MTCNA PRESENTATION

MikroTik Academy SMK Muhammadiyah 2 Kuningan

MIKROTIK ACADEMY TRAINER

Udin Tahriludin, M.Kom Jajat Sudrajat, S.Pd Dwipinulur, S.Pd

MTCNA -MTCRE MTCNA- MTCRE MTCNA -MTCRE
ACTR0538 ACTR0497 ACTR0539

Certified MikroTik Trainer at MikroTik Academy Certified MikroTik Trainer at MikroTik Academy Certified MikroTik Trainer at MikroTik Academy
SMK Muhammadiyah 2 Kuningan SMK Muhammadiyah 2 Kuningan SMK Muhammadiyah 2 Kuningan

Computer Networking & Software Development Computer Networking & Software Development Computer Networking & Software Development
Teacher at SMK Muhammadiyah 2 Kuningan Teacher at SMK Muhammadiyah 2 Kuningan Teacher at SMK Muhammadiyah 2 Kuningan

Computer Networking
Lecture at STKIP Muhammadiyah Kuningan
PERKENALAN

Nama
Unit Kerja/Kegiatan Sehari Hari
Pengalaman Menggunakan MikroTik
Pengalaman Tentang Jaringan
Harapan dari Training di MikroTik Academy SMK Muhammadiyah 2 Kuningan
 SSID : MikroTikAcademy.dosq28
Password : d05q28kn6

SAMBUNGAN INTERNET WIFI

REGISTRASI ACCOUNT DI MIKROTIK.COM

 Untuk training dan ujian MTCNA peserta harus teregistrasi di official web mikrotik
 Registrasi account di www.mikrotik.com, pada menu account isi semua form yang
disediakan
 Pastikan nama anda ditulis lengkap dalam profil, karena otomatis akan tercetak
dalam sertifikat.
 Informasikan email anda ke instruktur, karena peserta harus mendapat
invitation/undangan dari instruktur.
GAMBARAN UJIAN MTCNA

 Online test terdiri atas 25 soal dalam waktu 1 jam.

 Soal setiap test diacak, bentuk soal mungkin ada yang sama dengan soal
sebelumnya dan bahkan berbeda dengan sebelumnya.
 Nilai kelulusan adalah mendapatkan nilai 60%, untuk nilai 50%-59% bisa test ulang.
 Soal menggunakan Bahasa Inggris dan bentuk soal pilihan ganda (Radio Box &
Check Box) dan benar salah
 Pastikan anda mencoba example test sebelum melakukan ujian MTCNA
TUJUAN TRAINING MTCNA

 Mempelajari karakteristik, fitur-fitur dan kemampuan

MikroTik RouterOS.
 Mempelajari cara instalasi, konfigurasi, fungsi, maintenance
dan troubleshoot dasar MikroTik RouterOS.
 Mendapatkan kualifikasi sebagai MikroTik Certified Network
Associate.
SERTIFIKASI MIKROTIK

• Sertifikasi berjenjang, jika belum lulus MTCNA belum bisa mengikuti ujian ke level selanjutnya
• Masa berlaku sertifikat selama 3 tahun, bisa diperpanjang dengan mengikuti ujian kembali
 Module 1: Introduction
 Module 2: DHCP
 Module 3: Bridging
 Module 4: Routing
 Module 5: Wireless
 Module 6: Firewall
 Module 7: QoS
 Module 8: Tunnels
 Hands on LABs during each module

MTCNA OUTLINE Basic

 Sekilas Tentang MikroTik  MikroTik Neighbor Discovery Protocol
(MNDP)
 Pengenalan RouterOS dan RouterBoard
 Backup and Restore
 TCP/IP
 Internet
 Mengakses RouterOS
 NTP Client
 Versi dan Lisensi
 Upgrade & Downgrade
 Instalasi RouterOS
 IP Services
 User Login Management

INTRODUCTION Modul 1
 Didirikan Tahun 1996
1996, 1997 & 2002 1997 Lahirnya RouterOS
2002 Membuat RouterBoard

Motto Routing the World

Software & Hardware

Produk
Router
MIKROTIK ROUTEROS

MikroTik RouterOS™ adalah sistem operasi dan perangkat lunak yang dapat digunakan untuk menjadikan
komputer menjadi router network, mencakup berbagai fitur yang dibuat untuk ip network dan jaringan wireless,
cocok digunakan oleh ISP dan provider hotspot. Karakteristik MikroTik Router OS adalah:
 Operating sistem yang bisa diinstall di PC dan Berbasis Linux.
 Diinstall sebagai SistemOperasi.
 Biasanya diinstall pada power PC.
ROUTERBOARD

• User Management (DHCP, Hotspot,

Radius, dll).
• Routing (RIP, OSPF, BGP, RIPng,
OSPFV3).
• Firewall & NAT (fully-customized, linux
based).
• QoS/Bandwidth limiter (fully
customized,linux based).
• Tunnel (EoIP, PPTP, L2TP, PPPoE, SSTP,
OpenVPN).
• Real-time Tools (Torch, watchdog, mac-
ping, MRTG, sniffer).
TIPE ROUTERBOARD

 RouterBoardmemiliki sistemkode tertentu

RB951 1. RB=RouterBoard
2. Seri atau Kelas Router
KodeLain ada di belakang tipe 3. Jumlah Ethernet
4. Jumlah Mini PCI atau wireless
 U - dilengkapi port USB
 A - Advanced, biasanya diatas lisensi level 4
 H - Hight Performance, processor lebih tinggi
 R - dilengkapi wireless card embedded.
 G - dilengkapi port ethernet Gigabit
 2nD – dual channel
ARSITEKTUR ROUTERBOARD

Mikrotik RouterBoard memiliki beberapa jenis arsitektur yang berbeda berdasarkan hardware dan versi. Setiap
versi harus di-install dengan software RouterOS yang tepat. Berikut adalah arsitektur yang dimiliki Mikrotik:
 MIPSBE untuk arsitektur CRS series, RB4xx series, RB7xx series, RB9xx series, RB2011 series, SXT, OmniTik,
Groove, METAL, SEXTANT
 x86 untuk arsitektur PC / X86, RB230 series
 PPC untuk arsitektur RB3xx series, RB600 series, RB800 series, RB1xxx series
 MIPSLE untuk arsitektur RB1xx series, RB5xx series, RB Crossroads
 TILE untuk arsitektur CCR series
TCP/IP

 Internet Protocol adalah sebuah aturan atau standar yang mengatur atau mengijinkan terjadinya hubungan,
komunikasi, dan perpindahan data antara dua atau lebih titik komputer.
 Tugas Internet Protocol
 Melakukan deteksi koneksi fisik.
 Melakukan metode “jabat-tangan” (handshaking).
 Negosiasi berbagai macam karakteristik hubungan.
 Mengawali dan mengakhiri suatu pesan/session.
 Bagaimana format pesan yang digunakan.
 Mengkalkulasi dan menentukan jalur pengiriman.
 Mengakhiri suatu koneksi.
OSI LAYER MODEL

 Tidak adanya suatu protokol yang sama, membuat banyak perangkat tidak bisa
saling berkomunikasi.
 Open System Interconnection atau OSI layer 7 adalah model arsitektural jaringan
yang dikembangkan oleh International Organization for Standardization (ISO) di
Eropa tahun1977.
 Sebelum ada OSI, sistem jaringan sangat tergantung kepada vendor pemasok
perangkat jaringan yang berbeda-beda.
 Model Osi layer 7 merupakan koneksi logis yang harus terjadi agar terjadi
komunikasi data dalam jaringan.
PROTOKOL

 Protocol menentukan prosedur pengiriman data.

 Protocol yang sering digunakan:
 Transmission Control Protocol (TCP)
 User Datagram Protocol (UDP) DNS
 Internet Control Message Protocol (ICMP) ping traceroute
 Hypertext Transfer Protocol (HTTP) web
 Post Office Protocol (POP3) email
 File Transfer Protocol (FTP)
 Internet Message Access Protocol (IMAP) email
 dll
PORT NUMBER

 Port adalah sebuah aplikasi-spesifik atau proses software spesifik pada

Komputer/host yang menjalankan servise untuk komunikasi jaringan.
 Jumlah total port Host adalah 65535, dengan klasifikasi penomoran sebagai
berikut:
 Dari 0 s/d 1023 (well-known ports),
 Dari 1024 s/d 49151 (registered port),
 Dari 49152 s/d 65535 (unregistered / dynamic, private or ephemeral ports)
MAC ADDRESS

 MAC Address (Media Access Control Address) adalah alamat jaringan pada lapisan
data-link (layer 2) dalam OSI 7 Layer Model.
 Dalam sebuah komputer, MAC address ditetapkan ke sebuah kartu jaringan
(network interface card/NIC).
 MAC address merupakan alamat yang unik yang memiliki panjang 48-bit.
 MAC terdiri atas 12 digit bilangan heksadesimal (0 s/d F), 6 digit pertama
merepresentasikan vendor pembuat kartu jaringan.
 Contoh MAC Address : 02-00-4C-4F-05-50.
IP ADDRESS

 IP (Internet Protocol) terdapat dalam Network Layer (layer 3) OSI.

