Pengenalan

Instalasi

Konfigurasi

TCP/IP

Bridge

Wireless

Konfig Wireless

Routing

HotSpot

VPN

MTCNA
Firewall

QOS

1
> PROGRAM TRAINING MikroTik
Pre- MTCNA
TCP/IP dan Basic

MTCNA
Fundamental Class

MTCTCE MTCUME
MTCWE MTCRE
Advanced Traffic Advanced User
Advanced Wireless Advanced Routing
Control Management

MTCINE
Advanced
InterNetworking
2
MikroTik PENGENALAN
3
> What is RouterBOARD ?
Hardware created by MikroTik
Range from small home routers to carrier-
class access concentrators

4
> MIKROTIK
1995 Didirikan di Riga, Latvia
1997 Software RouterOS untuk x86 (PC)
diproduksi
2002 RouterBoard lahir
2006 Konferensi Pengguna Mikrotik
(MUM) pertama

www.mikrotik.com
www.routerboard.com

5
> MIKROTIK
Mikrotik adalah software router untuk PC (x86, AMD, dll)
Menjadikan PC biasa memiliki fungsi router yang lengkap
Diinstall sebagai sistem operasi, tidak memerlukan sistem
operasi lainnya

Hardware untuk jaringan (terutama wireless)

Wireless board: RB400, RB600, RB750, RB1000
Wireless interface: R52, R52H, R5H, R52N, R2N
Menggunakan RouterOS sebagai software

6
> ROUTERBOARD WIRELESS
Jenis Prosesor RAM Ether MiniPCI USB Radio Lisensi
RB800 MPC8544 800 MHz 256MB 3 (gig) 4 - - 6
RB435G AR71xx 680MHz 256MB 3 (gig) 5 2 - 5
RB433UAH AR71xx 680MHz 128MB 3 3 2 - 5
RB433/AH AR71xx 300/680MHz 64MB/ 128MB 3 3 - - 4/5
RB411UAHR AR71xx 680MHz 64MB 1 1 1 1 4
RB411AH AR71xx 680MHz 64MB 1 1 - - 4
RB411U/AR AR71xx 300MHz 32MB/ 64MB 1 1 1/- -/1 4
GrooveA-5Hn AR71xx 400MHz 64MB 1 - - 1 4
RB711A-5nH AR71xx 400MHz 64MB 1 - - 1 4
Groove-5Hn AR71xx 400MHz 32MB 1 - - 1 3
RB711-5nH AR71xx 400MHz 32MB 1 - - 1 3
Untuk client/ koneksi point to point
7
> ROUTERBOARD INDOOR
Jenis Prosesor RAM Ether MiniPCI Lisensi

RB1100AH X2 PPC 1GHz Dual Core 2GB 13 (gigabit) 0 6

RB1100AH PPC 1GHz 2GB 13 (gigabit) 0 6

RB1200 PPC 1GHz 512MB 10 (gigabit) 0 6

RB493G AR71xx 680 MHz 256MB 9 (gigabit) 3 5

RB493/AH AR71xx 300/680 MHz 64MB/128MB 9 3 4/5

RB450G AR71xx 680 MHz 256MB 5 (gigabit) 0 5

RB450 AR71xx 300 MHz 32MB 5 0 5

RB750 AR72xx 400 MHz 32MB 5 0 4

RB750GL AR72xx 400 MHz 64MB 5 (gigabit) 0 4

8
> RB1100AH/X2
13 port Gigabit Ethernet
1GHz Network processor/Dual Core
RAM 2GB
Up to:
2Gbps
250.000 pps/1M pps
1U Rackmount
Bypass Function

9
> RB800
3 port Gigabit Ethernet
4 miniPCI slot
DoughterBoard Expandable
CF Slot
MPC8544 800MHz CPU
256 DDR SDRAM

10
> RB433UAH
3 Ethernet, 3 miniPCI
Atheros AR7161 680MHz
RAM 128MB
Dengan slot MicroSD
RouterOS level 5
2 Port USB

11
> RB411/U/AR/AH/UAHR
CPU: Atheros
AR7130 300MHz (411/U/AR)
AR7161 680MHz (411AH/UAHR)
Memory
32MB (411/U)
64MB (411AR/UAHR/AH)
Wireless Embedded (411AR/UAHR)
1 Ethernet
1 MiniPCI
Lisensi
Level 3 (411)
Level 4 (411U/AR/AH/UAHR)
12
> EMBEDDED SOLUTION

Embedded antenna
2,4GHz & 5GHz

Dengan
RouterBOARD seri 411
/ seri 711

13
> RB493/AH/G
9 Ethernet (gigabit di 493G)
3 slot miniPCI
Processor:
Atheros AR7161 680MHz (493AH & G)
Atheros AR7130 300MHz (493)
RAM 64MB
RouterOS
Level 4 (RB493)
Level 5 (RB493AH & G)

14
> RB450/G
5 Port Ethernet / gigabit
Tanpa port miniPCI
Processor Atheros 300MHz/680MHz
RAM 64MB/256MB
RouterOS Level 5

15
> RB750/GL

Produk RouterBOARD terhemat dan

terkecil
Processor AR7240 400MHz
5 ethernet port (750)
5 gigabit port (750GL)
Lisensi level 4

16
> RB751U-2HND

High power 1W 802.11b/g/n

wireless AP
5 Port Ethernet
1 Port USB
For modem
For flashdisk
2x2 MIMO Integrated antenna

17
> WIRELESS INTERFACE

R52/H (a/b/g)
Atheros chipset
MiniPCI type interface
65 mWatt/350 mWatt
3 band wireless (2,4GHz, 5,2GHz,
5,8GHz)
Custom frequency support (2,1-
2,5GHz, 4,9-6,0GHz

18
> WIRELESS INTERFACE
Dual band IEEE 802.11a/b/g/n standard
Output power of up to 25dBm @ b/g/n/ band
Support 2x2 MIMO with spatial multiplexing
Four times the throughput of 802.11a/g
Atheros AR9220 chipset
2xU.FL antenna connector
Operating temperatures: 0C to 60C
Power consumption MAX 2,4W
Modulations: OFMD: BPSK, QPSK,
16QAM, 64QAM DSSS: DBPSK, DQPSK, CCK
High performance (up to 300Mbps physical data rates and
200Mbps actual user throughput) with low power consumption
EDS protection against +/- ESD discharge on antenna port
19
> PERFORMA WIRELESS N

Throughput
195-200 Mbps!

20
> WINBOX
The application for configuring RouterOS
It can be downloaded from
www.mikrotik.com

21
> WINBOX

22
> CARA MENGKONEKSIKAN

Ethernet
Cable

Winbox

23
> WINBOX
Click on the [...] button to see your router

24
> RouterOS
RouterOS adalah Sistem Operasi yang memampukan
alat anda untuk menjadi
Router
Pengatur bandwidth
Packet filter (transparan)
Alat wireless 802.11a,b/g apapun
RouterOS adalah Sistem Operasi bagi RouterBoard
RouterOS dapat diinstal pada PC

25
> FITUR RouterOS
IP Routing
Static route & Policy route
Dynamic routing (RIP, OSPF, BGP)
Multicast Routing
Interface
Ethernet, V35, G703, ISDN, Dial Up Modem
Wireless: PTP, PTMP, Nstream, WDS, Mesh
Bridge, Bonding, STP, RSTP
Tunnel: EoIP, IPSec, IPIP, L2TP, PPPoE, PPTP, VLAN, MPLS, OpenVPN, SSTP
Firewall
Mangle, NAT, Address list, Filter rules, L7 Protocol
Bandwidth Management
HTB, PFIFO, BFIFO, SFQ, PCQ, RED
26
> FITUR RouterOS
Services (Server)
Proxy (cache), Hotspot, DHCP, IP Pool, DNS, NTP, Radius Server
(User management)
AAA
PPP, Radius client
IP Accounting, Traffic Flow
Monitoring
Graphs, Watchdog, Torch, Custom log, SNMP, The Dude monitoring
tools
Diagnostic Tools & Scripting
Ping, TCP Ping, Tracert, Network monitoring, Traffic monitoring,
Scheduler, Scripting
VRRP 27
> LEVEL LISENSI
LEVEL 3 4 5 6
Upgrade Time Dalam 1 versi mayor dan versi berikutnya
Wireless CPE/PTP Ya
Wireless AP Tidak Ya
Sync Interface Tidak Ya
EoIP 1 Tidak terbatas
PPPoE 1 200 500 Tidak terbatas
PPTP & L2TP 1 200 Tidak terbatas
VLAN, Firewall, Queue Tidak terbatas
Proxy, Radius Client Ya
Dynamic Routing RB=Ya Ya
Hotspot Active User 1 200 500 Tidak terbatas
User Manager Active User 10 20 50 Tidak terbatas
28
> LEVEL LISENSI

Level 0 - Trial
Hanya 24 jam

Level 1 - Demo
Hanya bisa 1 rule di semua fitur

29
> MEMILIH PRODUK
Kenalilah kebutuhan anda
Fungsi perangkat (router, server, dll)
Jumlah trafik (real throughput)
Fitur yang dibutuhkan (proxy, hotspot, radius)
Interface yang dibutuhkan

Baik menggunakan PC atau RouterBOARD, fitur MikroTik

RouterOS selalu sama (tergantung pada level yang digunakan)

30
MikroTik INSTALASI
31
> MEDIA INSTALASI

Media yang bisa digunakan untuk instalasi RouterOS

Harddisk
CF Disk
Disk On Module/DOM
SATA DOM
USB Flash Disk
Komputer harus bisa boot dari USB (pengaturan BIOS)
RouterBOARD

32
> METODE INSTALASI

CD
Buat CD dari image CD (file .ISO) RouterOS
Untuk fresh-install router PC. (CD-ROM diperlukan)

NetInstall
Melalui jaringan via NetInstall
Untuk fresh-install/re-install router PC. (PXE, EtherBoot diperlukan)
Untuk reinstall RouterBOARD

33
> METODE INSTALASI
www.mikrotik.com/download

34
> METODE INSTALASI - CD
Download file ISO RouterOS, dan buatlah CD bootablenya

35
> METODE INSTALASI - CD
Gunakan CD untuk boot & install, kemudian pilih modul yang
ingin diinstall.

36
> METODE INSTALASI - CD
Warning: all data on the disk will be erased!
Continue? [y/n]
Pilih YES
Do you want to keep old configuration? [y/n]:
YES/NO
Creating partition...
Formatting disk...
Software installed.
Press ENTER to reboot

37
> METODE INSTALASI - CD
Untuk mengecek hasil instalasi, cobalah
untuk login dengan menggunakan user default:
admin, tanpa password (kosong)
Demo memiliki
lisensi level 0 (hanya
berlaku 24 jam)

38
> RESET

Digunakan untuk mereset password & semua konfigurasi.

Reset melalui tombol reset
Hard reset
Tombol reset pada beberapa RouterBOARD

Hard reset dilakukan dengan menjumper saat router reboot

39
> PACKAGE
Package yang terinstall bisa dilihat dengan komando:
/system package print
Nama Fungsi Nama Fungsi
Email klien, ping, routing RIP, OSPF, BGP
advanced-tools
netwatch Secure Winbox,
security
dhcp Server dan klien DHCP SSH, IPSec
hotspot Gateway HotSpot Wireless
wireless
ntp Server NTP 802.11a/b/g

PPP, PPTP, L2TP, Sistem pengelolaan

ppp user-manager
PPPoE User-Manager

Fungsi spesifik ipv6 IPv6

routerboard
RouterBOARD
40
> UPGRADE
Untuk mengupgrade, anda harus mengunduh modulnya
terlebih dahulu.
routeros-mipsbe-X.XX.npk (untuk RB400 & RB700)
routeros-mipsle-X.XX.npk (untuk RB100 & RB500)
routeros-powerpc-X.XX.npk (untuk RB300 & RB600)
routeros-x86-X.XX.npk (untuk PC & RB200)

FTP modul tersebut ke router, dan lakukan soft reboot dengan

komando: /system reboot
41
> COMMAND LINE INTERFACE

Struktur CLI dalam MikroTik mirip dengan Shell pada UNIX.

