Workbook MikroTik

“ Pembahasan Lengkap, Siap menghadapi UKK ! “

Joshua Renaldo
 Kata Pengantar
Terima Kasih untuk Tuhan YME atas semua Rahmat dan Anugrah-Nya yang tak ternilai.
Terima Kasih kepada ibu saya tercinta serta guru pembimbing sekaligus Kepala Program
TKJ SMK BONAVITA yang saya hormati : Bpk. Indra Purnama, S.Pd karena mereka, saya
dapat menyelesaikan buku “ Workbook MikroTik “ ini.
Ada pepatah yang berkata “Jika kamu sedang malas mengajar, lebih baik tulislah sebuah
buku”. Hal tersebutlah yang mendasari penulisan buku ini. Saya sangat berharap melalui
buku ini, teman – teman siap mengikuti UKK dengan baik dan menuai hasil yang maksimal.
Saya menyadari bahwa masih banyak kelemahan dan kekurangan dalam buku ini, saya
terbuka akan kritik dan saran teman – teman yang dapat kalian kirimkan ke :
renaldoj06@gmail.com. Sekali lagi saya berterima kasih karena kalian ingin meluangkan
waktu kalian untuk membaca buku ini, saya berharap buku ini berguna untuk kalian

Tangerang, 1 Desember 2015

Joshua Renaldo

2|Page
 Daftar Isi
Kata Pengantar .......................................................................................................................................................................................... 2
Daftar Isi ..................................................................................................................................................................................................... 3
Pengenalan MikroTik ................................................................................................................................................................................. 4
Instalasi MikroTik RouterOS ................................................................................................................................................................... 5
Konfigurasi Awal ....................................................................................................................................................................................... 9
 Merubah Password Admin ..................................................................................................................................................... 9
 Merubah Nama Router ........................................................................................................................................................... 9
 Konfigurasi Interface ............................................................................................................................................................. 10
IP Addressing ............................................................................................................................................................................................. 11
 Menambahkan Static IP Address ......................................................................................................................................... 11
 Dynamic IP Address ( DHCP Client ) ................................................................................................................................... 11
 Menambahkan Gateway .......................................................................................................................................................... 12
 Konfigurasi DNS Manual ......................................................................................................................................................... 12
DHCP Server .............................................................................................................................................................................................. 13
 Konfigurasi ................................................................................................................................................................................ 13
 DHCP Lease ............................................................................................................................................................................... 15
 Menambahkan ARP untuk Lease ........................................................................................................................................... 17
Implementasi Firewall .............................................................................................................................................................................. 18
 NAT ( Network Address Translation ) ................................................................................................................................. 18
 Studi Kasus ............................................................................................................................................................................... 19
Internal Proxy ............................................................................................................................................................................................ 21
 Mengaktifkan Proxy ................................................................................................................................................................. 21
 Transparent Proxy .................................................................................................................................................................. 21
 Blokir Situs ............................................................................................................................................................................... 21
 Blokir Aktifitas Download Berdasarkan File Extension .................................................................................................... 22
Bandwidth Management ........................................................................................................................................................................... 22
 Konsep QoS ( Quality of Service ) ....................................................................................................................................... 22
 Limitasi Kecepatan Upload dan Download Dengan Simple Queue ................................................................................. 23
Bonus Tips & Trik ...................................................................................................................................................................................... 25
 Load Balancing ......................................................................................................................................................................... 25
 Mengamankan MikroTik dari Virus ....................................................................................................................................... 26
 Blok Traceroute ....................................................................................................................................................................... 27

3|Page
 Pengenalan MikroTik

MikroTik adalah sebuah perusahaan berasal dari Latvia yang bergerak dibidang jaringan
komputer, salah satu produk jaringan yang terkenal handal ialah Mikrotik RouterBoard
dimana RouterBoard pertama kali dilahirkan pada tahun 2002 namun MikroTik RouterOS
x86 ( Untuk PC ) telah lebih dulu lahir pada tahun 1997.