 IP address digunakan untuk pengalamatan suatu PC / host secara logic
 Terdapat 2 jenis IP Address
 IPv4
 Pengalamatan 32 bit
Jumlah max host 4,294,967,296
 IPv6
 Pengalamatan 128 bit
Jumlah max host 340,282,366,920,938,463,374,607,431,768,211,456
IP VERSION 4

 IPv4 diekspresikan dalam notasi desimal bertitik, yang dibagi ke dalam

4 buah oktet berukuran 8-bit.
 Karena setiap oktet berukuran 8-bit, maka nilainya berkisar antara 0
hingga 255 (20 s/d 27)
SUBNETTING

 Dari 4 milyar IP address, tidak mungkin diberikan ke satu internet provider saja.
 Alamat IP didesain untuk digunakan secara berkelompok (sub-jaringan/subnet).
 Subneting adalah cara untuk memisahkan dan mendistribusikan beberapa IP
address.
 Host/perangkat yang terletak pada subnet yang sama dapat berkomunikasi satu
sama lain secara langsung (tanpa melibatkan router/routing).
 Apabila jaringan
dianalogikan sebuah jalan,
apabila disepanjang jalan
cuma ada 4 rumah, ketua RT
mengumumkan sesuatu dari
rumah ke rumah lewat jalan
itu.
 Apabila sepanjang jalan
sudah penuh rumah butuh
ada gang-gang. Butuh ada
ketua RT tiap gang untuk
meminimalis transportasi
saat pengumuman dan
mengatur urusan RTnya
sendiri
Subnet ditulis dalam format 32 bit (seperti IP), atau dalam bentuk desimal (prefix Length)
Network ID dan IP Broadcast
 Dalam kelompok IP
address atau satu subnet
ada 2 IP yang sifatnya
khusus
 Network ID : identitas suatu
kelompok IP / Subnet.
 Broadcast : alamat IP yang
digunakan untuk memanggil
semua IP dalam satu
kelompok.
Perhitungan Subnetting
Subnetting IP Kelas C Tentukan Range IP, IP Host , Network ID, Broadcast
dan subnet Masknya dari IP 28.28.28.20:
jumlah IP dalam subnet:
 Gunakan Rumus 2(32-30) = 22 = 4
 Range IP
 Range IP dicari berdasarkan kelipatan Jumlah
IPnya (kelipatan 4):
 28.28.28.0 s/d 28.28.28.3
 28.28.28.4 s/d 28.28.28.7,
(8-11),(12-15)…terus sampai (252-255)

 IP address pada soal (28.28.28.20) ada pada range:

28.28.28.20 s/d 28.28.28.23
Network ID dan Boradcast:
 Dari range IP yang telah ditemukan (28.28.28.20 s/d 28.28.28.23) IP
terkecil digunakan untuk network ID, terbesar untuk Broadcast
 Network ID = 28.28.28.20, Broadcast = 28.28.28.23
 IP Host = Range IP dikurangi Network ID dan broadcast
 IP host = 28.28.28.21 s/d 28.28.28.22
 Jumlah IP host
 jumlah IP dalam subnet dikurangi dua
 Subnet mask = 255.255.255.(256 – jumlah IP)
 Subnet mask = 255.255.255.252
Subnetting IP Kelas B
IP address 12.12.12.12/22, Tentukan Range IP, IP Host , Network ID, Broadcast dan Subnet Masknya :
 Translate prefix netmask menjadi kelas C dengan ditambah 8, menjadi (22+8)=30
 Jumlah IP prefix /30 dalam kelas C adalah 2(32-30) = 4
 Jumlah IP dalam kelas B = 4 x 256 = 1024 Range IP Address
 Jumlah IP kelas C nya, yaitu 4, Range IP diimplementasikan pada oktet ke 3
 12.12.0.0 – 12.12.3.255, 12.12.4.0 – 12.12.7.255, 8 – 11, 12 -15, dan seterusnya

 Range IP = 12.12.12.0 s/d 12.12.15.255

 Network ID = 12.12.12.0, broadcast 12.12.15.255
 Jumlah host yg dapat digunakan = 12.12.12.1 – 12.12.15.254
 Netmask = 255.255.(256-4).0 = 255.255.252.0
Latihan Berhitung Subnetting IP Kelas C
Tentukan Range IP, IP Host , Network ID, Broadcast dan subnet Masknya dari

 11.11.11.11/26  99.99.99.99/25
 22.22.22.22/28  100.100.100.100/27
 33.33.33.33/25  111.111.111.111/30
 44.44.44.44/29  122.122.122.122/25
 55.55.55.55/27  133.133.133.133/28
 66.66.66.66/28  144.144.144.144/24
 77.77.77.77/30  155.155.155.155/26
 88.88.88.88/31  166.166.166.166/29
Latihan Berhitung Subnetting IP Kelas B
Tentukan Range IP, IP Host , Network ID, Broadcast dan subnet Masknya dari

 11.11.11.11/23
 22.22.22.22/21
 33.33.33.33/20
 44.44.44.44/22
 55.55.55.55/18
IP PRIVAT
 Berdasarkan jenisnya IP address dibedakan menjadi IP Public dan IP Private.
 IP Public adalah IP addres yang digunakan untuk koneksi jaringan global (internet) secara langsung dan bersifat unik.
 IP Private digunakan untuk jaringan lokal (LAN) Alokasi IP Privat adalah sbb:

 127.0.0.0 – 127.255.255.255 (loopback address)

 224.0.0.0 – 239.255.255.255 (multicast)
 169.254.0.0 - 169.254.255.255 ("link local" addresses)
MENGAKSES ROUTEROS

Ada beberapa cara untuk mengakses RouterOS diantaranya:

 Winbox
 Webfig
 CLI
 Telnet
 SSH
 Serial Cable/Keyboard on PC
 Winbox Terminal
 API
LAB WINBOX

Untuk mengakses
routerOS bisa Aplikasi winbox bisa
menggunakan MAC kita download dari
atau IP address pada webfig atau dari
RouterBoard dengan website
default login : “admin” www.mikrotik.com/do
wnload secara gratis.
LAB WEBFIG Cara mengakses webfig
adalah dengan
memanggil IPaddress
Ethernet yang
terhubung langsung
dengan PC/Laptop atau
mengakses default IP
192.168.88.1 pada
Ethernet 1 jika belum
melakukan konfigurasi
IP address

http://<iprouter>
LAB CLI VIA PUTTY
Ip router dan port
LAB API VIA ANDROID
Ip router dan port
APPLICATION
PROGRAMMABLE
INTERFACE

API adalah fitur yang

memungkinkan kita meremote
melalui aplikasi android
mikrowinbox, sebelum
mengakses lewat API pastikan
kita mengaktifkan IP Services API
nya.
VERSI DAN LISENSI

 Fitur-fitur RouterOS ditentukan oleh level lisensi yang melekat pada perangkat.
 Level dari lisensi juga menentukan batasan upgrade packet.
 Lisensi melekat pada storage/media penyimpanan (ex. Hardisk, NAND, USB, Compact Flash).
 Bila media penyimpanan diformat dengan non MikroTik, maka lisensi akan hilang.
LISENSI DAN BATASAN UPGRADE VERSI

 Lisensi menentukan versi berapa dari MikroTikOS

yang dapat diinstall/diupgrade di suatu hardware.
 L1 dan 2 mengijinkan upgrade 1 versi, L4 dan L6
mengijinkan upgrade sampai 2 versi.
 Silahkan lihat di menu System License
VERSI MIKROTIK ROUTEROS

Versi
 Fitur-fitur MikroTik selain ditentukan oleh lisensi yang
digunakan, juga ditentukan oleh versi dari MikroTik
yang terinstall.
 Pada RouterOS, versi MikroTik dapat dilihat dari
paketyang terinstall.
 Paket yang terinstall menunjukkan fitur apa saja yang
didukung oleh RouterOS.
 Untuk melihat paket bisa di temukan di menu system
> packages
 Untuk melihat fitur keseluruhan pada router OS bisa
mengakses situs:
“http://wiki.mikrotik.com/wiki/Manual:System/Packages”
LAB Paket

Coba untuk mengenable/disable paket lalu reboot dan lihat perubahan

pada feature dan resources
UPGRADE DAN DOWNGRADE

 Downgrade dilakukan apabila hardware kurang mendukung terhadap versi baru atau terdapat bug pada versi
aktifnya.
 Upgrade paket harus memperhatikan aturan level dan lisensi yang berlaku.
 Upgrade dan downgrade juga harus memperhatikan kompatibilitas terhadap jenis arsitektur hardware.
LAB Upgrade & Downgrade

 Paket yang akan diinstall (versi lama/baru) harus diupload terlebih dahulu ke router pada bagian file.
 Upload dapat dilakukan dengan drag-and drop (via winbox), ataupun via FTP client.
 Drag and drop menggunakan protocol winbox (tcp port 8291) untuk koneksi IP dan menggunakan frame
untuk koneksi mac address.
 Apabila upload menggunakan FTP, pastikan semua packet terupload di folder utama, bukan di sub folder.
 Ekstensi file untuk paket adalah *.npk
 Untuk mengeksekusi upgrade, router harus direboot.
 Untuk upgrade juga bisa melalui fitur “check for upgrade” via winbox atau webfig
INSTALASI ROUTEROS

 MikroTik dapat diinstall seperti Sistem Operasi yang lain.

