Certified MikroTik Trainer at MikroTik Academy Certified MikroTik Trainer at MikroTik Academy Certified MikroTik Trainer at MikroTik Academy
SMK Muhammadiyah 2 Kuningan SMK Muhammadiyah 2 Kuningan SMK Muhammadiyah 2 Kuningan
Computer Networking & Software Development Computer Networking & Software Development Computer Networking & Software Development
Teacher at SMK Muhammadiyah 2 Kuningan Teacher at SMK Muhammadiyah 2 Kuningan Teacher at SMK Muhammadiyah 2 Kuningan
Computer Networking
Lecture at STKIP Muhammadiyah Kuningan
PERKENALAN
Nama
Unit Kerja/Kegiatan Sehari Hari
Pengalaman Menggunakan MikroTik
Pengalaman Tentang Jaringan
Harapan dari Training di MikroTik Academy SMK Muhammadiyah 2 Kuningan
SSID : MikroTikAcademy.dosq28
Password : d05q28kn6
Untuk training dan ujian MTCNA peserta harus teregistrasi di official web mikrotik
Registrasi account di www.mikrotik.com, pada menu account isi semua form yang
disediakan
Pastikan nama anda ditulis lengkap dalam profil, karena otomatis akan tercetak
dalam sertifikat.
Informasikan email anda ke instruktur, karena peserta harus mendapat
invitation/undangan dari instruktur.
GAMBARAN UJIAN MTCNA
• Sertifikasi berjenjang, jika belum lulus MTCNA belum bisa mengikuti ujian ke level selanjutnya
• Masa berlaku sertifikat selama 3 tahun, bisa diperpanjang dengan mengikuti ujian kembali
Module 1: Introduction
Module 2: DHCP
Module 3: Bridging
Module 4: Routing
Module 5: Wireless
Module 6: Firewall
Module 7: QoS
Module 8: Tunnels
Hands on LABs during each module
INTRODUCTION Modul 1
Didirikan Tahun 1996
1996, 1997 & 2002 1997 Lahirnya RouterOS
2002 Membuat RouterBoard
MikroTik RouterOS™ adalah sistem operasi dan perangkat lunak yang dapat digunakan untuk menjadikan
komputer menjadi router network, mencakup berbagai fitur yang dibuat untuk ip network dan jaringan wireless,
cocok digunakan oleh ISP dan provider hotspot. Karakteristik MikroTik Router OS adalah:
Operating sistem yang bisa diinstall di PC dan Berbasis Linux.
Diinstall sebagai SistemOperasi.
Biasanya diinstall pada power PC.
ROUTERBOARD
RB951 1. RB=RouterBoard
2. Seri atau Kelas Router
KodeLain ada di belakang tipe 3. Jumlah Ethernet
4. Jumlah Mini PCI atau wireless
U - dilengkapi port USB
A - Advanced, biasanya diatas lisensi level 4
H - Hight Performance, processor lebih tinggi
R - dilengkapi wireless card embedded.
G - dilengkapi port ethernet Gigabit
2nD – dual channel
ARSITEKTUR ROUTERBOARD
Mikrotik RouterBoard memiliki beberapa jenis arsitektur yang berbeda berdasarkan hardware dan versi. Setiap
versi harus di-install dengan software RouterOS yang tepat. Berikut adalah arsitektur yang dimiliki Mikrotik:
MIPSBE untuk arsitektur CRS series, RB4xx series, RB7xx series, RB9xx series, RB2011 series, SXT, OmniTik,
Groove, METAL, SEXTANT
x86 untuk arsitektur PC / X86, RB230 series
PPC untuk arsitektur RB3xx series, RB600 series, RB800 series, RB1xxx series
MIPSLE untuk arsitektur RB1xx series, RB5xx series, RB Crossroads
TILE untuk arsitektur CCR series
TCP/IP
Internet Protocol adalah sebuah aturan atau standar yang mengatur atau mengijinkan terjadinya hubungan,
komunikasi, dan perpindahan data antara dua atau lebih titik komputer.
Tugas Internet Protocol
Melakukan deteksi koneksi fisik.
Melakukan metode “jabat-tangan” (handshaking).
Negosiasi berbagai macam karakteristik hubungan.
Mengawali dan mengakhiri suatu pesan/session.
Bagaimana format pesan yang digunakan.
Mengkalkulasi dan menentukan jalur pengiriman.
Mengakhiri suatu koneksi.
OSI LAYER MODEL
Tidak adanya suatu protokol yang sama, membuat banyak perangkat tidak bisa
saling berkomunikasi.