Lalu apa perbedaan RouterBoard dengan RouterOS ?

RouterBoard adalah sebuah perangkat keras yang dikeluarkan oleh perusahaan MikroTik
yang tersedia untuk skala kecil ( SOHO ) maupun untuk skala menegah – besar. Untuk
menghubungkan PC ke RB bisa menggunakan kabel Ethernet dan Null Modem kabel.

RouterOS ialah sebuah system operasi yang dirilis oleh perusahaan MikroTik berbasis linux
yang dapat digunakan sebagai Packet Filter, Router, Bandwidth Manager, Wireless serta
dapat di install pada PC ataupun pada RouterBoard.

4|Page
 Instalasi MikroTik RouterOS

Anda siapkan sebuah CD instalasi MikroTik. Pengalaman saya sampai buku ini ditulis,
MikroTik belum support instalasi menggunakan Bootable Flashdisk. Mari sama - sama
berharap untuk kedepannya MikroTik akan support .
1. Boot PC yang ingin anda install ke CD instalasi mikrotik, lalu akan muncul tampilan
awal instalasi.

2. Tekan “ a “ pada keyboard untuk memilih semua package.

5|Page
3. Lalu tekan “ i “ pada keyboard untuk memulai instalasi.

4. Pilih “ n “ pada do you want to keep old configuration ?.

6|Page
5. Lalu pilih “ y “ pada continue. Tunggu hingga instalasi selesai dan tekan Enter.

6. Tunggu proses booting dan akan muncul tampilan login MikroTik. Login dengan user
admin dan password dikosongkan.

7|Page
7. Setelah login akan muncul tampilan MikroTik RouterOS. Disini saya menggunakan
versi 6.9.

8|Page
 Konfigurasi Awal

Merubah Password Admin

Ketikan perintah “ password ”. Masukan password lama dan password baru untuk Admin.

Merubah Nama Router

Untuk mengubah nama Router atau System identity, ketik perintah
“ system identity set name=Nama_Router_Kalian ”

Lihat Nama Router kalian sudah berubah, MikroTik menjadi JoshuaRenaldo.

9|Page
Konfigurasi Interface
1.1 Menampilkan Interface
Untuk melihat interface apa saja yang aktif, kalian bisa menggunakan perintah “ interface
print “.

Jika kalian memiliki banyak jenis interface seperti Wireless, Model Cable, Serial dan lai lain
dan kalian ingin menampilkan Interface Ethernet saja lengkap dengan MAC Addressnya,
gunakan perintah “ interface ethernet print “.

1.2 Merubah Nama Interface

Ketikan perintah “ interface set 0 name=Internet “. Angka 0 ( nol ) bisa diganti dengan
nomor urutan dari Ethernet. Contoh : ether1 nomornya 0, ether2 nomornya 1, ether3
nomornya 2, dst. Jika sudah kalian gunakan perintah “ interface print “ untuk melihat
perubahan tersebut.

10 | P a g e
 IP Addressing
2.1 Konfigurasi Static IP Address
Kita akan menambahkan IP Address ke masing – masing interface Ethernet kecuali
interface “ Internet “. Saya menggunakan Dynamic IP Address Ketikan perintah “ ip
address add address=IP_ADDRESS/NILAI_CIDR interface=NAMA_INTERFACE “.

Kalian bisa menggunakan perintah “ ip address print “ untuk melihat konfigurasi IP

Address.

2.2 Dynamic IP Address ( DHCP Client )

Saya akan melakukan request IP address ke ISP agar mikrotik saya mendapatkan koneksi
Internet. Gunakan perintah “ ip dhcp-client add interface=Internet disabled=no “.

Nah, saya mendapat IP 10.0.2.15/24 dari ISP dan berstatus bound berarti kita telah
terhubung.