Dibagi ke beberapa kelompok sesuai hierarki menu levelnya
Contoh: cara menambah ip address untuk router:
Ip address add address=192.168.0.1/24 interface=ether1
Ip adalah menu level 0 yang memiliki sub menu address level 1

42
> COMMAND LINE INTERFACE
Beberapa komando CLI yang sering digunakan:
Add Menambahkan entri tertentu
Comment Membubuhkan komentar pada suatu entri
Disable Menonaktifkan entri tertentu
Enable Mengaktifkan entri tertentu
Monitor Memonitor parameter secara live
Print Menampilkan semua entri secara singkat
Print detail Menampilkan semua entri secara lengkap
Remove Menghapus entri tertentu
Set Mengubah parameter tertentu pada sebuah entri

43
> COMMAND LINE INTERFACE
Navigasi pada CLI
? Menampilkan pilihan perintah yang tersedia beserta
keterangannya
[TAB] Melengkapi perintah yang baru terketik sebagian
[TAB][TAB] Menampilkan pilihan perintah yang tersedia beserta
keterangannya
.. Berpindah 1 level ke atas pada hierarki menu
/ Berpindah ke level teratas pada hierarki menu

Tips: gunakan tab untuk melengkapi perintah tertentu

./system shut [TAB] /system shutdown
Bisa juga dengan singkatan, /sys shut
44
MikroTik KONFIGURASI DASAR
45
> WINBOX
Aplikasi untuk menkonfigurasi RouterOS
Dapat diunduh dari www.mikrotik.com/download

46
> TOPOLOGI DASAR
X = nomor peserta
Router WLAN1
10.10.10.X

Internet

Router ETH1
PC/Laptop anda 192.168.X.1
AP kelas
192.168.X.2

47
> KONFIGURASI IP
Gunakan konfigurasi IP berikut untuk router & PC
RouterBOARD
WLAN1 IP 10.10.10.X/24
Gateway 10.10.10.100
Ether1 IP 192.168.X.1/24
DNS 10.100.100.1
Src-NAT & DNS Server

PC/Laptop
IP address 192.168.X.2
Subnet Mask 255.255.255.0 (/24)
Gateway 192.168.X.1
DNS 192.168.X.1
48
> SETUP PERTAMA KALI
Hubungkan ethernet laptop/PC anda dengan Ether1 RouterBOARD
Pastikan ethernet laptop/PC anda menggunakan IP statik
Jalankan Winbox dan klik tombol [] untuk mencari router anda.

49
> LAB1 IDENTITY

Ubah nama router

anda

Format:
X-NamaAnda

Aktifkan semua
interface.

50
> LAB2 KONFIGURASI WIRELESS
Aktifkan interface WLAN1 untuk menjadi station
Sesuaikan pengaturan untuk bisa
terhubung dengan AP di kelas anda

51
> LAB3 IP ADDRESS

Tambahkan address
192.168.X.1/24 untuk
Ether1 dan
10.10.10.X/24 untuk
Pilih interface yang
WLAN1 akan digunakan oleh
address baru

X=nomor peserta

52
> LAB4 GATEWAY

Tambahkan gateway
10.10.10.100 pada route

53
> LAB5 DNS

Aturlah DNS router

anda

54
> LAB6 SRC-NAT
Tambahkan rule firewall NAT untuk masquerade

55
> CARA KONFIGURASI VIA CLI
Konfigurasi wireless sebagai media untuk backbone
/interface wireless set wlan1 mode=station ssid=mikrotik
band=2.4.ghz-b/g scan-list=2400-2500 disabled=no
Konfigurasi IP Address
/ip address add address=10.10.10.x/24 interface=wlan1
/ip address add address=192.168.x.1/24 interface=ether1
Konfigurasi Routing Default Gateway
/ip route add gateway=10.10.10.100
Konfigurasi DNS
/ip dns set primary-dns=10.100.100.1 allow-remote-
request=yes
Konfigurasi NAT
/ip firewall nat add chain=srcnat out-interface=wlan1
action=masquerade
56
> CEK KONEKTIVITAS
Test ping dari Router ke Gateway (10.10.10.100)
Jika error : Cek Wireless connection, Cek IP Address pada wlan1
Test ping dari Router ke Internet (contoh: yahoo.com)
Jika error : Cek DNS Server Setting
Test ping dari Laptop ke Router Anda (10.10.10.x)
Jika error : Cek konfigurasi laptop, Cek IP Address pada Ether1
Test ping dari Laptop ke Gateway (10.10.10.100)
Jika error : Cek Firewall - NAT
Test ping dari Laptop ke Internet (contoh: yahoo.com)
Jika error : Cek setting DNS pada laptop dan router

57
> NTP
Network Time Protocol/NTP digunakan untuk menyeragamkan waktu
dalam sebuah jaringan

Router memerlukan NTP untuk mendapatkan waktu yang benar karena

router tidak mempunyai memori internal untuk menyimpan waktu

Digunakan oleh semua RouterBOARD

Tidak memerlukan paket NTP untuk menjalankannya

58
> LAB7 NTP

Pengaturan agar waktu

menyesuaikan dengan
id.pool.ntp.org

59
> CLOCK

Sesuaikan timezone
anda sesuai lokasi

60
> MEMBACKUP KONFIGURASI
Anda dapat mem-backup dan
mengembalikan konfigurasi di menu Files
dalam Winbox

File backup tersebut tidak dapat diedit

kembali
/export file=conf-september-
Bisa juga melalui komando export dan import 2012
melalui CLI. File export dapat diedit kembali, / ip firewall filter export
file=firewall-sep-2012
namun Password tidak disimpan melalui export / file print
/ import [Tab]
61
> LAB8 BACKUP KONFIGURASI
Buatlah file backup
Unduh file tersebut ke dalam laptop

Buatlah file export untuk IP addresses

Unduh file tersebut ke dalam laptop
Buka file dengan aplikasi notepad

62
> MEMBACKUP KONFIGURASI
BACKUP

Buka files, klik backup. File backup yang

dibuat setelah
menekan tombol
Setelah file backup Backup

muncul di list, klik-drag file

tersebut ke desktop

63
> MEMBACKUP KONFIGURASI
EXPORT

Buka new terminal, masukkan

komando:
>ip address export file=ipaddressbackup
Enter
Buka files, dan temukan
ipaddressbackup.rsc
Klik-drag ke desktop
Buka dengan notepad
64
> RESET KONFIGURASI
Ada kalanya anda perlu melakukan reset konfigurasi
Lupa username atau password/tidak dapat masuk ke RouterOS
Konfigurasi terlalu kompleks dan perlu ditata ulang

Beberapa cara untuk melakukan reset

Hard Reset reset secara fisik
Soft Reset reset melalui program Winbox/terminal/web
Install ulang

65
> RESET KONFIGURASI
Dilakukan dengan cara menjumper rangkaian reset pada
RouterBOARD sembari menyalakannya.

66
> RESET KONFIGURASI

Jika anda dapat

masuk ke RouterOS,
soft reset dapat
dilakukan dengan
Reset konfigurasi melalui Winbox
perintah /system
reset-configuration

67
> LAB9 RESTORE KONFIGURASI

Untuk merestore router

kembali ke konfigurasi yang
telah di-back up, klik file
backupnya kemudian klik
restore.

68
> IMPORT KONFIGURASI
File .rsc dapat secara langsung direstore ke router dengan
komando import

69
> DHCP SERVER

Dynamic Host Configuration Protocol/DHCP digunakan untuk

pemberian IP address di jaringan lokal secara otomatis. DHCP
sebaiknya hanya digunakan di jaringan yang aman

Untuk mengset-up DHCP Server, anda memerlukan IP address

interfacenya.

Lakukanlah instalasi DHCP Server.

70
> LAB10 DHCP SERVER

71
> LAB10 DHCP SERVER

72
> SETUP DHCP SERVER VIA CLI

Konfigurasi DHCP-Server setup

/ip dhcp-server setup
dhcp server interface: ether1
dhcp address space: 192.168.x.0/24
gateway for dhcp network: 192.168.x.1
dhcp relay: 192.168.x.1
addresses to give out: 192.168.x.10-192.168.x.20
dns servers: 192.168.x.1
lease time: 3d

73
> TES DHCP

Ubah konfigurasi IP dan DNS pada laptop/PC anda

menjadi otomatis (DHCP)

Cek apakah laptop/PC bisa mendapat IP dan DNS dari

DHCP Server (router)

Cobalah untuk mengakses internet

74
> MENGELOLA DHCP
Daftar DHCP client yang aktif terlihat pada menu DHCP-Server Leases.
Anda dapat mengatur agar IP address tertentu hanya boleh diberikan ke
MAC address tertentu menggunakan DHCP-Statik (Make static)

75
> DHCP STATIK

IP address tertentu untuk

MAC address tertentu

76
> KEAMANAN DHCP

Aktifkan add-arp-for-leases
sehingga setiap client yang
terhubung dengan DHCP secara
otomatis akan dimasukkan ke
dalam tabel ARP

77
> KEAMANAN DHCP

Untuk membatasi agar

client yang dapat terhubung
hanya client yang mendapat
IP melalui proses DHCP
(bukan manual), gunakanlah
ARP reply-only

78
> LAB11 DHCP CLIENT
Dalam kondisi
tertentu, IP Address yang Interface yang
terkoneksi ke
diberikan oleh ISP yang DHCP server
akan dipasang pada
router bukanlah IP
Address statik,
melainkan IP Address
dinamis yang didapatkan
melalui DHCP.
79
> DHCP CLIENT
Add default route
Bila kita menginginkan default route kita mengarah
sesuai dengan informasi DHCP
Use Peer DNS
Bila kita hendak menggunakan DNS server sesuai dengan
informasi DHCP
Use Peer NTP
Bila kita hendak menggunakan informasi pengaturan
waktu di router (NTP) sesuai dengan informasi dari DHCP
Default route distance
Menentukan prioritas routing jika terdapat lebih dari satu
DHCP Server yang digunakan. Routing akan melalui
distance yang lebihkecil

80
> MENGELOLA USER

Akses menuju router

bisa dikontrol

Anda dapat membuat

berbagai macam jenis
user yang memiliki hak
berbeda

81
> MENGELOLA USER

User dapat dikategorikan

berdasarkan haknya

Anda dapat membuat

grup-grup dengan hak-hak
tertentu

82
> LAB12 MENGELOLA USER

Buatlah user tambahan untuk router anda

Buat grup beserta hak-hak yang dimilikinya

Tentukan juga address yang diizinkan mengakses router

83
> MENGAKSES ROUTER
IP-Winbox
Telnet
SSH
WebFig

84
> ADDRESS RESOLUTION PROTOCOL

ARP berfungsi untuk

memetakan OSI level 3 (IP
address) ke OSI level 2
(MAC address)

Digunakan dalam
transport data antara host
dengan router

85
> TOOL MONITORING PING

Ping menggunakan echo Internet Control Message

Protocol/ICMP untuk menentukan apakah remote host aktif atau
tidak, sekaligus menghitung waktu yang diperlukan untuk dapat
berkomunikasi dengannya.

