09 MTCRE Tunnel (Compatibility Mode)

Mikrotik Training 8/3/2015
Tunnel
Certified Mikrotik Training Advanced Class (MTCRE)

Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner)
Tunnel
Tunnel adalah sebuah metode penyelubungan
(encapsulation) paket data di jaringan TCP/IP, yang biasanya
digunakan untuk mensimulasikan koneksi fisik antara dua
network melewati jaringan lain (WAN/Internet).
Paket data dari aktifitas transfer data di kedua network

mengalami sedikit pengubahan atau modifikasi. Yaitu
penambahan header dari tunnel di tiap paket data dari traffic
yang terjadi di kedua network tersebut. Walupun ada
pengubahan pada paket data informasi paket yang asli tetap
disertakan (RFC 2003 compliant ).
Ketika data sudah melewati tunnel dan sampai di tujuan

(ujung) tunnel, maka header dari paket data akan
dikembalikan seperti semula (header tunnel dihilangkan).
02-2 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15
http://www.mikrotik.co.id 1
Tunnel Network
WAN
Point 1 tunnel Point 2
1.1.1.1 1.1.1.2
R1 R2
IP Address: 10.0.0.0/24 IP Address: 20.1.1.0/24
Point to point network encapsulation

VPN Networks
Merupakan sebuah jaringan virtual yang dibangun diatas
jaringan yang sudah ada
Client 1
Server
Client 2
Mobile Mobile
Client 2 Client 1
Tunnel & VPN

Tunnel
IPIP IP Tunnel
EoIP Ethernet Over IP
VLAN Virtual Lan
Gre Tunnel
VPN
PPPoE Point To Point Protocol Over Ethernet
PPTP Point To Point Tunnel Protocol
L2TP Leyer 2 Tunnel Protocol
OpenVPN Open Virtual Private Network
IPSec IP Security
SSTP Secure Socket Tunnel Protocol
IPIP Tunnel
IPIP atau IP Tunnel adalah salah satu protocol tunnel
yang paling sederhana dan ringan yang mampu
menghubungkan dua router melewati jaringan TCP/IP.
IPIP Tunnel bisa dibuat di menu Interface dan dianggap
sebagai interface (fisik tetapi virtual) yang independen.
Sudah banyak type router support protocol ini seperti
CISCO dan Linux.
IPIP Tunnel bisa digunakan untuk :
Routing antar local network melewati jaringan internet
Digunakan untuk menggantikan Source Routing
Interface IPIP tunnel tidak bisa dimasukkan dalam
bridge network (bridge port).
IPIP Packet Header
Test packet sniffer dilakukan untuk mengetahui besar packet

header yang digunakan oleh protocol tunnel IPIP.
Terlihat Tunnel IPIP menggunakan sekitar 20-40 byte pada tiap
packet headernya di setiap paket data yang lewat.
Paket header standardnya adalah 20byte.
(GRE Protocol Packet size) 42 byte = 20 byte (ip header) + 22
(Encap Header)
IPIP Example
Salah satu pengaplikasiannya adalah pada
kondisi sebuah network hanya memiliki Uplink ISP
koneksi VSAT DVB downlink only provider
dan uplink provider yang tidak mengijinkan ip
ISP lain yang melewati networknya.
DVB Provider
Sattelite
IPIP Tunnel
Maka kita bisa membuat sebuah IPIP tunnel

untuk mensimulasi koneksi kabel independen
ke DVB provider.
Our Router
Sehingga traffic uplink melewati Uplink ISP
dan traffic downlink melewati DVB.
IPIP Configuration
IPIP Configuration
Parameter Local Address adalah parameter untuk ip

local router yang digunakan untuk membangun koneksi
IPIP tunnel.
Sedangkan Remote Address adalah parameter dari ip
address router lawan.
[LAB-1] IPIP Tunnels

IPIP1 Address : IPIP1 Address :
192.168.200.1/30 192.168.200.2/30
10.10.10.30/24 10.10.10.100/24 10.10.10.31/24
IPIP Tunnel melewati jaringan WAN.

Tambahkan ip address untuk menghubungkan kedua
interface tunnel.
Tambahkan rule static routing untuk menghubungkan
kedua local network dari masing-masing router.