11 | P a g e
2.3 Menambahkan Gateway
Jika kalian mengkonfigurasi manual IP Address yang akan terhubung dengan ISP tentu ada
beberapa informasi yang harus diisi seperti IP Address, Subnet Mask, Gateway, DNS
Server. Berikut cara menambahkan IP Gateway pada MikroTik. Ketik perintah “ ip route add
gateway=IP_GATEWAY_ISP “.

2.4 Konfigurasi DNS Manual

Seperti yang sudah dijelaskan diatas bahwa DNS salah satu informasi yang harus diisi agar
kita terhubung dengan ISP dan bisa mendapatkan koneksi Internet. Gunakan perintah “ ip
dns set servers=Primary_DNS,Secondary_DNS allow-remote-request=yes “

Allow-remote-request berfungsi agar setiap port pada MikroTik dapat berfungsi sebagai
DNS pada masing – masing client.

12 | P a g e
 DHCP Server
3.1 Konfigurasi
Gunakan perintah “ ip dhcp-server setup “ lalu akan diminta Interface mana yang ingin
diaktifkan DHCP Server.

Isi address space dan gateway untuk client, biasanya akan terisi secara otomatis.

Definisikan address range yang tersedia dalam suatu jaringan. Kalian bisa memodifikasinya
jika kalian memahami konsep subnetting atau VLSM.

13 | P a g e
Tentukan DNS Server untuk client dan waktu lease dari DHCP Server.

Lakukan uji coba dari PC client dengan melakukan request IP address. Nah, muncul pop up
local area connection is now connected.

Menjalankan perintah “ ipconfig /all “ untuk melihat informasi konfigurasi IP Address dari
Ethernet.

14 | P a g e
3.2 DHCP Lease
Setiap client yang sudah mendapatkan IP Address dari DHCP Server akan ada pada /ip
dhcp-server lease.
Secara default, DHCP Server memberikan IP dari belakang ke depan. Namun, kita dapat
melakukan pengaturan agar sebuah IP hanya akan dipinjamkan oleh client tertentu,
Misalnya jika PC-1 melakukan request IP akan selalu mendapat 192.168.1.7.
Ini sangat berguna dalam berbagai kasus seperti sharing printer karena dalam sharing
printer membutuhkan IP yang Fix.

Ada 2 cara dalam melakukan teknik ini, yang pertama adalah membuat static di IP DHCP
Lease.
Ketikan perintah berikut sebagai contoh :
 ip dhcp-server lease print
 ip dhcp-server lease make-static numbers=0
 ip dhcp-server lease print

15 | P a g e
Cara yang kedua adalah secara manual pada IP DHCP Lease.
Gunakan perintah “ ip dhcp-server lease add address=192.168.110.10 mac-
address=08:00:27:CE:E0:96 lease-time=01:00:00 server=dhcp1 “

Sekarang uji coba di client dan berhasil.

16 | P a g e
3.3 Menambahkan ARP Untuk Lease
Mengaktifkan ARP dalam DHCP Server berfungsi agar setiap client yang ingin terkoneksi ke
jaringan harus menggunakan IP Dynamic dari DHCP Server kita, jika client melakukan
konfigurasi secara static, maka MikroTik tidak akan memberikan respose ke client tersebut
walau konfigurasi IP Addressnya sudah benar. ARP untuk lease juga berguna untuk
melawan client “ nakal “ yang menggunakan Netcut.
Pertama, ketikan perintah berikut untuk mengaktifkan ARP For Lease di sebuah DHCP
Server.
“ ip dhcp-server set 0 add-arp=yes “

Client akan terhubung jika menggunakan IP Dynamic, sedangkan jika menggunakan IP Static
tidak akan mendapat response.