Open System Interconnection atau OSI layer 7 adalah model arsitektural jaringan
yang dikembangkan oleh International Organization for Standardization (ISO) di
Eropa tahun1977.
Sebelum ada OSI, sistem jaringan sangat tergantung kepada vendor pemasok
perangkat jaringan yang berbeda-beda.
Model Osi layer 7 merupakan koneksi logis yang harus terjadi agar terjadi
komunikasi data dalam jaringan.
PROTOKOL
MAC Address (Media Access Control Address) adalah alamat jaringan pada lapisan
data-link (layer 2) dalam OSI 7 Layer Model.
Dalam sebuah komputer, MAC address ditetapkan ke sebuah kartu jaringan
(network interface card/NIC).
MAC address merupakan alamat yang unik yang memiliki panjang 48-bit.
MAC terdiri atas 12 digit bilangan heksadesimal (0 s/d F), 6 digit pertama
merepresentasikan vendor pembuat kartu jaringan.
Contoh MAC Address : 02-00-4C-4F-05-50.
IP ADDRESS
Dari 4 milyar IP address, tidak mungkin diberikan ke satu internet provider saja.
Alamat IP didesain untuk digunakan secara berkelompok (sub-jaringan/subnet).
Subneting adalah cara untuk memisahkan dan mendistribusikan beberapa IP
address.
Host/perangkat yang terletak pada subnet yang sama dapat berkomunikasi satu
sama lain secara langsung (tanpa melibatkan router/routing).
Apabila jaringan
dianalogikan sebuah jalan,
apabila disepanjang jalan
cuma ada 4 rumah, ketua RT
mengumumkan sesuatu dari
rumah ke rumah lewat jalan
itu.
Apabila sepanjang jalan
sudah penuh rumah butuh
ada gang-gang. Butuh ada
ketua RT tiap gang untuk
meminimalis transportasi
saat pengumuman dan
mengatur urusan RTnya
sendiri
Subnet ditulis dalam format 32 bit (seperti IP), atau dalam bentuk desimal (prefix Length)
Network ID dan IP Broadcast
Dalam kelompok IP
address atau satu subnet
ada 2 IP yang sifatnya
khusus
Network ID : identitas suatu
kelompok IP / Subnet.
Broadcast : alamat IP yang
digunakan untuk memanggil
semua IP dalam satu
kelompok.
Perhitungan Subnetting
Subnetting IP Kelas C Tentukan Range IP, IP Host , Network ID, Broadcast
dan subnet Masknya dari IP 28.28.28.20:
jumlah IP dalam subnet:
Gunakan Rumus 2(32-30) = 22 = 4
Range IP
Range IP dicari berdasarkan kelipatan Jumlah
IPnya (kelipatan 4):
28.28.28.0 s/d 28.28.28.3
28.28.28.4 s/d 28.28.28.7,
(8-11),(12-15)…terus sampai (252-255)
11.11.11.11/26 99.99.99.99/25
22.22.22.22/28 100.100.100.100/27
33.33.33.33/25 111.111.111.111/30
44.44.44.44/29 122.122.122.122/25
55.55.55.55/27 133.133.133.133/28
66.66.66.66/28 144.144.144.144/24
77.77.77.77/30 155.155.155.155/26
88.88.88.88/31 166.166.166.166/29
Latihan Berhitung Subnetting IP Kelas B
Tentukan Range IP, IP Host , Network ID, Broadcast dan subnet Masknya dari
11.11.11.11/23
22.22.22.22/21
33.33.33.33/20
44.44.44.44/22
55.55.55.55/18
IP PRIVAT
Berdasarkan jenisnya IP address dibedakan menjadi IP Public dan IP Private.
IP Public adalah IP addres yang digunakan untuk koneksi jaringan global (internet) secara langsung dan bersifat unik.
IP Private digunakan untuk jaringan lokal (LAN) Alokasi IP Privat adalah sbb:
Untuk mengakses
routerOS bisa Aplikasi winbox bisa
menggunakan MAC kita download dari
atau IP address pada webfig atau dari
RouterBoard dengan website
default login : “admin” www.mikrotik.com/do
wnload secara gratis.
LAB WEBFIG Cara mengakses webfig
adalah dengan
memanggil IPaddress
Ethernet yang
terhubung langsung
dengan PC/Laptop atau
mengakses default IP
192.168.88.1 pada
Ethernet 1 jika belum
melakukan konfigurasi
IP address
http://<iprouter>
LAB CLI VIA PUTTY
Ip router dan port
LAB API VIA ANDROID
Ip router dan port
APPLICATION
PROGRAMMABLE
INTERFACE
Fitur-fitur RouterOS ditentukan oleh level lisensi yang melekat pada perangkat.