 Install ulang dapat mengembalikan mikrotik ke default
 Media install dapat menggunakan CD maupun software Netinstall
 Sedangkan routerboard hanya bisa di install ulang menggunakan software
Netinstall
 Eth1 = 192.168.88.1

Boot from ether1

192.168.88.2
- Software Netinstall
- Enable boot server
Install Ulang Via Netinstall

• RouterBoard harus di sambungkan dengan PC/Laptop melalui ether1

• PC/Laptop harus menjalankan software Netinstall
• RouterBoard harus disetting booting dari ether1m dengan cara:
- Setting via serial console
- Setting via terminal console
- Winbox
- Tekan tombol Reset
Software Netinstall

• Software Netinstall hanya support pada Windows

• Digunakan untuk install dan reinstall RouterOS
• Digunakan untuk reset password
• CP/Laptop yang menjalankan netinstall harus terhubung langsung dengan router
melalui kabel UTP
• Software netinstall dapat didownload di web resmi MikroTik
LAB – Install Ulang RB 941 (hAP-Lite)

• Download Sistem Opeasi dan Software Netinstall terbaru dari

• Pilih Seri Routerboard yang sesuai

• Pasangkan kabel dari RouterBoard ether 1 ke PC, Setting IP Address PC dengan IP 192.168.88.2 ,
kemudian test ping ke IP Router
• Jalankan Software Netinstall

Pastikan interface
Router terbaca

- Check List Kotk

- Isikan IP Address=192.168.88.1

- Pilih lokasi Paket RouterOS

berada
- Nama file=router-os......npk
• Setting BIOS via winbox

Boot Deviives = try-etehrnet-once-then-nand

(eth1 akan terbaca saat router di reboot, secara
normal)

System  Routerboard  Setting

Langkah 1
- Pastikan Router terbaca

Langkah 3
- Klik Install
- Tunggu hingga muncul tulisan
Installation finished successfully

Langkah 2
- Pilih lokasi file RouterOS .npk
- Checklist kotal routeros-mipsbe
IP SERVICES

 API : Application Programmable Interface, sebuah service yang mengijinkan user membuat custom software atau aplikasi yang berkomunikasi dengan
router, misal untuk mengambil informasi didalam router, atau bahkan melakukan konfigurasi terhadap router. Menggunakan port 8728.
 API-SSL : Memiliki fungsi yang sama sama seperti API, hanya saja untuk API SSL lebih secure karena dilengkapi dengan ssl certificate. API SSL ini berjalan
dengan menggunakan port 8729.
 FTP : Mikrotik menyediakan standart service FTP yang menggunakan port 20 dan 21. FTP biasa digunakan untuk upload atau download data router,
misal file backup. Authorisasi FTP menggunakan user & password account router.
 SSH : Merupakan salah satu cara remote router secara console dengan secure. Hampir sama seperti telnet, hanya saja bersifat lebih secure karena data
yang ditrasmisikan oleh SSH dienskripsi. SSH MikroTik by default menggunakan port 22.
 Telnet : Memiliki fungsi yang hampir sama dengan ssh hanya saja memiliki beberapa keterbatasan dan tingkat keamanan yang rendah. Biasa digunakan
untuk remote router secara console. Service telnet MikroTik menggunakan port 23.
 Winbox : Service yang mengijinkan koneksi aplikasi winbox ke router. Tentu kita sudah tidak asing dengan aplikasi winbox yang biasa digunakan untuk
meremote router secara grafik. Koneksi winbox menggunakan port 8291.
 WWW : Selain remote console dan winbox, mikrotik juga menyediakan cara akses router via web-base dengan menggunakan browser. Port yang
digunakan adalah standart port HTTP, yaitu port 80.
 WWW-SSL : Sama seperti service WWW yang mengijinkan akses router menggunakan web-base, akan tetapi www-ssl ini lebih secure karena
menggunakan certificae ssl untuk membangun koneksi antara router dengan client yang akan melakukan remote. By default menggunakan port 443.
LAB IP SERVICES

• Menghidukan/mematikan service yang dijalankan oleh Router.

• Setting konfigurasinya ada di menu IP>Services

• Untuk keamanan kita juga dapat mengganti/mengubah default port

pada masing-masing services

USER LOGIN MANAGEMENT

• Akses ke router ditentukan oleh menu user.

• Manajemen user dilakukan dengan
– GROUP – profil pengelompokan user, menentukan previlage
yang bisa diperoleh suatu user.
– USER – merupakan login (username & password dari suatu user).
• Sesi user yang sedang melakukan koneksi ke router dapatdilihat
pada menu System> Users
LAB USER BARU DENGAN HAK AKSES DARI IP TERTENTU
LAB GROUP MANAGEMENT

Full --> user yang memiliki akses ini merupakan user dengan pangkat tertinggi, yang dapat melakukan
konfigurasi seperti menghapus konfigurasi, menambahkan konfigurasi, sampai dengan menambahkan user
baru ke dalam sistem Mikrotik.

Write --> user ini memiliki akses konfigurasi seperti pada user yang memiliki akses full, namun tidak dapat
menambahkan user baru, dan juga tidak dapat melakukan proses backup konfigurasi.

Read --> user dengan akses ini hanya mampu melakukan monitoring pada sistem, tidak mampu melakukan
konfigurasi seperti pada user dengan level Write maupun Full.
Buatlah 4 User dengan berbeda
hak akses
• Username: admin;
Group: full
• Username: JK-Rowling;
Group: write
• Username: RD-Katy;
Group: read
• Username: Sakti; Group:
rebooter; Allowed
Address: 192.168.10.0/24
(Network IP ether2) atau
sesuaikan dengan
Network IP yang anda
buat untuk port yang
dipakai untuk mengakses
Router.
NB: Jangan Lupa Buat Password
di setiap User
MIKROTIK NEIGHBOR DISCOVERY PROTOCOL (MNDP)

 MNDP memudahkan konfigurasi dan manajemen jaringan dengan memungkinkan setiap router MikroTik
untuk mendeteksi MikroTik lainnya yang terhubung langsung
 MNDP fitur:
 Bekerja pada layer 2
 Bekerja pada semua non-dinamic interface
 Mendistribusikan informasi dasar
 MNDP dapat berkomunikasi dengan CDP (Cisco Discovery Protocol).
 Disarankan untuk tidak memancarkan MNDP ke interface yang mengarah kejaringan public.
LAB MNDP

 Untuk menyembunyikan mikrotik anda agar tidak

muncul pada Winbox MNDP scan, atau muncul
pada neigbors:
 Disable MNDP pada menu IP Neighbors Discovery
 Block Port UDP protocol port 5678 (port untuk
komunikasi MNDP) menggunakan IP Firewall
FilterRule
BACKUP AND RESTORE

 Binary file (.backup)

 Tidak dapat dibaca text editor.
 Membackup keseluruhan konfigurasi router
 Create return point (dapat kembali seperti semula)
 Script file (.rsc)
 Berupa script, dapat dibaca dengan text editor.
 Dapat membackup sebagian atau keseluruhan konfigurasi router.
 Tidak mengembalikan ke konfigurasi seperti semula, melainkan menambahkan script tertentu pada konfigurasi utama.
LAB Backup & Restore
 Binary backup dan restore juga dapat dilakukan menggunakan
terminal.
 Backup via teminal kelebihanya adalah dapat memberi namafile
backup sesuai dengan keinginan kita
Backup dan restore dengan mode script
 Dilakukan dengan perintah:
 EXPORT akan menyimpan konfigurasi dengan bentuk script yang dapat
dibaca dan diolah.
 IMPORT akan menjalankan perintah yang terdapat dalam script.
 IMPORT/EXPORT dapat digunakan untuk membackup sebagian
konfigurasi.
 IMPORT/EXPORTharus dilakukan melalui terminal.
 EXPORT tidak menyimpan username password
 Export

 Import
LAB Export dan Backup
 Buatlah backup konfigurasi dengan perintah backup dan export.
 Pindahkan file backup dan rsc ke komputer/ laptop.
 Coba buka dan edit file backup dan file rsc tersebut
LAB INTERNET

NAT

Wlan1 28.28.28.0/24

Ether1 192.168.10.0/24
SETTING IP LAN PC

IP Laptop satu network dengan

IP Mikrotik LAN

Gateway Laptop adalah

IP interface mikrotikLAN
SETTING IP
ETHER1 dan WLAN1 Router
http://wiki.mikrotik.com/wiki/Manual:IP/Route
Connect WAN via Wireless
Setting Security Wireless
Setting Firewall NAT
Setting IP Route
NTP CLIENT

NTP (Network Time Protocol) adalah protokol yang digunakan

untuk sinkronisasi waktu di dalam sebuah jaringan, baik pada
jaringan LAN (Local Area Network) maupun pada jaringan
Internet. NTP itu sendiri menggunakan jalur data TCP/IP dan
NTP menggunakan port komunikasi UDP nomor 123.
LAB NTP Client
 DHCP
 DNS
 ARP

DHCP Module 2
DHCP

DHCP (Dynamic Configuration Protocol) adalah layanan yang

secara otomatis memberikan nomor IP kepada komputer yang
memintanya. Komputer yang memberikan nomor IP disebut
sebagai DHCP server, sedangkan komputer yang meminta
nomor IP disebut sebagai DHCP Client.
LAB DHCP Client

DHCP Client akan otomatis

memberi IP Address pada
Wlan1 dengan flag D
(Dynamic)
LAB DHCP Server
Untuk merubah range IP pool bisa dari menu IP>Pool
Jadikan PC menjadi DHCP Client, dengan merubah IP PC menjadi Obtain an IP address
Dan lakukan check IP pada command, lihat perubahannya
DNS