17 | P a g e
 Implementasi Firewall
4.1 NAT ( Network Address Translation )
Apa sih NAT itu ? NAT adalah translasi ( Sesuai namanya ) IP Address sehingga IP private
dalam sebuah LAN dapat mengakses IP Publik. Kita tahu IP private tidak bisa berkomunikasi
dengan IP Publik, melalui inilah Komputer – computer dapat mengakses internet hanya
dengan 1 IP Publik. Kalo gak ada ini ya cepet abis IP Publik kalo masing – masing harus
memiliki 1 IP Publik untuk mengakses internet :p.
Ada 2 Jenis NAT antara lain :
1. Source NAT
SNAT ini berfungsi untuk merubah alamat asal dari suatu paket data. Target ini
hanya berlaku pada table POSTROUTING. SNAT inilah yang biasa kita gunakan untuk
membangun gateway internet.
Inget “ iptables –t nat –A POSTROUTING –o eth0 –j masquerade “ ? ini merupakan
salah satu penerapan SNAT pada Linux.
2. Destination NAT
DNAT ini berfungsi untuk melanjutkan / meneruskan ( redirect ) paket dari ip public
lewat firewall ke dalam suatu host. Contoh penerapan DNAT adalah DMZ ( De Military
Zone ).
Inget “ iptables –t nat –A PREROUTING –s 0.0.0.0/0 –p tcp –dport 80 –j REDIRECT –
to-ports 3128 “ ? ini merupakan salah satu penerapan DNAT pada Linux.

Oke dihalaman selanjutnya kita akan coba untuk melakukan studi kasus pada sebuah
network topologi.

18 | P a g e
Network Topology

Dari topologi diatas ceritanya koneksi tiap – tiap port mikrotik dengan masing – masing
client sudah terhubung dengan baik dengan DHCP Server namun client belum bisa saling
berhubungan antar client dan belum mendapat koneksi ke internet.
Oke, Skenarionya begini :
 Kalian sebagai network administrator dari jaringan tersebut, kalian diminta agar
semua client dapat terhubung dan mendapat koneksi Internet.

“ ip firewall nat add chain=srcnat out-interface=Ether1 action=masquerade “

 Selanjutnya kalian diminta agar client 1 ( paling kiri ) tidak mendapat koneksi ke
Internet sedangkan yang lain mendapat koneksi ke Internet.

“ ip firewall nat add chain=srcnat src-address=!192.168.50.0/24 out-interface=Ether1

action=masquerade “
19 | P a g e
  Sekarang kita diminta agar Client 2 saja yang diperbolehkan browsing sedangkan
yang lain tidak mendapat hak akses browsing.
“ ip firewall nat add chain=srcnat src-address=192.168.110.0/24 protocol=tcp dst-port=80 out-
interface=Ether1 action=masquerade “

 Sekarang kita diminta agar mengijinkan client 3 saja yang bisa melakukan PING
sedangkan yang lain tidak.
“ ip firewall nat add chain=srcnat src-address=192.168.78.0/26 protocol=icmp out-
interface=Ether1 action=masquerade “

Catatan : Untuk mencoba rule diatas, jangan ditumpuk ya.. diremove dulu dan coba 1 per 1.

 Melakukan Redirect Port ke Internal Proxy

“ ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-

ports=3128 “
 Melakukan Redirect Port ke Internal Proxy pada hari dan jam tertentu

“ ip firewall nat add chain=dstnat protocol=tcp dst-port=80 time=07:00:00-

13:00:00,mon,tue,wed,thu,fri action=redirect to-ports=3128 “

Keterangan : Port 80 akan

diredirect ke Port 3128 pada jam
7 pagi sampai jam 1 siang setiap
hari
senin,selasa,rabu,kamis,jumat.

20 | P a g e
 Internal Proxy
5.1 Mengaktifkan Proxy
Gunakan kode berikut untuk mengaktifkan proxy.