Level dari lisensi juga menentukan batasan upgrade packet.
Lisensi melekat pada storage/media penyimpanan (ex. Hardisk, NAND, USB, Compact Flash).
Bila media penyimpanan diformat dengan non MikroTik, maka lisensi akan hilang.
LISENSI DAN BATASAN UPGRADE VERSI
Versi
Fitur-fitur MikroTik selain ditentukan oleh lisensi yang
digunakan, juga ditentukan oleh versi dari MikroTik
yang terinstall.
Pada RouterOS, versi MikroTik dapat dilihat dari
paketyang terinstall.
Paket yang terinstall menunjukkan fitur apa saja yang
didukung oleh RouterOS.
Untuk melihat paket bisa di temukan di menu system
> packages
Untuk melihat fitur keseluruhan pada router OS bisa
mengakses situs:
“http://wiki.mikrotik.com/wiki/Manual:System/Packages”
LAB Paket
Downgrade dilakukan apabila hardware kurang mendukung terhadap versi baru atau terdapat bug pada versi
aktifnya.
Upgrade paket harus memperhatikan aturan level dan lisensi yang berlaku.
Upgrade dan downgrade juga harus memperhatikan kompatibilitas terhadap jenis arsitektur hardware.
LAB Upgrade & Downgrade
Paket yang akan diinstall (versi lama/baru) harus diupload terlebih dahulu ke router pada bagian file.
Upload dapat dilakukan dengan drag-and drop (via winbox), ataupun via FTP client.
Drag and drop menggunakan protocol winbox (tcp port 8291) untuk koneksi IP dan menggunakan frame
untuk koneksi mac address.
Apabila upload menggunakan FTP, pastikan semua packet terupload di folder utama, bukan di sub folder.
Ekstensi file untuk paket adalah *.npk
Untuk mengeksekusi upgrade, router harus direboot.
Untuk upgrade juga bisa melalui fitur “check for upgrade” via winbox atau webfig
INSTALASI ROUTEROS
Pastikan interface
Router terbaca
Langkah 3
- Klik Install
- Tunggu hingga muncul tulisan
Installation finished successfully
Langkah 2
- Pilih lokasi file RouterOS .npk
- Checklist kotal routeros-mipsbe
IP SERVICES
API : Application Programmable Interface, sebuah service yang mengijinkan user membuat custom software atau aplikasi yang berkomunikasi dengan
router, misal untuk mengambil informasi didalam router, atau bahkan melakukan konfigurasi terhadap router. Menggunakan port 8728.
API-SSL : Memiliki fungsi yang sama sama seperti API, hanya saja untuk API SSL lebih secure karena dilengkapi dengan ssl certificate. API SSL ini berjalan
dengan menggunakan port 8729.
FTP : Mikrotik menyediakan standart service FTP yang menggunakan port 20 dan 21. FTP biasa digunakan untuk upload atau download data router,
misal file backup. Authorisasi FTP menggunakan user & password account router.
SSH : Merupakan salah satu cara remote router secara console dengan secure. Hampir sama seperti telnet, hanya saja bersifat lebih secure karena data
yang ditrasmisikan oleh SSH dienskripsi. SSH MikroTik by default menggunakan port 22.
Telnet : Memiliki fungsi yang hampir sama dengan ssh hanya saja memiliki beberapa keterbatasan dan tingkat keamanan yang rendah. Biasa digunakan
untuk remote router secara console. Service telnet MikroTik menggunakan port 23.
Winbox : Service yang mengijinkan koneksi aplikasi winbox ke router. Tentu kita sudah tidak asing dengan aplikasi winbox yang biasa digunakan untuk
meremote router secara grafik. Koneksi winbox menggunakan port 8291.
WWW : Selain remote console dan winbox, mikrotik juga menyediakan cara akses router via web-base dengan menggunakan browser. Port yang
digunakan adalah standart port HTTP, yaitu port 80.
WWW-SSL : Sama seperti service WWW yang mengijinkan akses router menggunakan web-base, akan tetapi www-ssl ini lebih secure karena
menggunakan certificae ssl untuk membangun koneksi antara router dengan client yang akan melakukan remote. By default menggunakan port 443.
LAB IP SERVICES
Full --> user yang memiliki akses ini merupakan user dengan pangkat tertinggi, yang dapat melakukan
konfigurasi seperti menghapus konfigurasi, menambahkan konfigurasi, sampai dengan menambahkan user
baru ke dalam sistem Mikrotik.
