunnels
Modul 9: Lain-Lain

Jadwal

This page is left blank intentionally

Certified Network Associate

(MTCNA)

Modul 1
Introduction

About MikroTik
Pabrik software dan hardware
router

Produk-produk MikroTik digunakan

oleh ISP, perusahaan and
perorangan

Misi: Membuat teknologi Internet

menjadi lebih cepat, lebih powerful

and terjangkau oleh pengguna
secara luas
9

About MikroTik

1996: Didirikan
1997: Software RouterOS untuk x86 (PC)
2002: Perangkat RouterBOARD pertama
2006: MikroTik User Meeting (MUM)
pertama diadakan di Prague, Czech
Republic
2015: MUM Terbesar: Indonesia, 2500
peserta lebih
10

About MikroTik
Berlokasi di
Latvia

160+ karyawan
mikrotik.com
routerboard.com
11

MikroTik RouterOS
Merupakan sistem operasi

perangkat RouterBOARD MikroTik

Is the operating system of MikroTik

RouterBOARD hardware

Can also be installed on a PC or as

a virtual machine (VM)

Stand-alone operating system

based on the Linux kernel
12

Fitur-Fitur RouterOS
Support 802.11 a/b/g/n/ac
Kemampuan Firewall/bandwidth
shaping

Point-to-Point tunnelling (PPTP,

PPPoE, SSTP, OpenVPN)

DHCP/Proxy/HotSpot
Selebihnya dapat dilihat di:
wiki.mikrotik.com
13

MikroTik RouterBOARD
Merupakan hardware khusus yang
dibuat oleh pihak MikroTik ulntuk
menjalankan RouterOS

Digunakan mulai sebagai router

rumahan hingga industri enterprise

Sekarang sudah ada jutaan

RouterBOARD yang meruting dunia

(routing the world)
14

MikroTik RouterBOARD
Solusi yang terintegrasi, siap digunakan
Board doang merakit sistem sendiri
Enclosures membangun/merakit
RouterBOARD sendiri

Interfaces memperluas fungsionalitas

Accessories
15

Mengakses RouterBOARD

Kabel Serial
Ethernet
WiFi
Null
Modem
Cable

16

WiFi

Ethernet
cable

Tools
WinBox
WebFig
SSH
Telnet
Terminal emulator (koneksi via port
serial)

17

WinBox
Default IP address (LAN side):
192.168.88.1

User: admin
Password: (blank)

18

19

B
LA

MAC WinBox
Perhatikan bagian atas WinBox saat
terkoneksi menggunakan IP

Cobalah konek ke router menggunakan

MAC Address

Perhatikan kembali bagian atas WinBox

20

l
na
io
pt
O

Disable IP address pada interface

Log in ke router menggunakan IP

B
LA

MAC WinBox

Address tidak dapat dilakukan (silakan

dicoba)

Cobalah untuk login menggunakan

MAC Address

21

interface

Log in ke router menggunakan IP

address

22

l
na
io
pt
O

Enable kembali IP address pada

B
LA

MAC WinBox

WebFig

Browser - http://192.168.88.1

23

Quick Set
Konfigurasi dasar router dalam satu
halaman

Dapat diakses baik dari WinBox

maupun dari WebFig

24

Quick Set

25

26

Konfigurasi Default

Di dalam RouterBOARD biasanya selalu

disertakan konfigurasi default. Konfigurasi
default setiap RouterBOARD biasanya berbedabeda.
Konfigurasi default ini dapat dilihat:
http://wiki.mikrotik.com/wiki/Manual:Default_Con
figurations
Contoh: RB941 - DHCP client on Ether1, DHCP
server on rest of ports + WiFi
Bisa tidak digunakan, pada saat reset, centang
No Default Configuration.
27

28

Command Line Interface

Dapat diakses via SSH, Telnet or New
Terminal in WinBox and WebFig

29

Command Line Interface

<tab> untuk melengkapi perintah

double <tab> menampilkan
perintah yang tersedia

? menampilkan help
Menggunakan perintah

sebelumnya menggunakan tombol

<>, <>
30

Command Line Interface

Struktur hirarti perintah sama dengan struktur

menu pada WinBox
Informasi lebih lanjut:
http://wiki.mikrotik.com/wiki/Manual:Console

In WinBox: Interfaces menu

31

Laptop

Access Point

Router

192.168.88.1

32

B
LA

Akses Internet

 Koneksikan laptop ke router

B
LA

Laptop - Router

menggunakan kabel pada port LAN

(2-4)

Nonaktifkan interface lain pada

laptop Anda (wireless)

Pastikan interface ethernet diset

obtain IP configuration (via
DHCP)
33

 Gateway Internet dapat diakses via

wireless

Laptop

Access Point

Router

192.168.88.1
34

B
LA

Router - Internet

B
LA

Router - Internet
Untuk dapat terkoneksi ke AP:

Hapus interface wireless dari bridge pada

menu : interface bridge ports
(konfigurasi default RouterBOARD 941)
Aktifkan DHCP client pada interface
wireless

35

 Untuk dapat terkoneksi ke AP:

Buat security profile dan pasang pada

interface wireless
Atur interface wireless menjadi mode
station
Aktifkan NAT Masquerade

36

B
LA

Router - Internet

Hapus
interface
wlan dari
port bridge

Bridge Ports

37

B
LA

Router - Internet

Set DHCP
client ke
interface
wlan

IP DHCP Client

38

B
LA

Router - Internet

Wireless Security Profiles

Set Name dan

Pre-Shared
Keys

39

B
LA

Router - Internet

B
LA

Router - Internet
Wireless Interfaces

Mode=station
SSID=.........
Security
Profile=belajar
MikroTik

Tool Scan dapat digunakan

untuk melihat dan terkoneksi ke

Access Point
yang
tersedia
40

Tips

Untuk menampilkan password (selain

passwordnya user, pilih Settings Hide

Passwords

Wireless Security Profiles

41

IP Private dan IP Public

Range IP Private
10.0.0.0-10.255.255.255

172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255

NAT Masquerade digunakan untuk akses

ke jaringan publik dari jaringan lokal

42

B
LA

Router - Internet

Set NAT
masquerade
pada
interface
wlan

43

IP Firewall NAT

 Ping www.mikrotik.com dari laptop

Anda

44

B
LA

Cek Koneksi

Troubleshooting
Router tidak bisa ping lebih jauh dari AP
Router tidak bisa resolve domain
Laptop tidak bisa ping lebih jauh dari
router

Masquerade tidak jalan

Permasalahan lain...?
45

RouterOS Releases
Bugfix only - fixes, tdk ada fitur baru
Current - same fixes + fitur baru
Release Candidate versi untuk diuji
oleh publik

46

Upgrade RouterOS
Cara paling gampang:

System Packages Check For Updates

47

Upgrade RouterOS
Download update RouterOS dari

halaman www.mikrotik.com/download

Sesuaikan architecture prosesor router Anda

Drag & drop file hasil download ke

WinBox

Cara lain: WebFig Files menu, FTP, sFTP

Reboot router
48

Manajemen Package

Fungsionalitas RouterOS di-enable/didisable menggunakan paket

System Packages

49

RouterOS Packages
Package

Functionality

advanced-tools

Netwatch, wake-on-LAN

dhcp

DHCP client and server

hotspot

HotSpot captive portal server

ipv6

IPv6 support

ppp

PPP, PPTP, L2TP, PPPoE clients and servers

routing

Dynamic routing: RIP, BGP, OSPF

security

Secure WinBox, SSH, IPsec

system

Basic features: static routing, firewall, bridging, etc.

wireless-cm2

802.11 a/b/g/n/ac support, CAPsMAN v2

Lebih lengkap di:

http://wiki.mikrotik.com/wiki/Manual:S
ystem/Packages50

RouterOS Packages
Setiap arsitektur prosesor punya paket
yang isinya lengkap. Misal : routerosmipsbe, routeros-smips

Berisi semua fitur-fitur standar

RouterOS (wireless, dhcp, ppp, routing,

etc.)

Paket tambahan dapat didownload dari

alamat www.mikrotik.com/download

51

RouterOS Extra Packages

Fungsionalitas tambahan
Upload package file ke router dan
kemudian reboot

Package

Functionality

gps

GPS device support

ntp

Network Time Protocol server

ups

APC UPS management support

MikroTik User Manager for managing HotSpot
users

user-manager

52

 Disable wireless package

Reboot router Anda
Perhatikan daftar interface
Enable kembali wireless package
Reboot the router
53

B
LA

Package Management

Upgrading Packages

Klik menu System Packages

Klik tombol Check For Updates dan

coba pilih channel lain, misal: bugfixonly

Klik tombol Download and Install

Router setelah selesai proses

download, router akan reboot sendiri.

54

 Masuk ke menu Files.

Klik tombol upload, kemudian pilih

file packages yang versi sebelumnya.

Tunggu proses upload selesai.

Masuk lagi ke System Packages
Klik Downgrade, kemudian akan

muncul kotak dialog konfirmasi, klik

tombol OK.