(Domain Name System; DNS) adalah sebuah sistem yang menyimpan

informasi tentang nama host ataupun nama domain dalam bentuk basis
data tersebar (distributed database) di dalam jaringan komputer,
misalkan: Internet. DNS menyediakan alamat IP untuk setiap nama host
dan mendata setiap server transmisi surat (mail exchange server) yang
menerima surel (email) untuk setiap domain. Menurut browser Google
Chrome, DNS adalah layanan jaringan yang menerjemahkan nama situs
web menjadi alamat internet.
 DNS (Domain Name System) berfungsi untuk menterjemahkan nama domain menjadi IP address.
 Kita lebih mudah mengingat nama domain (google.com) dibanding dengan IP addressnya
(74.125.200.101).
 DNS memiliki database/cache alamat domain dan IP address yang diperoleh dari primary DNS
diatasnya.
 Client yang menggunakan DNS server akan menggunakan cache tersebut.
 Pada periode tertentu chache akan diperbaharui mengambil dari DNS server diatasnya.
Menambahkan DNS Nawala
ARP

 ARP (Address Resolution Protocol) adalah sebuah protokol dalam TCP/IP Protocol Suite yang
bertanggungjawab dalam melakukan resolusi alamat IP ke dalam alamat Media Access Control (MAC
Address)
 Fungsinya ARP adalah untuk meningkatkan keamanan. Dalam mikrotik, masukan ARP bisa didapat secara
dynamic. Namun untuk meningkatkan keamanan, kita dapat memasukkan ARP static secara manual.
 Bridge
 Wireless Bridge
 Bridge Firewall

BRIDGE Module 3
BRIDGE

 Bridge bekerja pada level data link layer (Layer 2) pada model jaringan OSI.
 Bridge juga dapat digunakan untuk menggabungkan dua buah media jaringan
yang berbeda atau dua buah arsitektur jaringan yang berbeda.
 Fungsi bridge yaitu memisahkan suatu paket data yang harus dikirimkan pada
jaringannya sendiri atau pada jaringan yang lain, apabila kedua jaringan
terhubung.
 192.168.10.6
192.168.10.5

192.168.10.1

192.168.10.3 192.168.10.4

192.168.10.2

Bridge

Arsitektur Jaringan 2 192.168.10.6

Arsitektur Jaringan 1
WIRELESS BRIDGE

 Semua mode wireless bisa dibridging, kecuali mode station.

 Mode station tidak dapat di bridging, sehingga diciptakan mode
station dengan type lain.
 Station bridge adalah fitur MikroTik sejak v5 yang memungkinkan
station untuk dibridge.
 Station bridge hanya akan berjalan pada koneksi antar MikroTik (versi
5 keatas).
 Wireless Mode:
AP Bridge
Wireless Connection
192.168.10.3
192.168.10.2

192.168.10.1

Bridge Bridge

Wireless mode:
1. Station bridge
192.168.10.4 2. Station
3. Station pseudobridge
4. Station pseudobridge clone
BRIDGE FIREWALL

 Bridge firewall berfungsi untuk menggabungkan beberapa jaringan ke satu jaringan dengan menggunakan MAC
address
 Bridge firewall juga bisa digunakan untuk memisahkan satu segmen jaringan menjadi terpisah
 Bridge filrewall berfungsi untuk mengatur aliran data packet melalui dari interface bridge melalui router dengan
menggunakan 2 cara yaitu
 Bridge firewall filter Rule
 Input
 Ouput
 forward
 Brigde Firewall NAT
 Dst-nat
 Src-nat
 Routing
 Gateway
 Route Flags
 Static Routing

ROUTING Module 4
ROUTING

192.168.10.0/24
20.21.22.0/24

192.168.100.0/24 32.74.100.0/24
internet

11.12.13.0/24 28.28.28.0/24 30.30.30.0/24

50.50.50.0/24
Route Table
GATEWAY

 Gateway adalah sebuah perangkat yang digunakan untuk

menghubungkan satu jaringan komputer dengan satu atau lebih
jaringan komputer yang menggunakan protokol komunikasi yang
berbeda sehingga informasi dari satu jaringan computer dapat
diberikan kepada jaringan komputer lain yang protokolnya (IP)
berbeda.
 Gateway 0.0.0.0/0 pada route table adalah gateway yang digunakan
jika tidak ada gateway yang spesifik dituju.
ROUTE FLAGS
STATIC ROUTING

Wireless Connection
28.28.28.1/24
192.168.20.2/24
192.168.10.2/24
28.28.28.2/24

R1
R2
192.168.10.1/24 Wireless Mode: 192.168.20.1/24
Wireless mode:
AP (Access Point)
Station
 Laptop di set default gatewaynya
 Laptop1, default gateway: 192.168.10.1, Laptop 2, 192.168.20.1
 Buat static routing di R1 dan R2 kearah network yang tidak terhubung
langsung.
 Konfigurasi R1:
IP > Route, add dst-address=192.168.20.0/24, gateway = 28.28.28.2
 Konfigurasi R2:
IP> Route, add dst-address=192.168.10.0/24, gateway=28.28.28.1
 Ping dari laptop ke laptop
STATIC ROUTING LAN

10.10.10.1/24 20.20.20.2/24 30.30.30.3/24 40.40.40.4/24

10.10.10.2/24 20.20.20.3/24 30.30.30.4/24 40.40.40.5/24

192.168.10.0/24 192.168.20.0/24 192.168.30.0/24 192.168.40.0/24 192.168.50.0/24

Static Routing LAB: Tambahkan Network yang tidak terhubung langsung antar router
 10.10.10.1/24 20.20.20.2/24

10.10.10.2/24 20.20.20.3/24

192.168.10.0/24 192.168.20.0/24 192.168.30.0/24

Static Routing LAB: Tambahkan Network yang tidak terhubung langsung antar router
 Wireless
 Wireless Standard
 Radio Name
 Wireless Mode
 Wireless Network
 Security
 Snooper
 Registration Table
 Access List

WIRELESS Module 5
WIRELESS

 Router MikroTik 2.4 GHz Support Standard 802.11 b/g/n

 Router MikroTik 5.8 GHz support Standard 802.11 a/n/ac
WIRELESS STANDARD

Standar IEEE Frequensi Kecepatan

802.11a 5 GHz 54 Mbps
802.11b 2.4 GHz 11 Mbps
802.11g 2.4 GHz 54 Mbps
802.11n 2.4 dan 5 GHz Up to 450 Mbps
802.11ac 5 GHz Up to 1300 Mbps

* Tergantung Model RouterBoard

Band
Merupakan mode frequensi dari perangkat Wireless

 Daftar band bergantung pada jenis wireless card yang digunakan

 Untuk menghubungkan 2 perangkat maka keduanya harus berada pada Band yang sama
Channel Width
Merupakan rentang frekuensi batas bawah dan batas atas dalam 1 channel.

 Default lebar channel adalah 22 MHz (ditulis 20MHz)

 MikroTik dapat mengatur berapa lebar channel yang akan digunakan.
 Lebar channel 5MHz untuk meminimalisir frekuensi, Lebar channel 40MHz
untuk mendapatkan troughtput yang lebih besar
 Channel 2.4 GHz

 13 x 22 MHz channel
 3 channel tanpa overlap (1, 6, 11)
 3 AP dapat digunakan di area yang sama
tanpa saling menganggu
 US : 11 channel
 Range Frequensi 2.4 GHz = 2412 s.d 2499
MHz
 Channel 5.8 GHz

Standard IEEE Lebar Channel

802.11a 20 MHz
20 MHz
802.11n
40 MHz
20 MHz
40 MHz
802.11ac
80 MHz
160 MHz
* Range frequensi 5.8GHZ = 4920 s.d 6100
 Frequensi

 Setiap negara memiliki regulasi frequensi tertentu

 Pada Router MikroTik terdapat pada “Wireless  country regulation”
 Apabila kita akan membuka semua frequensi pada Router Mikrotik dapat
menggnakan pilihan “superchannel”
 Saat ini indonesia telah merdeka untuk menggunakan frequensi 2.5 GHz
LAB Frequensi

• Hitung Jumlah Frequensi?