ROUTER A
ROUTER B

192.168.200.1/30 192.168.200.2/30
10.10.10.30/24 10.10.10.100/24 10.10.10.31/24
/interface ipip add name=ipip1 local- /interface ipip add name=ipip1 local-
address=10.10.10.30 remote- address=10.10.10.31 remote-
address=10.10.10.31 address=10.10.10.30
/ip address add /ip address add
address=192.168.200.1/30 address=192.168.200.2/30
interface=ipip1 interface=ipip1
[LAB-1] Routing over Tunnel

192.168.200.1/30 192.168.200.2/30
Meja 1 Meja 2
192.168.1.1/24 10.10.10.100/24 192.168.2.1/24
Static route untuk menghubungkan kedua local network

menggunakan tunnel IPIP.
Routing di Router1 :
/ip route add dst-address=192.168.2.0/24
gateway=192.168.200.2
Routing di Router2 :
/ip route add dst-address=192.168.1.0/24
gateway=192.168.200.1
EoIP Tunnel
Adalah protocol pada Mikrotik RouterOS yang
membangun sebuah Network Tunnel antar mikrotik
router di atas sebuah koneksi TCP/IP.
Interface EoIP dianggap sebagai sebuah Interface
Ethernet.
Jika Bridge mode diberlakukan pada EoIP tunnel
maka semua protocol yang berbasis ethernet akan
dapat berjalan di Bridge tersebut (Dianggap seperti
hardware interface ethernet yang di bridge).
Hanya dapat dibuat di Mikrotik RouterOS.
Menggunakan Protocol GRE (RFC1701).
EoIP Tunnel (2)

EoIP biasa digunakan untuk :
Membuat jaringan bridge diatas jalur internet
Membuat jaringan bridge diatas tunnel yang
terenkripsi
Membuat jaringan bridge diatas jaringan
wireless
Dalam penggunaan EoIP tunnel akan terjadi

penambahan header sebesar 42byte (8 byte
GRE + 14 byte PPP + 20 byte IP)
EoIP Example
City A City B
10.0.0.1 10.10.10.2
EoIP
192.168.0.13
192.168.0.3
192.168.0.12 192.168.0.2
Secara Virtual setiap Laptop terletak di dalam satu segmen network yang sama.
EoIP Config
[LAB-2] EoIP over Wireless

R1 R2
Tunnel-id=100
192.168.y.1/24 192.168.y.2/24
Tunnel-id=200 Tunnel-id=300
R3 R4
192.168.y.3/24 192.168.y.4/24
Virtual LAN (VLAN) 1

VLAN adalah sebuah logical group
(pengelompokan) yang memungkinkan user untuk
berkomunikasi dengan user yang memiiki group
sama tetapi terisolasi dari user lain yang berbeda
group walaupun sebenarnya user-user ini masih
terhubung secara fisik.
Dengan menggunakan protocol Vlan Router dapat

meningkatkan security dan management yang
berbeda terhadap jaringan walaupun masih ada
sharing media fisik.
Bekerja di layer DataLink
Virtual LAN (VLAN) 2

VLAN di Mikrotik RouterOS merupakan
implementasi dari standarisasi 802.1Q.
Dengan menggunakan metode VLAN ini Mikrotik
RouterOS memungkinkan membangun beberapa
Virtual LAN untuk memisahkan jaringan (group) di
sebuah interface ethernet atau interface
wireless.
Mikrotik RouterOS secara teoritis mampu
membangun 4095 Interface Vlan di sebuah
Interface ethernet, banyak router termasuk CISCO,
Linux dan Layer2 Switch yang sudah mendukung
protocol ini.
VLAN Configuration
VLAN on Mikrotik
Mikrotik Vlan on Manageable Switch
Vlan 1
TRUNK ACCESS
Vlan 2 Vlan 1
Vlan pada Mikrotik bisa bekerja

sama dengan switch manageable
Vlan 2
yang mampu mengimplementasikan
standarisasi 802.1q.
Mikrotik Vlan on Manageable Switch
Port 4 mode Access Vlan 3

