MTCNA

Mikrotik Certified Network Associate

SMK ASISI JAKARTA

1
Sertifikasi Mikrotik

2
MTCNA Fundamental Class
• Modul 1 : Pengenalan • Modul 7 : Tunnel
• Modul 2 : DHCP • Modul 8 : Manajemen
• Modul 3 : Bridging Jaringan Lokal / QoS
• Modul 4 : Routing
• Modul 5 : Wireless
• Modul 6 : Firewall

3
Perkenalan
• Nama
• Perusahaan / Sekolah / Institusi
• Pengalaman dalam networking
• Apa yang diharapkan dari pelatihan ini ?

4
Mikrotik
• Produsen Software dan Hardware
• Motto “Routing the World”
• Bermarkas di Riga, Latvia Eropa Utara

5
Mikrotik RouterBoard
• Menggunakan RouterOS sebagai system operasi
• Hardware di desain khusus dan di produksi oleh Mikrotik
• Memiliki berbagai macam type, model, jenis interface
• Tersedia berbagai jenis arsitektur computer contoh MIPSbe.
MIPSle, PPC, X86 dan tile, ARM

6
Penamaan Seri dan tipe Routerboard

RB951G- FITUR TAMBAHAN

2HnD
Jumlah Wireless

Jumlah ethernet

7
• Fitur Board
• RB = Menunjukan bahwa perangkat
tersebut merupakan Routerboard Series.
• 900 = Merupakan series dari perangkat
tersebut, sebagai "Series 900".
• 5 = Memiliki 5 interface dengan tipe
ethernet
• 2 = Memiliki 2 interface wireless pada
perangkat tersebut.
• U = perangkat tersebut memiliki port USB.
• I = Perangkat tersebut mendukung POE
Out 1 port.
8
Penamaan Seri dan tipe Routerboard
RouterBOARD memiliki sistem kode • R – Dilengkapi wireless card
tertentu embedded
• U - dilengkapi dengan USB •
• P – Power Injection with
• A - Advance, biasa nya digunakan controller
level4 keatas
• H - High Performance, Processor • i – singel port power injection
lebih tinggi without controller
• G - dilengkapi dengan Gigabit • L – Paket hemat atau lite
ethernet edition
• n - 802.11n support
• S – SFP port
• D - Dual Chain
• 2nD – dual channel
• e – PCIe Interface extension
More detail … See: wiki.mikrotik.com card
• x<N> – dimana N adalah
jumlah core CPU (x2, x16)
9
Penamaan Seri dan tipe Routerboard
• Kode angka 3 digit
• Kode non standard, RB dengan jumlah port sampai 9 atau jenis
tertentu
• CCR (Cloud Core Router)
• CSR (Cloud Switch Router)
• CSS (Cloud Switch Router)
• CHR

10
Penamaan Seri dan tipe Routerboard
• Berdasarkan Nama contoh NetBOX 5
Contoh : RB911G-5HPacD-NB

11
Cloud Core Router (CCR)
• CCR1036-12G-4S
• Kode Seri terletak pada digit pertama
• Jumlah core/CPU, 3-4 digit pertama
• Kode port G = gigabit, S = SFP Port, S+ = SFP+ Port

12
Kode Wireless
• Fitur Wireless
RB951G- 2 H n D
Band 2 = 2Ghz, 5 = 5 Ghz, 52 = Dual band
Power :
• (not used) – “Normal” – <23dBm at 6Mbps 802.11a; <24dBm at 6Mbps
802.11g 
• H – “High” – 23-24dBm at 6Mbps 802.11a; 24-27dBm at 6Mbps 802.11g 
• HP – “High Power” – 25-26dBm 6Mbps 802.11a; 28-29dBm at 6Mbps 802.11g 
• SHP – “Super High Power” – 27+dBm at 6Mbps 802.11a; 30+dBm at 6Mbps
802.11g
Antenna : Single, D = Dual, T = Triple
13
Jenis Casing Routerboard
• Enclosure Type:
⦁    (Kosong) - Menggunakan casing standart
⦁    BU - board unit, Hanya perangkat saja tanpa casing.
⦁    RM - rack-mount enclosure, Casing yang dikhususkan untuk
di tempatkan pada rack, biasanya sudah include dengan
mountingnya.
⦁    IN - indoor enclosure, Casing indoor, tanpa mounting untuk
rack.
⦁    EM - extended memory, Memiliki memory yang besar
⦁    LM - light memory, Kapasitas memori lebih kecil
⦁    BE - black edition case, Casing dengan warna hitam
⦁    TC - Tower (vertical) case, Casing jenis tower (berdiri)
⦁    OUT - outdoor enclosure, Casing khusus untuk pemasangan 
14
RouterOS
• Operating system Mikrotik yang berbasis Linux Kernel
• Support berbagai Driver perangkat jaringan / networking
• Support.rif ke mikrotik untuk menambahkan driver ke
developer