Write --> user ini memiliki akses konfigurasi seperti pada user yang memiliki akses full, namun tidak dapat
menambahkan user baru, dan juga tidak dapat melakukan proses backup konfigurasi.
Read --> user dengan akses ini hanya mampu melakukan monitoring pada sistem, tidak mampu melakukan
konfigurasi seperti pada user dengan level Write maupun Full.
Buatlah 4 User dengan berbeda
hak akses
• Username: admin;
Group: full
• Username: JK-Rowling;
Group: write
• Username: RD-Katy;
Group: read
• Username: Sakti; Group:
rebooter; Allowed
Address: 192.168.10.0/24
(Network IP ether2) atau
sesuaikan dengan
Network IP yang anda
buat untuk port yang
dipakai untuk mengakses
Router.
NB: Jangan Lupa Buat Password
di setiap User
MIKROTIK NEIGHBOR DISCOVERY PROTOCOL (MNDP)
MNDP memudahkan konfigurasi dan manajemen jaringan dengan memungkinkan setiap router MikroTik
untuk mendeteksi MikroTik lainnya yang terhubung langsung
MNDP fitur:
Bekerja pada layer 2
Bekerja pada semua non-dinamic interface
Mendistribusikan informasi dasar
MNDP dapat berkomunikasi dengan CDP (Cisco Discovery Protocol).
Disarankan untuk tidak memancarkan MNDP ke interface yang mengarah kejaringan public.
LAB MNDP
Import
LAB Export dan Backup
Buatlah backup konfigurasi dengan perintah backup dan export.
Pindahkan file backup dan rsc ke komputer/ laptop.
Coba buka dan edit file backup dan file rsc tersebut
LAB INTERNET
NAT
Wlan1 28.28.28.0/24
Ether1 192.168.10.0/24
SETTING IP LAN PC
DHCP Module 2
DHCP
ARP (Address Resolution Protocol) adalah sebuah protokol dalam TCP/IP Protocol Suite yang
bertanggungjawab dalam melakukan resolusi alamat IP ke dalam alamat Media Access Control (MAC
Address)
Fungsinya ARP adalah untuk meningkatkan keamanan. Dalam mikrotik, masukan ARP bisa didapat secara
dynamic. Namun untuk meningkatkan keamanan, kita dapat memasukkan ARP static secara manual.
Bridge
Wireless Bridge
Bridge Firewall
BRIDGE Module 3
BRIDGE
Bridge bekerja pada level data link layer (Layer 2) pada model jaringan OSI.
Bridge juga dapat digunakan untuk menggabungkan dua buah media jaringan
yang berbeda atau dua buah arsitektur jaringan yang berbeda.
Fungsi bridge yaitu memisahkan suatu paket data yang harus dikirimkan pada
jaringannya sendiri atau pada jaringan yang lain, apabila kedua jaringan
terhubung.
192.168.10.6
192.168.10.5
192.168.10.1
192.168.10.3 192.168.10.4
192.168.10.2
Bridge
192.168.10.1
Bridge Bridge
Wireless mode:
1. Station bridge
192.168.10.4 2. Station
3. Station pseudobridge
4. Station pseudobridge clone
BRIDGE FIREWALL
Bridge firewall berfungsi untuk menggabungkan beberapa jaringan ke satu jaringan dengan menggunakan MAC
address
Bridge firewall juga bisa digunakan untuk memisahkan satu segmen jaringan menjadi terpisah
Bridge filrewall berfungsi untuk mengatur aliran data packet melalui dari interface bridge melalui router dengan
menggunakan 2 cara yaitu
Bridge firewall filter Rule
Input
Ouput
forward
Brigde Firewall NAT
Dst-nat
Src-nat
Routing
Gateway
Route Flags
Static Routing
ROUTING Module 4
ROUTING
192.168.10.0/24
20.21.22.0/24
192.168.100.0/24 32.74.100.0/24
internet
Wireless Connection
28.28.28.1/24
192.168.20.2/24
192.168.10.2/24
28.28.28.2/24
R1
R2
192.168.10.1/24 Wireless Mode: 192.168.20.1/24
Wireless mode:
AP (Access Point)
Station
Laptop di set default gatewaynya
Laptop1, default gateway: 192.168.10.1, Laptop 2, 192.168.20.1
Buat static routing di R1 dan R2 kearah network yang tidak terhubung
langsung.