Manageable Switch

Ether 2
Port 1 Vlan 1
Mode Trunk Vlan 2
Vlan 3
Vlan Implementation using RB250GS
Detail Config : http://www.mikrotik.co.id/artikel_lihat.php?id=36

Mikrotik Vlan on CISCO Switch
[LAB-3] Mikrotik Vlan Trunking

R2 VLAN over EoIP R3
ether2
ether2
ether3
ether3
192.168.1.1/24 192.168.1.2/24
R1 R4
VLAN2
VLAN3
ether4 ether4
192.168.2.3/24 192.168.2.4/24
[LAB-] Create VLAN Interface

R2 + R3
Membangun vlan interface memanfaatkan EoIP Tunnel
[LAB-4] VLAN Bridge

R2 + R3
[LAB-4]VLAN Distribution
R1 & R4
VLAN on Switch Chip

Di beberapa perangkat routerboard, ada yang memiliki
komponen switch chip.
Dengan menggunakan switch chip ini, kita bisa
memfungsikan port ethernet kita layaknya switch
manageable.
Selain itu processing paket data juga lebih cepat tanpa
perlu membebani CPU router kita.
Routerboard menggunakan beberapa seri Switch Chip
yang berbeda, kemampuannya pun bervariasi.
Switch Chip
Type Switch Chip di routerboard bisa langsung diidentifikasi di

menu Switch.
Port Switching
Untuk mengaktifkan router kita berfungsi sebagai
switch, kita tinggal menentukan parameter master-
port di interface ethernetnya.
Interface Ethernet yang sudah dimasukkan ke
dalam switch group disebut dengan Slave Port
tanda S di Interface.
Interface ethernet yang menjadi Slave Port seakan-
akan menjadi tidak aktif dan tidak ada traffic yang
melewatinya
Master port berfungsi menjembatani antara port-
port switch group dengan router
Port Switching (2)
Port Switching (3)
Diagram Logic
Routerboard
firewall, bridging, qos, routing dsb

software level
Wire speed switching

Hardware Level
1 2 3 4 5
Port Mirroring
Kita bisa mengcopy trafik yang berlangsung dari

satu port ke port lain, selama masih dalam satu
switch
Monitoring Purpose !!!
VLAN mode
Switch chip di routerboard juga bisa digunakan untuk implementasi
forwarding packet yang menggunakan vlan (802.1q)
Policy mode yang bisa kita gunakan untuk vlan switch
disabled - vlan table tidak dibaca, semua paket dengan vlan
dianggap tidak menggunakan vlan tag
fallback - Paket yang tagnya tidak ada di tabel tetap diproses seperti
paket tanpa vlan tag. Paket dengan vlan tag yang ada di vlan tabel,
tetapi port incoming tidak cocok di vlan table tidak didrop
check - drop paket vlan yang vlan tagnya tidak ada didalam tabel
vlan. Tetapi untuk paket vlan yang tag nya ada ditabel meskipun
port incomingnya tidak sesuai tidak akan didrop
secure - drop paket vlan yang vlan tagnya tidak ada didalam tabel
vlan. Selain itu jika port incomingnya tidak cocok dengan yang di
table, juga akan didrop
Semua paket yang tidak menggunakan vlan-id, dianggap
menggunakan vlan-id 0
VLAN Header
Kita bisa memodifikasi header dari paket yang akan keluar

dari interface dengan pilihan :
Leave-as-is : header paket tidak dirubah
Add-if-missing : jika tidak ada vlan header , maka akan
ditambahkan vlan headernya
Always-strip : vlan header yang ada di paket akan dihilangkan
VLAN Tabel
Didalam tabel ini kita bisa menentukan port-port

interface yang akan menggunakan vlan
[LAB-5] Vlan Switch

R2 VLAN over EoIP R3
ether2
ether2
ether3
ether3
192.168.1.1/24 192.168.1.2/24
R1 R4
VLAN100
VLAN200
ether4 ether4
192.168.2.3/24 192.168.2.4/24
[LAB-5] Interface Switch
[LAB-5] VLAN Table
[LAB-5] VLAN Port
Trunk Port Access Port
[LAB-6] VLAN over VLAN

