Tunnel
Tunnel
Tunnel adalah sebuah metode penyelubungan
(encapsulation) paket data di jaringan TCP/IP, yang biasanya
digunakan untuk mensimulasikan koneksi fisik antara dua
network melewati jaringan lain (WAN/Internet).
http://www.mikrotik.co.id 1
Mikrotik Training 8/3/2015
Tunnel Network
WAN
1.1.1.1 1.1.1.2
R1 R2
VPN Networks
Merupakan sebuah jaringan virtual yang dibangun diatas
jaringan yang sudah ada
Client 1
Server
Client 2
Mobile Mobile
Client 2 Client 1
http://www.mikrotik.co.id 2
Mikrotik Training 8/3/2015
IPIP Tunnel
IPIP atau IP Tunnel adalah salah satu protocol tunnel
yang paling sederhana dan ringan yang mampu
menghubungkan dua router melewati jaringan TCP/IP.
IPIP Tunnel bisa dibuat di menu Interface dan dianggap
sebagai interface (fisik tetapi virtual) yang independen.
Sudah banyak type router support protocol ini seperti
CISCO dan Linux.
IPIP Tunnel bisa digunakan untuk :
Routing antar local network melewati jaringan internet
Digunakan untuk menggantikan Source Routing
Interface IPIP tunnel tidak bisa dimasukkan dalam
bridge network (bridge port).
http://www.mikrotik.co.id 3
Mikrotik Training 8/3/2015
IPIP Example
Salah satu pengaplikasiannya adalah pada
kondisi sebuah network hanya memiliki Uplink ISP
koneksi VSAT DVB downlink only provider
dan uplink provider yang tidak mengijinkan ip
ISP lain yang melewati networknya.
DVB Provider
Sattelite
IPIP Tunnel
http://www.mikrotik.co.id 4
Mikrotik Training 8/3/2015
IPIP Configuration
IPIP Configuration
http://www.mikrotik.co.id 5
Mikrotik Training 8/3/2015
ROUTER B
http://www.mikrotik.co.id 6
Mikrotik Training 8/3/2015
/interface ipip add name=ipip1 local- /interface ipip add name=ipip1 local-
address=10.10.10.30 remote- address=10.10.10.31 remote-
address=10.10.10.31 address=10.10.10.30
/ip address add /ip address add
address=192.168.200.1/30 address=192.168.200.2/30
interface=ipip1 interface=ipip1
http://www.mikrotik.co.id 7
Mikrotik Training 8/3/2015
EoIP Tunnel
Adalah protocol pada Mikrotik RouterOS yang
membangun sebuah Network Tunnel antar mikrotik
router di atas sebuah koneksi TCP/IP.
Interface EoIP dianggap sebagai sebuah Interface
Ethernet.
Jika Bridge mode diberlakukan pada EoIP tunnel
maka semua protocol yang berbasis ethernet akan
dapat berjalan di Bridge tersebut (Dianggap seperti
hardware interface ethernet yang di bridge).
Hanya dapat dibuat di Mikrotik RouterOS.
Menggunakan Protocol GRE (RFC1701).
http://www.mikrotik.co.id 8
Mikrotik Training 8/3/2015
EoIP Example
City A City B
10.0.0.1 10.10.10.2
EoIP
192.168.0.13
192.168.0.3
192.168.0.12 192.168.0.2
Secara Virtual setiap Laptop terletak di dalam satu segmen network yang sama.