“ ip proxy set enabled=yes port=3128 cache administrator=admin@smkbonavita.net

max-cache-size=unlimited cache-on-disk=yes “

5.2 Transparent Proxy

Setelah mengaktifkan proxy, agar proxy berjalan secara transparent tambahkan Rule
Firewall berikut :

“ ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-

ports=3128 “

5.3 Blokir Situs

Gunakan perintah berikut :

“ ip proxy access add dst-port=80 dst-host=*youtube.com action=deny “

Hanya jaringan tertentu yang terblokir :

“ ip proxy access src-address=192.168.50.0/24 dst-port=80 dst-

host=*youtube.com action=deny “
Kecuali jaringan tertentu semua terblokir :

“ ip proxy access src-address=!192.168.110.0/24 dst-port=80 dst-

host=*youtube.com action=deny “

21 | P a g e
5.4 Blokir Aktifitas Download Berdasarkan File Extension
“ ip proxy access add path=*.mp3 action=deny”

“ ip proxy access add path=*.avi action=deny “

Dengan ini semua aktifitas download file .mp3 dan .avi akan terblokir pada client.

Bandwidth Management
6.1 Konsep QoS ( Quality of Service )
Jika kalian ingin membangun sebuah jaringan berskala menengah – besar tentu
memperhatikan beberapa faktor seperti kegagalan system, keamanan, skalabilitas ( kayak
pelajaran jaringan pas kelas 11  ) dan juga perlu diperhatikan bahwa network harus
memiliki kualitas layanan yang baik. Kenapa sih ? karena jika layanan dari jaringan tersebut
jelek, tentu client males atau tidak nyaman dalam menggunakan jaringan kita.. saya juga
males menggunakan jaringan yang kualitas layanannya jelek. Maka perlu diingat, dalam
membangun jaringan tidak hanya CONNECTED tapi juga harus GUARANTEE .
Congestion adalah dimana data yang dikirimkan lebih besar dari kapasitas media ( Link )
yang digunakan. Untuk mencegah hal tersebut maka perlu dilakukan antrian ( queue ).
Namun dalam melakukan queue akan mengalami yang namanya delay karena data akan
disimpan di dalam memory, jika memori penuh paket yang baru datang akan di drop .
Coba dengan ilustrasi, misalnya ada sebuah toko celana dalam lagi obral celana dalam
dengan diskon 75%, pasti ibu – ibu sangat tertarik karena diskon maka memblundak lah
pelanggan di toko itu, pengawai toko tersebut tak sanggup lagi melayani ibu – ibu yang
ganas karena berebut diskon. Pada akhirnya akan ada ibu ibu yang tidak terlayani dan
akhirnya kecewa dan pindah ketoko lain. Untuk mengatasi hal tersebut dibuat lah antrian
per baris agar ibu – ibu dapat terlayani dan semua pun senang .

22 | P a g e
1 hal lagi yang perlu kita perhatikan adalah jenis jenis prioritas paket data, mana yang
harus kita dahulukan dan mana yang bisa tetap berjalan dengan delay yang agak panjang.
Contoh kita harus mendahulukan paket VoIP traffic daripada HTTP Traffic karena jika telalu
panjang delay pada VoIP maka pembicaraan lewat VoIP akan putus putus .
Beberapa metode Queue :
 FIFO ( First In First Out )
 Priority Queuing
 Class Based Queuing
 Fair Queuing
 RED ( Random Early Drop
 SFQ ( Stochastic Fairness Queuing )
 HTB ( Hierarchical Token Bucket )
Saya sendiri suka dengan metode HTB karena cukup handal dalam memanagemen jaringan
skala yang besar.

6.2 Limitasi Kecepatan Upload dan Download Dengan Simple Queue

Jika kalian ingin melakukan limitasi bandwidth secara sederhana kalian bisa menggunakan
simple queue tapi ingat untuk jaringan berskala besar tentu sudah tidak cukup melakukan
limitasi bandwidth menggunakan simple queue, namun harus menggunakan Queue Tree tapi
tidak saya bahas dalam buku ini karena buku ini berfokus untuk persiapan UKK dan queue
tree tidak masuk di dalamnya .
Ada kasus berikut :
Total Bandwidth = Upload 3 Mbps / Download 11 Mbps
Lab KKPI harus memiliki bandwidth = Upload 512k / Download 2M
Lab TKJ harus memiliki bandwidth = Upload 512k / Download 5M
TU harus memiliki bandwidth = Upload 2M / Download 4M