15
LISENSI MIKROTIK

16
Lisensi Mikrotik

17
RouterOS Lisensi

18
Arsitektur Routerboard
Mikrotik Certified Network Associate

19
Arsitektur Routerboard
• Arsitektur RouterBOARD dibedakan berdasarkan jenis Processor
pada instalasi RouterOS

20
21
Koneksi Mikrotik Router
Mikrotik Certified Network Associate

22
Winbox
• Berjalan di windows
• Berjalan di Linux dengan wine emulator
• Winbox – Mac address (Menggunakan mac address layer 2 )

23
Akses Router

24
Winbox
• Default factory
configuration IP address
192.168.88.1
• Username = admin
• Password = (blank)

25
Winbox Neighbors

26
Reset Konfigurasi Mikrotik
Fungsi dari mereset konfigurasi RouterOS
• Sama sekali lupa username dan password
• Ketika konfigurasi sebelumnya terlalu kompleks
Reset dengan cara :
• Hard reset (tombol reset pada board)
• Soft Reset (GUI,winbox, webfig, CLI, SSH Telnet dll)

27
Winbox Tips
• Untuk Membuka atau melihat password yang tersembunyi
dapat dilakukan pada menu settings>Hide Passwords

28
Hard reset Button
• Tekan tombol sekitar 5 – 10 detik sambal menyalakan router
• Tunggu sampai lampu berkedip lalu lepas tombol

29
Hard reset Jumper board
• Hubungkan jumper untuk mereset
• Tahan sekitar 10 s
• Nyalakan routerboard

30
Soft Reset

31
Area kerja winbox

32
WebFig
• Sejak versi 5.0, interface via web diperkenalkan, dengan
fungsifungsi yang sama dengan Winbox.
• Coba akses webfig mikrotik router anda dengan browser

33
Konfigurasi via Terminal
• Dalam kondisi tertentu remote dan konfigurasi via GUI
tidak memungkinkan dikarenakan hal-hal seperti;
keterbatasan bandwidth, kebutuhan untuk running script,
remote via ..x console, dll.
• Remote & konfigurasi terminal bisa dilakukan dengan
cara:
– Telnet ( via IP port 23, non secure connection)
– SSH ( via IP Port 22, lebih secure dari telnet)
– Serial console (kabel serial)

34
Telnet & SSH
• Gunakan MsDOS prompt (telnet),
atau program SSH/Telnet client
lainnya, seperti putty, winSCP
untuk remote mikrotik.

35
 Lab Topology
Mikrotik Certified Network Associate

36
LAB Topology 10.10.10.1

SSID : AP-classmtcna 10.10.10.XY/24

Password : belajarmtcna AP Training
IP Gateway : 10.10.10.254/24
XY : no absen

Ether1= 192.168.XY.1/24

192.168.XY.100/24

37
Quick Set
• Wireless CPE
(client)
• Mode = router
• Address = static
• Localnetwork =
static
• SSID = AP-
classmtcna

38
RouterOS Version
• Bugfix only (long-term) - perbaikan, tidak ada fitur baru
• Current (stable) - perbaikan yang sama + fitur baru
• Release Candidate (testing) - Proses perancangan untuk
perbaikan dan fitur

39
RouterOS Version
• Versi dan Fitur
• Dapat dilihat pada status bar Winbox
• Diakses pada Menu -> Package
• Package = fitur
• Package dapat ditambah, dihapus, enable dan disable
• Package berpengaruh terhadap memory router

40
Router OS Packages

41
Router OS Packages

42
Router OS Packages

43
Router OS Packages

44
Enable / Disable Package

45
Uninstall Package
• Mulai dengan versi 6.40 RouterOS memiliki bundle default
package yang tidak bisa di uninstall

46
Upgrade versi RouterOS
Fungsi Upgrade
• Menambah fitur baru
• Memperbaiki Bug Versi sebelumnya
Metode untuk upgrade RouterOS :
• Upgrade manual dengan cara download file .npk dari web
mikrotik
• Check for update dari Winbox

47
Upgrade versi RouterOS
• Upgrade Manual
• Upload package (file .npk) ke dalam RouterOS dengan cara
Drag and Drop Winbox
• File .npk harus berada dalam directory Root

48
Check For Updates

49
Downgrade
• Bila terjadi bug pada versi terbaru, dapat dilakukan
downgrade ke versi yang lebih stabil
• Saat fitur lama sudah tidak ada di versi terbaru
• Upload versi RouterOS lama ke dalam Router klik Downgrade

50
Upgrade dan Downgrade
• Lakukan Upgrade/Downgrade
• Setelah selesai, perhatikan :
Menghapus konfigurasi yang ada ?
Menghapus file list yang ada ?