R2 VLAN over VLAN R3
ether3 VLAN1 ether3

ether2 ether2
ether3
ether3
192.168.1.1/24 192.168.1.2/24
R1 R4
VLAN1
VLAN100
VLAN200
ether4 ether4
192.168.2.3/24 192.168.2.4/24
[LAB-6] VLAN Config
[LAB-6] VLAN Config
[LAB-6] VLAN Interface
L2TP (1)
Layer 2 Tunneling Protocol (L2TP)
pengembangan dari kerjasama Cisco
dengan Microsoft yang menggabungkan
fitur dari PPTP dan Layer 2 Forwarding
(L2F) protocol.
L2TP dapat diimplementasikan pada
jaringan non-TCP/IP clients, seperti
Contoh: Frame Relay dan ATM).
L2TP tidak memiliki mekanisme enkripsi,
biasanya menggunakan protocol enkripsi
lain yang lewat didalam tunnelnya
L2TP (2)
L2TP menggunakan UDP (port 1701)
sehingga pengiriman paketnya lebih cepat.
Sayangnya tidak reliable karena tidak ada
mekanisme pengiriman ulang paket yang
hilang/rusak.
L2TP lebih firewall friendly dibandingkan
PPTP suatu Keuntungan besar jika
menggunakan protocol ini, karena
kebanyakan Firewall tidak mensupport
GRE.
L2TP Configuration - Client
Encription Option MPPE 128Bit
Akan menyesuaikan Server
L2TP Configuration - Server

Encription Option MPPE 128Bit
[LAB-2] Routing over L2TP
City A City B
L2TP
192.168.1.1 192.168.2.1
192.168.2.2
192.168.1.2 Communication over L2TP
Dari lab IPIP sebelumnya, silahkan rubah routingnya

menggunakan L2TP antar teman.
L2TP Security
L2TP secara default bisa menggunakan
MPPE 128Bit sama seperti yang digunakan
pada PPTP.
Karena MPPE dirasa kurang aman maka
L2TP dikembangkan untuk bisa
digabungkan dengan protocol security yang
lain yaitu IPSec.
SSTP Overview
Secure Socket Tunneling Protocol (SSTP) adalah
salah satu metode VPN yang membuat tunnel
PPP melalui SSL Channel pada protocol HTTPS.
Kelebihan membuat tunnel diatas protocol HTTPS
adalah bisa melewati hampir semua firewall dan
proxy server.
Selain itu SSL juga digunakan untuk security level
transport (layer4) dengan meningkatkan key
negotiation, enkripsi serta integrity checking.
SSTP baik client ataupun server bisa diterapkan
di Mikrotik.
Catatan : SSTP mulai ada di OS Windows vista sp1
SSTP Process
Open TCP Connection (TCP:443)
SSL Negotiation
SSTP over HTTPS
authentikasi PPP & IP Request
Communication data over SSTP
SSTP Security
Untuk membuat SSTP yang aman, sertifikat SSL dibutuhkan
di SSTP.
Disisi client, server akan diverifikasi berdasarkan sertifikat
yang dimiliki server dan menentukan metode enkripsi yang
akan digunakan.
Client juga akan menggenerate SSL session key dan
mengenkripsinya dengan publik key dari server.
Server bisa mendecrypt session key tersebut menggunakan
private key yang dimilikinya.
Semua komunikasi client server akan dienkripsi berdasarkan
SSL session key tersebut.
Jika client dan server menggunakan Mikrotik, SSTP bisa
dibentuk tanpa menggunakan sertifikat.
Disisi server, authentikasi hanya dilakukan berdasarkan
username dan password di protocol PPP.
SSL Certificate
SSL sertifikat bisa dibuat sendiri, dan untuk
verifikasinya bisa menggunakan layanan
berbayar (Signed Certificate) ataupun
diverifikasi sendiri (Self Signed Certificate).
Verifikasi ini menggunakan CA (Certificate
Authority).
Jika menggunakan Self Signed Certificate,
maka CA certificate harus diimport ke client.
Sertifikat bisa kita generate menggunakan
aplikasi openssl.
CA Certificate Setup (1)
CA Certificate Setup (2)
Server Certificate Setup (1)
Client Certificate Setup (1)
SSL Certificate (2)
Server Side
Untuk keamanan, jangan mengupload CA private key
Client Side
SSL Certificate (3)
SSTP Server Setup (1)
SSTP Server Setup (2)