23 | P a g e
Gunakan baris perintah berikut ini :

LAB KKPI,

“ queue simple add name=Limit_KKPI target=192.168.50.0/24 dst=Internet max-

limit=512k/2M “

LAB TKJ

“ queue simple add name=Limit_TKJ target=192.168.110.0/24 dst=Internet max-

limit=512k/5M “

TU

“ queue simple add name=Limit_TU target=192.168.78.0/26 dst=Internet max-

limit=2M/4M “

24 | P a g e
 Bonus Tips & Trik
Load Balancing
Misalnya kita bekerja sebagai Network Administrator menggunakan lebih dari satu gateway
untuk terhubung ke Internet ( Mahal nih bayar Internetnya  ) Semua harus dapa
menghandle layanan upstream dan downstream. Akan beda kasusnya jika salah satunya
hanya dapat menghandle downstream, contohnya kita menggunakan VSAT DVB One-Way.
Skenarionnya :
interface 1 untuk ISP A , misal IP 192.168.200.1
interface 2 untuk ISP B , misal IP 192.168.100.1
Interface 3 untuk LAN , misal IP 172.16.5.0/24
Gunakan Line Command Berikut :

“ ip address add address=172.16.5.1/24 interface=LAN “

 IP address untuk ISP A :

“ ip address add address=192.168.200.1/32 interface=ISPA “

 IP address untuk ISP B :

“ ip address add address=192.168.100.1/32 interface=ISPB “

Selanjutnya kita tentukan gateway dengan prioritas ISP 1 baru ISP 2 :
“ ip route add gateway=192.168.200.1,192.168.100.1,192.168.100.1 “

25 | P a g e
Tambahkan konfigurasi untuk failover, jd misal salah satu ISP mati bisa langsung
menggunakan ISP lainnya.
“ ip firewall mangle add chain=prerouting src-address=172.16.5.0/24 action=mark-
routing new-routing-mark=RM-ISP “

“ ip route add gateway=192.168.100.1 routing-mark=RM-ISPB check-gateway=ping “

“ ip route add gateway=192.168.200.1 ”

Mengamankan MikroTik dari Virus

Berikut Command Lengkap beserta List Virus nya tinggal tambahkan di MikroTik :
/ip firewall filter add chain=forward connection-state=invalid action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=135-139 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=1433-1434 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=445 action=drop

/ ip firewall filter chain=virus protocol=udp dst-port=445 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=593 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=1024-1030 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=1080 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=1214 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=1363 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=1364 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=1368 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=1373 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=1377 action=drop

26 | P a g e
/ip firewall filter add chain=virus protocol=tcp dst-port=2745 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=2283 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=2535 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=2745 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=3127 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=3410 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=4444 action=drop

/ip firewall filter add chain=virus protocol=udp dst-port=4444 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=5554 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=8866 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=9898 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=10080 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=12345 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=17300 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=27374 action=drop

/ip firewall filter add chain=virus protocol=tcp dst-port=65506 action=drop

/ip firewall filter add chain=forward action=jump jump-target=virus

Blok Traceroute
Ada client yang "nakal", dia bisa dapat ip yang sejajar dengan interface yang langsung
menuju ke internet
ISP----MIKROTIK---CLIENT
tetapi dengan traceroute dia bisa dapat ip address yang sejajar dengan Interface mikrotik
yang menuju internet.

27 | P a g e
Untuk mengatasi hal tersebut, gunakan perintah ini :

/ip firewall filter add chain=forward protocol=icmp icmp-options=11:0 action=drop

comment="Drop_Traceroute"

/ip firewall filter add chain=forward protocol=icmp icmp-options=3:3 action=drop

comment="Drop_Traceroute

28 | P a g e