Konfigurasi R1:
IP > Route, add dst-address=192.168.20.0/24, gateway = 28.28.28.2
Konfigurasi R2:
IP> Route, add dst-address=192.168.10.0/24, gateway=28.28.28.1
Ping dari laptop ke laptop
STATIC ROUTING LAN
Static Routing LAB: Tambahkan Network yang tidak terhubung langsung antar router
10.10.10.1/24 20.20.20.2/24
10.10.10.2/24 20.20.20.3/24
Static Routing LAB: Tambahkan Network yang tidak terhubung langsung antar router
Wireless
Wireless Standard
Radio Name
Wireless Mode
Wireless Network
Security
Snooper
Registration Table
Access List
WIRELESS Module 5
WIRELESS
13 x 22 MHz channel
3 channel tanpa overlap (1, 6, 11)
3 AP dapat digunakan di area yang sama
tanpa saling menganggu
US : 11 channel
Range Frequensi 2.4 GHz = 2412 s.d 2499
MHz
Channel 5.8 GHz
Mode Spesial
Alignment only untuk koneksi terus menerus positioning jarak jauh
Nstreme dual slave untuk sistem nstreme-dual
WDS slave sama seperti AP Brigde koneksinya dengan WDS, apabila terputus akan melanjtkan scanning
Tx Power
Berfungsi untuk menyesuaikan daya pancar dari perangkat wireless
Ubah Mode Tx Power “all rates fixed” dan sesuaikan Tx power “..”
Wireless Enable
Power per Chain Total Power
Card Chain
Equal to the
1
Equal to the selected Tx selected Tx Power
802.11n
2 Power +3dBm
3 +5dBm
Equal to the selected Tx
1
Power Equal to the
802.11ac
2 -3dBm selected Tx Power
3 -5dBm
Tx Power
WIRELESS NETWORK
Trainer AP
Wireless Station
Trainer Access Point
AP Bride Station
28.28.28.1/24 28.28.28.2/24
Peserta 1 Peserta 2
LAB Wireless AP dan Station
Keterangan :
• Signal yang dikirim dan diterima
oleh antena Router MikroTik
• Client Connection Quality (CCQ)
yaitu nilai yang menyatakan
seberapa efektif kapasitas
bandwith yang dapat digunakan
Wireless Tools
Untuk pengamanan koneksi wireless, tidak hanya cukup dengan MAC-Filtering, karena data
yang lewat ke jaringan bisa diambil dan dianalisa
Hanya WPA (WiFi Protected Access) atau WPA2 harus digunakan
WPA-PSK atau WPA-PSK dengan enkripsi AES-SSM
AP Trainer sudah menggunakan WPA-PSK / WPA2-PSK
Wireless Security
Terdapat metode keamanan lain yang dapat digunakan
yaitu:
Authentication (WPA-PSK, WPA-AEP)
Enkripsi (AES, TKIP, WEP)
Encryption WEP
WEP (Wired Equivalent Privacy) tipe wireless security yang pertama
kali muncul dan masih sangat sederhana
Tidak mempunyai authenticate method
Not recommended as it is vulnerable to wireless hacking tools
Wireless Security
AP Bride Station
28.28.28.1/24 28.28.28.2/24
Peserta 1 Peserta 2
LAB Security WPA/WPA2
Access Point, dapat dilakukan pembatasan hak asesnya, dimana AP hanya bisa
dikonek oleh station yang sudah kita tentukan.
Station, dapat dilock/dikunci agar terkoneksi dengan AP yang sudah ditentukan.
MAC Filtering AP terdapat pada Access List
MAC Filtering Station terdapat pada Connect List
Default Authentication
AP Bride Station
28.28.28.1/24 28.28.28.2/24
192.168.10.1/24 192.168.11.1/24
Peserta 1 Peserta 2
192.168.10.x/24 192.168.11.x/24
LAB MAC Filtering
MAC Address Filtering agar koneksi point to point tidak mudah dikacaukan oleh
koneksi lain.
Masukkan data MAC Address wireless partner ke list yang benar (Jika sebagai
Station masukkan kedalam Connect-List, apabila sebagai AP masukkan dalam
Access-List).
Pada wireless AP, un-check default authenticate (agar tidak semua client bisa
teraouthentikasi secara otomatis).
Test koneksi ke AP yang bukan pasangan, apa yang terjadi?