Dilakukan melalui terminal dengan perintah: /ping

86
> TOOL MONITORING FLOOD PING

87
> TOOL MONITORING TRACEROUTE
Traceroute Alamat yahoo.com

menggambarkan
bagaimana sebuah paket
disampaikan kepada host
tertentu

Anda dapat
menggunakan protokol
ICMP atau UDP

88
> TOOL MONITORING TORCH
Torch digunakan untuk memonitor traffic secara real-time

89
> TOOL MONITORING RESOURCES

Digunakan untuk
memonitor System

Pilih menu di kanan untuk

melihat yang lebih detail

90
> TOOL MONITORING PROFILE
Digunakan untuk memonitor penggunaan CPU

91
MikroTik DASAR TCP/IP
92
> TOPIK TRAINING TCP/IP

OSI Layer
Packet Header
MAC Address
IP Address & Subnetting
IP Protocol
Basic Networking, DNS, gateway

93
> TOPOLOGI INTERNET

Jutaan host harus

bisa saling
berkomunikasi satu
sama lain

94
> OSI LAYER & PROTOKOL

Proses komunikasi
terbagi menjadi 7 lapisan APPLICATION APPLICATION
yang disebut 7-Layer OSI PRESENTATION PRESENTATION
(Open System SESSION SESSION
Interconnection) dan TRANSPORT TRANSPORT
menjadi konsep standar NETWORK NETWORK
komunikasi jaringan DATA LINK DATA LINK
PHYSICAL PHYSICAL

95
> LAPISAN OSI & PROTOKOL
APPLICATION SMTP HTTP FTP Telnet DNS DHCP SNMP TFTP

PRESENTATION Enkripsi, Dekripsi, MIME

SESSION
TCP UDP
TRANSPORT Transmission Control Protocol User Datagram Protocol
Routing Protocols
RIP, OSPF, BGP
NETWORK IP
ICMP
ARP
DATA LINK MAC Address, Switch

PHYSICAL Ethernet, Wireless, ATM, Frame Relay, PPP

96
> PACKET HEADER
Versi IP (4) IP Header Length Type of Service

Versi IHL ToS Total length 16 bit

Header checksum 16 bit
Time To Live
Fragmen offset flag/length
Protokol Header checksum 16 bit
IP address pengirim 32 bit
IP address tujuan 32 bit
Options (jika ada)

Data

97
> MAC ADDRESS
Media Access Control/MAC adalah identitas unik dari setiap perangkat
interface untuk dapat berkomunikasi di OSI layer 2.
Jika router punya 3 interface fisik maka akan memiliki 3 MAC address
Untuk interface virtual (VLAN, EoIP) maka diperlukan MAC address virtual
Terdiri dari 48 bit hex

00:0C:42:20:97:68
Kode perusahaan pembuat Kode unik untuk perangkat yang dibuat

98
> TABEL ARP
Protokol penghubung layer 2
(Data Link/MAC) dan layer 3
(Network)
Berisi pasangan IP address-
MAC address dari host yang
terhubung langsung
Pada IPv6, ARP digantikan
oleh Network Discovery
Protocol/NDP
99
> IP ADDRESS
Internet Protocol/IP Address digunakan untuk mengalamatkan
suatu PC secara logical dalam komunikasi jaringan

Terdapat 2 jenis pengamatan IP address, yaitu IPv4 (32 bit) dan

IPv6 (128 bit).

159.142.60.20
10011111.10001110.00111100.00010100
1*27 + 0*26 + 0*25 + 0*24 + 1*23 + 1*22 + 1*21 + 0*20 = 142

100
> SUBNET
Subnet digunakan untuk
membagi IP Address dalam IP Address 192.168.0.0/25
jaringan ke dalam kelompok- Netmask 255.255.255.128
kelompok sub- Prefix /25
jaringan/segmen. IP jaringan 192.168.0.0
IP host pertama 192.168.0.1
Perangkat yang tergabung IP host terakhir 192.168.0.126
dalam subnet yang sama IP Broadcast 192.168.0.127
tidak memerlukan router Jumlah IP host Total IP dalam subnet minus 2
untuk saling berkomunikasi.
101
> SUBNET

IP pertama dalam sebuah

subnet dijadikan identitas
jaringan (network address)
& IP terakhir dijadikan
broadcast address.

Kedua IP ini tidak dapat

dipakai untuk host.

102
> PUBLIC IP & PRIVATE IP

PUBLIC IP: IP address yang bisa diakses di jaringan internet. Anda

bisa mendapat IP publik dari ISP, atau alokasi dari APNIC/IDNIC
(www.idnic.net)

PRIVATE IP: IP address yang khusus untuk jaringan lokal, tidak dapat
diakses di jaringan internet; antara lain: 10.0.0.0-10.255.255.255
(10./8), 172.16.0.0-172.31.255.255 (172.16./12), dan 192.168.0.0-
192.168.255.255 (192.168./16)

103
> IP ADDRESS KHUSUS
Penggunaan IP/Subnet Penggunaan IP/Subnet
Self identification 0.0.0.0/8 TEST-NET-2 198.51.100.0/24
Localhost 127.0.0.1 TEST-NET-3 203.0.113.0/24
Tidak terpakai 127.0.0.0/8 lain 6to4 Relay Anycast 192.88.99.0/24
Multicast 224.0.0.0/4 Tes Benchmark 192.18.0.0/15
Link lokal/DHCP error 169.245.0.0/16 Penggunaan masa depan 240.0.0.0/4
TEST-NET-1 192.0.2.0/24 Broadcast terbatas 255.255.255.255/32

RFC5735 http://tools.IETF.org/html/rfc5735

104
> PROTOKOL IP
Adalah protokol standar yang digunakan untuk mengkomunikasikan data
melalui berbagai jenis perangkat dan layer.

Pengiriman data dilakukan dengan sistem per paket dan/atau per

connection.

Sistem ini menjamin keutuhan data, dan mencegah terjadinya kekurangan

ataupun duplikasi data.

Ada beragam protokol yang biasa digunakan, yang umum adalah TCP, UDP,
dan ICMP.
105
> ICMP
Tipe Nama
Internet Control Message Protocol/ICMP
0 Echo Reply
digunakan untuk pengecekan jaringan 1 Unassigned
Disalurkan berbasis best effort sehingga 2 Unassigned
bisa terjadi error 3 Destination Unreachable

Prinsip kerjanya, host atau router tujuan akan 4 Source Quench

5 Redirect
mendeteksi apabila terjadi permasalahan
6 Alternate Host Address
transmisi dan membuat ICMP message yang 7 Unassigned
akan dikirim ke host asal. 8 Echo
Aplikasi ICMP yang paling banyak digunakan: 9 Router Advertisement

Ping dan Traceroute 10 Router Solicitation

11 Time Exceeded
106
> UDP
User Datagram Protocol/UDP digunakan untuk mengirimkan pesan/
datagram ke komputer lainnya di jaringan tanpa terlebih dahulu
melakukan hand-shake (connectionless communication)
Biasanya digunakan untuk servis yang mengirimkan data kecil ke
banyak host

Tidak ada flow control ataupun mekanisme lain untuk menjaga

keutuhan datagram
Aplikasi yang paling umum menggunakan UDP adalah DNS dan
berbagai game online
107
> TCP

Transmission Control Protocol/TCP adalah protokol yang paling

banyak digunakan di Internet
Bekerja dengan pengalamatan port (1-1024: low port/port servis
standar, 1025-: high port/untuk transmisi lanjutan)

Contoh aplikasi: http, email, ftp, dll

Prinsip kerja: Connection oriented, reliable transmission, error
detection, flow control, segment size control, congestion control

108
> TCP
Connection oriented
Koneksi diawali dengan proses handshake
Client SYN Server
Server SYN-ACK Client
Client ACK Server
Reliable Transmission
Mampu melakukan pengurutan paket data, setiap byte data ditandai dengan
nomor yang unik.
Error Detection
Jika terjadi error, akan dilakukan pengiriman ulang data

109
> TCP

Flow Control
Mendeteksi agar satu host tidak mengirimkan data ke host lainnya terlalu cepat
Segment Size Control
Mendeteksi besaran MSS (maximum segment size) yang bisa dikirimkan supaya
tidak terjadi IP fragmentation
Congestion Control
TCP menggunakan beberapa mekanisme untuk mencegah congestion pada
jaringan.

110
> KONSEP DASAR JARINGAN
Host yang mempunyai IP bersubnet sama bisa terkoneksi langsung
tanpa melalui router.
Misalnya dari 192.168.0.4/24 ke 192.168.0.26/24

192.168.0.4 SWITCH
Internet
ROUTER

192.168.0.26
111
> KONSEP DASAR JARINGAN
Router bertugas untuk menghubungkan jaringan yang memiliki subnet
berbeda.
10.10.10.34/24
192.168.0.254/24 Internet
10.10.10.254/24

192.168.0.4/24
192.168.1.254/24

192.168.0.26/24

192.168.0.141/24
192.168.1.4/24 192.168.1.24/24 192.168.1.48/24

112
> KONSEP DASAR JARINGAN
Dua buah IP address yang berasal dari subnet yang sama tidak boleh
dipasang pada dua buah interface yang berbeda pada sebuah router.

Ether1 Ether4
192.168.0.28/24 192.168.2.47/24

Ether2 Ether3
192.168.4.151/24 192.168.5.211/24

113
> KONSEP DASAR JARINGAN
Default gateway menentukan arah ke mana traffic harus disalurkan
untuk mengakses internet.
Misalnya dari 192.168.0.26/24 ke 222.24.112.34

ROUTER
192.168.0.254/24 Internet

222.24.112.34

192.168.0.26
114
> KONSEP DASAR JARINGAN

Domain Name Server/DNS diperlukan untuk melakukan pengubahan

nama domain menjadi IP address, karena seluruh proses penyatuan
traffic dilakukan berdasarkan layer 3 OSI, yaitu IP address
Misalnya www.yahoo.com 203.0.113.5

115
MikroTik BRIDGE & EoIP
116
> BRIDGE

Konsep bridge adalah menggabungkan 2 atau lebih interface ethernet

atau sejenisnya sehingga seolah-oleh berada dalam segmen network
yang sama.
Terjadi pada layer data link
Mengaktifkan bridge pada 2 buah interface akan menonaktifkan fungsi
routing di antara kedua interface tersebut
Mengemulasi mode switch secara software pada 2 atau lebih interface

117
> BRIDGE
Memanfaatkan port-port pada RouterBOARD untuk menghubungkan
perangkat-perangkat jaringan supaya berada dalam satu subnet/bridge
jaringan yang sama layaknya switch.