51
Upgrade Firmware/Routerboot
• System Routerboard

52
RouterOS Tools
Mikrotik Certified Network Associate

53
RouteroS Tools
• Email = mengirimkan log, warning, dll
• Netmatch = memamtau host UP/Down berbasis ICMP
• Menambahkan Scripts ketika host UP/Down
• Ping, Traceroute
• Profile (CPU Load)

54
Email
• Tool mengirimkan email dari RouterOS
• Mengirimkan log ke email administrator
• Mengirimkan backup ke email Administrator
• Mengirimkan informasi UP/Down Netmatch
• Menu Tools Email

55
Netwatch
• Untuk memonitor device (host) apakah
UP/Down
• Menggunakan ICMP protocol
• Bisa ditambahkan scripts ketika UP/Down
• Berguna untuk failover jika gateway
down
• Mengirimkan info UP / Down ke email via
scripts

56
Ping & Traceroute
• Tools Umum yang standart di setiap devie networking
• Menu Tools ping /traceroute

57
Profiler (CPU Load)
• Tools yang menampilkan CPU Load
• Detail penggunaan CPU setiap proses

58
RouterOS Users
• Default user admin, group full
• Additional groups - read and write
• Group dapat kita custom sesuai dengan kebutuhan

59
RouterOS Users Lab
• Buatlah User baru pada router anda dengan group full access
• Rubahlah group user admin dengan group read
• Logout user admin yang sebelumnya
• Login kembali dengan user admin
• Lakukan perubahan atau tambah konfigurasi (apakah bisa
dilakukan)

60
RouterOS Service
• Merupakan additional Firewall
• Dapat merubah port default atau men-disable service yang
tidak kita gunakan
• Allow IP “Available from”

61
RouterOS Service Lab
• Lakukan disable pada
service www
• Lakukan akses router
menggunakan browser
http
(contoh:192.168.XY.1)
• Apakah kita dapat
mengakses router kita?

62
Configurasi Backup
• Terdapat dua type cara backup
• Backup (.backup) file - digunakan untuk restoring konfigurasi
di router yang sama
• Export (.rsc) file - digunakan untuk memindahkan konfigurasi
ke router lain

63
Configurasi Backup
• Backup file bisa kita created and restored pada menu file di
dalam WinBox
• Bakup File merupakan binary, secara default terenkripsi
dengan user password.
• Backup File akan mengembalikan semua konfigurasi

64
Configurasi Backup
• Dapat memasukan nama dan password
• Router identity dan tanggal pada saat backup akan menjadi
file name backup

65
Configurasi Export
• Export (.rsc) file merupakan script dengan router konfigurasi
yang dapat dibackup dan direstore
• Plain-text-file (editable)
• Hanya ada konfigurasi backup yang sesuai dengan yang kita
export
• Export file hanya dapat dilakukan pada command in CLI
• RouterOS user password tidak dapat dibackup
• Restore menggunakan import

66
Konfigurasi Backup

67
Configurasi Backup - Lab
• Backup router pada menu file
• lalu download ke dalam pc/laptop menggunakan
winbox(drag&drop), FTP atau WebFig
• Lakukan juga backup menggunakan CLI “Export”

68
Netinstall
• Digunakan untuk install dan reinstall RouterOS
• Kabel harus langsung terhubung antara router dengan
PC/Laptop
• Kabel harus connect ke ether1 (kecuali CCR dan RB1xxx - last
port/ethernet)
• hanya berjalan pada OS Windows

69
Netinstall

70
Netinstall
• Download Netinstall
• Boot router anda menggunakan netinstall mode
• Pastikan net boot satu segment ip dengan pc/ laptop • Install
RouterOS
• Restore configuration yang telah kita simpan sebelumnya