Default Forward
Station
28.28.28.1/24 28.28.28.2/24
192.168.10.1/24 192.168.11.1/24
Peserta 1 Peserta 2
192.168.10.x/24 Station Station 192.168.11.x/24
192.168.12.1/24 192.168.13.1/24
Peserta 3 Peserta 4
192.168.12.x/24 192.168.13.x/24
Pengujian : Lakukan Test Ping antar station ketika default forwarding kondisi “check”, dan “uncheck”
Nstreme
FIREWALL Module 6
FIREWALL
Untuk melindungi router dari luar, baik dari berasal dari WAN
(internet) maupun dari client (local).
Untuk melindungi netwok dari netwok lain yang melewati router.
Dalam MikroTik, firewall ada banyak fitur yang semuanya
dimasukkan dalam menu IP Firewall.
Firewall basic di MikroTik ada di IP Firewall Filter Rule.
FIREWALL RULE
Interface yang dipilih untuk trafik keluar dan masuk paket data
Input - digunakan untuk memproses paket memasuki router melalui salah satu
interface dengan alamat IP tujuan yang merupakan salah satu alamat router.
Chain input berguna untuk membatasi akses konfigurasi terhadap Router
Mikrotik.
Forward - digunakan untuk proses paket data yang melewati router.
Output - digunakan untuk proses paket data yang berasal dari router dan
meninggalkan melalui salah satu interface.
INPUT OUTPUT
FORWARD
FIREWALL ACTION
Obtain IP
Laptop 1
Ether 2: 192.168.10.1/24
Susun rule seperti ini, logikanya hanya ip 192.168.10.2 yang diterima untuk mengakses router
dan ip yang lainnya di tolak
LAB Forward : Silent Blocking Content
ADDRESS LIST
Langkah pertama kita akan membuat rule dimana rule ini akan mendaftarkan IP yang melakukan ping ke Address list
Langkah ke 2 Buatlah rule yang memblokir akses dari address list Block IP
FIREWALL LOG
Ether 3
192.168.20.1/24
Web Server
Static IP: 192.168.20.2
192.168.10.0/24
• Install dan Jalankan program web server di laptop
• Buat rule pada IP>Firewall>NAT untuk redirect port 81 router ke IP laptop dan port 80
• Akses http://<ip ether3>:81 dari laptop
LAB DstNat: Static DNS
Kita dapat memanipulasi cache DNS yang ada dengan static entry
pada tabel DNS.
Misal apabila kita ping atau akses domain google.com maka akan
direply oleh IP address yang bukan milik google, diubah dengan IP
yang kita tentukan sendiri
Caranya adalah sebagai berikut:
Set agar router kita menjadi DNS server
Set Primary DNS di router kita
Set static DNS untuk domain yang ingin kita buat static
Buat rule dst-nat agar setiap traffik DNS dibelokkan ke router kita
LAB DstNat: Transparent DNS Nawala
Transparent DNS memaksa user untuk akses DNS server tertentu
Buatlah rule baru pada menu IP>Firewall>NAT , redirect protocol TCP
dan UDP port 53 ke IP port DNS Nawala 180.131.144.144.
CONNECTION TRACKING
Connection tracking mempunyai kemampuan untuk melihat informasi koneksi seperti source dan
destinition IP dan port yang sedang digunakan, status koneksi, tipe protocol, dll.
Status koneksi pada connection tracking:
Estabilished: paket bagian dari yang di kenali.
New: paket memulai koneksi baru dan belum terkoneksi kedua arah.
Related: paket memulai koneksi baru tetapi dikaitkan dengan koneksi yang ada, seperti transfer data ftp
atau pesan kesalahan icmp.
Invalid: paket bukan milik koneksi yang di kenal dan pada saat yang sama tidak memberikan koneksi yang
baru valid.
IMPLEMENTASI CONNECTION TRACKING
Pada saat membuat firewall, pada baris paling atas umumnya akan dibuat rule
sebagai berikut:
Connection state invalid = Drop
Connection state established = Accept
Connection state related = Accept
Connection state new = Diproses ke rule berikutnya
System rule ini akan sangat menghemat resource router, karena proses filtering
selanjutnya akan dilakukan ketika koneksi dimulai (connection state = new)
LAB Connection Tracking
QOS Module 7
QOS
Adalah kinerja maksimal keseluruhan jaringan, terutama dilihat dari sisi pengguna jaringan
RouterOS mengimplementasikan beberapa metode QoS, seperti membatasi lalu lintas akses jaringan,
memprioritaskan lalu lintas, dsb.
SPEED LIMITING
Bandith Limit dapat digunakan untuk membatasi kecepatan download, upload client.
Simple queue dapat mengatur pembatasan bandwith pada target dengan parameter IP Addres/Interfaces.
Bandwith Limit dapat dilakukan melalui wireless acces list, ppp secret dan hotspot user.