Bridge Ether1-4
Internet/
WAN

Jaringan Lokal (LAN)

118
> BRIDGE
Bayangkan jika jaringan nirkabel sudah terdiri dari beberapa BTS

Jaringan 192.168.0.0/24

Router Gateway Wireless

119
> SISTEM BRIDGE

Ada beberapa kelemahan sistem bridge

Sulit untuk mengatur traffic broadcast (misalnya akibat virus, dll)
Jika ada masalah di salah satu segmen, maka semua segmen pada bridge yang sama
juga akan mengalami masalah
Sulit untuk membuat sistem fail-over
Sulit untuk melihat kualitas link pada tiap segmen
Beban traffic pada setiap perangkat yang dilalui akan berat karena ada akumulasi

120
> INTERFACE UNTUK BRIDGE
Berikut ini jenis-jenis interface yang dapat dijadikan bridge port:
Ethernet
VLAN
Merupakan bagian dari ethernet atau wireless interface
Jangan melakukan bridge sebuah VLAN dengan interface induknya
Wireless AP, WDS, dan Station Pseudobridge
Station pseudobridge tidak bisa di-bonding
EoIP (Ethernet over IP)
Lebih detail pada slide selanjutnya
PPTP
Bridge harus dilakukan di sisi server dan juga client

121
> BRIDGE
Anda tidak harus memasang IP address pada sebuah interface bridge

Jika anda menonaktifkan bridge, IP address yang terpasang pada

bridge tersebut menjadi invalid

Anda tidak bisa membuat bridge dengan interface yang bukan bertipe
ethernet seperti serial, IPIP, PPPoE, dll; kecuali anda mebuat EoIP tunnel
terlebih dahulu

122
> BRIDGE
Contoh implementasi bridge
Public IP Router (bridge mode)
222.152.211.2
Internet

Jaringan
222.152.211.0/28
Public IP Web Server Public IP Client
222.152.211.3 222.152.211.4 222.152.211.10
123
> LAB1 MEMBUAT BRIDGE

Membuat interface
bridge

124
> LAB2 BRIDGE PORT

Tambahkan interface ethernet

ke dalam bridge yang telah dibuat

125
> MEMONITOR BRIDGE

Anda dapat melihat MAC

address host yang terhubung
dengan bridge tersebut.

126
> LAB3 KONFIGURASI BRIDGE
Buatlah konfiguirasi bridge seperti berikut, sehingga PC A bisa ping ke
PC B dan sebaliknya.

ETH1 ETH3 ETH3 ETH1

192.168.10.1/24 192.168.10.4/24

127
> EoIP
Ethernet over Internet Protocol/ EoIP adalah metode tunneling yang
dipatenkan MikroTik, dan hanya bisa dikoneksikan dengan MikroTik
EoIP memanfaatkan protokol 47/GRE
EoIP, seperti Ethernet, adalah interface yang bisa di-bridge
Berjalan pada semua jaringan yang terhubung secara layer 3
Jumlah maksimum EoIP tunnel dalam 1 perangkat adalah 65535
Berfungsi untuk menghubungkan 2 lokasi yang terpisah jauh namun
menggunakan subnet yang sama
Tidak terenkripsi, sebaiknya dijalankan di koneksi terenkripsi seperti PPTP

128
> EoIP

Bandung

Jogja

129
> EoIP
Secara virtual, setiap PC berada pada satu segmen network yang sama

Internet

Bandung 10.10.10.1 EoIP 10.10.10.2 Yogyakarta

192.168.0.12 192.168.0.13 192.168.0.3 192.168.0.4

130
> EoIP

MAC Address harus

berbeda antar EoIP

IP address tujuan

Kedua sisi harus memakai TunnelID yang sama

131
> LAB4 EoIP
Buatlah sebuah EoIP tunnel dengan jaringan di meja yang bersebelahan

Internet

MEJA 1 EoIP MEJA 2

10.10.10.1 10.10.10.2

192.168.200.10 192.168.200.11
132
> EoIP
ROUTER 1 ROUTER 2
10.10.10.1 10.10.10.2

133
> EoIP

134
> BRIDGE
Anda dapat mem-bridge
interface ethernet sesuka hati,
tanpa masalah.

Namun, interface wireless

mode station tidak dapat di-
bridge karena keterbatasan
teknologi 802.11
135
> BRIDGE WIRELESS?

Untuk mengatasinya, dikembangkan beberapa teknologi yang

memungkinkan interface wireless untuk di-bridge; misalnya
WDS Client, station pseudobridge, dan akhirnya station
bridge.

136
MikroTik WIRELESS
137
> WIRELESS LAN
802.11 2.4Ghz
802.11-b : Menggunakan frekuensi 2.4Ghz berkecepatan transfer data 11Mbps
802.11-b/g : Menggunakan frekuensi 2.4Ghz, transfer data 54Mbps
802.11-b/g/n : Menggunakan frekuensi 2.4Ghz, transfer data 300Mbps

802.11 5Ghz
802.11-a/g : Menggunakan frekuensi 5Ghz berkecepatan transfer data 54Mbps
802.11-a/g/n : Menggunakan frekuensi 5Ghz berkecepatan transfer data 300Mbps

138
> 802.11b 2,4GHz
915MHz 2,4GHz 5,8GHz

26 MHz 84,5 MHz 125 MHz

2400 1 2 3 4 5 6 7 8 9 10 11 2483

2432 2457
2427 2452 2484
2422 2447 2472
2417 2442 2467
2412 2437 2462

14 saluran lebar (20MHz) yang tidak bertindihan

139
> 802.11a 5GHz
36 40 42 44 48 50 52 56 58 60 64
5210 5250 5290

5150 5180 5200 5220 5240 5260 5280 5300 5320 5350

149 152 153 157 160 161

5760 5800
(12) 20 MHz saluran lebar
(5) 40 saluran lebar turbo
5735 5745 5765 5785 5805 5815

140
> LINE OF SIGHT
Aplikasi Wireless LAN di luar ruangan harus memenuhi prinsip Line of
Sight/LOS

141
> LINE OF SIGHT
Aplikasi Wireless LAN di luar ruangan harus memenuhi prinsip Line of
Sight/LOS

142
> LENGKUNGAN BUMI
Untuk jarak yang cukup jauh, perencanaan ketinggian antena/tower harus
memperhitungkan lengkung bumi

143
> ANTENA
Directionality
Omnidirectional (ke segala arah)
Directional (wilayah jangkauan terbatas)

Antenna gain
Diukur dalam dB
Semakin tinggi dB, semakin jauh jangkauannya

Polarization
Biasanya menggunakan polarisasi vertikal

144
> OMNIDIRECTIONAL

145
> FLAT PANEL ANTENNA

146
> GRID ANTENNA

147
> SOLID DISC ANTENNA

Biasanya digunakan untuk aplikasi point

to point jarak yang jauh.
Mounting pada tower harus baik, dan
faktor angin cukup berpengaruh.
Diperlukan ketelitian pointing
148
> SECTORAL ANTENNA

149
> SECTORAL ANTENNA (ARRAY)

150
> POINT TO POINT

Menghubungkan 2 buah alat yang jaraknya cukup jauh biasanya

menggunakan antena directional
Kedua alat cukup menggunakan lisensi level 4 untuk menggunakan mode
Bridge dan Station
Fitur proprietary MikroTik seperti Nstream, dan frekuensi khusus juga
dapat dimanfaatkan.
151
> POINT TO POINT DUAL STREAM

Masing-masing menggunakan 2 buah antenan dan 2 buah wireless card

Satu link untuk transmit, dan satu link untuk receive
Menggunakan pengaturan proprietary MikroTik
152
> POINT TO MULTIPOINT

1 buah AP MikroTik sebagai base station untuk melayani CPE

153
> WDS

Wireless Distribution System/WDS

adalah cara terbaik untuk
menghubungkan beberapa AP
sehingga user bebas untuk
berpindah tempat tanpa harus
terputus dari jaringan

154
MikroTik KONFIGURASI WIRELESS
155
> KONFIGURASI WIRELESS
Basic Configuration :
Wireless Tools Scan, Snoop, Freq-Usage (site survey)
Point to Point Hanya satu client
Registration Table Wireless Link Monitoring
Wireless N (contoh) Untuk N Wireless Card
Wireless Bridge Koneksi inter-building
Point to Multi Point lebih dari satu client
Access List keamanan MAC address
Keamanan Wireless Keamanan wireless dengan enkripsi
Wireless Protocol
VAP Virtual Access Point
Nstreme MikroTik Wireless Performance Protocol
WDS Wireless Mesh Network
156
> SCAN TOOL

157
> SNOOP TOOL

158
> MENU
Wireless Menu
Interface Daftar interface wireless yang terpasang
Access-List Keamanan MAC Address client (untuk mode AP)
Registration Daftar wireless yang terhubung
Connect-List Keamanan MAC Address AP (untuk mode station)
Security Profile Konfigurasi keamanan wireless (WPA/WEP)

159
> MODE
ap-bridge: memancarkan sinyal
dan dapat dikoneksikan oleh lebih
dari satu client/station

bridge : memancarkan sinyal point-

to-point dan hanya dapat
dikoneksikan oleh satu client

station : tidak memancarkan sinyal,

bersifat pasif untuk terkoneksi ke AP,
tidak dapat di-bridge
160
> MODE
station pseudobridge clone: client
wireless yang dapat di-bridge tapi
menggunakan simulasi mac-address
NAT

station bridge: station yang dapat

di-bridge

station wds: station yang terhubung

ke jaringan WDS (AP WDS)
161
> MODE
alignment only: digunakan untuk
pointing saja

nstreme dual slave: digunakan

dalam sistem Nstreme DUAL
(konfigurasi bukan dilakukan di
interface wireless)

station wds : mode repeater yang

berjalan pada sistem wds
162
> LAB1 POINT TO POINT
AP
Minimal lisensi level 3
Atur mode, SSID, band, dan frekuensi
Gunakan mode: bridge (hanya bisa
terhubung dengan 1 station)
163
Client
Minimal lisensi level 3
Atur mode, SSID, band, dan scan-list
Gunakan mode: station
Pastikan frekuensi berada di scan-list
> LAB1 AP

Konfigurasi pada AP
Atur mode, SSID, band, dan frekuensi
Gunakan mode: bridge
(hanya bisa terhubung dengan 1 station)

164
> LAB1 CLIENT

Konfigurasi pada Client

Atur mode, SSID, band, dan scan-list
Gunakan mode: station
Pastikan frekuensi yang dipilih oleh AP
masuk dalam range scan-list

165
> MEMONITOR WIRELESS

166
> LAB2 TES POINT TO POINT
Tambahkan IP address di
interface wlan2

Tes koneksi wireless kedua

router dengan Ping

Jika ping berhasil, artinya

wireless point to point sudah
siap.
167
> POINT TO MULTIPOINT
MikroTik dapat difungsikan sebagai access point menggunakan
standar 802.11b atau 802.11b/g sehingga semua client (yang
jenisnya beragam) bisa terkoneksi.

168
> LAB4 POINT TO MULTIPOINT
AP
Minimal lisensi level 4
Pengaturan sama seperti di p2p
Gunakan mode: ap-bridge
Station
Minimal lisensi level 3
Atur mode, SSID, band, dan scan-list
Gunakan mode: station

169
> MENGELOLA AKSES WIRELESS
Access List adalah filter autentikasi sebuah AP (di sisi AP) terhadap client yang terkoneksi
Connect List adalah filter autentikasi sebuah wireless station (di sisi client) terhadap AP
yang ingin terkoneksi

Rule otentikasi atau filter otentikasi dibaca secara berurutan dari atas ke bawah seperti
filter firewall sampai request otentikasi mencapai kecocokan
Anda bisa memasang beberapa filter untuk MAC address yang sama, sebaliknya, bisa
juga satu rule untuk semua MAC address
Sebuah rule filter MAC address bisa diterapkan pada sebuah interface wireless saja atau
bisa juga untuk semua interface.
Jika tidak ada rule yang sesuai, maka akan digunakan default policy (default
authentication & default forward) dari interface wireless tersebut

170
> ACCESS LIST

Anda dapat melakukan

pengaturan untuk setiap
client menggunakan
Access List Target MAC address client

Rule access list dapat

dibuat berdasarkan MAC
Opsi waktu untuk Opsi policy: boleh
address, kekuatan mengaktifkan terkoneksi atau tidak
signal, atau waktu. Rule access list

171
> REGISTRATION

View all
connected
wireless
interfaces

172
> DEFAULT AUTHENTICATION
Access-list is used
to set MAC-
address security
Disable Default-
Authentication to
use only Access-
list

173
> DEFAULT AUTHENTICATION
Yes, Access-List rules are checked, client is
able to connect, if there is no deny rule
No, only Access-List rule are checked

174
> CONNECT LIST

Digunakan di
sisi Station
Mencegah
perpindahan
SSID ke
Station

175
> LAB5 ACCESS LIST
Buatlah sebuah filter MAC untuk menentukan client yang boleh/tidak boleh terkoneksi

10Mbps/10Mbps
WLAN1
AP Station
10.10.10.2/24
WLAN1
10.10.10.1/24
Wireless Notebook
Meja 2
10.10.10.X+100/24
Wireless Notebook
Meja 1
10.10.10.X+100/24
176
> KEAMANAN WIRELESS
Wireless bersifat open access, sehingga AP sangat rentan terhadap serangan
dari pihak-pihak yang tidak bertanggung jawab
Untuk menjaga AP dari serangan, anda dapat memanfaatkan Security Profiles

177
> KEAMANAN WIRELESS

nama profil

Metode Gunakan profil

keamanan yang telah dibuat
Password untuk
metode yang dipilih

WPA = Wi-Fi Protected Access, PSK = Pre Shared Key, EAP = Extensible Authentication Protocol
178
> LAB6 WPA
Gunakan WPA-PSK untuk mengamankan AP anda.