02-17 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15
EoIP Config
http://www.mikrotik.co.id 9
Mikrotik Training 8/3/2015
192.168.y.1/24 192.168.y.2/24
Tunnel-id=200 Tunnel-id=300
R3 R4
192.168.y.3/24 192.168.y.4/24
http://www.mikrotik.co.id 10
Mikrotik Training 8/3/2015
VLAN Configuration
http://www.mikrotik.co.id 11
Mikrotik Training 8/3/2015
VLAN on Mikrotik
Vlan 1
TRUNK ACCESS
Vlan 2 Vlan 1
http://www.mikrotik.co.id 12
Mikrotik Training 8/3/2015
Ether 2
Port 1 Vlan 1
Mode Trunk Vlan 2
Vlan 3
02-25 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15
http://www.mikrotik.co.id 13
Mikrotik Training 8/3/2015
ether2
ether2
ether3
ether3
192.168.1.1/24 192.168.1.2/24
R1 R4
VLAN2
VLAN3
ether4 ether4
192.168.2.3/24 192.168.2.4/24
http://www.mikrotik.co.id 14
Mikrotik Training 8/3/2015
http://www.mikrotik.co.id 15
Mikrotik Training 8/3/2015
[LAB-4]VLAN Distribution
R1 & R4
http://www.mikrotik.co.id 16
Mikrotik Training 8/3/2015
Switch Chip
Port Switching
Untuk mengaktifkan router kita berfungsi sebagai
switch, kita tinggal menentukan parameter master-
port di interface ethernetnya.
Interface Ethernet yang sudah dimasukkan ke
dalam switch group disebut dengan Slave Port
tanda S di Interface.
Interface ethernet yang menjadi Slave Port seakan-
akan menjadi tidak aktif dan tidak ada traffic yang
melewatinya
Master port berfungsi menjembatani antara port-
port switch group dengan router
http://www.mikrotik.co.id 17
Mikrotik Training 8/3/2015
http://www.mikrotik.co.id 18
Mikrotik Training 8/3/2015
Diagram Logic
Routerboard
1 2 3 4 5
Port Mirroring
http://www.mikrotik.co.id 19
Mikrotik Training 8/3/2015
VLAN mode
Switch chip di routerboard juga bisa digunakan untuk implementasi
forwarding packet yang menggunakan vlan (802.1q)
Policy mode yang bisa kita gunakan untuk vlan switch
disabled - vlan table tidak dibaca, semua paket dengan vlan
dianggap tidak menggunakan vlan tag
fallback - Paket yang tagnya tidak ada di tabel tetap diproses seperti
paket tanpa vlan tag. Paket dengan vlan tag yang ada di vlan tabel,
tetapi port incoming tidak cocok di vlan table tidak didrop
check - drop paket vlan yang vlan tagnya tidak ada didalam tabel
vlan. Tetapi untuk paket vlan yang tag nya ada ditabel meskipun
port incomingnya tidak sesuai tidak akan didrop
secure - drop paket vlan yang vlan tagnya tidak ada didalam tabel
vlan. Selain itu jika port incomingnya tidak cocok dengan yang di
table, juga akan didrop
Semua paket yang tidak menggunakan vlan-id, dianggap
menggunakan vlan-id 0
VLAN Header
http://www.mikrotik.co.id 20
Mikrotik Training 8/3/2015
VLAN Tabel
ether2
ether2
ether3
ether3
192.168.1.1/24 192.168.1.2/24
R1 R4
VLAN100
VLAN200
ether4 ether4
192.168.2.3/24 192.168.2.4/24
http://www.mikrotik.co.id 21
Mikrotik Training 8/3/2015
http://www.mikrotik.co.id 22
Mikrotik Training 8/3/2015
ether3
ether3
192.168.1.1/24 192.168.1.2/24
R1 R4
VLAN1
VLAN100
VLAN200
ether4 ether4
192.168.2.3/24 192.168.2.4/24
http://www.mikrotik.co.id 23
Mikrotik Training 8/3/2015
http://www.mikrotik.co.id 24
Mikrotik Training 8/3/2015
L2TP (1)
Layer 2 Tunneling Protocol (L2TP)
pengembangan dari kerjasama Cisco
dengan Microsoft yang menggabungkan
fitur dari PPTP dan Layer 2 Forwarding
(L2F) protocol.
L2TP dapat diimplementasikan pada
jaringan non-TCP/IP clients, seperti
Contoh: Frame Relay dan ATM).
L2TP tidak memiliki mekanisme enkripsi,
biasanya menggunakan protocol enkripsi
lain yang lewat didalam tunnelnya
http://www.mikrotik.co.id 25
Mikrotik Training 8/3/2015
L2TP (2)
L2TP menggunakan UDP (port 1701)
sehingga pengiriman paketnya lebih cepat.