• Ubah ke mode Advance  pilih
Negara Indonesia, hitung kembali
jumlah frequensi?
• Ubah frequensi ke superchannel,
hitung kembali jumlah frequensi?
 RADIO NAME

• Nama perangkat antarmuka

• Dapat dilihat pada tabel wireles

LAB Radio Name

 Ubah Nama perangkat Wirelless pada AP, misal : AP-DosQ28

 Ubah Nama perangkat pada Station, misal : Station-Dosq28
 Periksalah pada menu Wireless Registration AP, apa Nama Radio nya?
 Periksalah pada menu Wireless Registration Station, apa nama Radio nya?
 WIRELESS MODE
Mode Station
Station  Wifi berfungsi sebagai Client (Station) hanya bisa
connect ke AP dengan frequensi dan SSID yang sama,
tidak bisa di Bridge
Station bridge  Wifi berfungsi sebagai Client & dapat di
Bridge
Mode AP Station pseudobridge  Wifi sebagai client, dengan
AP bridge  Wifi berfungsi tambahan MAC Address untuk Bridge
sebagai Access Point Station pseudobridge clone  sama seperti station
Brigde  Wifi berfungsi sebagai pseudobridge, menggunakan MAC address untuk
AP hanya bisa untuk 1 konek ke AP
station, biasa digunakan Station wds  Wifi berfungsi sebagai Client, tetapi dengan
untuk point-to-point koneksi WDS ke AP WDS

Mode Spesial
Alignment only  untuk koneksi terus menerus positioning jarak jauh
Nstreme dual slave untuk sistem nstreme-dual
WDS slave  sama seperti AP Brigde koneksinya dengan WDS, apabila terputus akan melanjtkan scanning
Tx Power
 Berfungsi untuk menyesuaikan daya pancar dari perangkat wireless
 Ubah Mode Tx Power “all rates fixed” dan sesuaikan Tx power “..”
Wireless Enable
Power per Chain Total Power
Card Chain
Equal to the
1
Equal to the selected Tx selected Tx Power
802.11n
2 Power +3dBm
3 +5dBm
Equal to the selected Tx
1
Power Equal to the
802.11ac
2 -3dBm selected Tx Power
3 -5dBm
Tx Power
WIRELESS NETWORK
Trainer AP

Wireless Station
Trainer Access Point

 Ubah Mode=AP Bridge

 Pilih Band
 Ubah Frequency
 Ubah SSID
 Ubah Security Profile
Wireless Station

 Wireless Station adalah Client (Router, laptop, HP)

 Pada Router wireless Mode Station
Wireless Station

 Ubah Mode = Station

 Pilih Band
 Ubah SSID
 Ubah Security Profile
 Frequency akan menyesuaikan
secara otomatis seperti Access Point
LAB Wireless AP dan Station
LAB Wireless AP dan Station

AP Bride Station
28.28.28.1/24 28.28.28.2/24

Peserta 1 Peserta 2
LAB Wireless AP dan Station

Konfigurasi Peserta 1 Peserta 2  Peserta 1 pilih mode AP Bridge, peserta 2 pilih

Mode App Bridge Station mode Station
 SSID, Band, Security Profile peserta 1 dan 2 atur
Band Samakan yang sama
Frequency Pilih Bebas  Atur IP Address wlan dengan :
SSID IP AP Bridge = 28.28.28.1/24
Samakan IP AP Bridge = 28.28.28.2/24
Security Profile  Pastikan wirelless tersambung
IP Address Wlan1 28.28.28.1 28.28.28.2  Lakukan test ping dari masing-masing router
IP Address Eth Router 192.168.10.1 192.168.11.1
IP Address Laptop 192.168.10.x 192.168.11.x
Bandwith Test
Digunakan untuk mengukur seberapa besar link dapat mengirim bandwith (Tools  Bandwith Test)

• Perhatikan nilai TX/RX

• Untuk mendapatkan
bandwith terbaik
silahkan rubah
frequency

 Test to = 28.28.28.1 (ip

router lawan)
 Direction = both (keduanya)
 User = user login ke router
 Password = password login
 Start
Kualitas Signal

Keterangan :
• Signal yang dikirim dan diterima
oleh antena Router MikroTik
• Client Connection Quality (CCQ)
yaitu nilai yang menyatakan
seberapa efektif kapasitas
bandwith yang dapat digunakan
Wireless Tools

 Scan  untuk melihat informasi AP yang aktif, beserta SSID dan

memudahkan untuk membuat koneksi ke AP aktif tersebut.
 Align  untuk pointing antenna.
 Sniff  untuk melihat lalu lintas paket data di jaringan.
 Snooper  seperti tool scan, informasi AP yang aktif secara lengkap,
SSID, channel yang digunakan, signal strength, utilisasi/traffic load dan
jumlah station pada masing-masing AP.
Virtual Access Point

 Virtual AP akan menjadi child dari wlan (interface real).

 Satu interface dapat memiliki banyak virtual AP (maksimum 128)
 Virtual AP dapat diset dengan SSID, security profile dan access list yang berbeda,
namun menggunakan frekuensi dan band yang sama dengan wlan induk.
 Virtual AP bersifat sama seperti AP:
 Dapat dikoneksikan dengan station / client.
 Dapat difungsikan sebagai DHCP server.
 Dapat difungsikan sebagai Hotspot server.
LAB Virtual Access Point

 Tambahkan Interfaces VirtualAP

 Isi SSID = yang unik

 Pilih Master Interfaces = wlan1 (wlan induk)

 Pilih Security Profile = boleh sama, boleh buat security baru

SECURITY

 Untuk pengamanan koneksi wireless, tidak hanya cukup dengan MAC-Filtering, karena data
yang lewat ke jaringan bisa diambil dan dianalisa
 Hanya WPA (WiFi Protected Access) atau WPA2 harus digunakan
 WPA-PSK atau WPA-PSK dengan enkripsi AES-SSM
 AP Trainer sudah menggunakan WPA-PSK / WPA2-PSK
Wireless Security
 Terdapat metode keamanan lain yang dapat digunakan
yaitu:
 Authentication (WPA-PSK, WPA-AEP)
 Enkripsi (AES, TKIP, WEP)

Encryption WEP
 WEP (Wired Equivalent Privacy) tipe wireless security yang pertama
kali muncul dan masih sangat sederhana
 Tidak mempunyai authenticate method
 Not recommended as it is vulnerable to wireless hacking tools
Wireless Security

 Name (isikan mana profile security nya)

 Mode Dynamic keys (WPA) atau Static Key (WEP)
 Jenis Authentikasi (WPA PSK, WPA2 PSK)
 Model Ciphers (tkip, aes)
 Group Chipers (tkip, aes ccm)
 Key Authenticate (WPA Pre-Shared Key dan WPA2 Pre-Shared Key)

Wireless  Security Profile

LAB Security WPA/WPA2
Buat Koneksi AP dengan Station, Peserta 1 dengan Peserta 2

AP Bride Station
28.28.28.1/24 28.28.28.2/24

Peserta 1 Peserta 2
LAB Security WPA/WPA2

 Name (isikan mana profile security nya)

 Pilih Mode = Dynamic
 Checklist Jenis Authentikasi = WPA PSK, WPA2 PSK
 Checklist Model Ciphers = tkip, aes
 Checklist Group Chipers = tkip, aes ccm
 Isilah Key Authenticate
 WPA Pre-Shared Key (minimal 8 karakter)
 WPA2 Pre-Shared Key (ulangi minimal 8 karakter)
 Lakukan Test koneksi antara AP ke Station dan Sebaliknya
LAB Security WPA/WPA2
Buat WEP Security profile pada AP dan station

 Pilih Mode = static key optional

 Pada Menu Static Key, (Key 0 =40bit wep, 0x=isi password=...)
 Ujicoba koneksi dari AP ke station dan sebaliknya
SNOOPER

 Dapatkan gambaran penuh dari jaringan wireless pada Pilihan Band

 Wireless terputus saat scanning
 Gunakan untuk memutuskan saluran yang dipilih
LAB Wirelless Tools untuk memilih Channel yang optimal

 Freq Usage (2) : lihat kualitas signal dengan simbol warna

biru (semakin besar yang menggunakan semakin minimal
kualitas jaringan.
 Wireless Snooper (4) : melihat pengguna frekuensi secara
detail.
REGISTRATION TABLE

 Menampilkan semua interface wireless ygn terhubung

 Atau koneksi access point jika router sebagai station
ACCESS LIST

 Menggunakan Access Point untuk mengijinkan koneksi station

 Mengidentifikasi MAC Address perangkat
 Konfigurasi agar Station dapat mengotentikasi ke Access Point
 Membatasi waktu ketika station dapat tersambung ke Access Point
Access List
Access List Access Point memfilter station mana saja yang boleh koneksi

 MAC Address station yang

difilter
 Batas kekuatas signal station
 Autentikasi koneksi
(boleh/tidak)
Default Authenticate

 Access List dapat berfungsi apabila wireless default authenticate di non

aktifkan (uncheck).
 Artinya by default station tidak akan bisa konek ke AP apabila tidak di allow
di Access List.
Connection List Connection List membatasi Ap mana saja yang boleh/tidak terkoneksi

 Interface wlan1 yang difungsikan sebagai station

 MAC Address AP yang terkoneksi
 Boleh/tidak koneksi dengan MAC diatas
 SSID yang dikoneksikan, jika kosong berarti any AP
 Security Profile, jika mengunakan silahkan pilih
Registration List

 Pada Access Point dan Station, Registered List berisi

data AP/station yang sedang terkoneksi.
 Untuk memudahkan filtering pada Access List dan
Connection List, menggunakan menu “Copy to Wireless  Registration  double klik
Access/Connect List”
pada Radio Name
MAC Filtering

 Access Point, dapat dilakukan pembatasan hak asesnya, dimana AP hanya bisa
dikonek oleh station yang sudah kita tentukan.
 Station, dapat dilock/dikunci agar terkoneksi dengan AP yang sudah ditentukan.
 MAC Filtering AP terdapat pada Access List
 MAC Filtering Station terdapat pada Connect List
Default Authentication

Agar bisa menggunakan MAC Filtering (Connection List / Access Lint)

maka Default Authenticate baik pada AP maupun station harus di
uncheck
LAB MAC Filtering