WLAN1
AP Station
10.10.10.2/24
WLAN1
10.10.10.1/24
Wireless Notebook
Meja 2
10.10.10.X+100/24
Wireless Notebook
Meja 1
10.10.10.X+100/24
179
> DEFAULT FORWARDING

Default-Forwarding used to
disable communications
between clients connected
to the same access-point

180
> VIRTUAL AP
Virtual Access Point/VAP digunakan untuk
membuat SSID, MAC, IP, WDS, dan security profile
yang berbeda namun menggunakan mode,
frekuensi dan band yang sama

Virtual AP akan menjadi child dari WLAN (master

interface)

Bersifat sama seperti AP, dapat dikoneksikan

oleh client, dapat dipasang sebagai server DHCP
atau server HotSpot

181
> LAB7 VAP
Buatlah sebuah VAP dan cobalah untuk mengaksesnya dari PC/laptop anda

182
> NSTREME
Nstreme merupakan protokol wireless yang dipatenkan
khusus MikroTik dan tidak kompatibel dengan merk lain.

Meningkatkan kualitas koneksi nirkabel, terutama yang

jarak jauh

Untuk menggunakannya, aktifkan protokol pada semua

perangkat di jaringan

183
> KELEBIHAN NSTREME

Client Polling: digunakan untuk mengontrol jaringan nirkabel point

to multipoint (seperti AP yang menggunakan kontrol TokenRing)
Bisa menonaktifkan CSMA
Tidak ada batasan protokol meskipun jarak jauh (lebih dari 7 mil)
Protokol overhead lebih kecil per frame, data rate jauh lebih tinggi
Tidak ada penurunan kecepatan protokol seperti yang terjadi pada
koneksi jarak jauh

184
> LAB8 NSTREME
Aktifkan Nstreme di router anda
Periksa status koneksinya
Nstreme harus diaktifkan pada kedua router

192.168.0.X/24 AP Station 192.168.0.X/24

NSTREME

185
> LAB8 NSTREME

186
> LAB8 NSTREME
Efek dari NSTREME dapat dilihat di Traffic monitor

NSTREME

187
> NSTREME
Best fit: Framer limit akan dicoba sampai
nilai optimal dan akan terus menggunakan
nilai tersebut

Dynamic size: Framer limit berubah-ubah

sesuai dengan banyaknya paket yang lewat

Exact size: Framer limit selalu menggunakan

nilai yang ditulis di opsi Framer Limit

None: Framer policy tidak dimanfaatkan

188
> WIRELESS BRIDGE

Karena keterbatasan protokol, mode station tidak bisa dimasukkan

ke dalam bridge port, kecuali:
EoIP menggunakan EoIP antara ap-bridge dan station, seperti pada lab
materi bridge
WDS-station, WDS Slave mengakibatkan throughput yang mengecil
Station-pseudobridge, station pseudobridge clone simulasi NAT
Station-bridge teknologi terbaru

189
> WIRELESS BRIDGE
Wireless bridge digunakan untuk membuat jaringan nirkabel antar gedung

190
> LAB3 WIRELESS BRIDGE
Buatlah konfigurasi AP vs Client yang digunakan untuk jaringan
bridge via wireless
Gunakan mode station-pseudobridge untuk sisi client
Setelah wireless terkoneksi, masukkan interface wireless wlan2 ke
dalam bridge port (dilakukan pada kedua router). Maka laptop
kedua sisi akan berada dalam 1 segmen.
192.168.0.X/24 AP Station 192.168.0.X/24

191
> LAB3 AP

AP tetap menggunakan
mode Bridge

192.168.0.X/24 AP

192
> LAB3 CLIENT

AP tetap menggunakan
mode Bridge

Station 192.168.0.X/24

193
> LAB3 KONFIGURASI BRIDGE

Masukkan ether1 ke port bridge

Buat bridge

Masukkan wlan2
ke port bridge

194
> WDS
Wireless Distribution
System/WDS adalah protokol
untuk meningkatkan jangkauan
jaringan wireless dengan
menggabungkan beberapa AP
menjadi satu kesatuan

AP yang terhubung dalam WDS

harus menggunakan band,
frekuensi, dan SSID yang sama
195
> WDS - STATION

Station-WDS adalah
mode station khusus
yang mendukung mode
WDS dapat di bridge

196
> BRIDGE PORT

Tambahkan interface
yang menuju jaringan
lokal (ether1) dan
interface yang menuju
jaringan publik (wlan1)
ke dalam bridge

197
> WDS - AP
Enable WDS on AP-bridge, use
mode=dynamic-mesh
WDS interfaces are created on the fly
Use default bridge for WDS interfaces
Add Wireless Interface to Bridge

198
> WDS - AP

Set AP-bridge
settings
Add Wireless
interface to bridge

199
> KONFIGURASI WDS

Use dynamic-mesh WDS

mode
WDS interfaces are created
on the fly
Others AP should use
dynamic-mesh too

200
> WDS
WDS link is
established
Dynamic interface
is present

201
MikroTik ROUTING
202
> ROUTING
Ada dua tipe routing pada MikroTik RouterOS:

Dynamic Routes rute dibuat secara otomatis:

Saat menambahkan IP Address pada interface
Informasi routing yang didapat dari protokol routing dinamis seperti
RIP, OSPF, dan BGP

Static Routes rute dibuat manual oleh user untuk mengatur

ke arah mana traffic tertentu akan diarahkan. Default route
adalah salah satu contoh static routes.

203
> MENAMBAH RUTE

204
> TIPE RUTE

Tipe rute ditunjukkan

dari kode di sebelah kiri
A : Active
S : Static

D : Dynamic
A : Active
C : Connected

205
> PARAMETER DALAM ROUTING
Destination Destination address 222.152.211.7
Network mask 202.53.246.0/24
0.0.0.0/0 -> ke semua network

Gateway IP Address gateway, harus merupakan IP Address yang satu subnet

dengan IP yang terpasang pada salah satu interface

Gateway Interface Digunakan apabila IP gateway tidak diketahui dan bersifat dinamik
(biasanya digunakan di ppp interface).

Pref Source source IP address dari paket yang akan meninggalkan router

Distance Beban untuk kalkulasi pemilihan routing

206
> KONSEP ROUTING
IP address gateway harus merupakan IP address yang subnetnya sama dengan
salah satu IP address yang terpasang pada router (terkoneksi langsung)

Pada interface yang menghubungkan router A dan

Internet
B, pada masing masing router, terdapat lebih dari 1
IP address 10.10.0.2/24
Default gateway pada router B adalah router A
IP address yang menjadi default gateway router B 10.10.1.1/24
adalah 10.10.2.1 karena IP address tersebut berada 10.10.2.2/24 10.10.2.1/24
pada subnet yang sama dengan salah satu IP 10.10.3.2/24
address di router B (10.10.2.2/24)
10.10.4.1/24
Pengaturan static route default: Dst-address =
0.0.0.0/0; Gateway = 10.10.2.1 10.10.4.2/24

207
> KONSEP ROUTING
(DAC) Dst-addr= 10.10.1.0/24
pref-source= 10.10.1.2 (DAC) Dst-addr= 10.10.2.0/24
(DAC) Dst-addr= 10.10.2.0/24 pref-source= 10.10.2.2
Internet pref-source= 10.10.2.1 (DAC) Dst-addr= 10.10.3.0/24
(AS) Dst-addr= 0.0.0.0/0 pref-source= 10.10.3.1
Gateway= 10.10.1.1 (AS) Dst-addr= 0.0.0.0/0
10.10.0.1/24 (AS) Dst-addr= 10.10.3.0/24 Gateway= 10.10.2.1
Gateway= 10.10.2.2
10.10.0.2/24
10.10.1.2/24 10.10.2.2/24
10.10.1.1/24 10.10.2.1/24
10.10.3.1/24
(DAC) Dst-addr= 10.10.0.0/24
pref-source= 10.10.0.2
(DAC) Dst-addr= 10.10.3.0/24
10.10.3.2/24
(DAC) Dst-addr= 10.10.1.0/24
pref-source= 10.10.3.2
pref-source= 10.10.1.1
(AS) Dst-addr= 0.0.0.0/0
(AS) Dst-addr= 0.0.0.0/0 Gateway= 10.10.1.1
Gateway= 10.10.2.1
(AS) Dst-addr= 10.10.2.0/24 Gateway= 10.10.1.2
(AS) Dst-addr= 10.10.3.0/24 Gateway= 10.10.1.2
208
> LAB1 STATIC ROUTE
Buatlah rule static route supaya PC/laptop yang berbeda jaringan
bisa saling ping
10.10.10.X

192.168.X.2 192.168.X.1
Internet

10.10.10.100

10.10.10.Y
192.168.Y.2 192.168.Y.1
209
> LAB1 STATIC ROUTE
Langkah-langkah:

Matikanlah rule masquerade src-nat

Buatlah static route pada kedua router
Pada komputer 1, buatlah static route ke komputer 2
/ip route add dst-address=192.168.2.0/24
gateway=10.10.10.2
Pada komputer 2, buatlah static route ke komputer 1
/ip route add dst-address=192.168.1.0/24
gateway=10.10.10.1

210
> DASAR PEMILIHAN ROUTING

Untuk pemilihan routing, router akan memilih berdasarkan:

Rule routing yang paling spesifik tujuannya

Contoh: destination 192.168.0.128/26 lebih spesifik dari 192.168.0.0/24
Distance
Router akan memilih distance yang paling kecil
Round Robin
Router akan memilih secara random

211
> DASAR PEMILIHAN ROUTING
Contoh kasus: Untuk koneksi dengan destination
192.168.0.1, manakah urutan prioritas rule yang digunakan?

Destination Gateway Distance Priority

192.168.0.0/27 192.168.1.1 1 2
192.168.0.0/29 192.168.2.1 1 1
192.168.0.0/24 192.168.3.1 5 4
192.168.0.0/24 192.168.4.1 1 3

212
> DYNAMIC ROUTING
Karena sebuah jaringan memiliki besar skala yang berbeda satu sama
lain, sangat memungkinkan jika jaringan tersebut berkembang menjadi
besar sekali. Maka penggunaan routing menjadi sangat penting

Informasi routing harus tepat dan kesalahan melakukan distribusi

informasi routing harus diminimalisasi.

Sangatlah tidak praktis jika harus menuliskan rule routing untuk

puluhan bahkan ratusan router secara static.