Router akan reboot kembali.

55

l
na
io
pt
O

B
LA

Downgrading Packages

l
na
io
pt
O

56

B
LA

Downgrading Packages

l
na
io
pt
O

57

B
LA

Downgrading Packages

RouterBOOT
Firmware yang bertugas menjalankan

RouterOS pada perangkat RouterBOARD

Kurang lebih mirip BIOS pada PC lah..

Ada dua boot loader pada

RouterBOARD, yaitu main dan backup

Main dapat diupdate. Jika main ada

masalah, maka backup akan diload.

58

RouterBOOT
System Reboot

System Routerboard

Cek lagi

http://wiki.mikrotik.com/wiki/Manual:RouterBOOT
59

Router Identity
Digunakan untuk memberi nama router
Informasi identity ini dapat dijumpai pada
beberapa tempat

New Terminal

System Identity

60

B
LA

Router Identity
Cobalah untuk mengubah Identity
router Anda

Periksa Identity apakah sudah sesuai

atau belum

61

RouterOS Users
Default user admin tanpa
password, group full

Group tambahan - read and write

Anda dapat membuat grup sendiri
dengan hak akses yang Anda
tentukan sendiri

62

RouterOS Users
System Users Groups

Kembali ke tab Users

63

B
LA

RouterOS Users

Buatlah sebuah user baru dan masukkan

ke dalam grup full (catat user dan
passwordnya)
Gantilah grup admin menjadi read
Logout dari router, kemudian masuk lagi
sebagai admin. Cobalah untuk melakukan
perubahan konfigurasi pada router.
Cobalah login sebagai user baru tadi,
kemudian cobalah lakukan perubahan
konfigurasi pada router.
64

Generate SSH private/public key pair

menggunakan ssh-keygen (OS X dan
Linux) atau puttygen (Windows)
Upload key public nya ke router dengan
cara drag and drop
Import file SSH dan pasangkan kepada
user
Jika Anda menggunakan linux, hapuslah
file known_hosts. Loginlah dari client
menggunakan file private key
65

l
na
io
pt
O

B
LA

RouterOS Users

l
na
io
pt
O

B
LA

RouterOS Users

ssh-keygen -t rsa

66

l
na
io
pt
O

67

B
LA

RouterOS Users

RouterOS Services

Ada banyak cara untuk terkoneksi ke

RouterOS

API - Application Programming Interface

FTP - untuk upload/download file ke/dari
RouterOS

IP Services

68

RouterOS Services

SSH - secure command line interface

Telnet - insecure command line interface
WinBox - GUI access
WWW akses dari web browser

69

RouterOS Services

Disable service yang tidak digunakan

Perketat aturan keamanan
menggunakan kolom available from

Port default bisa diganti

70

B
LA

RouterOS Services
Akseslah RouterOS melalui web
interface - http://192.168.88.1

Pada WinBox, disable www

service

Refresh web browser

71

Configuration Backup
Ada dua tipe backup.
Backup (.backup) file digunakan
untuk merestore konfigurasi ke
dalam router yang sama

Export (.rsc) file digunakan untuk

memindahkan konfigurasi ke
router yang lain / berbeda

72

Configuration Backup
Backup file dapat dibuat dan

direstor pada menu Files di

WinBox

Backup file berupa file binary yang

secara default dienkripsi
menggunakan user dan password

Berisi konfigurasi full sebuah

router configuration (passwords,

keys, dll.)
73

Configuration Backup

Name dan password dapat ditentukan

sendiri atau dibiarkan kosong

Nama file backup dibuat menggunakan

Router identity dan tanggal sekarang

74

Configuration Backup

File export (.rsc) merupakan skrip

hasil backup dan restore
konfigurasi router

File Plain-text (dapat diedit)

Konfigurasi default MikroTik tidak
termasuk

75

Configuration Backup

File export dibuat menggunakan

perintah export CLI

Dapat membackup konfigurasi

router secara keseluruhan maupun

secara parsial

User dan password RouterOS tidak

termasuk

76

Configuration Backup

77

Configuration Backup

78

Configuration Backup

File export dapat diedit menggunakan

text editor

Dapat digunakan untuk memindah

konfigurasi ke RouterBOARD yang
berbeda

Proses restore menggunakan perintah

/import

79

Configuration Backup

Download file hasil backup ke

komputer menggunakan WinBox

(drag n drop), FTP, atau WebFig

Jangan simpan file hasil backup

hanya di dalam router saja!

80

Reset Configuration

Reset konfigurasi router menjadi

konfigurasi default

System Reset Configuration

User RouterOS tidak dihapus pada saat proses reset

RouterOS tidak diberikan konfigurasi default setelah

direset (blank)

Fitur backup sebelum reset milik MikroTik tidak

digunakan

Menjalankan skrip buatan setelah proses reset

81

Reset Configuration
Menggunakan tombol reset pada router
(secara fisik)
Tekan tombol power sebelum memasang
adaptor ke sumber listrik. Tahan tombol selama
3 detik setelah diberikan power agar router
membaca backup RouterBOOT loader. Ini
dilakukan jika router tidak dapat beroperasi dg
baik karena proses RouterBOOT upgrade.
Setelah router berhasil booting dg baik, Anda
dapat mengubah konfigurasi RouterBOARD agar
RouterOS selalu menggunakan backup loader,
atau Anda dapat menginstal kembali
RouterBOOT dari file fwf
82

Reset Configuration
Jika Anda menahan tombol reset selama 5 detik
hingga lampu indikator berkedip-kedip, maka Anda
akan mereset RouterOS ke konfigurasi default.
Jika Anda menahan tombol reset selama 10 detik
hingga lampu indikator berhenti berkedip, maka
router akan masuk ke mode CAPs. Router akan konek
ke jaringa wireless yang dimanage menggunakan
CAPsMAN
Jika Anda menahan tombol reset selama 15 detik,
maka router akan masuk mode Netinstall.
Indikatornya dapat dilihat saat router muncul/terlihat
pada program Netinstall
http://wiki.mikrotik.com/wiki/Manual:Reset_button
83

Netinstall

Digunakan untuk install ulang RouterOS

Memerlukan koneksi jaringan langsung ke
router (dapat menggunakan dilewatkan
switch)

Kabel dicolokkan ke port Ether1 (kecuali

CCR dan RB1xxx, yaitu pada port terakhir)

Berjalan di Windows
http://wiki.mikrotik.com/wiki/Manual:Netin
stall

84

Netinstall

www.mikrotik.com/download
85

 Buatlah sebuah file .backup

Download file tersebut ke laptop
Hapus file tersebut dari router
Reset konfigurasi router
Upload file .backup ke router
Restore konfigurasi router
86

B
LA

Configuration Backup

l
na
io
pt
O

B
LA

Configuration Backup

Buatlah backup menggunakan perintah

export

Download file ke laptop

Hapus file hasil export dari router
Reset konfigurasi router
Upload file tersebut ke router
Restore konfigurasi router
menggunakan perintah import
87

Netinstall

Digunakan untuk install ulang RouterOS

Memerlukan koneksi jaringan langsung ke
router (dapat menggunakan dilewatkan
switch)

Kabel dicolokkan ke port Ether1 (kecuali

CCR dan RB1xxx, yaitu pada port terakhir)

Berjalan di Windows
http://wiki.mikrotik.com/wiki/Manual:Netin
stall

88

pada Netinstall mode

Install RouterOS pada router

menggunakan Netinstall

Restore konfigurasi menggunakan

backup file yang dibuat
sebelumnya
89

l
na
io
pt
O

Download Netinstall
Set router Anda untuk booting

B
LA

Netinstall

RouterOS License
Semua RouterBOARD dijual bersama license
RouterOS dengan lisensi yang berbeda akan
mempunyai fitur yang berbeda
Fasilitas update RouterOS seumur hidup
Lisensi x86 dapat dibeli dari
www.mikrotik.com or distributor
System License

90

RouterOS License
Level

Type

Typical Use

Trial Mode

24h trial

Free Demo

CPE

Wireless client (station), volume only

AP

Wireless AP: WISP, HOME, Office

ISP

Supports more tunnels than L4

Controller

Unlimited RouterOS features

91

Additional Information
wiki.mikrotik.com - dokumentasi

RouterOS dan contoh konfigurasi

forum.mikrotik.com - berkomunikasi
dengan pengguna RouterOS yang
lain

mum.mikrotik.com - website
MikroTik User Meeting

Support distributor dan konsultan

support@mikrotik.com
92

Modul 1
Kesimpulan

Certified Network Associate

(MTCNA)

Modul 2
DHCP

DHCP

Dynamic Host Configuration Protocol

Digunakan untuk pemberian IP Address
secara otomatis melalui jaringan lokal

Hanya gunakan DHCP di jaringan yang

dapat dipercaya

Hanya dapat berfungsi dalam satu

broadcast domain

RouterOS dapat menjadi DHCP client

dan server

95

DHCP Client
Digunakan untuk mendapatkan IP
Address, subnetmask, default
gateway, alamat server DNS dan
NTP, serta setting tambahan
lainnya