AP Bride Station
28.28.28.1/24 28.28.28.2/24

192.168.10.1/24 192.168.11.1/24

Peserta 1 Peserta 2
192.168.10.x/24 192.168.11.x/24
LAB MAC Filtering

 MAC Address Filtering agar koneksi point to point tidak mudah dikacaukan oleh
koneksi lain.
 Masukkan data MAC Address wireless partner ke list yang benar (Jika sebagai
Station masukkan kedalam Connect-List, apabila sebagai AP masukkan dalam
Access-List).
 Pada wireless AP, un-check default authenticate (agar tidak semua client bisa
teraouthentikasi secara otomatis).
 Test koneksi ke AP yang bukan pasangan, apa yang terjadi?
Default Forward

 Default forward (hanya dapat diseting pada Access Point)

 “biasanya didisable untuk alasan keamanan”.
 “Sesama station tidak dapat berkomunikasi, apabila default forward di
uncheck”
 Digunakan untuk mengijinkan/tidak komunikasi antar client/station yang
terkoneksi dalam 1 Access Point
LAB Default Forwarding
AP Bride

Station
28.28.28.1/24 28.28.28.2/24

192.168.10.1/24 192.168.11.1/24

Peserta 1 Peserta 2
192.168.10.x/24 Station Station 192.168.11.x/24

192.168.12.1/24 192.168.13.1/24

Peserta 3 Peserta 4
192.168.12.x/24 192.168.13.x/24

Pengujian : Lakukan Test Ping antar station ketika default forwarding kondisi “check”, dan “uncheck”
Nstreme

 Nstreme adalah protocol wireless proprietary Mikrotik

 Meningkatkan perfomance link wireless jarak jauh.
 Untuk konek fitur Nstreme harus diaktifkan baik di sisi AP maupun station
 Konfigurasi Nstreme hanya di sisi AP, client hanya meng-enable-kan saja
LAB – Nstreme

Setting Nstreme pada AP. Wireless  Nstreme Enable Nstreme (checklist)

Setting Nstreme pada station, Wireless  Nstreme Enable Nstreme (checklist)

Ujicoba : konek dengan laptop ke AP yang mengaktifkan feature Nstreme

 Firewall
 Firewall Rule
 Firewall Chain
 Firewall Action
 Address List
 Firewall Log
 Network Access Translation (NAT)
 Connection Tracking

FIREWALL Module 6
FIREWALL

 Untuk melindungi router dari luar, baik dari berasal dari WAN
(internet) maupun dari client (local).
 Untuk melindungi netwok dari netwok lain yang melewati router.
 Dalam MikroTik, firewall ada banyak fitur yang semuanya
dimasukkan dalam menu IP Firewall.
 Firewall basic di MikroTik ada di IP Firewall Filter Rule.
FIREWALL RULE

 Firewall rule bekerja dalam prinsip logika jika-maka (if-then)

 Setiap Firewall rule diorganisir dalam chain (rantai) yang berurutan.
 Setiap aturan chain yang dibuat akan dibaca oleh router dari atas ke bawah.
 Di Firewall Filter Rule ada 3 default chain (input, forward, output).
 Paket dicocokkan dengan kriteria/persyaratan dalam suatu chain, apabila cocok
paket akan melalui kriteria/persyaratan chain berikutnya/ di bawahnya.
Src. Address: Sumber IP (Client)
Dst. Address: Tujuan IP (Internet)

Protocol (TCP/UDP/ICMP, dll)

Source port (biasanya port dari client)
Destination port (service port tujuan)

Interface yang dipilih untuk trafik keluar dan masuk paket data

Paket data yang telah ditandai

FIREWALL CHAIN

 Input - digunakan untuk memproses paket memasuki router melalui salah satu
interface dengan alamat IP tujuan yang merupakan salah satu alamat router.
Chain input berguna untuk membatasi akses konfigurasi terhadap Router
Mikrotik.
 Forward - digunakan untuk proses paket data yang melewati router.
 Output - digunakan untuk proses paket data yang berasal dari router dan
meninggalkan melalui salah satu interface.
INPUT OUTPUT

FORWARD
FIREWALL ACTION

 Accept : paket diterima dan tidak melanjutkan membaca baris

berikutnya
 Drop : menolak paket secara diam-diam (tidak mengirimkan pesan
penolakan ICMP)
 Reject : menolak paket dan mengirimkan pesan penolakan ICMP
 Jump : melompat ke chain lain yang ditentukan oleh nilai parameter
jump-target
 Tarpit : menolak, tetapi tetap menjaga TCP connection yang masuk
(membalas dengan SYN/ACK untuk paket TCP SYN yang masuk)
 Passthrough : mengabaikan rule ini dan menuju ke rule selanjutnya
 log : menambahkan informasi paket data ke log
LAB INPUT : Protecting Our Router
Laptop 2

DROP Akses Winbox

Ether 3: 192.168.20.1/24
DHCP Server

Obtain IP

Laptop 1
Ether 2: 192.168.10.1/24

ACCEPT Akses Winbox

Static IP: 192.168.10.2

 Pengaturan IP Address pada router

Buatlah DHCP Server pada port yang dipakai

Static IP pada Laptop 1

Buatlah rule dengan chain input dari sumber IP 192.168.10.2 dan action accept
Buat lagi rule dengan chain input dan action drop

Susun rule seperti ini, logikanya hanya ip 192.168.10.2 yang diterima untuk mengakses router
dan ip yang lainnya di tolak
LAB Forward : Silent Blocking Content
ADDRESS LIST

 Address-list digunakan untuk memfilter group IP address dengan 1

rule firewall.
 Address-list juga bisa merupakan list IP hasil dari rule firewall yang
memiliki action “add to address list”
 Satu line address-list dapat berupa subnet, range, atau 1 host IP
address
LAB Address List
1. Dalam lab ini kita akan membuat blocking internet kepada client yang melakukan ping selama 20 detik
2. Client yang melakukan ping ke router akan di masukan ke address list yang akan di block

Langkah pertama kita akan membuat rule dimana rule ini akan mendaftarkan IP yang melakukan ping ke Address list
Langkah ke 2 Buatlah rule yang memblokir akses dari address list Block IP
FIREWALL LOG

FIREWALL LOGGING di gunakan untuk mencatat aktivitas mengarah ke

jaringan yang kita inginkan, seperti client PING ke router kita atau log
semua ping ke arah ke IP PUBLIC
Buat filter rule pada menu IP>Firewall>Filter Rules, untuk
logging dengan protokol ICMP
Ketika melakukan ping ke router maka akan ada
laporan pada log, dengan prefix sesuai yang kita
buat
NETWORK ACCESS TRANSLATION (NAT)

 NAT adalah suatu metode untuk menghubungkan banyak

komputer ke jaringan internet dengan menggunakan satu
atau lebih alamat IP.
 NAT digunakan karena ketersediaan alamat IP public.
 NAT juga digunakan untuk alasan keamanan (security),
kemudahan dan fleksibilitas dalam administrasi jaringan.
 Chain pada IP Firewall NAT
 srcnat, dengan action yang diperbolehkan:
 Masquarade – subnet LAN to 1 dinamic IP WAN
 Src-nat – subnet LAN to 1 static IP WAN
 Netmap – subnet LAN to different subnet WAN
 Same – subnet LAN to same subnet WAN

 dsnat (port fowarding), dengan action yang diperbolehkan:

 Dst-nat – membelokkan traffik ke luar router
 Redirect – membelokkan traffik ke router sendiri
LAB DstNat: Redirect ke Web Server Local

Ether 3
192.168.20.1/24

Web Server
Static IP: 192.168.20.2

192.168.10.0/24
• Install dan Jalankan program web server di laptop
• Buat rule pada IP>Firewall>NAT untuk redirect port 81 router ke IP laptop dan port 80
• Akses http://<ip ether3>:81 dari laptop
LAB DstNat: Static DNS
 Kita dapat memanipulasi cache DNS yang ada dengan static entry
pada tabel DNS.
 Misal apabila kita ping atau akses domain google.com maka akan
direply oleh IP address yang bukan milik google, diubah dengan IP
yang kita tentukan sendiri
 Caranya adalah sebagai berikut:
 Set agar router kita menjadi DNS server
 Set Primary DNS di router kita
 Set static DNS untuk domain yang ingin kita buat static
 Buat rule dst-nat agar setiap traffik DNS dibelokkan ke router kita
LAB DstNat: Transparent DNS Nawala
 Transparent DNS memaksa user untuk akses DNS server tertentu
 Buatlah rule baru pada menu IP>Firewall>NAT , redirect protocol TCP
dan UDP port 53 ke IP port DNS Nawala 180.131.144.144.
CONNECTION TRACKING

 Connection tracking mempunyai kemampuan untuk melihat informasi koneksi seperti source dan
destinition IP dan port yang sedang digunakan, status koneksi, tipe protocol, dll.
 Status koneksi pada connection tracking:
 Estabilished: paket bagian dari yang di kenali.
 New: paket memulai koneksi baru dan belum terkoneksi kedua arah.
 Related: paket memulai koneksi baru tetapi dikaitkan dengan koneksi yang ada, seperti transfer data ftp
atau pesan kesalahan icmp.
 Invalid: paket bukan milik koneksi yang di kenal dan pada saat yang sama tidak memberikan koneksi yang
baru valid.
IMPLEMENTASI CONNECTION TRACKING

 Pada saat membuat firewall, pada baris paling atas umumnya akan dibuat rule
sebagai berikut:
 Connection state invalid = Drop
 Connection state established = Accept
 Connection state related = Accept
 Connection state new = Diproses ke rule berikutnya