71
Ethernet Brigde
Mikrotik Certified Network Associate

72
Bridge
• Setiap interface pada router mikrotik secara default berdiri
sendiri atau non switching
• Fitur bridge digunakan untuk menggabungkan 2 buah interface
atau lebih menjadi satu network broadcast (OSI Layer 2)
• Fitur Bridge diaktifkan dengan membuat interface baru
dengan jenis bridge atau melalui menu bridge
• Memasukkan interface ethernet agar menjadi bagian dari
interface bridge disebut dengan “port bridge”

73
Bridge
• Bridge merupakan salah satu jenis interface virtual di mikrotik
• Tidak ada Batasan dalam membuat interface bridge
• Langkah membuat interface bridge :
 Buat port bridge terlebih dahulu
 Tambahkan interface ethernet untuk menjadi anggota bridge
padamenu bridge port
 IP address bisa dipasang di interface bridge

74
Bridge

75
Bridge Port Interface

76
Bridge Port
• Setiap bridge yang telah dibuat berdiri sendiri atau tidak
terhubung dengan bridge yang lainnya
• Contoh
• Bridge 1 = interface 2 dan interface 3
• Bridge 2 = interface 4 dan interface 5
• Maka bridge 1 dan bridge 2 tidak akan saling terhubung

77
Bridge interface list

Flag Status : R = running ; S = Slave

78
Brigde IP Address

79
Bridge Lab
• Buatlah interface bridge baru
• Tambahkan ether 4 dan ether 5 pada bridge port
• Hubungkan ether 4 atau ether 5 anda dengan teman

ether5
ether4 ether5
ether4

80
Bridge LAB 1
• Konfigurasi IP address Laptop
• IP laptop : 192.168.AB.XY
• Subnet : 255.255.255.0
• AB : XY anda + XY teman anda (11+12= 23)
• Ping IP Laptop teman anda

81
Bridge LAB 2
• Bridge seluruh interface (termasuk WLAN)
• Coba pindahkan interface dan ping laptop teman anda

82
Wireless Basic
Mikrotik Certified Network Associate

83
Wireless
• Wireless menggunakan gelombang radio yang dikombinasikan
dengan frekuensi dan amplitude tertentu

• Penggunaan wireless sangat bergantung dari tipe wireless

yaitu :
• Power radio (transmit power)
• Frekuensi, Band dan Channel (2.4 ghz dan 5 ghz)
• Jenis protocol wireless (802.11a, 802.11b, 802.11g, n, ac)

84
Wireless Standart

85
Wireless Band
• Band adalah lebar pite frekuensi gelombang radio
• Wireless Band 2 Ghz tidak bisa terhubung dengan 5 ghz
begitu juga sebaliknya
• Setiap perangkat wireless harus menggunakan band yang
sama

• RouterOS bekerja berbagai macam tipe wireless card mulai

dengan frekuensi 900Mhz , 2.4 Ghz maupun 5 Ghz

86
Wireless Band
• Di bawah ini adalah wireless
band pada RouterBOARD 941-
2nD

87
Channel width
• Lebar pita atau channel width dapat disesuaikan dengan
kebutuhan
• Default channel adalah 22 Mhz
• Dengan memperbesar channel width maka akan menambah
throuput atau bandwidth
• Memperbesar channel width memiliki kekurangan yaitu
interferensi menjadi lebih besar

88
Channel width
• Di bawah ini adalah wireless
band pada RouterBOARD 941-
2nD

89
Frekuensi
• Frekuensi yang disupport tiap Band adalah :
• Band 2.4 Ghz : 2412 – 2484 Mhz
• Band 5 ghz : 4920 – 6100 Mhz

• Secara default lebar pita tiap channel “overlaps” dengan

channel terdekatnya

90
Channel 2.4 Ghz
• 13x 22Mhz channels (sebagian besar dunia)
• 3 channel yang tidak saling tumpang tindih
• 3 AP dapat menempati area yang sama tanpa mengganggu
• ID: 13 channels Channel width: • 802.11b 22Mhz, 802.11g
20Mhz, 802.11n 20/40Mhz

91
Channel 5 ghz
• RouterOS mendukung full rentan frekuensi 5Ghz 4920-6100Mhz
(tergantung pada wireless card)
• Setiap negara memiliki regulasi frekuensi masingmasing yang
telah ditetapkan

92
5 Ghz Channel

93
Regulasi Channel
• Setiap negara memiliki regulasi yang berbeda untuk channel
yang bisa digunakan
• Pada router mikrotik ini regulasi disebut dengan istilah
“Country regulation”
• Akses point dan station mode harus menggunakan country
regulation yang sama
• Switch to ‘Advanced Mode’ and select your country to apply
regulations