213
> DYNAMIC ROUTING
Dynamic routing diperlukan untuk jaringan yang besar

214
> OSPF
Open Shortest Path First/OSPF adalah salah satu jenis protokol
dynamic routing yang dapat mendistribusikan informasi routing secara
otomatis.

OSPF menggunakan konsep hirarki routing yang mampu membagi

jaringan menjadi beberapa tingkatan. Tingkatan-tingkatan ini diwujudkan
dengan menggunakan sistem pengelompokan yang disebut area.

Konfigurasinya mudah

215
> LAB2 OSPF

Buatlah jaringan router

dengan menggunakan
protokol routing OSPF

Internet

216
> LAB2 OSPF

IP network yang akan saling

terkoneksi secara OSPF
Pilih as type 1

217
MikroTik HOTSPOT
218
> HOTSPOT
Hotspot merupakan aplikasi yang digunakan untuk memberikan akses
menuju jaringan (Internet/intranet) kepada publik melalui kabel atau
wireless.

Hotspot menggunakan otentikasi sebagai fitur keamanan. Prosesnya

menggunakan HTTP/HTTPS yang bisa dilakukan oleh web browser

Hotspot merupakan kombinasi dari beberapa fitur RouterOS sehingga

menjadi sebuah sistem yang sering disebut sebagai akses plug-n-play

219
> HOTSPOT

Hotspot berjalan
pada jaringan Bridge
dan dapat diterapkan Internet
pada jaringan /WAN

wireless, ethernet
atau keduanya

220
> HOTSPOT
Ketika user yang belum
terotentikasi mencoba mengakses
Internet, maka router akan
mengarahkan user ke laman
otentikasi hotspot.

Kemudian user harus

memasukkan informasi login
untuk dapat mengakses jaringan.

221
> HOTSPOT

Jika user memasukkan informasi

login yang benar, maka router
akan mengotentikasi client di
sistem hotspot dan membukakan
laman web yang diminta user
sebelumnya

222
> FITUR HOTSPOT
Otentikasi user
Perhitungan
Waktu akses
Jumlah data terkirim/diterima
Limitasi data
Berdasarkan kecepatan akses
Berdasarkan jumlah data
Limitasi akses berdasarkan waktu
RADIUS
Bypass
223
> INSTALASI HOTSPOT

Setup cukup mudah,

sama seperti setup
DHCP server

Klik Hotspot setup

untuk memulai proses
setup.

224
> INSTALASI HOTSPOT

Pilih interface untuk menjalankan HotSpot

225
> INSTALASI HOTSPOT

Alamat Hotspot akan diberikan secara otomatis

Masquerade otomatis untuk Hotspot

226
> INSTALASI HOTSPOT

Tentukan alamat-alamat yang akan diberikan pada client Hotspot

227
> INSTALASI HOTSPOT

Pilihan untuk menggunakan sertifikat SSL bersama Hotspot atau tidak

228
> INSTALASI HOTSPOT

Tentukan alamat server SMTP untuk mengarahkan e-mail

229
> INSTALASI HOTSPOT

Tentukan alamat server DNS untuk klien-klien Hotspot

230
> INSTALASI HOTSPOT

Tentukan nama DNS untuk server Hotspot

231
> INSTALASI HOTSPOT

Setup selesai. Tambahkan pengguna Hotspot pertama.

232
> TABEL HOST

Memberikan informasi mengenai client yang terhubung dengan

router HotSpot.

233
> TABEL ACTIVE

Memberikan informasi mengenai client yang telah terotorisasi

234
> MENGELOLA USER

Menambah, mengubah,
atau menghapus user
HotSpot

235
> WALLED GARDEN

Walled-Garden adalah fitur untuk mengakses resources

tertentu tanpa melalui otorisasi HotSpot

Walled-Garden digunakan untuk HTTP dan HTTPS

Walled-Garden IP digunakan untuk resources lain (Telnet,

SSH, Winbox, dll.)

236
> WALLED GARDEN

Contoh: cara untuk

memperbolehkan
akses ke
www.mikrotik.com Masukkan alamat
situs di sini

237
> BYPASS

Bypass klien spesifik

melewati HotSpot

Telepon VoIP, printer, dan

para superuser

IP-Binding digunakan untuk Blocked: tidak dapat menggunakan HotSpot

keperluan tersebut. Bypassed: dapat menggunakan HotSpot tanpa login
Regular: Harus login untuk menggunakan HotSpot

238
> MENGELOLA BANDWIDTH

HotSpot dapat mengatur batas bandwidth setiap user

secara otomatis

Dynamic Queue digunakan untuk setiap client dari

profile

239
> MENGELOLA BANDWIDTH

To give each client

64k upload and
128k download, set
Rate Limit

2
240
MikroTik VPN
241
> VPN

Virtual Private Network/VPN adalah sistem yang digunakan untuk

membuat koneksi lokal secara virtual melalui jalur koneksi Internet

Keuntungan VPN
Koneksi aman untuk mengakses resource lokal melalui jaringan
hotspot/wifi, lease line, wireless local loop baik ISP sama atau berbeda.
Resource kantor (mail server, printer, email, dll) dapat diakses dengan
enkripsi dan hanya oleh orang-orang yang memiliki kode akses

242
> VPN
VPN merupakan jaringan data yang bersifat independen yang
memanfaatkan infrastruktur jaringan publik

WAN

Jaringan
VPN

243
> VPN
VPN bisa diimplementasikan di berbagai tipe jaringan

Routed Network
VPN yang dibuat di jaringan yang sudah melewati multi hop
router atau internet. Contohnya adalah PPTP

Bridge Network
VPN yang dibuat di jaringan yang masih 1 switch atau 1 bridge
jaringan. Contohnya adalah PPPoE
244
> PPTP
Point to Point Tunnel Protocol/PPTP menyediakan tunnel
terenkripsi melalui IP

Router MikroTik mendukung client dan server PPTP

PPTP digunakan untuk mengamankan koneksi antar jaringan

lokal yang melalui Internet.

Untuk perangkat mobile atau remote client untuk mengakses

resources jaringan lokal
245
> PPTP
Internet

SECURED TUNNEL

246
> PPTP CLIENT
Tambahkan interface
PPTP

Tentukan alamat untuk

server PPTP

Tentukan login dan

passwordnya

247
> PPTP CLIENT
Demikianlah cara untuk menkonfigurasi client PPTP

Gunakan Add Default Gateway untuk mengarahkan

semua traffic router ke tunnel PPTP

Gunakan static route untuk mengirim traffic tertentu

ke tunnel PPTP

248
> PPTP SERVER

Server PPTP mampu

mempertahankan beberapa client

PPTP server diaktifkan pada PPP

configuration

Default profile digunakan untuk

menentukan grup dan memberikan
konfigurasi dasar seperti IP
address, enkripsi dan limitasi user.

249
> PPTP

Pengaturan client PPTP disimpan di PPP Secret

PPP Secret digunakan untuk client PPTP, L2TP, dan PPPoE

Database PPP Secret dikonfigurasikan di server

250
> LAB1 PPTP
Jaringan 172.16.1.0/24

10.10.10.1/24 10.10.10.100/24 10.10.10.2/24

SERVER 172.16.1.1 172.16.1.2 CLIENT
192.168.1.1/24 192.168.2.1/24

192.168.1.2/24 192.168.2.2/24
251
> LAB1 PPTP (SERVER)

Aktifkan PPTP Server

252
> LAB1 PPTP (SERVER)
Buat PPP Profile untuk
menentukan IP address yang akan
digunakan untuk jaringan PPTP

Local Address: alamat untuk

server, Remote Address: alamat
yang akan diberikan kepada client
yang terhubung ke server PPTP.
Semua dalam satu jaringan.
Remote address dapat berupa
pool untuk menangani lebih dari
1 client. Pool dapat dibuat
terlebih dahulu di menu IP > Pool

253
> LAB1 PPTP (SERVER)
Buatlah PPP Secret untuk
menyimpan data otentikasi
client

Pilih service: PPTP

Tetapkan username,
password, dan profile yang akan
digunakan oleh user tersebut.

254
> LAB2 PPTP (CLIENT)
Username dan password
disesuaikan dengan konfigurasi
server PPTP

Masukkan IP address server ke

Connect to:

Add default route dipilih jika

anda ingin koneksi PPTP menjadi
gateway utama
255
> PPP PROFILE

Set of rules used for PPP clients

The way to set same settings for different
clients

256
> PPP SECRET
PPP Secret adalah data user untuk Service VPN (PPTP, PPPoE,
OpenVPN, dll) yang ada di local database router, semua konfigurasi
user seperti username, password, alokasi ip address, profile dan
limitasi bisa dilakukan di sini.

Ada dua pilihan melakukan assign ip ke user yaitu menggunakan

setting di secret (fix ip) atau menggunakan profile (pool ip).

VPN User juga bisa menggunakan database user external yaitu

menggunakan RADIUS seperti UserManager atau FreeRadius.
257
> PPPoE

Point to Point Protocol over Ethernet/PPPoE biasa

digunakan untuk mengontrol koneksi client untuk DSL,
modem kabel, dan jaringan Ethernet.

RouterOS MikroTik mendukung client PPPoE dan server

PPPoE.

258
> CLIENT PPPoE

Client PPPoE adalah host yang akan melakukan dial ke server

PPPoE dan akan diberikan IP jika otentikasi berhasil

Client PPPoE banyak digunakan sebagai client DSL, misalnya ADSL

Speedy

Fitur Client PPPoE dimiliki oleh MikroTik, dan juga hampir semua
OS, termasuk Windows, Linux dan MacOSX

259
> SETUP CLIENT PPPoE

Tambahkan client
PPPoE

Pilih interfacenya Interface client

Atur login dan

passwordnya

260
> LAB3 SETUP CLIENT PPPoE

Para pembimbing akan membuat server PPPoE di router mereka

Nonaktifkan DHCP-Client di interface yang keluar dari router

Setup PPPoE di interface yang keluar dari router

Gunakan username: class dan password: class

261
> LAB3 SETUP CLIENT PPPoE

Cek koneksi PPP

Nonaktifkan client PPPoE

Aktifkan client DHCP untuk mengembalikan konfigurasi

sebelumnya

262
> SERVER PPPoE
Server PPPoE menerima koneksi client pada interface tertetu
(spesifik)

Client dapat diotentikasi melalui:

Database lokal user PPP (PPP Secret)
Server RADIUS remote (di lokasi lain)
User Manager (MikroTik RADIUS) baik remote maupun lokal

Client dapat secara otomatis diberikan batasan bandwidth (rate-

limit) berdasarkan profil
263
> LAB4 SETUP SERVER PPPoE

Pilih interface
Interface server

Pilih profile

264
MikroTik FIREWALL
265
> FIREWALL

Firewall merupakan pelindung komputer dalam jaringan dari

serangan, dan pengontrol koneksi data menuju, dari dan melalui
router. Firewall diposisikan di antara jaringan lokal dan jaringan
publik.
SWITCH Internet

FIREWALL

266
> FIREWALL

Fitur Firewall pada MikroTik antara lain

Rules
NAT (source-nat & destination-nat)
Mangle
Address List
Layer 7 Protocol (baru di versi 3)
Service Ports
Connections (untuk memonitor saja)

267
> ALIRAN DATA
Setiap paket data memiliki asal (source) dan tujuan
(destination)

Ada 3 jenis aliran data dari sudut pandang router

Dari luar router menuju ke dalam router (Input)
Contoh: traffic Winbox ke router
Dari dalam router menuju ke luar router (Output)
Contoh: ping dari router ke luar
Dari luar router menuju ke luar router (Forward)
Contoh: browsing dari client ke Internet
268
> ALIRAN DATA