MikroTik SOHO routers secara

default sudah dikonfigurasi DHCP

client pada interface ether1 (WAN)
96

DHCP Client
IP DHCP Client

97

DNS
Secara default,

IP DNS

DHCP client juga

meminta alamat
server DNS

Alamat server DNS

dapat dimasukkan
secara manual jika
diperlukan atau jika
DHCP Client tidak
digunakan
98

DNS

RouterOS support static DNS

Secara default, ada sebuah alamat

domain yang bernama router yang

diarahkan ke alamat 192.168.88.1,
artinya Anda dapat mengakses router
menggunakan domain tersebut, tidak
pakai IP Address lagi http://router
IP DNS Static

99

DHCP Server
Memberikan IP Address secara
otomatis kepada client yang
meminta alamat IP

IP Address harus dikonfigurasi

pada interface yang akan dipasang

DHCP Server

Untuk mengaktifkan, gunakan

tombol DHCP Setup
100

 Disconnect dari router

Connect kembali menggunakan
MAC address router

101

B
LA

DHCP Server

B
LA

DHCP Server

Pada konfigurasi default MikroTik biasanya

sudah ada konfigurasi DHCP Server. Pada router
SOHO DHCP Server biasanya diset di interface
bridge
Kita akan menghapus DHCP server yang ada
dan membuat DHCP server yg baru
Gunakan subnet 192.168.XX.0/24 (XX adalah
nomer peserta Anda)
Jika Anda ingin mengkonfigurasi DHCP Server
pada interface yang terbridge, pasang DHCP
Server pada interface bridge-nya, bukan pada
port bridge-nya
102

B
LA

DHCP Server
IP DHCP Server

Hapus DHCP
Server

Hapus
DHCP Network
103

IP Pool
Hapus
IP Pool

IP Address

Hapus
IP Address
104

B
LA

DHCP Server

Tambahkan IP
Address
192.168.XY.1/24
pada interface
bridge

Contoh XY = 199

105

B
LA

DHCP Server

IP DHCP Server DHCP Setup

6
106

B
LA

DHCP Server

B
LA

DHCP Server

Disconnect dari WinBox router

Perbaharui IP address pada laptop Anda
Konek ke IP Address router yang baru
192.168.XY.1

Cek apakah laptop Anda dapat

terkoneksi ke Internet atau tidak

107

DHCP Server
Proses tadi

membuat IP
pool dan DHCP
Server baru
secara otomatis

108

DHCP Static Leases

Digunakan untuk memberikan IP

Address yang selalu sama kepada client

tertentu. Client diidentifikasi
berdasarkan MAC Address.

DHCP Server bahkan dapat digunakan

tanpa dynamic IP pool dan hanya
menggunakan IP Address yang sudah
ditentukan saja (menggunakan opsi
'static-only')
109

110

DHCP Static Leases

IP DHCP Server Leases

Mengubah dynamic
lease menjadi static

111

B
LA

DHCP Static Leases

Buatlah static lease untuk laptop Anda

Set DHCP Address Pool menjadi static-only
Ubahlah IP address yang diatur untuk
laptop Anda oleh DHCP server menjadi
192.168.XY.123

Perbaharui IP address laptop Anda

Mintalah teman di samping Anda untuk
konek ke router Anda (harusnya tidak
akan dapat IP Address)
112

ARP
Address Resolution Protocol
ARP menghubungkan IP Address
client (Layer3) dengan MAC
address client (Layer2)

ARP beroperasi secara dinamis

ARP juga dapat dikonfigurasi
secara manual

113

Tabel ARP
Berisi informasi mengenai IP Address,
MAC Address, dan ke interface router
yang mana client/perangkat
terkoneksi

IP ARP

114

Static ARP

Penggunaan ARP manual ini

digunakan untuk meningkatkan

keamanan

Client yang dikonfigurasi static

ARP tidak dapat mengakses

Internet menggunakan IP Address
yang berbeda

115

Static ARP
Static ARP

IP ARP

116

Static ARP
Interfaces bridge-local

Interface hanya
akan merespon
(reply only)
sama entri ARP
yang dikenal

117

DHCP dan ARP

DHCP Server dapat menambahkan
entri ARP secara otomatis

Penggabungan static leases dan

reply-only ARP dapat meningkatkan

keamanan jaringan tanpa
mempersulit pengguna

118

DHCP dan ARP

IP DHCP Server

Add ARP entries for

DHCP leases
119

B
LA

Static ARP

Buatlah entri ARP statis untuk laptop

Anda

Setting ARP interface bridge dan ether2

menjadi reply-only untuk men-disable
penambahan entri dynamic ARP

Pastikan konfigurasi address pool pada

DHCP server menjadi static-only dan

terdapat sebuah static lease untuk laptop
Anda (perhatikan LAB sebelumnya)

Enable Add ARP For Leases pada

konfigurasi DHCP server
120

B
LA

Static ARP

Hapus entri static milik laptop Anda dari

tabel ARP

Cek koneksi Internet (harusnya ga bisa)

Renew the IP address of your laptop
Cek koneksi Internet (harusnya bisa)
Koneklah ke router dan amati tabel ARP
121

Modul 2
Kesimpulan

Certified Network Associate

(MTCNA)

Modul 3
Bridging

Bridge
Bridge merupakan perangkat jaringan yg
beroperasi di OSI layer 2
Bridge adalah transparent device
Biaanya digunakan untuk
menggabungkan dua segmen jaringan
Bridge memisahkan collision domain
menjadi dua bagian
Sebuah switch termasuk multi-port bridge
yang memisahkan collision domain untuk
setiap portnya
124

Bridge

Semua host dapat berkomunikasi

satu sama lain

Semua host mendapatkan collision

domain yang sama

125

Bridge

Semua host masih dapat berkomunikasi

satu sama lain

Namun collision domain-nya terbagi

menjadi dua

126

Bridge
RouterOS mendukung fitur bridge
Interface ethernet, wireless, SFP dan tunnel
interfaces dapat ditambahkan ke sebuah
interface bridge (virtual)
Konfigurasi default pada SOHO routers
membridge port wireless dengan ether2
Ether2-4 dikombinasikan bersama dalam
sebuah switch. Ether2 menjadi master, 3 dan
4 menjadi slave. Hal ini tentu saja lebih cepat
dari pada routing (menggunakan switch chip)
127

Bridge
Dimungkinkan bagi Anda untuk

menghapus konfigurasi master/slave

menggunakan konfigurasi bridge
sebagai penggantinya

Namun, switch chip tidak digunakan

shg meningkatkan penggunaan CPU

Di sisi lain Anda dapat lebih mengontrol

trafik menggunakan firewall untuk port
bridge
128

Bridge
Karena keterbatasan standar

802.11, wireless client (mode:

station) tidak support bridging

RouterOS mengimplementasikan
beberapa mode untuk sebagai
solusi untuk keterbatasan ini.

129

Wireless Bridge
station bridge - RouterOS ke
RouterOS

station pseudobridge - RouterOS

ke non-RouterOS

station wds (Wireless Distribution

System) - RouterOS ke RouterOS

130

Wireless Bridge

Untuk menggunakan station

bridge, Bridge Mode harus dienable-kan pada Access Point

131

B
LA

Bridge

Kita akan melakukan bridging jaringan

wireless dengan interface ethernet.

Semua laptop akan berada pada

jaringan yang sama.

Berhati-hatilah saat proses bridging

jaringan

Buatlah backup konfigurasi sebelum

memulai LAB ini!

134

 Ubahlah more wireless menjadi

station bridge

Disable DHCP server

Tambahkan wireless ke dalam

interface bridge yang sudah ada

sebagai port

135

B
LA

Bridge

Set mode to
station bridge

IP DHCP Server
Disable
DHCP Server
136

B
LA

Wireless wlan1

Bridge

Bridge Ports

Tambahkan interface
wireless ke bridge

137

B
LA

Bridge

B
LA

Bridge
Perbaharuai IP Address laptop Anda.