94
Regulasi Channel

95
Regulasi Channel
• Dynamic Frequency Selection (DFS) adalah fitur yang
merupakan sebagai identify radar ketika menggunakan band
5Ghz dan memilih channel berbeda jika radar ditemukan
• Beberapa channels hanya bisa digunakan ketika DFS enable
( EU: 52-140, US: 50-144)
• DFS Mode radar detect akan memilih channel dengan nomor
yang terendah pada network yang terdeteksi dan akan
digunakan jika tidak terdapat radar terdeteksi selama 60s
• Switch ke ‘Advance Mode’ untuk enable DFS

96
Regulasi Channel

97
Scan list tools
• Station akan melakukan scanning ke tiap frekuensi sesuai
country regulation
• Menggunakan scan list kita dapat mengatur agar station
melakukan scanning sesuai dengan frekuensi yang diatur

98
Radio name
• Wireless interface “name”
• RouterOS - RouterOS only
• Bisa dilihat pada wireless tables

99
Wireless name
• Wireless interface “name”
• RouterOS - RouterOS only
• Bisa dilihat pada wireless tables

100
TX Power
• Digunakan untuk menyesuaikan power transmits pada wireless
card
• Rubah ke all rates fixed dan sesuaikan power

101
Wireless Topology

AP TRAINING

ROUTER PESERTA ROUTER PESERTA

102
Wireless Mode

103
Wireless Mode
AP Mode
• AP-bridge : wireless difungsikan sebagai Akses
Poin.
• Bridge : hampir sama dengan AP-bridge, namun
hanya bisa dikoneksi oleh 1 station/client, mode ini
biasanya digunakan untuk point-to-point.

104
Wireless Mode
Station Mode
• Station : scan dan conent AP dengan frekuensi & SSID yang
sama,
mode ini TIDAK DAPAT di BRIDGE
• Station-bridge : sama seperti station, mode ini adalah MikroTik
proprietary. Mode untuk L2 bridging, selain wds
• Station-wds : sama seperti station, namum membentuk koneksi
WDS dengan AP yang menjalankan WDS
• station-pseudobridge : sama seperti station, dengan tambahan
MAC address translation untuk bridge.
• station-pseudobridge-clone : Sama seperti station-
pseudobridge,
menggunakan station-bridge-clone-mac address untuk konek ke
105
AP
Wireless Mode
AP Bridge
• Mode akses point yang digunakan untukmembuat
koneksi point to multi point (PtMP)
• Lisensi minimal level 4
Bridge
• AP hanya untuk koneksi Point to Point dengan 1
station
• Minimal lisensi level 3

106
Wireless Special Mode
• alignment-only : mode transmit secara terus menerus digunakan
untuk positioning antena jarak jauh.
• nstreme-dual-slave : digunakan untuk sistem nstreme-dual.
• WDS-slave : Sama seperti ap-bridge, namun melakukan scan ke AP
dengan SSID yang sama dan melakukan koneksi dengan WDS.
Apabila link terputus, akan melanjutkan scanning

107
Wireless Tools
• Torch : melihat traffic realtime
• Setup repeater : setting mode
repeater
• Scan : scanning daftar AP
• Snooper : scanning daftar AP,
frekuensi dan channel
• Reset-configuration : reset default
configuration

108
Frekuensi Usage
• Untuk melihat frekuensi mana yang
digunakan atau tidak

109
Snooper
• Scanning tetapi
lebih detail
• Dapatkan
gambaran penuh
dari wireless
network pada band
yang dipilih
• Wireless interface
akan disconnect
selama proses
scanning
• Gunakan untuk
menentukan
keputusan channel
untuk dipilih
110
Scan wireless

111
Wireless Station
• Minimum konfigurasi client
• Mode station (pseudobridge, station wds dll)
• Minimal lisensi level 3
• Konfigurasi band, channel, dan SSID harus sama dengan sisi AP

112
Wireless bridge
• Wireless interface dapat digabungkan dengan ethernet fisik
atau sering disebut dengan bridge
• Fungsi wireless bridge membuat WLAN dan LAN (ethernet)
menjadi satu Network Broadcast) Layer 2
• Wireless interface ditambahkan di bridge port
• Wireless AP dengan mode AP-bridge bisa di bridge
• Wireless client
• Mode Station only tidak bisa di bridge
• Menggunakan mode station bridge pada versi 5 keatas