SSTP Server bisa diatur dengan beberapa
metode :
Certificate : None, apabila client juga sama-sama
MikrotikOS
(Unsecure, PPP security only)
Certificate : [Server Cert], apabila client
MikrotikOS dan Windows (more secure)
Untuk meningkatkan keamanan, aktifkan option
Verify-Client-Certificate :
CA harus diimport disisi server
Client harus menggunakan certificate
SSTP Client Setup (1)
SSTP Client Setup (2)

Jika sisi server diaktifkan Verify-Client-
Certificate, maka sisi client juga harus
dipasang certificate yang masih dalam 1 chain.
Option Verify-Server-Certificate digunakan
untuk mengecek apakah sertifikat server masih
dalam 1 CA yang ada di client.
Option Verifiy-Server-Address digunakan
untuk mengecek apakah IP / domain dari server
valid/sesuai dengan isi dari sertifikat.
[LAB 3] SSTP Network

Internet
mobile client 10.10.10.x

10.20.20.x
10.10.10.100
SSTP server
Local Remote Office
Local Main Office
SSTP Note
Untuk penggunaan sertifikat, pastikan clock
server dan client benar sync NTP.
Windows Client, import CA ke trusted
certificate.
Disable Verify-Client-Certificate jika clientnya
Windows.

09 MTCRE Tunnel (Compatibility Mode)

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

09 MTCRE Tunnel (Compatibility Mode)

Diunggah oleh

Hak Cipta:

Format Tersedia

Mikrotik Training 8/3/2015

Certified Mikrotik Training Advanced Class (MTCRE)

Paket data dari aktifitas transfer data di kedua network

Ketika data sudah melewati tunnel dan sampai di tujuan

02-2 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

Point 1 tunnel Point 2

IP Address: 10.0.0.0/24 IP Address: 20.1.1.0/24

Point to point network encapsulation

02-4 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

Tunnel & VPN

02-6 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

IPIP Packet Header

Test packet sniffer dilakukan untuk mengetahui besar packet

Maka kita bisa membuat sebuah IPIP tunnel

02-8 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

02-9 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

Parameter Local Address adalah parameter untuk ip

[LAB-1] IPIP Tunnels

10.10.10.30/24 10.10.10.100/24 10.10.10.31/24

IPIP Tunnel melewati jaringan WAN.

02-11 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

[LAB-1] IPIP Tunnels

02-12 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

[LAB-1] IPIP Tunnels

10.10.10.30/24 10.10.10.100/24 10.10.10.31/24

02-13 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

[LAB-1] Routing over Tunnel

192.168.1.1/24 10.10.10.100/24 192.168.2.1/24

Static route untuk menghubungkan kedua local network

02-15 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

EoIP Tunnel (2)

Dalam penggunaan EoIP tunnel akan terjadi

02-16 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

02-18 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

[LAB-2] EoIP over Wireless

02-19 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

Virtual LAN (VLAN) 1

Dengan menggunakan protocol Vlan Router dapat

Bekerja di layer DataLink

02-20 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

Virtual LAN (VLAN) 2

02-21 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

02-22 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

02-23 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

Mikrotik Vlan on Manageable Switch

Vlan pada Mikrotik bisa bekerja

02-24 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

Mikrotik Vlan on Manageable Switch

Port 4 mode Access Vlan 3

Port 3 mode Access Vlan 2

Vlan Implementation using RB250GS

Detail Config : http://www.mikrotik.co.id/artikel_lihat.php?id=36

Mikrotik Vlan on CISCO Switch

02-27 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

[LAB-3] Mikrotik Vlan Trunking

02-28 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

[LAB-] Create VLAN Interface

Membangun vlan interface memanfaatkan EoIP Tunnel

02-29 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

[LAB-4] VLAN Bridge

02-30 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

02-31 Mikrotik Indonesia http://www.mikrotik.co.id 3-Aug-15

VLAN on Switch Chip