LAB Simple Queue
Buatlah bandwith limit dari laptop anda pada “Target” dengan IP : 192.168.28.xx
Atur upload speed pada Max Limit : target upload : 256k, target download : 512k
Buka website www.mikrotik.com/dwonload kemudian download RouterOS yang
tersedia
Perhatikan kecepatan downloadnya
Langkah Pengujian :
* Simple Queue “Perhatikan Warnanya” merah menandakan penggunaan besar
TORCH
Tool Torch
GUARANTEED BANDWIDTH
Digunakan untuk menerima rate data tinggi untuk waktu yang singkat
Berguna untuk trafic HTTP – kecepatan loading halaman web
Untuk download file, max limit masih berlaku
Burst Limit – maksimal
upload/download rate data yang
dapat dicapai
1 torch
2
PER CONNECTION QUEUING (PCQ)
Queues Queue Types Add
PCQ Rate = 0
LAB PCQ
192.168.28.1
Set
Target=192.168.28.0/24 (Network LAN)
TUNNELING Module 8
Tunnel
Tunnel adalah sebuah metode penyelubungan (encapsulation) paket data ke jaringan
Sebelum di kirim, paket data mengalami sedikit modifikasi, yaitu penambahan headre dari tunnel
Ketika data sudah melewati tunnel dan sampai di tujuan (ujung) tunnel, maka header dari paket data akan
dikembalikan seperti semula (header tunnel dilepas)
Terdapat type tunnel yaitu : PPTP, L2TP, PPPoE, EoIP, SSTP, OpenVPN, dll
Kita dapat melihat virtual interface dengan menambahkan item pada interface list
EOIP
Tunnel yang paling sederhana dari MikroTik yaitu EoIP (Ethernet over IP)
EoIP merupakan protokol proprietary untuk membangun bridge dan tunnel antar
router MikroTik, dimana interface EoIP akan dianggap sebagai ethernet.
EoIP menggunakan encapsulation Generic Routing Encapsulation (IP Protocol No.
47)
EoIP tidak menggunakan enkripsim jadi tidak disarankan digunakan untuk
transmisi data yang membutuhkan tingkat keamanan yang tinggi.
Identifikasi tunnel menggunakannTunnel ID
MAC Address diantara interfaces EoIP harus berbeda
LAB – EOIP - Brigding
Internet
Kantor A Kantor B
EoIP Tunnel
192.168.28.2 192.168.28.4
ROUTER 1
• Remote Addrres=IP
Public Lawan
• Tunnel ID=harus sama
Buatkan interface bridge
Buatkan 2 interface
- Eoip + bridge
- Ether1 + bridge
Internet
Kantor A Kantor B
EoIP Tunnel
10.10.10.1/24 10.10.10.2/24
192.168.28.0/24 192.168.29.0/24
Kantor A
Kantor B
PPP
PPP digunakan untuk membangun tunnel (koneksi langsung) diantara dua node
PPP dapat menyediakan autentikasi koneksi, enkripsi dan kompresi
Untuk menjalankan koneksi PPP, mikrotik RouterOS harus memiliki interface sertial, line telfon (RJ11), atau
modem seluler.
Untuk membentuk koneksi PPP yatu dengan dial up ke nomor telpon tertentu ke ISP (misal nomo *99***1#)
kemudian ppp baru dapat ip address untuk koneksi internet
MikroTik dapat digunakan sebagai PPP server dan atau PPP client.
PPPOE
Point-to-Point Protocol over Ethernet (PPPoE) merupakan protokol layer 2 yang dapat digunakan untuk
mengontrol akses ke jaringan
Menyediakan authentikasi, enkripsi dan kompresi
PPPoE dapat digunakan untuk membagikan IP Address kepada Client
Kebanyakan sistem operasi desktop memiliki PPPoeE client terinstall secara default
RouterOS mendukung keduanya PPoE client dan PPPoE server
PPPoE biasanya digunakan untuk jasal layanan ADSL untuk menghubungkan modem ADSL (kabel modem) di
dalam jaringan Ethernet (TCP/IP)
Tahap awal dari PPPoE, yaitu PADI (PPP Active Discovery Initiation). PADI mengirimkan paket broadcast ke
Jaringan untuk mencari dimana lokais Access Concentrator di sisi ISP.
Tahapan Koneksi PPPoE
PADI (PPP Active Discovery Inititation), disini PPoE client mengirimkan paket broadcast ke jaringan dengan
alamat pengiriman MAC Address FF:FF:FF:FF:FF:FF. PPPoE client mencari dimana lokasi PPoE server dalam
jaringan.