113
Wireless bridge
• Bridge station juga bisa menggunakan metode lain yaitu :
• Tunnel
• Station Pseudobridge atau pseudobridge clone
• Station Bridge v5 keatas
• WDS (Wireless Distribution System)

114
Wireless Bridge
• Buat SSID : XY Anda
• Buat koneksi dengan teman anda pada
interface wlan1 pada 2.4 ghz

115
Wireless Bridge
• Station menggunakan mode :
• Station-bridge
• Sejak v5 ada mode station bridge
• Station bridge merupakan propetary Mikrotik hanya bisa
digunakan sesame device mikrotik
• Station bridge memudahkan kita membuat wireless bridge
• Mode = station only tidak bisa di bridge

116
Wireless bridge
Mode = ap Mode =
bridge / station-
bridge bridge

117
Wireless Registration
• Digunakan untuk monitoring wireless
• Di sisi Station, melihat akses poin yang terhubung
• Di sisi AP, melihat station yang terhubung
• Menyimpan informasi – informasi penting koneksi wireless

118
Wireless Security
Mikrotik Certified Network Associate

119
Securing wireless
• Metode mengamankan wireless :
• MAC – Filtering
• WEP (kurang aman)
• WPA-PSK
• WPA2-PSK

120
Wireless Encryption
• Enkripsi digunakan untuk meningkatkan keamanan
• Metode enkripsi bergantung pada wireless card dan OS
• Mikrotik support beberapa enskripsi :
• WEP
• TKIP
• AES
• Authentification di mikrotik :
• WPA dan WPA2 Preshared Key (PSK)
• Radius Authentication
• MAC Address / EAP

121
Wireless Encryption
• Mengaktifkan fitur
enkripsi ada pada menu
wireless tab “security
profile”

122
Security Profile
• Ubah Security Profile pada konfigurasi wireless sesuai
dengan profile yang telah dibuat sebelumnya

123
Mac Address Filtering
• Untuk menggunakan koneksi antara AP dan Station, kita bisa
menggunakan metode MAC – Address Filtering
• Access List
• Di sisi Akses point : mengatur MAC – Address station mana
saja yang bisa koneke AP
• Connect List
• Di sisi station : mengatur MAC –Address AP mana saja yang
akan terhubung

124
Mac –Address Filtering Access List

125
Mac –Address Filtering Access List

126
Registration table
• Kita dapat menambahkan
Acess List dan Connect List
dengan mudah dari
registration Table dengan cara
klik kanan pada user yang ingin
kita masukkan ke access list /
connect list

127
Default Authenticate
• Secara default semua station yang ingin kita akses AP bisa
bergabung

128
Default Authenticate

129
Default forward
• Default forward hanya ada di sisi AP
• Digunakan untuk mengizinkan client dapat saling komunikasi
• Secara default sudah aktif
• Forwarding bisa kita tentukan pada beberapa client saja
menggunakan access list
• Pada produk lainnya bisa disebut Client isolation

130
Default Forward

131
Connect in Connect List
• Meskipun terdaftar namun disable Connect, koneksi ke AP juga
tidak diijinkan

132
Mac-address Filtering - LAB
• Buatlah jaringan antar teman, dengan menggunakan mac-
address filtering
• Untuk Access point : Masukkan MAC-Adress Client anda ke
dalam access list
• Untuk Station :Masukkan MAC-Address AP Anda ke dalam
Connect List
• Ganti SSID = (AB+XY)-MTCNA

133
Mac-address Filtering - LAB
Mode =
Mode = ap station-
bridge / bridge
bridge SSID = (AB+XY)-MTCNA
(Connect
(access list) List)
10.10.AB.XY/ 10.10.AB.XY/
24 24

AB = jumlah no absen
XY = no absen
192.168.99.2/ 192.168.98.2/
24 24
134
Wireless Bridge
• Untuk dapat menggunakan station-bridge, “Bridge Mode”
harus sudah dalam kondisi enable pada AP

135
Bridge - Lab
• Kita akan membuat bridge network antara lokal ethernet
dengan wireless interface
• Semua PC/Laptop akan mendapatkan IP dari Router AP •
• Lakukan Backup Sebelum melakukan LAB ini!