 System rule ini akan sangat menghemat resource router, karena proses filtering
selanjutnya akan dilakukan ketika koneksi dimulai (connection state = new)
LAB Connection Tracking

Buatlah rule seperti di gambar bawah ini

 Quality of Services
 Speed Limiting
 Simple Queue
 Torch
 Guaranteed Bandwidth
 Burst
 Per Connection Queuing (PCQ)

QOS Module 7
QOS

 Adalah kinerja maksimal keseluruhan jaringan, terutama dilihat dari sisi pengguna jaringan
 RouterOS mengimplementasikan beberapa metode QoS, seperti membatasi lalu lintas akses jaringan,
memprioritaskan lalu lintas, dsb.
SPEED LIMITING

 Tidak bisa Kendali langsung atas trafik/lalu lintas yang masuk

 Tetapi Memungkinkan menurunkan paket yang masuk
RATE LIMIT

Pada RouterOS dikenal 2 jenis batasan:

 CIR (Commited Information Rate) – dalam kondisi terburuk, client akan mendapatkan bandwith sesuai dengan
“limit-at” (dengan asusmi bandwith yang masih tersedia cukup untuk CIR semua client).
 MIR (Maximal Information Rate) – jika masih ada bandwith yagn tersisa setelah semau client mencapai “limit-
at”, maka client bisa mendapat bandith tambahan hingga “max-limit”
SIMPLE QUEUE

 Bandith Limit dapat digunakan untuk membatasi kecepatan download, upload client.
 Simple queue dapat mengatur pembatasan bandwith pada target dengan parameter IP Addres/Interfaces.
 Bandwith Limit dapat dilakukan melalui wireless acces list, ppp secret dan hotspot user.
LAB Simple Queue

 Buatlah bandwith limit dari laptop anda pada “Target” dengan IP : 192.168.28.xx
 Atur upload speed pada Max Limit : target upload : 256k, target download : 512k
 Buka website www.mikrotik.com/dwonload kemudian download RouterOS yang
tersedia
 Perhatikan kecepatan downloadnya

Langkah Pengujian :
* Simple Queue “Perhatikan Warnanya”  merah menandakan penggunaan besar
TORCH

Tool  Torch
GUARANTEED BANDWIDTH

 Digunakan untuk memastikan bahwa client akan selalu

mendapatkan bandwith minimum
Queues Simple Queue  Edit  Advanced  Lalu lintas diberikan kepada client yang pertama datang
pertama dilayani
 Pengendalian menggunakan parameter limit-at

Client memiliki jaminan bandwith

1Mbit Download dan Upload
Guaranteed Actual
bandwith bandwith
BURST

 Digunakan untuk menerima rate data tinggi untuk waktu yang singkat
 Berguna untuk trafic HTTP – kecepatan loading halaman web
 Untuk download file, max limit masih berlaku
 Burst Limit – maksimal
upload/download rate data yang
dapat dicapai

Burst Treshold – ketika rata-rata rate

data melebihi / turun dibawah
ambang batas, burst akan
mematikan / menghidupkan

Burst Time – menghitung rata-rata

waktu yang digunakan
LAB Burst

 Ubah queue yang dibuat pada LAB

sebelumnya
 Atur Burst Limit menjadi 4M untuk upload
dan download
 Atur Burst Treshold menjadi 2M untuk
upload dan download  Buka www.mikrotik.com , Perhatikan
 Atur Burst Time menjadi 16s untuk upload bagaimana kecepatan akses loading halaman
dan download tersebut
 Download RouterOS Versi terbaru dari
halaman Mikrotik download
 Perhatikan kecepatan download dengan tool

1 torch

2
PER CONNECTION QUEUING (PCQ)
Queues Queue Types  Add

PCQ akan membuat sub-queue, berdasarkan parameter

pcq-clasifier (src-address, dst-address, src-port, dst-port)

Dimungkinkan untuk membatasi maksimal data rate untuk

setiap sub-queue (pcq-rate) dan jumlah paket data (pcq-
limit)

Total ukuran queue pada PCQ-sub-queue tidak bisa

melebihi jumlah paket sesuai pcq-total-limit
Contoh penggunaan PCQ

PCQ Rate = 128

PCQ Rate = 0
LAB PCQ

192.168.28.1

192.168.28.2 192.168.28.3 192.168.28.4 192.168.28.5

64k – download 64k – download 64k – download 64k – download
32k - upload 32k - upload 32k - upload 32k - upload

1. Buat Mark Packet upload dan download

2. Buat 2 PCQ queue type (1 untuk download dan 1 untuk upload
3. Buat 1rule simple queue
Langkah 1 :
Buat mark paket untuk Upload Client
* Set Chain=prerouting
* In-Interfaces=ether2-LAN

* Set Action=mark paket

* New Paket Mark=Client_Upload

IP Firewall  Mangle  add

Langkah 2 :
Buat mark paket untuk Dwonload Client
* Set Chain=prerouting
* In-Interfaces=ether1-WAN

* Set Action=mark paket

* New Paket Mark=Client_Downlaod

IP Firewall  Mangle  add

Langkah 3 :
• Buat Queue Types untuk PCQ_Upload
• Buat Queue Types untuk PCQ_Download

Queue  Queue Types  Add

Langkah 4 :
Buat Simpe Queue
Set :
Packet Mark
• Client_Download (dari Firewall Mangle)
• Client_Upload (dari Firewall Mangle)
Queue Types
• PCQ_Upload (dari Queue Types)
• PCQ_Download (dari Queue Types)

Set
Target=192.168.28.0/24 (Network LAN)

Langkah Pengujian : * Gunakan Tool  Torch

* Perhatikan nilai total TX/RX nya
 Point to Point Protocol (PPP)
 Point to Point Tunneling Protocol (PPTP)
 Secure Socket Tunneling Protocol (SSTP)

TUNNELING Module 8
Tunnel
 Tunnel adalah sebuah metode penyelubungan (encapsulation) paket data ke jaringan
 Sebelum di kirim, paket data mengalami sedikit modifikasi, yaitu penambahan headre dari tunnel
 Ketika data sudah melewati tunnel dan sampai di tujuan (ujung) tunnel, maka header dari paket data akan
dikembalikan seperti semula (header tunnel dilepas)

Link to ISP Link to ISP

Server Server

Site to Site VPN Virtual Point to Point Link

VPN
 VPN dibentuk dari beberapa tunnel yang
digabung
 VPN merupakan sebuah cara aman untuk
mengakses local area network dengan
menggunakan internet atau jaringan
publik
 Tunnel atau terowongan merupakan
kunci utama pada VPN, koneksi pribadi
dalam VPN dapat terjadi dimana saja
selama terdapat tunnel.
 Tunnel Pada Mikrotik

 Terdapat type tunnel yaitu : PPTP, L2TP, PPPoE, EoIP, SSTP, OpenVPN, dll
 Kita dapat melihat virtual interface dengan menambahkan item pada interface list
 EOIP

 Tunnel yang paling sederhana dari MikroTik yaitu EoIP (Ethernet over IP)
 EoIP merupakan protokol proprietary untuk membangun bridge dan tunnel antar
router MikroTik, dimana interface EoIP akan dianggap sebagai ethernet.
 EoIP menggunakan encapsulation Generic Routing Encapsulation (IP Protocol No.
47)
 EoIP tidak menggunakan enkripsim jadi tidak disarankan digunakan untuk
transmisi data yang membutuhkan tingkat keamanan yang tinggi.
 Identifikasi tunnel menggunakannTunnel ID
 MAC Address diantara interfaces EoIP harus berbeda
 LAB – EOIP - Brigding

Internet

IP Public 28.28.28.1 IP Public 28.28.28.2

Kantor A Kantor B

EoIP Tunnel

Bridge 192.168.28.1 192.168.28.3

192.168.28.2 192.168.28.4
ROUTER 1

• Remote Addrres=IP
Public Lawan
• Tunnel ID=harus sama
Buatkan interface bridge

Buatkan 2 interface
- Eoip + bridge
- Ether1 + bridge

Tambahkan IP Address bridge

 LAB – EOIP - Routing

Internet

IP Public 28.28.28.1 IP Public 28.28.28.2

Kantor A Kantor B

EoIP Tunnel
10.10.10.1/24 10.10.10.2/24

192.168.28.0/24 192.168.29.0/24
Kantor A

Kantor B
PPP

 PPP digunakan untuk membangun tunnel (koneksi langsung) diantara dua node
 PPP dapat menyediakan autentikasi koneksi, enkripsi dan kompresi
 Untuk menjalankan koneksi PPP, mikrotik RouterOS harus memiliki interface sertial, line telfon (RJ11), atau
modem seluler.
 Untuk membentuk koneksi PPP yatu dengan dial up ke nomor telpon tertentu ke ISP (misal nomo *99***1#)
kemudian ppp baru dapat ip address untuk koneksi internet
 MikroTik dapat digunakan sebagai PPP server dan atau PPP client.
PPPOE

 Point-to-Point Protocol over Ethernet (PPPoE) merupakan protokol layer 2 yang dapat digunakan untuk
mengontrol akses ke jaringan
 Menyediakan authentikasi, enkripsi dan kompresi
 PPPoE dapat digunakan untuk membagikan IP Address kepada Client
 Kebanyakan sistem operasi desktop memiliki PPPoeE client terinstall secara default
 RouterOS mendukung keduanya PPoE client dan PPPoE server
 PPPoE biasanya digunakan untuk jasal layanan ADSL untuk menghubungkan modem ADSL (kabel modem) di
dalam jaringan Ethernet (TCP/IP)
 Tahap awal dari PPPoE, yaitu PADI (PPP Active Discovery Initiation). PADI mengirimkan paket broadcast ke
Jaringan untuk mencari dimana lokais Access Concentrator di sisi ISP.
 Tahapan Koneksi PPPoE