PADO (PPP Active Discovery Offer). merupakan jawaban dari PPoE server atas PADI yang didapatkan
sebelumnya. PPPoE server memberikan identitas berupa MAC Addressnya.
PADR (PPP Active Discovery Request). Merupakan confirmasi dari PPoE client ke server. Disini PPoE client
sudah dapat menghubungi PPoE server menggunakan MAC Adressnya, berbeda dengan paket PADI yang
mesih berupa broadcast.
PADS (PPP Active Discovery Session-confirmation), dari PPoE server ke client. Session-confirmation disini
berarti ada session ID yang dieberikan oleh server kepada client. Pada tahap ini terjadi negosiasi Username,
paddword dan IP Address.
PADT (PPP Active Discovery Terminate), bisa dikirim dari server atau client, ketika salah satu ingin mengakhiri
koneksi.
PPPOE SERVER
Atur Name
28.28.28.1/24
28.28.28.2/24 R2
192.168.28.1/24
Client
OS Windows8
Konfigurasi PPPoE Server (Pada Router 1)
1. Sambungkan ke internet melalui Eth1
2. Sambungan PPPoE Server untuk ke Client melalui Eth2
3. Setting IP Address Eth2 = 28.28.28.1/24
4. Setting IP Pool, Name=PPPoE Pool, Address=28.28.28.2-28.28.28.10
5. Tambahkan PPP Profil, Name=Profil PPPoE, Local Address=28.28.28.1 (IP Address
Eth2), Remote Address=PPPoE Pool
6. Tambahkan PPP Secret, Name=DosQ1, Password=28, Service=pppoe, Profile=Profil
PPPoE (untuk ke Router2)
7. Tambahkan PPP Secret, Name=DosQ2, Password=28, Service=pppoe, Profile=Profil
PPPoE (untuk ke Client)
8. Tambahkan PPP PPPoE Server, Service Name=PPPoE Server, Interfaces=eth2
9. Tambahkan Firewall NAT, Chain=srcnat, Src.Address=28.28.28.0, Out.Interface=eth1,
Action=masquerade
Konfigurasi PPPoE Client (Pada Router 2)
1. Sambungkan PPPoE melalui Eth1, sambungan untuk ke Client melalui Eth2
2. Tambahkan PPPoE Client:
• PPP Interfaces (+), PPPoE Client
• General, Name=PPPoE DosQ, Interfaces=eth1
• Dial Out, User=DosQ1, Password=28
3. Setting DNS, Server=8.8.8.8, 8.8.4.4, Allow-remote-request=yes
4. Atur Firewall NAT, Chain=srcnat, Out.Interfaces=PPPoE DosQ, Action=masquerade
5. Buatakan koneksi untuk ke computer Client
Konfigurasi PPPoE Client (Pada Client Windows)
1. Buka Network Connection
2. Setup a new connection or network connect to the internet
3. Set up a new connection anyway
4. Broadbacd (PPPoE), Username=DosQ2, Password=28, Connection
Name=“bebas”
PPTP
PPTP membentuk tunnel PPP antar IP menggunakan protocol TCP dan GRE (Generic Routing Encapsulation)
PPTP secure, karena menggunakan enkripsi MPPE (Microsoft Point-toPoint Encryption) panjang encrypts 40
dan 128.
PPTP menggunakan port TCP 1723
PPTP banyak digunakan karena hampir semua OS dapat menjalankan PPTP client.
PPTP adalah tunnel tipe client server, dimana PPTP server lebih banyak melakukan konfigurasi untuk setiap
client yang ingin konek
Mengaktifkan PPTP Server
Internet
Internet
IP Public 28.28.28.1
192.168.10.0/24 IP Public
WW.XX.YY.ZZ
LAB SSTP
Langkah 1 :
Buat IP Pool untuk SSTP Client
Ip pool add
Langkah 2 :
Buat Konfigurasi PPP untuk SSTP Server
Di router
Langkah 3 :
Buat User Name dan Password untuk client
Di menu PPP Secret
Langkah 4 :
Buat certificate untuk authoritize
server dan client
Pada menu System > Certificate
Setelah membuat certificate
lakukan sign sertificate lewat terminal di router
Export Certifikat yang telah di buat untuk di pasang di sisi client
Lakukan Drag and Drop ke Windows Explorer
Langkah 5 :
Di sisi client yang terkoneksi internet
Buka console root untuk memasang
Certificate client dan CA
yang telah di buat di router
www.mikrotik.smkm2-kuningan.sch.id