136
Bridge - Lab
• Perbarui IP address pada PC/Laptop anda
• Anda akan mendapakan semua routerOS yang terhubung
dengan neighbor discovery
• Router anda bekerja sebagai transparent bridge

137
Station – Bridge Lab
• Konfigurasi wireless router anda sebagai station bridge
• Buat bridge interface baru
• Tambahkan port bridge dengan interface wlan dan interface
ether1
• Konfigurasikan IP bridge : 10.10.10.XY /24
• Konfigurasikan IP PC : 10.10.10.XY + 50 (XY=1;10.10.10.51) /24

138
Station – Bridge Lab

SSID : classmtcna
Password : 12345678

139
Station Bridge - Lab

140
141
Bridge - firewall
• RouterOS bridge interface support firewall
• Trafik yang melalui bridge dapat diproses dengan mode
firewall aktif
• Untuk dapat mengaktifkan: Bridge → Settings → Use IP
Firewall

142
WPS Wireless
• Wifi Protected Setup (WPS) adalah fitur untuk akses mudah ke
wifi tanpa membutuhakan input password
• RouterOS mendukung penggunaan secara bersamaan antara
mode WPS accept (untuk AP) dan WPS client (untuk station)

143
WPS Accept
• Untuk mempermudah mengizinkan akses guest menuju AP bisa
menggunakan tombol WPS accept
• Ketika ditekan, maka akan memberikan akses untuk terhubung
ke AP selama 2 menit atau sampai device (station) masih
terhubung.
• Tombol WPS accept harus ditekan setiap kali ada device baru
yang ingin dihubungkan

144
WPS Accept
• Untuk setiap device dilakukan hanya
satu kali

• Semua RouterOS device dengan wifi

interface memiliki virtual WPS button

• Beberapa memiliki fisik tombol wps

pada router

145
WPS Accept
• Virtual tombol wps berada pada menu
wireless interface
• Dapat di non aktifkan jika di inginkan
• WPS client didukung hampir seluruh
operating systems termasuk RouterOS
• RouterOS tidak mendukung mode PIN
tidak aman

146
147
 Routing
Mikrotik Certified Network Associate

148
Routing
• Bekerja pada OSI network
layer 3 •
• RouterOS routing rules
mendefinisikan kemana
packet akan dikirim

149
Parameter Routing
• Destination = IP / network yang ingin dicapai
• Gateway = exit point, dimana IP transit untuk mencapai
Destination
• Gateway harus menjadi IP dengan subnet sama
• Setiap routing dibuat dua arah
• Setiap IP hanya dapat berhubungan dengan IP dengan subnet
yang sama

150
Konsep Routing DST-address =
DST-address = 192.168.99.0/24
192.168.98.0/24 Gateway =
Gateway = 10.10.10.1
10.10.10.20
10.10.10.1 10.10.10.2
0

192.168.98.2/
192.168.99.2/ 24
24

151
Routing Mikrotik
• Routing mikrotik menggunakan konsep routing pada umumnya
menggunakan parameter dst-address dan gateway

152
Routing Abbreviation
• Status
• D = dynamic
• S = Static
• A = Active
• C = connected
• o = OSPF
• b = BGP

153
Static Route

Destination Network/IP
Next-hop / gateway

154
Parameter Routing
• Check gateway : setiap 10 detik mengirim balik permintaan echo
ping ICMP atau ARP
• Jika beberapa route menggunakan gateway yang sama dan ada
salah satu yang enable checkgateway, semua route akan dikenakan
prilaku check-gateway
• Jika ada dua atau lebih route yang diarahkan ke address yang sama,
yang lebih tepat yang akan digunakan
• Dst: 192.168.90.0/24, gateway 1.2.3.4
• Dst: 192.168.90.128/25, gateway 5.6.7.8
• Jika paket ingin dikirim ke 192.168.90.135, gateway yang akan
digunakan 5.6.7.8

155
Priotas Routing

IP source = 192.168.0.254

156
Default gateway routing
• Default gateway adalah setiap destinasi akan diarahkan ke
salahsatu gateway pada table routing
• Dst-address = 0.0.0.0/0
• Sebagai pilihan terakhir dari routing table dimana akan
digunakan ketika tidak ada route yang sesuai

157
Check - gateway
• Fitur mengecek keadaan
gateway
• Gateway akan dicek
maksimal 2 kali dengan
interval 10 s setiap
percobaan total 20 s
sebelum gateway
dinayatakan
unreachable/mati

158
Topology Lab

10.1.197.1 10.1.197.2

192.168.98.2/
192.168.99.2/ 24
24

159
Simple Routing DST-address =
DST-address = 192.168.99.0/24
192.168.98.0/24 Gateway =
Gateway = 10.1.197.1
10.1.197.2
10.1.197.1 10.1.197.2