Seharusnya Anda akan mendapatkan IP

Address dari router pemateri (router
utama)

Mintalah orang di samping Anda untuk

ping ke laptop Anda dan sebaliknya

Jika mendapat reply, maka router Anda

sekarang berfungsi sebagai transparent

bridge
138

Bridge Firewall
Interface bridge pada RouterOS
telah mendukung fitur firewall

Trafik yang melewati bridge dapat

diproses oleh firewall

Untuk mengenable-kan: Bridge

Settings Use IP Firewall

140

Bridge Firewall

141

 Restore konfigurasi router Anda

B
LA

Bridge

dari backup yang sudah Anda buat

sebelum mengerjakan LAB bridge

Atau bisa juga kembalikan ke

konfigurasi sebelumnya secara

manual

142

Modul 3
Kesimpulan

Certified Network Associate

(MTCNA)

Modul 4
Routing

Routing

Bekerja pada layer network di OSI

layer (L3)

Aturan routing RouterOS mengatur

kemana paket harus diteruskan
IP Routes

145

Routing

Dst. Address (alamat tujuan): harus

alamat network yang dapat dicapai
oleh router

Gateway: IP address router berikutnya

untuk mencapai tujuan

IP Routes

146

Static Route Baru

IP Routes +

147

Routing

Check gateway setiap 10 detik akan

mengirimkan ICMP echo request (ping)

atau request ARP. Digunakan untuk
mengecek apakah gateway up atau
tidak

Jika beberapa route menggunakan

gateway yang sama dan salah satu

route-nya ada yang opsi check-gateway
nya dienable, maka semua route akan
dikenakan aturan check-gateway juga
148

Routing
Jika ada dua atau lebih route yang

diarahkan ke alamat yang sama, route

yang lebih spesifik yang akan
digunakan

Dst: 192.168.90.0/24, gateway: 1.2.3.4

Dst: 192.168.90.128/25, gateway: 5.6.7.8
Jika ada sebuah paket yang dikirim ke
192.168.90.135, maka gateway yang akan
digunakan adalah 5.6.7.8
149

Default Gateway
Default gateway: alamat sebuah
router (next hop) yang akan
digunakan untuk meneruskan
trafik yang tidak ada aturan
khusus mengatur trafik tersebut

Ini dapat diidentifikasi dengan

alamat network tujuan 0.0.0.0/0 di

dalam tabel routing
150

B
LA

Default Gateway
Sekarang ini, default gateway

pada router Anda dikonfigurasi

secara otomatis oleh DHCP-Client

Disable opsi Add Default Route

pada pengaturan DHCP-Client

Cek koneksi Internet (harusnya ga

konek)

151

 Tambahkan default gateway

B
LA

Default Gateway

secara manual. Gunakan alamat IP

router pemateri sebagai alamat
gateway

Cek kembali koneksi Internet,

harusnya sudah bisa kembali

152

Dynamic Routes
Routes yang menggunakan flag DAC itu
ditambahkan secara otomatis

Route DAC dibuat karena konfigurasi IP

Address

IP Addresses

IP Routes

153

Route Flags

A - active
C - connected
D - dynamic
S - static

IP Routes

154

Static Routing
Static route mendefinisikan cara

untuk mencapai alamat jaringan

tujuan yang spesifik

Sebenarnya default gateway itu

juga static route, yang bertugas

mengarahkan semua trafik ke
gateway

155

B
LA

Static Routing
Tujuan LAB ini adalah agar dapat

mendapat reply saat mem-ping

laptop orang di sebelah Anda,
dengan cara menggunakan static
route

Tanyakan alamat IP interface

wireless dan alamat jaringan

internal (192.168.XY.0/24) orang di
sebelah Anda
156

B
LA

Static Routing
Tambahkan aturan route baru

Dst. Address alamat jaringan local orang

di sebelah Anda (contoh 192.168.37.0/24)
Gateway alamat interface wireless router
orang tadi (mis. 192.168.250.37)
Lakukan juga sebaliknya pada router orang
di sebelah Anda.
Seharusnya sekarang antar laptop sudah
bisa saling ping
157

 Buatlah tim dengan 2 orang teman

Anda (1 tim 3 orang)

Buatlah antar laptop saling terkoneksi

menggunakan static routing

158

l
na
io
pt
O

B
LA

Static Routing

Router A

Buatlah route
ke laptop A
via router B

Laptop Anda Router Anda

Access Point

Laptop B

Router B
159

l
na
io
pt
O

Laptop A

B
LA

Static Routing

Static Routing
Mudah untuk dikonfigurasi untuk
jaringan berskala kecil

Membatasi penggunaan sumber

daya router

Tidak scalable
Konfigurasi secara manual selalu
diperlukan jika ada subnet baru
yang harus dicapai
160

Modul 4
Kesimpulan

Certified Network Associate

(MTCNA)

Modul 5
Wireless

Wireless
MikroTik RouterOS mendukung
secara lengkap untuk standar
jaringan wireless IEEE
802.11a/n/ac (5GHz) dan
802.11b/g/n (2.4GHz)

163

Standar Wireless
IEEE Standard

Frequency

Speed

802.11a

5GHz

54Mbps

802.11b

2.4GHz

11Mbps

802.11g

2.4GHz

54Mbps

802.11n

2.4 and 5GHz

Up to 450 Mbps*

802.11ac

5GHz

Up to 1300 Mbps*

Tergantung model RouterBOARD

164

Channel 2.4GHz
13 channel x 22MHz (umumnya begitu di
beberapa negara)

3 channel yang tida overlap (misal: 1, 6,

11), yang artinya 3 AP dapat

3 APs can berada pada area yang sama

tanpa saling menginterferensi
165

Channel 2.4GHz

Di US: hanya 11 channel, di Jepang 11

channel

Channel width:

802.11b = 22MHz, 802.11g = 20MHz, 802.11n =

20/40MHz
166

Channel 5GHz
RouterOS mendukung range

frekuensi 5GHz secara penuh

5180-5320MHz (channels 36-64)

5500-5720MHz (channels 100-144)
5745-5825MHz (channels 149-165)
Berbeda-beda, tergantung
aturan/regulasi di masing-masing
negara
167

Channel 5GHz
IEEE Standard

Channel Width

802.11a

20MHz
20MHz

802.11n

40MHz
20MHz
40MHz

802.11ac

80MHz
160MHz

168

Country Regulations

Pilih Advanced Mode dan pilih negara

untuk mengikuti regulasi di negara tersebut

169

Country Regulations

Dynamic Frequency Selection (DFS)

merupakan fitur yang digunakan untuk

mengidentifikasi perangkat lain ketika
menggunakan band 5GHz dan memilih
channel yang berbeda dengan
perangkat tersebut

Beberapa channel hanya dapat

digunakan jika DFS di-enable-kan (di

Eropa: 52-140, US: 50-144)
170

Country Regulations

DFS Mode:radar detect akan memilih

channel dengan jumlah jaringan yang

terdeteksi paling rendah dan tidak ada
radar yang terdeteksi di channel
tersebut selama 60 detik

Opsi 'DFS mode' dapat diakses pada

Advanced Mode

171

Radio Name

Nama interface Wireless

Hanya dapat digunakan antar RouterOS
Dapat dilihat pada tab 'Wireless'
(Advanced Mode)

172

Radio Name
Secara default yang digunakan adalah
MAC Address interface wlan

Dapat juga dilihat pada tab Registration

Wireless Registration

173

 Aturlah radio name interface

wireless router Anda
menggunakan nama Anda

Pemateri akan menampilkan tab

Registration di layar untuk
pengecekan radio name Anda

174

B
LA

Radio Name

Wireless Chains
Pada standarisasi 802.11n, konsep

MIMO (Multiple In and Multiple Out)

diperkenalkan, dimana mengirim
dan menerima data menggunakan
dua radio atau lebih secara paralel

802.11n yang menggunakan satu

chain (SISO) hanya dapat
mencapai 72.2Mbps (sekitar
65Mbps kalau di lapangan)
175

Tx Power

Digunakan untuk menyesuaikan

kekuatan transmit (kirim) dari wireless

card

Ganti opsinya menjadi all rates fixed

dan kemudian sesuai nilai power

Wireless Tx Power

176

Tx Power
Note on implementation of Tx
Wireless
card

Enabled
Chains

Power per Chain

Power on
1 RouterOS

802.11n

Setara dengan Tx
power yang dipilih

802.11ac

Total Power

Setara dengan Tx
power yang dipilih
+3dBm
+5dBm

Setara dengan Tx
power yang dipilih

-3dBm

-5dBm

177

Setara dengan Tx
power yang dipilih

Rx Sensitivity

Receiver sensitivity merupakan level

power terendah dimana interface masih

bisa mendeteksi sinyal

Dalam pembandingan antar

RouterBOARD, hal ini menjadi penting

karena harus sesuai dengan rencana
penggunaan

Semakin kecil nilai Rx sensitivity

threshold, semakin baik dalam
mendeteksi sinyal
178

Wireless Network
AP Pemateri

Wireless stations
179

Wireless Station
Wireless station adalah client
(laptop, phone, router)

Pada RouterOS, mode wireless

yang digunakan adalah station

180

Wireless Station

interface

mode=station

Pilih band
Set SSID (ID
jaringan
wireless)

Frequency

akan menyesuaikan AP
181

Security
Hanya gunakan WPA (WiFi Protected
Access) atau WPA2

WPA-PSK atau WPA2-PSK menggunakan

enkripsi AES-CCM

AP pemtari menggunakan keamanan

WPA-PSK/WPA2-PSK

182

Security
Isilah password

Wireless Security Profiles

WPA dan WPA2,

jaga2 aja jika ada
device yg belum
support WPA2

Gunakan

password yang
kuat!