FORWARD
WWW, E-Mail

Internet
INPUT OUTPUT
Winbox Ping dari router
ke google

269
> ALIRAN DATA

FORWARD

ROUTING MANGLE FILTER

DECISION FORWARD FORWARD

PRE ROUTING OUTPUT POST ROUTING

QUEUE MANGLE
FILTER OUTPUT
GLOBAL-IN POST-ROUTING

ROUTING QUEUE
DST-NAT
ADJUSMENT GLOBAL-OUT
INPUT

MANGLE MANGLE
MANGLE INPUT SRC-NAT
PRE-ROUTING OUTPUT

CONNECTION CONNECTION
FILTER INPUT HTB INTERFACE
TRACKING TRACKING

INPUT ROUTING OUTPUT

LOCAL PROCESS
INTERFACE DECISION INTERFACE

270
> ALIRAN DATA
Dari Menuju Mangle Firewall Queue
Prerouting Global-In
Luar Router
Input Input Global-Total
Output Output Global-Out
Router Luar Post Routing Global- Total
Interface
Pre Routing Global-In
Forward Forward Global-Total
Luar Luar
Post Routing Global-Total
Interface
271
> FILTER FIREWALL
Terdiri dari peraturan/rules yang
dibuat oleh user dengan
menggunakan prinsip IF-THEN

Rules disusun di dalam

rantai/Chains

Ada Chains yang sudah tersedia,

ada juga yang dibuat oleh user
272
> PENGGUNAAN FIREWALL
Rule firewall bekerja dengan
prinsip IF-THEN
Statistics: melihat
berapa banyak
traffic yang
memenuhi rule ini

IF tab tab yang mengatur kondisi THEN tab yang mengatur aksi yang
yang harus dipenuhi untuk akan dijalankan kepada interface
melaksanakan action jika kondisi di IF terpenuhi
273
> PENGGUNAAN FIREWALL IF

Src. Address: IP sumber paket (biasanya PC)

Dst. Address: IP tujuan (biasanya internet)

Protocol: Protokol TCP/UDP/ICMP/dll.

Src. Port: Port sumber, kalau dari PC, biasanya random
Dst. Port: Port tujuan tergantung servis
yang ditawarkan tujuan

In/Out Interface: Interface yang digunakan

traffic untuk keluar masuk.

274
> PENGGUNAAN FIREWALL THEN
Accept: Paket akan diproses tanpa diseleksi lebih lanjut
oleh rule lain
Add dst/src to address list: Akan menambahkan IP
tujuan/sumber ke daftar alamat tertentu untuk jangka
waktu tertentu
Drop: Paket akan di-drop
Jump: Mengarahkan ke chain lain yang telah disiapkan
Log: Akan dicatat di log
Passthrough: Tidak melakukan apa-apa, hanya untuk
mengecek berapa paket yang terkena rule ini
Reject: Seperti drop, tapi akan membalas dengan kode
respon ICMP
Return: Digunakan dengan jump, untuk mengembalikan ke
chain sebelumnya
Tarpit: Mengirim TCP (ACK) untuk respons pengembalian
275
> PORTS

276
> CONNECTION STATE

FIREWALL
N E E E E E

I N E E I N E
I INVALID
N E E E E E E
N NEW
I I R E E E E ESTABLISHED
N E E E E I I R RELATED

277
> CONNECTION STATE
I Invalid: Paket yang tidak memiliki jejak koneksi sebelumnya tapi
tiba-tiba muncul. Biasanya dibuat oleh virus

N New: Paket baru untuk sebuah koneksi

E Established: Paket yang membuntuti paket baru (new), yang

merupakan paket lanjutan dari sebuah koneksi

R Related: Paket yang tiba-tiba muncul tapi mempunyai korelasi

dengan paket yang sudah datang (established/new)
278
> CONNECTION STATE

Tempat untuk mengatur

connection state pada rule

279
> CONNECTION STATE
Connection state memberitahu dan men-drop koneksi
yang tidak sah I

Firewall harus meneruskan paket yang baru saja, N

dan disarankan untuk menolak paket dengan jenis
connection state yang lain

Rules di filter memiliki fitur pencocok connection state

untuk hal ini.
280
> LAB1 SIMPLE BLOCKING

Buatlah drop rule untuk paket berstatus INVALID

Buatlah accept rule untuk paket berstatus ESTABLISHED
Buatlah accept rule untuk paket berstatus RELATED
Blok koneksi winbox ke router yang masuk melalui interface WLAN
Blok koneksi dari laptop ke IP tertentu (misalnya 10.10.10.100)
281
> MEMBLOKIR PAKET INVALID

282
> MEMBLOKIR WINBOX DARI WLAN

Port yang digunakan

oleh Winbox

Interface yang
menjadi target
koneksi dari luar

283
> ADDRESS LIST
Address List dapat digunakan
untuk memfilter sekelompok
address hanya dengan 1 rule saja

Anda dapat membuat beberapa

Tentukan nama list dan
list yang berlainan masukkan IP address mana
saja yang termasuk list ini.
Subnet, deretan address terpisah,
dan address individual, semua bisa
ditangani.

284
> ADDRESS LIST

add dst to address list akan

memasukkan alamat host ke
dalam list yang telah
ditentukan.

Tetapkan timeout untuk

temporary service.

285
> ADDRESS LIST DALAM FIREWALL

Ada fitur untuk memblokir

akses dari dan ke address
list.

286
> FIREWALL - LOG
Lets log client pings
to the router
Log rule should be
added before other
action

287
> FIREWALL LOG

288
MikroTik NAT
289
> NETWORK ADDRESS TRANSLATION

Router bisa mengubah alamat pengirim (source) atau

tujuan (destination) dari paket yang melaluinya. Setelah
paket data pertama dari sebuah koneksi terkena NAT,
maka paket berikutnya pada koneksi tersebut juga akan
terkena NAT

Ada dua tipe NAT, yaitu src-NAT dan dst-NAT

290
> NAT ACTIONS

dst-nat: mengganti IP atau port tujuan

masquerade: mengganti IP pengirim menjadi IP
terkecil di interface keluar
netmap: membuat pemetaan IP lokal dan IP
publik
redirect: mengganti IP tujuan menjadi IP router
src-nat: mengganti IP pengirim menjadi salah
satu IP di interface keluar
same: memastikan koneksi yang di-NAT-kan
selalu menggunakan pemetaan yang sama

291
> SRC-NAT

SRC-NAT
Alamat SRC
Alamat SRC
baru

PC/LAPTOP ANDA REMOTE SERVER

292
> SRC-NAT

SRC-NAT menukar alamat pengirim paket

Dapat digunakan untuk mengakses jaringan pribadi dari

Internet melalui IP address publik

Masquerade adalah salah satu jenis SRC-NAT

293
> SRC-NAT & MASQUERADE
SRC-NAT digunakan untuk melakukan masquerade

SRC-NAT Masquerade menyembunyikan IP address lokal dan menggantinya

menjadi IP address publik yang sudah terpasang pada router

SRC-NAT : kita bisa memilih IP address publik yang digunakan untuk

menggantikan.

Masquerade: Secara otomatis akan menggunakan IP address pada interface

publik. Masquerade digunakan untuk mempermudah instalasi dan bila IP
address publik pada interface publik menggunakan IP yang dinamik (misalnya
DHCP, PPTP, atau EoIP)
294
> SRC-NAT & MASQUERADE

192.168.X.1 PUBLIC SERVER

MASQUERADE

Alamat SRC: Alamat SRC

192.168.X.1 Baru:
Alamat Router

295
> SRC-NAT & MASQUERADE

Menukar IP lokal menjadi

salah satu IP publik di interface
keluar secara otomatis.

Efektif digunakan saat

gateway WAN menggunakan IP
dinamis.

296
> DST-NAT

DST-NAT
Alamat DST
Baru Alamat DST
Internet

SERVER JARINGAN PRIBADI PUBLIC HOST

297
> DST-NAT

DST-NAT menukar alamat IP atau port tujuan

Dapat digunakan untuk mengarahkan pengguna internet

menuju server di jaringan pribadi anda, misalnya:
Memberikan akses kepada resource internal seperti printer
atau server dari luar jaringan

298
> DST-NAT

WEB SERVER: 192.168.1.1 BEBERAPA KOMPUTER

DST-NAT

Internet
Alamat DST
Baru: Alamat DST:
192.168.1.1:80 207.141.27.45:80

299
> DST-NAT

DST-NAT dapat
digunakan untuk
mengarahkan paket
menuju WEB server
di jaringan pribadi Pilih action dst-nat,
Kemudian tentukan alamat
IP baru & port untuk
mengarahkan paket yang
datang.

300
> LAB2 DST-NAT

Buatlah sebuah dst-nat yang memperbolehkan akses

dari luar menuju laptop anda melalui IP publik anda.
DST-NAT

Internet
Alamat baru setelah Alamat tujuan:
DST-NAT: 192.168.1.1:80 207.141.27.45:80

Jika anda tidak memiliki Remote Desktop, dapatkan VNC Server & Viewer
Installer untuk Windows dari pembimbing.
301
> LAB2 DST-NAT
IF
Bagian kondisi/IF
(general): pilih chain dstnat,
dan gunakan IP publik anda
untuk dst. Address.
THEN
Bagian aksi/THEN: pilih
action dst-nat, dan IP lokal
anda untuk To Addresses.

302
> DST-NAT & REDIRECT

Redirect adalah DST-NAT yang khusus, bertujuan untuk

melakukan penggantian IP address tujuan/ mengarahkan
koneksi menuju localhost.
DST-NAT: Mengganti IP address dan port tujuan dari
suatu koneksi
Redirect: Mengalihkan koneksi yang tadinya melewati
router, menjadi ke localhost.

303
> DST-NAT & REDIRECT

REDIRECT

Alamat DST:
CONFIGURED_DNS_SERVER:53
DNS CACHE
PC/LAPTOP ANDA
Alamat DST Baru:
ROUTER:53

304
> PROXY
Kita dapat mengaktifkan fitur Proxy pada MikroTik.
Koneksi tanpa proxy:

Internet

Koneksi dengan proxy:

Internet

PROXY
305
> FITUR PROXY
Regular HTTP proxy
Transparent proxy
Dapat berfungsi juga sebagai transparan dan sekaligus normal pada saat yang
bersamaan
Access list
Berdasarkan source, destination, URL dan requested method
Cache Access list
Menentukan objek mana yang disimpan pada cache
Direct Access List
Mengatur koneksi mana yang diakses secara langsung dan yang melalui proxy
server lainnya
Logging facility
306
> LAB3 DST-NAT & PROXY

Aktifkan servis web-proxy pada router anda

Lakukan pengalihan koneksi secara

transparan sehingga semua koneksi HTTP
akan melalui web proxy pada router

307
> MENGAKTIFKAN PROXY

Untuk mengaktifkan,
pilih Enabled. Pengaturan
lainnya terserah anda

308
> REDIRECT PORT 80 (TCP)

Port web proxy router

Koneksi yang
digunakan oleh HTTP

309
> PROXY ACCESS
Digunakan untuk memfilter hak akses client

310
> CACHING KE EKSTERNAL

Caching dapat disimpan di drive-drive penyimpanan

eksternal

Store memanipulasi semua drive-drive eksternal

Cache dapat disimpan di IDE, SATA, USB, CF, atau

kartu MicroSD
311
> STORE

Mengelola semua disk

eksternal

Disk yang baru dihubungkan

harus diformat dahulu

312
> MENAMBAH STORE

Tambahkan store untuk

menyimpan proxy ke disk
eksternal

Store mendukung proxy, user-

manager, dude

313
> PROXY CACHING

Aktifkan cache on disk untuk

mengaktifkan MikroTik Proxy
Cache.