 PADI (PPP Active Discovery Inititation), disini PPoE client mengirimkan paket broadcast ke jaringan dengan
alamat pengiriman MAC Address FF:FF:FF:FF:FF:FF. PPPoE client mencari dimana lokasi PPoE server dalam
jaringan.
 PADO (PPP Active Discovery Offer). merupakan jawaban dari PPoE server atas PADI yang didapatkan
sebelumnya. PPPoE server memberikan identitas berupa MAC Addressnya.
 PADR (PPP Active Discovery Request). Merupakan confirmasi dari PPoE client ke server. Disini PPoE client
sudah dapat menghubungi PPoE server menggunakan MAC Adressnya, berbeda dengan paket PADI yang
mesih berupa broadcast.
 PADS (PPP Active Discovery Session-confirmation), dari PPoE server ke client. Session-confirmation disini
berarti ada session ID yang dieberikan oleh server kepada client. Pada tahap ini terjadi negosiasi Username,
paddword dan IP Address.
 PADT (PPP Active Discovery Terminate), bisa dikirim dari server atau client, ketika salah satu ingin mengakhiri
koneksi.
PPPOE SERVER

• Ubah Service Name

• Pilih Interface
• Pilih Profile
• Pilih Authentication Protocols

PPP  PPPoE Server  Add

PPPOE CLIENT (ROUTER SEBAGAI PPOE CLIENT)

Atur Name

• Atur User (sesuai

pemberian ISP)
• Atur Password
(sesuai pemberian
ISP)

Interface  Add  PPPoE Client  Add

LAB - PPPoE
ISP R1

28.28.28.1/24

28.28.28.2/24 R2

192.168.28.1/24

Client

OS Windows8
Konfigurasi PPPoE Server (Pada Router 1)
1. Sambungkan ke internet melalui Eth1
2. Sambungan PPPoE Server untuk ke Client melalui Eth2
3. Setting IP Address Eth2 = 28.28.28.1/24
4. Setting IP Pool, Name=PPPoE Pool, Address=28.28.28.2-28.28.28.10
5. Tambahkan PPP Profil, Name=Profil PPPoE, Local Address=28.28.28.1 (IP Address
Eth2), Remote Address=PPPoE Pool
6. Tambahkan PPP Secret, Name=DosQ1, Password=28, Service=pppoe, Profile=Profil
PPPoE  (untuk ke Router2)
7. Tambahkan PPP Secret, Name=DosQ2, Password=28, Service=pppoe, Profile=Profil
PPPoE  (untuk ke Client)
8. Tambahkan PPP PPPoE Server, Service Name=PPPoE Server, Interfaces=eth2
9. Tambahkan Firewall NAT, Chain=srcnat, Src.Address=28.28.28.0, Out.Interface=eth1,
Action=masquerade
Konfigurasi PPPoE Client (Pada Router 2)
1. Sambungkan PPPoE melalui Eth1, sambungan untuk ke Client melalui Eth2
2. Tambahkan PPPoE Client:
• PPP Interfaces (+), PPPoE Client
• General, Name=PPPoE DosQ, Interfaces=eth1
• Dial Out, User=DosQ1, Password=28
3. Setting DNS, Server=8.8.8.8, 8.8.4.4, Allow-remote-request=yes
4. Atur Firewall NAT, Chain=srcnat, Out.Interfaces=PPPoE DosQ, Action=masquerade
5. Buatakan koneksi untuk ke computer Client
Konfigurasi PPPoE Client (Pada Client Windows)
1. Buka Network Connection
2. Setup a new connection or network  connect to the internet
3. Set up a new connection anyway
4. Broadbacd (PPPoE), Username=DosQ2, Password=28, Connection
Name=“bebas”
PPTP

 PPTP membentuk tunnel PPP antar IP menggunakan protocol TCP dan GRE (Generic Routing Encapsulation)
 PPTP secure, karena menggunakan enkripsi MPPE (Microsoft Point-toPoint Encryption) panjang encrypts 40
dan 128.
 PPTP menggunakan port TCP 1723
 PPTP banyak digunakan karena hampir semua OS dapat menjalankan PPTP client.
 PPTP adalah tunnel tipe client server, dimana PPTP server lebih banyak melakukan konfigurasi untuk setiap
client yang ingin konek
Mengaktifkan PPTP Server

Aktifkan PPTP Serverpada menu PPP 

Interface  PPTP Server (Enable)
PPP Secret

 Semua koneksi yang menggunakan protokol PPP selalu melibatkan authentikasi

username dan password
 Secara lokal, username dan password disimpan dan diatur pada bagian PPP Secret
 Username dan password ini juga dapat disimpan dalam RADIUS server terpisah
 PPP Secret (database local PPP) menyimpan username dan password yang akan
digunakan oleh semua pptp clientnya.
 Selain digunakan untuk PPTP client, PPP secret juga dapat digunakan untuk
protokol ppp lainnya seperti : async, l2tp, openvpn, pppoe, pptp, dan sstp.
PPP Secret

Username dan password

untuk DosQ

Service bisa pilih pptp

atau any (all service) IP yang akan dibuat untuk
komunikasi tunnel point to
pint antara server dan client
DosQ

- Local address=IP yang

akan digukanan di server
- Remote address=IP yang
akan diberikan kep client
PPP Client

Connect to=IP Public dari PPTP

Server

Username dan password=yang

sudah dibuat di pptp server

Interface  Interface  (+) PPTP Client

LAB – PPTP – Mikrotik to Mikrotik

Internet

IP Public 28.28.28.1 IP Public 28.28.28.2

Kantor A PPTP Tunnel Kantor B

10.10.10.1 10.10.10.2
PPTP Server PPTP Client
LAN 192.168.128.0/24 LAN 192.168.129.0
 Kantor A
- Aktifkan PPTP Server,
- Buatkan PPP Secret; name=DosQ, password=28, Profile=default-encryption,
Local Address=10.10.10.1, Remote Address=10.10.10.2
 Kantor B
- Buaktan interfaces PPTP client  Dial Out; Connect To=28.28.28.1 (IP Public),
User=DosQ, Password=28, Profile=default-encryption
 Buatkan Routing
- Router A (Kantor A); Src.Address=192.168.129.0/24, Gateway=10.10.10.2
- Router A (Kantor A); Src.Address=192.168.128.0/24, Gateway=10.10.10.1
LAB – PPTP – Komputer OS Windows to Mikrotik

Internet

IP Public 28.28.28.1

Kantor A PPTP Tunnel

10.10.10.1 10.10.10.2
PPTP Server PPTP Client LAN IP Privat
LAN 192.168.128.0/24
PPTP Client pada Komputer (OS Windows)
Konfigurasi PPTP Server sama dengan sebelumnya, tambahkan 1 PPTP Secret
• Internat Address=IP Addeess
Public
• Destination name=“bebas”
User name=Nama user dan
Password=“...” (sesuai pada PPP
Secret yang dibuat sebelumnya)
SSTP

SSTP (Secure Socket Tunneling Protocol) adalah bentuk VPN tunnel

yang menyediakan mekanisme untuk mengirimkan traffic PPP atau L2TP
melalui sebuah saluran SSL 3.0. SSL menyediakan transport-level
security dengan key-negotiation, enkripsi dan traffic integrity checking.
Penggunaan SSL melalui port TCP 443 mengizinkan SSTP untuk
melewati secara virtual semua firewall dan proxy server
IP Public
AA.BB.CC.DD

Tunneling VIA SSTP

10.20.30.0/24

192.168.10.0/24 IP Public
WW.XX.YY.ZZ
LAB SSTP
Langkah 1 :
Buat IP Pool untuk SSTP Client
Ip pool add
Langkah 2 :
Buat Konfigurasi PPP untuk SSTP Server
Di router
Langkah 3 :
Buat User Name dan Password untuk client
Di menu PPP Secret
Langkah 4 :
Buat certificate untuk authoritize
server dan client
Pada menu System > Certificate
Setelah membuat certificate
lakukan sign sertificate lewat terminal di router
Export Certifikat yang telah di buat untuk di pasang di sisi client
Lakukan Drag and Drop ke Windows Explorer
Langkah 5 :
Di sisi client yang terkoneksi internet
Buka console root untuk memasang
Certificate client dan CA
yang telah di buat di router

Ikuti langkah pada wizard setting import certificate

Langkah 6 :
Buatlah koneksi VPN pada sisi Client
Dengan tipe SSTP Connection

IP Public SSTP Server

Langkah 7 :
Lakukan koneksi ke VPN yang telah
di buat

SSTP Client dan SSTP server Berhasil Terhubung

THANK’S
MikroTik Academy SMK Muhammadiyah 2 Kuningan
CONTACT
Udin Tahriludin, M.Kom Jajat Sudrajat, S.Pd Dwipinulur, S.Pd

Ut.smkm2@gmail.com adyakha@gmail.com dwpnlr@gmail.com

+62 852 2446 6124 +62 812 1400 0040 +62 813 2091 2750

www.mikrotik.smkm2-kuningan.sch.id