183

Connect List

Digunakan oleh station untuk memilih

atau tidak memilih Access Point
berdasarkan MAC Address dan atau
kekuatan sinyal

Wireless Connect List

184

 Sekarang router Ada sedang

terkoneksi ke AP pemateri

Buatlah rule untuk melarang

koneksi ke Access Point pemateri

185

B
LA

Connect List

Access Point

interface

mode=ap
bridge

pilih band
Set frequency
Set SSID
Set Security
Profile

186

WPS
WiFi Protected Setup (WPS)

merupakan fitur mempermudah

akses ke WiFi tanpa harus
memasukkan password

RouterOS support baik mode WPS

accept (sebagai AP) and WPS client

(sebagai station)

187

WPS Accept

Untuk memudahkan user mengakses

AP, gunakan tombol WPS Accept

Ketika tombol tersebut ditekan, AP akan

memberikan akses ke AP selama dua
menit atau sampai ada device yang
terkoneksi

Tombol WPS Access harus dipencet,

setiap kali ada device yang ingin
dikoneksikan
188

WPS Accept
Cukup dipencet sekali untuk
setiap perangkat

Semua perangkat RouterOS

yang punya interface WiFi
punya tombol WPS

Beberapa ada yang juga

punya tombol fisik (lih.
gambar), tergantung
routernya
189

WPS Accept
Tombol Virtual WPS ada pada
menu QuickSet dan menu
wireless interface

Dapat di-disable
WPS client didukung oleh hampir
semua operating systems

RouterOS tidak support mode

insecure PIN

190

B
LA

Access Point

Buatlah security profile baru untuk

access point Anda

Atur mode interface wireless

menjadi ap bridge, set SSID-nya

sesuai keinginan Anda, kemudian
gunakan security profile yang
barusan dibuat

Disable DHCP client pada interface

wireless (koneksi Internet akan
terputus)
191

B
LA

Access Point

Tambahkan interface wireless sebagai

port pada bridge yang sudah ada

Lepas kabel dari laptop

Koneksikan laptop ke AP via WiFi
Konek kembali ke router menggunakan
WinBox, kemudian cek isi tabel
Registration pada menu wireless

Kalo udah, kembaliin konfigurasi

sebelumnya

192

support mode WPS client, koneksikan

perangkat tsb ke AP menggunakan
tombol WPS (fisik atau virtual)

Cek log router selama proses

pengkoneksian

Kalo udah selesai, balikin lagi

konfigurasi sebelumnya

193

l
na
io
pt
O

Jika Anda punya perangkat yang

B
LA

WPS

Snooper
Full overview dari jaringan wireless

secara keseluruhan atau pada band

dan frekuensi tertentu saja

Interface wireless akan disconnect

selama proses scanning!

Digunakan untuk memilih channel

yang akan digunakan

194

Snooper
Wireless Snooper

195

Registration Table
Menampilkan semua perangkat yang
terkoneksi ke AP

Atau access point yang terkoneksi ke

router jika berfungsi sebagai station

Wireless Registration

196

Access List

Digunakan oleh AP untuk mengontrol

koneksi yang diperbolehkan dari station

Station diidentifikasi berdasarkan MAC

Address

Dapat menentukan apakah sebuah

station dapat terotentikasi ke AP atau

tidak

Membatasi hari apa atau berapa jam

perhari perangkat tersebut dapat
terkoneksi
197

Access List
Wireless Access List

198

Access List
Mempunyai parameter signal
strength

Jika tidak ada rule yang cocok pada

Access List, maka nilai default dari
interface wireless yang akan
digunakan

199

Registration Table
Dapat
digunakan
untuk
membuat entri
access list
atau connect
list dari daftar
perangkat
yang sudah
terkoneksi

Wireless Registration

200

Default Authenticate

201

Default Authenticate
Default
Authenticate

Access/Connect
List Entry

Behavior

Sesuai konfigurasi access/connect

list

Terotentikasi

Sesuai konfigurasi access/connect

list

Tidak terotentikasi

202

Default Forward

Digunakan untuk
memperbolehkan
atau melarang
komunikasi antar
station
Secara default
enable

Aturan ini tidak

berlaku untuk client
yang terkena rule di
access list
203

Modul 5
Kesimpulan

Certified Network Associate

(MTCNA)

Modul 6
Firewall

Firewall
Sistem keamanan jaringan yang

melindungi jaringan internal dari

jaringan luar (mis. Internet)

Berupa aturan2 yang dianalisa

secara berurutan dari atas ke bawah

hingga salah satu aturan cocok

Firewall pada RouterOS diatur pada

tab Filter dan NAT
206

Firewall Rules
Bekerja menggunakan prinsip IfThen

Berurutan dalam chain-chain

Chain ada dua, bawaan

(predefined) sama buatan (userdefined)

207

Firewall Filter
Ada tiga default chain di sini

input (ke router)

output (dari router)
forward (melewati router)
output

input
forward
208

Filter Actions

Setiap aturan mempunyai action, yaitu

apa yang harus dilakukan jika sebuah
paket cocok dengan aturan tersebut
accept
drop (tidak ada pemberitahuan)
reject (mengirim pesan ICMP reject)
jump/return ke/dari chain user-defined

De'el'el (http://wiki.mikrotik.com/wiki/
Manual:IP/Firewall/Filter#Properties)
209

Filter Actions
IP Firewall New Firewall Rule (+) Action

210

Filter Chains

IP Firewall

TIP: untuk mempermudah memahani

aturan firewall, urutkan aturan berdasarkan chain dan tambahi comment
211

Chain: input
Melindungi router itu sendiri, baik
dari Internet maupun dari jaringan
internal
input

212

 Buatlah aturan filter input yang

B
LA

Chain: input

membolehkan (accept) koneksi

dari laptop Anda (src. Address = IP
Address laptop Anda) pada
interface bridge.

Buatlah aturan filter input yang

melarang (drop) koneksi pada
interface bridge dari perangkat
yang lain
213

IP Firewall New Firewall Rule (+)

214

B
LA

Chain: input

B
LA

Chain: input
Gantilah IP Address laptop, set static
dan gunakan IP address
192.168.XY.199, DNS dan gateway:
192.168.XY.1

Disconnect dari router

Cobalah untuk konek kembali ke router
menggunakan Web Browser atau ke
Internet (harusnya ga bisa)

215

 Meskipun trafik ke Internet

B
LA

Chain: input

dikontrol menggunakan chain pada

firewall forward, tetapi halaman
web tidak bisa ditampilkan

Kenapa?

216

B
LA

Chain: input

Laptop Anda menggunakan router untuk

resolving domain (dns server)

Konek ke router menggunakan MAC

WinBox

Tambahkan aturan pada filter input

membolehkan request ke DNS (port

53/udp) dan posisikan di atas aturan
drop tadi

Cobalah untuk konek ke Internet (kudu

en wes iso)

217

 Ganti lagi IP laptop Anda menjadi

dynamic (DHCP)

Konek kembali ke router

Disable (atau remove) aturan2

yang barusan Anda tambahkan

218

B
LA

Chain: input

Chain: forward
Berisi aturan yang mengontrol

paket-paket yang melewati router

Chain ini mengontrol trafik antara

client dan Internet maupun trafik
antar sesama client

forward
219

Chain: forward
Secara default, trafik internal antar
client diperbolehkan

Trafik antara client dan Internet

juga tidak dibatasi

220

B
LA

Chain: forward

Tambahkan aturan pada filter forward

yang melarang (drop) koneksi dengan

port tujuan (dst. port) 80/tcp (http)

Ketika menentukan port, opsi protocol

harus dipilih dulu

IP Firewall
New Firewall Rule (+)

221

B
LA

Chain: forward
Cobalah untuk mengakses

www.mikrotik.com dari web

browser (kudu ne ga iso)

Cobalah untuk mengakses WebFig

pada router http://192.168.XY.1
(harusnya bisa)

Hal ini dikarenakan ketika Anda

mengakses WebFig, trafiknya
masuk ke input, bukan forward
222

Port Standar
Port

Layanan (service)

80/tcp

HTTP

443/tcp

HTTPS

22/tcp

SSH

23/tcp

Telnet

20,21/tcp

FTP

8291/tcp

WinBox

5678/udp

MikroTik Neighbor Discovery

20561/udp

MAC WinBox

223

Address List
Kita dapat membuat aturan yang dapat
diterapkan ke beberapa IP sekaligus
menggunakan Address List
Kita juga bisa menambahkan IP Address
secara otomatis ke dalam Address List
menggunakan action 'add dst to address list'
atau 'add src to address list'
IP dapat ditambahkan ke dalam list secara
permanen atau sementara aja
(menggunakan opsi timeout)
Address dapat berisi single IP Address,
range IP, atau alamat
subnet
224

Address List

IP Firewall Address Lists

New Firewall Address
List (+)
225

Address List
Untuk menggunakan Address List

dalam sebuah rule, pilih tab

Advanced, kemudian pilih Address List
pda opsi 'src. address list; atau 'dst.
address list'