Sayangnya tidak reliable karena tidak ada
mekanisme pengiriman ulang paket yang
hilang/rusak.
L2TP lebih firewall friendly dibandingkan
PPTP suatu Keuntungan besar jika
menggunakan protocol ini, karena
kebanyakan Firewall tidak mensupport
GRE.
02-51 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15
http://www.mikrotik.co.id 26
Mikrotik Training 8/3/2015
City A City B
L2TP
192.168.1.1 192.168.2.1
192.168.2.2
http://www.mikrotik.co.id 27
Mikrotik Training 8/3/2015
L2TP Security
L2TP secara default bisa menggunakan
MPPE 128Bit sama seperti yang digunakan
pada PPTP.
Karena MPPE dirasa kurang aman maka
L2TP dikembangkan untuk bisa
digabungkan dengan protocol security yang
lain yaitu IPSec.
SSTP Overview
Secure Socket Tunneling Protocol (SSTP) adalah
salah satu metode VPN yang membuat tunnel
PPP melalui SSL Channel pada protocol HTTPS.
Kelebihan membuat tunnel diatas protocol HTTPS
adalah bisa melewati hampir semua firewall dan
proxy server.
Selain itu SSL juga digunakan untuk security level
transport (layer4) dengan meningkatkan key
negotiation, enkripsi serta integrity checking.
SSTP baik client ataupun server bisa diterapkan
di Mikrotik.
Catatan : SSTP mulai ada di OS Windows vista sp1
http://www.mikrotik.co.id 28
Mikrotik Training 8/3/2015
SSTP Process
Open TCP Connection (TCP:443)
SSL Negotiation
SSTP Security
Untuk membuat SSTP yang aman, sertifikat SSL dibutuhkan
di SSTP.
Disisi client, server akan diverifikasi berdasarkan sertifikat
yang dimiliki server dan menentukan metode enkripsi yang
akan digunakan.
Client juga akan menggenerate SSL session key dan
mengenkripsinya dengan publik key dari server.
Server bisa mendecrypt session key tersebut menggunakan
private key yang dimilikinya.
Semua komunikasi client server akan dienkripsi berdasarkan
SSL session key tersebut.
Jika client dan server menggunakan Mikrotik, SSTP bisa
dibentuk tanpa menggunakan sertifikat.
Disisi server, authentikasi hanya dilakukan berdasarkan
username dan password di protocol PPP.
http://www.mikrotik.co.id 29
Mikrotik Training 8/3/2015
SSL Certificate
SSL sertifikat bisa dibuat sendiri, dan untuk
verifikasinya bisa menggunakan layanan
berbayar (Signed Certificate) ataupun
diverifikasi sendiri (Self Signed Certificate).
Verifikasi ini menggunakan CA (Certificate
Authority).
Jika menggunakan Self Signed Certificate,
maka CA certificate harus diimport ke client.
Sertifikat bisa kita generate menggunakan
aplikasi openssl.
http://www.mikrotik.co.id 30
Mikrotik Training 8/3/2015
http://www.mikrotik.co.id 31
Mikrotik Training 8/3/2015
http://www.mikrotik.co.id 32
Mikrotik Training 8/3/2015
http://www.mikrotik.co.id 33
Mikrotik Training 8/3/2015
Server Side
Client Side
http://www.mikrotik.co.id 34
Mikrotik Training 8/3/2015
http://www.mikrotik.co.id 35
Mikrotik Training 8/3/2015
http://www.mikrotik.co.id 36
Mikrotik Training 8/3/2015
10.10.10.100
SSTP server
http://www.mikrotik.co.id 37
Mikrotik Training 8/3/2015
SSTP Note
Untuk penggunaan sertifikat, pastikan clock
server dan client benar sync NTP.
Windows Client, import CA ke trusted
certificate.
Disable Verify-Client-Certificate jika clientnya
Windows.
http://www.mikrotik.co.id 38