Perhatikan pada parameter,

Cache Drive sudah
menggunakan USB disk

314
> TIPS FIREWALL
Add comments to your rules
Use Connection Tracking or Torch

315
> CONNECTION TRACKING
Connection tracking manages information
about all active connections.
It should be enabled for Filter and NAT

316
> CONNECTION TRACKING

317
> TORCH

Detailed actual traffic report for interface

318
MikroTik QUALITY OF SERVICE
319
> QUALITY OF SERVICE
QoS tidak selalu berarti pembatasan bandwidth, tapi merupakan cara yang
digunakan untuk mengaturpenggunaan bandwidth yang ada secara rasional.
Qos bisa digunakan juga untuk mengatur prioritas berdasarkan parameter yang
diberikan untuk menghindari terjadinya monopoli bandwidth.

320
> QUALITY OF SERVICE
Kita tidak dapat melakukan pembatasan trafik yang masuk ke suatu interface.

Satu-satunya cara untuk mengontrol adalah dengan buffering (menahan

sementara), atau kalau melampaui limit buffer, akan dilakukan drop pada paket
tersebut.

Pada TCP, paket yang didrop akan dikirimkan ulang sehingga tidak ada
kehilangan paket data.

Cara termudah melakukan queue di RouterOS adalah menggunakan simple

queue.

321
> SIMPLE QUEUE
Simple queue dapat melakukan pembatasan:
Tx-Rate client (upload)
Rx-Rate client (download)
Client aggregate, (download + upload)

Untuk menggunakan Simple Queue, anda harus

menggunakan alamat target

Urutan rule sangat penting dalam rules queue

322
> SIMPLE QUEUE

Client yang
menjadi target
Limitasi
bandwidth

323
> LAB1 SIMPLE QUEUE

Buatlah simple queue yang membatasi PC anda

Download 128kb/s
Upload 64kb/s

Cobalah untuk menggunakan parameter Time

324
> LAB1 SIMPLE QUEUE

325
> BURST
Burst adalah salah satu cara menjalankan QoS
Burst memungkinkan penggunaan data-rate yang melebihi max-limit
untuk periode waktu tertentu
Jika data rate lebih kecil dari burst-threshold, burst dapat dilakukan
hingga data-rate mencapai burst-limit
Setiap detik, router mengkalkulasi data rate rata-rata pada suatu
kelas queue untuk periode waktu terakhir sesuai dengan burst-time
Burst time tidak sama dengan waktu yang diijinkan untuk melakukan
burst.

326
> CONTOH BURST
Max-limit=256kbps, burst-time=8, Burst-threshold=192kbps,
burst-limit=512kbps

327
> BANDWIDTH TEST
Untuk mengecek Tx & Rx rate
setelah anda mengaktifkan queue,
jalankanlah Bandwidth Test.

IP address: IP address server

tujuan test

Direction: Upload atau Download

atau Upload & Download

User & Password: Untuk keperluan

otentikasi
328
> STAGED LIMITATION
Ada 2 jenis limitasi pada RouterOS
CIR (Committed Information Rate)
Daalm keadaan terburuk, client akan mendapatkan bandwidth sesuai
dengan limit-at, dengan asumsi bahwa bandwidth yang tersedia cukup
untuk CIR semua client

MIR (Maximal Information Rate)

Jika masih ada bandwidth yang tersisa setelah semua client mencapai
limit-at, maka client bisa mendapat bandwidth tambahan hingga max-limit

329
> STAGED LIMITATION
Internet

Total Bandwidth 1 Mbps Bandwidth Share = 1:4

Setiap client akan mendapat bandwidth min 256Kbps s/d 1Mbps

330
> LAB2 STAGED QUEUE
Membuat Parent Queue: Parent Queue harus dibuat terlebih dahulu
untuk membantu router menentukan total bandwidth yang dimiliki

331
> LAB2 STAGED QUEUE
Membuat Child Queue: Untuk
melimitasi setiap client, dengan
konfigurasi sebagai berikut:
Limit-at =
Total bandwidth/jumlah client
Max-limit =< Total Bandwidth

332
> LAB2 STAGED QUEUE
Tampilan staged queue di tabel queue

333
> LAB3 STAGED QUEUE
Buatlah staged queue berdasarkan diagram berikut

Nama: A
Parent: Interface
Limit-at: 1Mbps
Max-limit: 5Mbps

Nama: B Nama: C Nama: D

Parent: A Parent: A Parent: A
Limit-at: 2Mbps Limit-at: 1Mbps Limit-at: 2Mbps
Max-limit: 5Mbps Max-limit: 5Mbps Max-limit: 5Mbps

334
> MEMONITOR SIMPLE QUEUE
Anda bisa
mendapatkan grafik
untuk setiap rule simple
queue

Grafik akan
menunjukkan berapa
besar traffic yang
melalui queue.

Aktifkanlah Graphing

335
> MEMONITOR SIMPLE QUEUE

Grafik bisa didapatkan melalui

WWW

Untuk mengaksesnya, bukalah

http://ALAMAT_IP_ROUTER

Anda dapat menunjukkan grafik

tersebut kepada pelanggan anda.

336
MikroTik ADVANCED QoS
337
> ADVANCED QUEUE

Dapat digunakan untuk menggantikan ratusan queue

menjadi tinggal beberapa saja

Menetapkan batasan yang sama untuk setiap user

Menyeragamkan bandwidth yang tersedia untuk semua user

338
> PCQ
PCQ adalah salah satu jenis advanced queue Internet
yang bisa membatasi bandwidth secara
merata kepada client. Total Bandwidth 1 Mbps

PCQ menggunakan classifier untuk membagi

traffic (dari sudut pandang client; src-address
Bandwidth share 254 client
adalah upload, dst-address adalah download)

PCQ menggunakan memori yang cukup besar

339
> PCQ
PCQ is advanced Queue type
PCQ uses classifier to divide traffic (from
client point of view; src-address is upload,
dst-address is download)

340
> PCQ
PCQ allows to set one limit to all users with
one queue

341
> SKEMA PCQ
PCQ-Classifier SUB QUEUE Algoritma
Src-address Round robin
SRC-ADDRESS = 10.0.0.1

SRC-ADDRESS = 10.0.0.2

FLOW
SRC-ADDRESS = 10.0.0.3
1
2 SRC-ADDRESS = 10.0.0.4
Ke interface
3
SRC-ADDRESS = 10.0.0.5
4
SRC-ADDRESS = 10.0.0.6

SRC-ADDRESS = 10.0.0.7

342
> SKEMA PCQ
PCQ-rate = 128000
2 users 4 users 7 users
73k
128k
73k
Queue=
128k 73k
pcq-down
73k
Max-limit= 128k 128k 73k
512k
73k
128k 128k
73k

343
> SKEMA PCQ
PCQ-rate = 0
1 users 2 users 7 users
73k

256k 73k
Queue=
73k
pcq-down
512k 73k
Max-limit=
73k
512k
256k
73k
73k

344
> PCQ
PCQ dapat dipakai untuk
menetapkan satu batasan
untuk semua user hanya
dengan sebuah queue.

Membuat queue tipe pcq

dengan nama
PCQ_download untuk
membatasi download
sebesar 512k

345
> PCQ
Beberapa rule queue dapat
diganti dengan satu rule saja

346
> PCQ
PCQ digunakan untuk
menyeragamkan bandwidth
untuk setiap pengguna

347
> PCQ
1M Upload/2M Download dibagi rata kepada semua user.

348
> QUEUE TREE & MANGLE

QueueTree adalah tool mikrotik yang memiliki kemampuan

melimitasi bandwith yang lebih lengkap dibandingkan dengan
simple-queue.

Dengan QueueTree memungkinkan untuk melakukan limitasi yang

lebih fleksible karena supaya QueueTree bisa berfungsi maka harus
menggunakan Mangle terlebih dahulu.

349
> MANGLE
Mangle digunakan untuk menandai paket

Mangle memisahkan jenis traffic yang berbeda

Tanda yang diberikan aktif di dalam router saja

Digunakan queue untuk memberikan batasan yang berbeda

Mangle tidak mengubah struktur paket

(kecuali DSCP, dan action spesifik TTL)
350
> TIPE-TIPE MARK
Ada 3 tipe mark
Packet Mark
Penandaan untuk setiap paket data
Connection Mark
Penandaan untuk koneksi
Route Mark
Penandaan paket khusus untuk routing

Pada saat yang bersamaan, setiap paket hanya bisa

memiliki 1 connection mark, 1 packet mark & 1 route mark
351
> CONNECTION MARK
Adalah fitur mangle untuk menandai suatu koneksi (berlaku baik
untuk request, maupun untuk response) sebagai satu kesatuan

Untuk jaringan dengan src-nat atau kalau kita mau melakukan

marking berdasarkan protokol tcp, disarankan untuk melakukan
mark-connection terlebih dahulu, baru membuat mark-packet atau
mark-routing berdasarkan connection-mark nya

Mark-connection cukup dibuat pada saat proses request saja.

352
> PASSTHROUGH
Passthrough=no
berarti jika parameter sesuai, maka baris mangle berikutnya
tidak lagi dibaca
value mangle sudah final, tidak diubah lagi
Passthrough=yes
akan tetap membaca baris mangle berikutnya
value mangle bisa diubah lagi di baris berikutnya
Biasanya pada :
mark-connection, passthrough = yes
mark-packet, passthrough=no
353
> MANGLE ACTIONS
Koneksi 1 Paket Paket Paket
Penandaan Ditandai Ditandai
MARK-CONNECTION
Koneksi 2 Paket Paket Paket
Penandaan Ditandai Ditandai

Koneksi 1 Paket Paket Paket

Penandaan Penandaan Penandaan
MARK-PACKET
Koneksi 2 Paket Paket Paket
Penandaan Penandaan Penandaan

354
> MANGLE ACTIONS

Mark-Connection menggunakan Connection Tracking

Informasi mengenai koneksi baru akan ditambahkan ke tabel

Connection Tracking

Mark-Packet bekerja secara langsung ke paketnya

Router mengikuti setiap paket untuk melakukan Mark-Packet

355
> OPTIMAL MANGLE
Queue hanya memiliki pilihan untuk melakukan Mark-Packet

Koneksi 1 Paket Paket Paket

Penandaan Koneksi & Ditandai Ditandai
GABUNGAN Penandaan Paket
MARK-PACKET &
MARK-CONNECTION Koneksi 2 Paket Paket Paket
Penandaan Koneksi & Ditandai Ditandai
Penandaan Paket

Menandai koneksi baru dengan Mark-Connection

Melakukan Mark-Packet untuk setiap Mark-Connection
356
> MANGLE

Bayangkan anda mempunyai client kedua pada router dengan IP

address 192.168.X.55

Mari membuat dua buah tanda yang berbeda (Gold dan Silver).
Satu untuk komputer anda, dan satu lagi untuk 192.168.X.55

357
> MARK-CONNECTION

358
> MARK-PACKET

359
> LAB4 QUEUE TREE & MANGLE

Lakukan limitasi traffic dari client sekaligus dengan memisahkan

tipe trafficnya.

Total Bandwidth 1 Mbps

Internet TCP
UDP
ICMP

360
> MARK CONNECTION - TCP

361
> MARK PACKET - TCP

362
> MARK CONNECTION - UDP

363
> MARK PACKET - UDP

364
> MARK CONNECTION - ICMP

365
> MARK PACKET - ICMP

366
> QUEUE TREE PARENT

367
> QUEUE TREE CHILD TCP

368
> QUEUE TREE CHILD UDP

369
> QUEUE TREE CHILD ICMP

370
> QUEUE TREE
Hasil dari pembuatan queue tree

371