IP Firewall New Firewall Rule (+) Advanced

226

Address List

Action pada firewall dapat digunakan

untuk menambahkan sebuah alamat ke

dalam address list, baik secara
permanen atau hanya sementara
IP Firewall New Firewall Rule (+) Action

227

B
LA

Address List

Buatlah address list yang berisi IP yang

diperbolehkan termasuk IP laptop Anda

Buatlah aturan pada filter input yang

membolehkan (accept) alamat2 yang

ada di dalam address list untuk konek ke
port WinBox (8291) pada interface
bridge

Buatlah aturan pada filter input yang

akan men-drop semua koneksi dari

alamat lain yang ingin konek ke WinBox
228

Firewall Log
Kita dapat membuat log

(mencatat) setiap ada paket yang

match (cocok) dengan salah satu
aturan pada firewall

Log (catatan) dapat diberi prefix

khusus untuk mempermudah
pencarian catatan nanti

229

Firewall Log
IP Firewall Edit Firewall Rule Action

230

B
LA

Firewall Log

Aktifkan opsi Log untuk kedua aturan

yang dibuat pada LAB Address List

Koneklah ke WinBox menggunakan IP

yang diperbolehkan

Disconnect dan kemudian ganti IP laptop

Anda menjadi IP yang tidak diperbolehkan

Konek kembali ke WinBox (ga iso)

Ganti lagi ke IP yang boleh, login WinBox,
kemudian amat entri Log router
231

NAT
Network Address Translation (NAT)
merupakan metode untuk
memodifikasi alamat IP asal atau
tujuan sebuah paket

Ada dua tipe NAT, yaitu 'source

NAT' dan 'destination NAT'

232

NAT
NAT biasanya digunakan untuk

memberikan access ke jaringan

luar yang jaringan yang
menggunakan IP private (src-nat)

Atau membolehkan akses dari

jaringan eksternal ke perangkat

yang berada di dalam jaringan
internal seperti web server (dstnat)
233

NAT
Src
address
baru

Src address

Private host

Public server

234

NAT
Dst
Address
baru

Dst Address

Public host
Server di
jaringan
private
235

NAT
Chain srcnat dan dstnat pada firewall

digunakan untuk
mengimplementasikan fungsionalitas
NAT

Sama seperti aturan Filter, aturan

pada NAT juga bekerja menggunakan

prinsip If-Then

Dianalisa secara berurutan hingga

sebuah trafik match dengan salah satu

aturan
236

Dst NAT
Dst Address
yang baru
192.168.1.1:80

Dst Address yang baru

159.148.147.196:80

Public host
Web server
192.168.1.1

237

Dst NAT
IP Firewall
NAT
New NAT Rule (+)

238

Redirect
Tipe khusus dari dstnat yang

bertugas mengarahkan paket ke

router itu sendiri

Sering digunakan untuk membuat

layanan transparent proxy (untuk
DNS dan HTTP)

239

Redirect
Dst Address=
Alamat DNS Server
Yang terkonfigurasi:53

Dst Address=Alamat
Router:53
DNS
Cache

240

B
LA

Redirect

Buatlah aturan dstnat yang menggunakan

action redirect untuk mengirim semua
request yang mempunyai port tujuan
HTTP (tcp/80) ke router pada port 80
Cobalah untuk membuka halaman
www.mikrotik.com menggunakan web
browser atau website lain yang
menggunakan protokol HTTP (harusnya ga
bisa)
Ketika sudah selesai pengujian, hapuslah
aturan yang sudah dibuat
241

Src NAT
Src address
192.168.199.200

192.168.199.200

Src address
yang baru
(IP router)

Public server

Masquerade merupakan tipe khusus

dari srcnat

242

Src NAT
action src-nat pada chain srcnat

dimaksudkan untuk mengganti alamat

IP dan port asal (source) dari sebuah
paket

243

NAT Helpers

Beberapa protokol memerlukan NAT

helpers agar dapat beroperasi dengan

baik pada jaringan NAT

IP Firewall Service Ports

244

Connection State

New paket yang membuka koneksi baru

Established paket merupakan bagian
dari koneksi yang sudah ada atau
diketahui oleh router
Related paket yang membuka koneksi
baru, namun koneksi tersebut masih
merupakan bagian dari koneksi yang
sudah ada atau diketahui oleh router
Invalid paket bukan merupakan bagian
dari koneksi manapun
245

Connections

Invalid

Established

New

Related
246

Connection Tracking

Mangatur informasi mengenai semua

koneksi yang aktif

Fitur ini harus diaktifkan agar Filter dan

NAT dapat berfungsi

Catatan: connection state TCP state

247

Connection Tracking
IP Firewall Connections

248

FastTrack

Merupakan metode untuk mempercepat paket yang melewati router

Koneksi yang established dan related

dapat ditandai untuk koneksi fastrack

Koneksi yang ditandai sebagai koneksi

FastTrack akan mem-bypass firewall,

connection tracking, simple queue dan
fitur-fitur lain

Untuk saat ini hanya mendukung

protokol TCP dan UDP
249

FastTrack
Without

With

360 Mbps

890 Mbps

Total CPU usage 100%

Total CPU usage 86%

44% CPU usage on firewall

6% CPU usage on firewall

Tested on RB2011 with a single TCP stream

Info lebih lanjut :

http://wiki.mikrotik.com/wiki/Manual:
Wiki/Fasttrack
250

Modul 6
Kesimpulan

Certified Network Associate

(MTCNA)

Modul 7
QoS

Quality of Service
Qos merupakan performa jaringan
secara umum, khususnya
performa yang dapat dilihat oleh
user jaringan secara langsung

RouterOS mengimplementasi

beberapa motode QoS seperti

traffic shaping, traffic prioritisation,
dan lain-lain
253

Speed Limiting
Kontrol langsung terhadap trafik
masuk tidak dimungkinkan

Hal ini mungkin dilakukan secara

tidak langsung dengan cara
membuang paket-paket yang
masuk

TCP akan menyesuaikan dengan

kecepatan koneksi yang efektif
254

Simple Queue
Merupakan cara yang sederhana
untuk membatasi kecepatan:

Kecepatan upload client ()

Kecepatan download client ()

Kecepatan total client ( + )

255

Simple Queue
Queues
New Simple Queue(+)

Alamat IP client
Tentukan Max
Limit untuk client

Disable aturan Firewall FastTrack agar Simple

Queue dapat berfungsi
256

Torch

Tools untuk monitoring trafik

secara real-time

Tentukan
alamat
laptop

Tentukan
interface
Tools Torch

257

Observe
the traffic

B
LA

Simple Queue

Buatlah aturan pada simple queue

untuk membatasi kecepatan
koneksi laptop Anda

Batasi kecepatan download 128k

dan upload 256k

Kunjungi halaman
www.mikrotik.com/download dan
download RouterOS versi terbaru

Perhatikan kecepatan download

258

Simple Queue

Selain membatasi trafik ke client, trafik

ke server juga dapat dibatasi

Atur Target jadi

any (0.0.0.0/0)
Atur Dst. Jadi
alamat server

Queues
259

B
LA

Simple Queue
Gunakan ping atau nslookup untuk
mengetahui IP Address dari situs
www.mikrotik.com

Edit aturan simpe queue yang sudah

ada untuk membatasi koneksi ke server
mikrotik.com
Download outline mtcna di sini:
http://www.mikrotik.com/download/pdf/
MTCNA_Outline.pdf
Perhatikan kecepatan download
260

Jaminan Bandwidth

Digunakan untuk memastikan client

mendapatkan bandwidth minimal

Trafik yang tersisa dari pembagian

kecepatan minimum ini dibagi lagi

diantara sesama client dengan basis
first come first served

Untuk memberikan jaminan

kecepatan minimal ini, gunakan

parameter limit-at
261

Jaminan Bandwidth
Queues Simple Queue Edit Advanced

Atur limit at

Client dijamin akan mendapatkan

bandwidth 1Mb download dan upload

262

Jaminan Bandwidth

Contoh kasus:

Total bandwidth: 10Mbits

Ada 3 client, masing-masing harus
mendapatkan jaminan bandwidth
Bandwidth yang tersisa akan dibagi
antar client

263

Jaminan Bandwidth
Queues

Jaminan
bandwidth

Bandwidth yg
sebenarnya

264

Burst
Digunakan untuk membolehkan client

kecepatan yang lebih tinggi dari

pembatasan dalam waktu yang pendek

Useful banget untuk trafik HTTP, load

halaman web akan menjadi lebih cepat

Khusus untuk download file, aturan

Max Limit masih berlaku

265

Burst

Set burst limit,

threshold and
time
Queues Simple Queue Edit

266

Burst
Burst limit kecepatan upload/download maksimum
yang dapat dicapai selama masa burst. Nilai burstlimit harus lebih besar dari max-limit yang diberikan.
Burst time - waktu (detik), waktu yang digunakan
untuk menghitung data rate rata-rata, bukan
menunjukkan berapa lama terjadi Burst.
Burst threshold - nilai ini menentukan kapan Burst
bisa di jalankan dan kapan Burst harus dihentikan.
Ketika kecepatan rata-rata mencapai threshold,
maka burst akan dinonaktifkan, dan ketika kecepatan
berada di bawah threshold, maka burst akan aktif.
Nilai burst-threshold umumnya 3/4 dari nilai maxlimit
267

B
LA

Burst

Edit queue yang sudah dibuat pada

LAB sebelumnya

Atur burst limit menjadi 4M untuk

upload dan download

Atur burst threshold 2M untuk

upload dan download

Atur burst time jadi 16s untuk

upload dan download
268

 Kunjungi halaman

www.mikrotik.com, perhatikan
kecepatan load halaman web

Download RouterOS versi terbaru

dari situs resmi MikroTik

Perhatikan kecepatan download

dengan tool torch. Bandingkan

dengan kecepatan load halaman
web
269

B
LA

Burst

Per Connection Queue

Tipe queue untuk optimasi QoS dalam

skala yang lebih besar dengan cara melimit per sub-stream

Mengganti multiple queues dengan satu

queue

Beberapa classifier dapat digunakan:

source/destination IP address
source/destination port

270

Per Connection Queue

Rate kecepatan maksimum untuk

setiap sub-stream

Limit besarnya queue untuk sebuah

sub-stream (KiB)

Total Limit jumlah data maksimum

yang di-queue untuk semua substream (KiB)

271

PCQ Example
Goal: membatasi bandwidth download
dan upload semua client jadi 1Mbps

Buatlah dua jenis queue yang baru

Untuk Dst Address (download limit)
Untuk Scr Address (upload limit)

Atur queue untuk interface LAN dan

WAN

272

PCQ Example

Queues Queue Type New Queue Type (+)

273

PCQ Example
Queues
Interface Queues

WAN
interface
LAN
interface

274

PCQ Example

All clients connected to the LAN

interface will have 1Mbps upload and

download limit

Tools Torch

275

B
LA

PCQ Example

Trainer akan membuat dua queue pcq

dan melimit semua client (router

peserta) jadi 512Kbps bandwidth upload
dan download

Cobalah untuk mendownlad RouterOS

versi terbaru dari situs

www.mikrotik.com dan perhatikan
kecepatan download dengan tool torch

276

Modul 7
Kesimpulan

Certified Network Associate

(MTCNA)

Modul 8
Tunnels

Point-to-Point Protocol

Point-to-Point Protocol (PPP) digunakan

untuk membuat tunnel (koneksi
langsung) di antara dua node

PPP mampu menyediakan otentikasi,

enkripsi, dan kompresi pada koneksi

RouterOS support bermacam-macam

PPP tunnel seperti PPPoE, SSTP, PPTP

dan lainnya.

279

PPPoE
Point-to-Point Protocol over

Ethernet merupakan protokol layer

2 yang digunakan untuk
mengontrol akses ke jaringan

PPPoE memberikan otentikasi,

enkripsi, dan kompresi

PPPoE dapat digunakan untuk

memberikan IP Address kepada

client
280

PPPoE
Hampir semua OS desktop secara

default sudah terinstal PPPoE client

RouterOS support baik PPPoE client

maupun PPPoE server (access
concentrator)

281

PPPoE Client

Tentukan
interface,
service,
username,
password

PPP New PPPoE Client(+)

282

PPPoE Client
Jika ada lebih dari satu PPPoE

server dalam satu broadcast

domain, maka service name harus
ditentukan. Jika tidak, client akan
mencoba konek ke server yang
pertama kali memberikan respon

283

B
LA

PPPoE Client
Trainer akan membuat PPPoE
server di routernya

Disable DHCP client pada router

Anda

Buatlah PPPoE client pada

interface outgoing milik Anda

Gunakan username udin password

gambut

284

B
LA

PPPoE Client
Cek status PPPoE client
Cek apakah router Anda dapat
terkoneksi ke Internet

Jika sudah selesai, disable lagi

PPPoE client dan kemudian enable

kembali DHCP client untuk merestor konfigurasi sebelumnya

285

IP Pool
Menentukan range alamat IP yang
akan diberikan oleh layananlayanan RouterOS

Digunakan pada layanan DHCP,

PPP dan HotSpot

Alamat diambil dari pool secara

otomatis

286

IP Pool
IP Pool
New IP Pool(+)

Atur nama pool

dan range IP
(boleh dari satu)

287

PPP Profile
Profile ini digunakan untuk

mendefinisikan aturan oleh PPP

server untuk client-nya

Merupakan metode untuk

mengatur setting yang sama untuk

beberapa client

288

PPP Profile
Tentukan
local address
dan remote
address
tunnel
Direkomendasikan
untuk menggunakan
enkripsi

PPP Profiles
New PPP Profile(+)

289

PPP Secret

Database local berisi PPP user

Username, password dan setting
spesifik user lainnya dapat
dikonfigurasi disini

Konfigurasi sisanya diambil dari PPP

profile yang dipilih

Setting PPP secret akan menimpa/

menindih (override) setting PPP profile

yang digunakan
290

PPP Secret
PPP Secrets New PPP Secret(+)

Set username,
password dan profile.
Tentukan service jika
diperlukan

291

PPPoE Server
PPPoE server berjalan pada sebuah
interface

Tidak bisa dikonfigurasi pada interface

yang merupakan port dari bridge, kecuali

hapus dari port bridge atau pasang
PPPoE server pada interface bridge

Untuk alasan keamanan, IP Address tidak

boleh digunakan pada interface yang
menjalankan PPPoE server
292

PPPoE Server

Set service name,

interface, profile
dan protokol
otentikasi

293

PPP Status

Berisi informasi

mengenai PPP user

yang sedang aktif

PPP Active Connections

294

Point-to-Point Addresses

Ketika sebuah koneksi dibuat antara PPP

client dan PPP server, alamat dengan
prefix /32 yang akan digunakan

Alamat network atau gateway client

akan digunakan alamat router yang
dipasang ditunnel ujungnya

295

Point-to-Point Addresses

Subnet mask tidak relevan pada

penggunaan alamat PPP

PPP addressing menghemat 2 IP

address

Jika PPP addressing tidak disupport

oleh perangkat lain, pengalamatan

/30 yang harus digunakan

296

B
LA

PPPoE Server

Buatlah PPPoE server pada interface

LAN router yang tidak digunakan (mis.

ether4)

Hapus interface ether4 dari bagian

switch (set master port: none)

Pastikan interface bukan merupakan

port dari sebuah bridge

Pastikan interface tidak mempunyai IP

Address

297

B
LA

PPPoE Server

Buatlah sebuah IP pool, PPP profile dan

PPP secret untuk PPPoE server

Kemudian buat PPPoE servernya

Buat PPPoE client di laptop Anda
Koneksikan laptop Anda pada port

router yang sudah dikonfigurasi PPPoE

server

298

B
LA

PPPoE Server
Koneklah ke PPPoE server
Pastikan laptop Anda terkoneksi ke
Internet via PPPoE

Koneklah ke router menggunakan MAC

dan perhatikan status PPP

Disconnect dari PPPoE server dan

konekkan laptop kembali ke port yang

digunakan sebelumnya
299

PPTP
Point-to-point tunnelling protocol (PPTP)
menyediakan tunnel yang terenkripsi
via IP

Dapat digunakan untuk membuat

koneksi yang aman antar jaringan lokal

melalui Internet

RouterOS support baik PPTP client dan

PPTP server

300

PPTP
Menggunakan port tcp/1723 dan

protokol IP nomor 47 - GRE (Generic

Routing Encapsulation)

NAT helpers digunakan agar PPTP

disupport pada jaringan yang
menggunakan NAT

301

PPP Tunnel
Tunnel

302

PPTP Client

Set name, IP address

PPTP server,
username, password
PPP New PPTP Client(+)
303

PPTP Client

Gunakan opsi Add Default Route agar

semua trafik dikirim melalui PPTP tunnel

Gunakan routing statis untuk

mengirimkan trafik tertentu saja melalui

PPTP tunnel

Ingat! PPTP sekarang sudah dianggap

tidak aman lagi. So, gunakanlah dengan

hati-hati

Kalo nggak, pake SSTP, OpenVPN atau

yang lainnya

304

PPTP Server
RouterOS menyediakan pengaturan
PPTP server yang sederhana untuk
tujuan administrative

Gunakan QuickSet untuk mengaktifkan

VPN Access
Enable VPN
access and
set VPN
password

305

SSTP

Secure Socket Tunnelling Protocol (SSTP)

menyediakan tunnel yang terenkripsi
melewati protokol IP

Menggunakan port tcp/443 (sama seperti

protokol HTTPS)

RouterOS support baik SSTP client

maupun SSTP server

SSTP client tersedia mulai dari Windows

Vista SP1 hingga Windows yang terbaru
306

SSTP
Tersedia di Linux dengan versi yang
Open Source

Seperti juga trafik HTTPS, biasanya

trafik SSTP dapat melewati firewall
tanpa konfigurasi yang spesifik

307

SSTP Client

Set name,
SSTP server
IP address,
username,
password
308

SSTP Client
Gunakan opsi Add Default Route
agar semua trafik dikirim melalui
SSTP tunnel

Gunakan static route untuk

mengirim trafik yang spesifik

melalui SSTP tunnel

309

SSTP Client
Tidak perlu SSL certificate untuk

mengkoneksikan kedua perangkat

RouterOS

Untuk mengkoneksikan dari Windows,

diperlukan file sertifikat yang valid,
dapat dibuat menggunakan internal
certificate authority (CA)

310

B
LA

PPTP/SSTP

Buatlah kelompok (2 orang)

Satu orang membuat PPTP server dan

SSTP client, dan orang kedua membuat

SSTP server dan PPTP client

Gunakan IP Pool, PPP Profile, dan secret

untuk server yang sudah dibuat
sebelumnya

Buatlah koneksi client ke router teman

Anda

311

 Cek rule di firewall. Ingat kembali

B
LA

PPTP/SSTP

bahwa PPTP server menggunakan port

tcp/1723 dan protokol GRE, SSTP port
tcp/443

Ping laptop teman Anda dari laptop

Anda (seharusnya tidak bisa)

KENAPA? (cek slide berikutnya)

312

B
LA

PPTP/SSTP
Tidak ada rute ke jaringan internal

teman Anda. Oleh karena itu, masingmasing buatlah static route ke jaringan
internal masing-masing, gunakan
interface PPP client sebagai gateway

Ping kembali laptop teman Anda dari

laptop Anda (kudu en wes iso ngeping)
313

PPP
Lebih detail mengenai PPPoE, PPTP,

SSTP dan protokol tunnel lain baik

implementasi sebagai server maupun
client dibahas sertifikasi MTCRE dan
MTCINE

Info lebih lanjut kunjungi:

http://training.mikrotik.com

314

Modul 8
Kesimpulan

Certified Network Associate

(MTCNA)

Modul 9
Lain-Lain

RouterOS Tools
RouterOS

menyediakan berbagai
utilities yang dapat
membantu Anda
dalam
mengadministrasi dan
memonitor router
dengan lebih efisien

317

E-mail
Memungkinkan

Tools Email

mengirim email
dari router, misal
mengirim email
backup router

A script to make an export file and send it via e-mail

/export file=export
/tool e-mail send to=you@gmail.com\
subject="$[/system identity get name] export"\
body="$[/system clock get date]\
configuration file" file=export.rsc
318

router

Export konfigurasi router Anda

Kirim hasil export-nya ke email Anda
dari RouterOS

319

l
na
io
pt
O

Atur konfigurasi server SMTP pada

B
LA

E-mail

Netwatch
Tools Netwatch

Memonitor status host

di dalam jaringan
dengan cara mengirim
ping (ICMP echo
request)

Anda dapat

menjalankan script jika

host unreacable atau
juga saat reachable
320

Ping
Digunakan untuk ngecek
apakah sebuah host/alamat
dapat dicapai atau tidak
dengan cara mengirimkan
paket ICMP echo request
Ini juga dapat digunakan
untuk mengukur waktu
yang diperlukan oleh
sebuah pesan untuk
terkirim ke tujuan dan
kembali lagi dengan
balasannya kepada
pengirim
321

Tools Ping

 Ping alamat ip laptop Anda dari

router. Klik tombol New Window

dan kemudian ping
www.mikrotik.com dari router

Perhatikan perbedaan waktu di

antara keduanya

322

B
LA

Ping

Traceroute
Tools Traceroute

Tool diagnosa
jaringan yang
dapat menampilkan rute (path)
yang diguankan
oleh sebuah paket
untuk mencapat
tujuan, menggunakan protokol
icmp atau udp
323

B
LA

Traceroute

Lakukan traceroute ke salah satu situs

dalam negeri (mis. detik.com)

Pada Window baru, lakukan juga

traceroute ke situs www.mikrotik.com

Perhatikan perbedaan rute diantara

keduanya

324

Profile

Menampilkan
penggunaan CPU
untuk setiap proses
RouterOS secara
real-time

Tools Profile

idle sumber daya

CPU yang tidak
digunakan
http://wiki.mikrotik.c
om/wiki/Manual:Tools
/Profiler
325

Interface Traffic Monitor

Interfaces wlan1 Traffic

Status trafik pada

interface - real-time

Ada pada setiap

interface pada Tab

Traffic

Selain dari WinBox,

juga dapat diakses
dari WebFig dan
command line

326

Torch
Tool yang dipake untuk monitoring
secara real-time

Dapat digunakan untuk memonitor

trafik yang mengalir melewati interface

Monitoring dapat diklasifikasikan

berdasarkan nama protokol, alamat

asal/tujuan (Ipv4/Ipv6), dan nomor port
asal/tujuan
327

Torch

Trafik dari laptop ke situs mikrotik.com

pada port HTTPS

Tools Torch

328

Graphs
RouterOS dapat mem-generate

grafik yang menampilkan seberapa

banyak trafik yang melewati
sebuah interface atau queue

Dapat menampilkan penggunaan

CPU, memory, dan disk

Untuk setiap metric ada 4 graph,

yaitu: daily, weekly, monthly dan

yearly
329

Graphs
Tentukan
interface untuk
memonitor

Tools Graphing

Tentukan IP
Address/subnet
yang dapat
mengakses
graph

330

Graphs

Dapat diakses pada:http://router_ip/graphs

331

Graphs

332

queue dan resource di router Anda

Perhatikan graph
Downloadlah file yang besar dari

Internet dan kemudian perhatikan

kembali graph

333

l
na
io
pt
O

Enable graph pada interface,

B
LA

Graphs

SNMP
Simple Network Management
Protocol (SNMP)

Digunakan untuk monitor (read)

dan manajemen (write) perangkat

RouterOS support SNMP v1, v2 dan

v3

SNMP write support hanya tersedia

untuk beberapa setting saja
334

SNMP
Tools SNMP

335

The Dude
Aplikasi milik MikroTik yang dapat
mengubah cara Anda dalam
manajemen jaringan

Discovery perangkat otomatis dan

kemudian membuat layout map

Monitoring layanan dan membuat

pemberitahuan (alert)

Gratis, tidak berbayar

336

The Dude
Support monitoring SNMP, ICMP, DNS
dan TCP

Server berjalan pada RouterOS (CCR,

CHR atau x86)

Client jalan di Windows (bisa pakai

Wine untuk Linux dan OS X)

http://wiki.mikrotik.com/wiki/Manual:
The_Dude

337

The Dude

338

 Download Dude client untuk Windows

dari halaman mikrotik.com/download

Instal dan konek ke server demo

MikroTik Dude: dude.mt.lv

Perhatikan The Dude

339

l
na
io
pt
O

B
LA

The Dude

l
na
io
pt
O

340

B
LA

The Dude

Contacting Support
Agar pihak support MikroTik dapat

membantu dengan lebih baik, beberapa

langkah harus dilakukan sebelumnya

Buatkah file output support (supout.rif)

341

Contacting Support

autosupout.rif dapat dibuat secara

otomatis untuk jaga-jaga jika terjadi

malfunction perangkat

Diatur oleh watchdog process

Sebelum mengirim file-nya ke MikroTik,

konten file output dapat dilihat pada

akun MikroTik Anda
(https://www.mikrotik.com/client/supout)

Untuk info lebih lanjut, kunjungi halaman

wiki Support Output File and Watchdog
342

System Logs

Secara default,
RouterOS sudah
membuat informasi
log tentang router
(secara umum) yang
disimpan di memory

System Logging

Log ini juga dapat

disimpan di disk
Atau dikirim ke
server syslog
343

System Logs
Untuk membuat
log yang lebih
detail (debug),
buatlah rule
baru
menggunakan
topic debug

System Logging
New Log Rule

344

Contacting Support

Sebelum menghubungi email

support@mikrotik.com, cek dulu situs2 ini:

wiki.mikrotik.com - Dokumentasi dan

contoh RouterOS

forum.mikrotik.com - untuk saling

berkomunikasi dengan sesama pengguna
RouterOS

mum.mikrotik.com - halaman MikroTik

User Meeting video presentasi
mengenai MikroTik
345

Contacting Support
Disarankan untuk menambahkan

comment yang benar pada setiap rule

dan item di router Anda

Jelaskan sedetail mungkin agar tim

support MikroTik dapat membantu
dengan lebih baik

Sertakan diagram jaringan Anda

http://www.mikrotik.com/support.html
346

Modul 9
Kesimpulan

MTCNA
Kesimpulan

MikroTik Certified Courses

Introduction
Course

MTCRE

MTCNA

MTCWE

MTCTCE

MTCUME

MTCINE

Info lebih lanjut: http://training.mikrotik.com

349

Certification Test
Reset konfigurasi router dan restore
dari backup jika diperlukan

Pastikan Anda punya akses ke portal

training www.mikrotik.com

Loginlah dengan akun Anda

Pilih menu my training sessions
Good luck!
350