192.168.98.2/
192.168.99.2/ 24
24

160
Simple Routing
• Buat satu static routing setiap router
DST-address = DST-address =
192.168.98.0/24 192.168.99.0/24
Gateway = Gateway =
10.1.197.2 10.1.197.1
10.1.197.1 10.1.197.2

192.168.98.2/
192.168.99.2/ 24
24

161
Routing Selection Mode
• Mikrotik akan dipilih berdasarkan prioritas
• Specific destination akan dipilih pertama
• Jarak hop yang lebih kecil akan diobservasi
• Destinasi spesifik dan jarak sama akan dipilih berdasarkan
round robin

162
Tunnel & VPN
Mikrotik Certified Network Associate

163
Tunnel diagram

164
Tunnel Protocol
• Konfigurasi sederhana
• Tidak memerlukan authentication(login)
• Tidak memerlukan encryption
• Protocol jenis :
• IPIP (IP Over IP)
• EoIP (Ethernet Over Ip)
• VLAN (Virtual LAN)
• GRE Tunnel

165
VPN Tunnel
• Digunakan jaringan PtP (point to point)
• Penawaran authentication (login)
• Implementasi data encryption
• Protocol type :
• PPPoE (point to point Protocol Over Ethernet)
• PPTP (Point to point tunneling protocol)
• L2TP (Layer 2 Tunneling Protocol)
• IPSec (Ip Secure)
• SSTP (Secure socket tunneling protocol)
• OpenVPN

166
PPTP Connection
SSID: AP-Classmtcna SSID: AP2-Classmtcna
PPTP
10.10.10.XY/24 10.20.20.XY/24
PPTPClient Server

XY : no absen

IP PPTP Client : 10.10.10.XY/24 IP PPTP Server : 10.20.20.XY/24

GW : 10.20.20.254 192.168.98.2/
192.168.99.2/ GW : 10.10.10.254
Local address : 1.1.1.1 24
24 Local address : 1.1.1.1
Remote address : 2.2.2.2 Remote address : 2.2.2.2

167
DHCP Client
• Digunakan untuk mendapatkan IP address, subnet, gateway,
DNS Server dan additional setting lainnya
• MikroTik Routers secara default memiliki DHCP client
konfigurasi pada ether1 (WAN) interface
• Client configuration selesai setelah status Bound

168
DHCP Client

169
PPTP
• PPTP bekerja dalam layer 3 yang membuat protocol bias
berjalan di atas routing dan bisa diakses melalui beda network
ISP
• PPTP menggunakan TCP Port 1723 dan IP Protokol 47 (GRE)

170
Office to Office Tunnel
• Tunnel juga menghubungkan 2 lokasi yang berbeda
• Set PPTP server dan PPTP client
• Kedua router menggunakan Mikrotik RouterOS

171
PPTP Server
• 2 type konfigurasi PPTP server interface
• Static interface
• Dibuat secara permanen akan selalu ada bahkan saat tidak
ada koneksi
• Dynamic Interface
• Dibuat secara otomatis saat pptp saling terkoneksi

172
PPTP Server

173
PPTP server
• Semua koneksi yang terjadi dalam PPP Tunnel menggunakan
autentifikasi username dan password
• Username dan password bisa disimpan di local router di PPP
profile and user
• Secara remote username dan password dapat disimpan
dalam RADIUS Server
• Tahap berikutnya kita akan menggunakan PPP profile dan
user

174
PPTP Server & Profile
• PPP profile
• Tetapkan nilai default untuk akses user
• PPP secret menyimpan username dan password
• Gunakan quickset untuk enable VPN access

175
PPTP Server
• Local address :
IP PPTP server
• Remote address :
IP PPTP client

176
PPP secret
• Name : nama
user PPTP Client
• Password : pass
user PPTP Client

177
PPTP Client
• Username
dan password
dari PPTP
server
(secret)
• Connect To =
IP Public dari
PPTP Server

178
PPTP Client pada mikrotik
• Untuk membuat koneksi internal network buatlah static
routing setiap router tunneling
• Pilihan lain sebagai PPTP Client
• Options add-default-route digunakan untuk menambah
default-route yang lain setiap traffic akan di redirect ke PPTP
server
• Options dial on demand digunakan untuk membuat system
memanggil hanya jika ada kebutuhan / permintaan client

179
Preparation LAB PPTP
• Enable NAT Rule
• Pastikan anda memiliki default-gateway
• Anda harus dapat mengakses IP Public teman anda
• Anda tidak harus mengakses IP Laptop teman anda (nat rule
firewall)

180
PPTP Connection
SSID: AP-Classmtcna SSID: AP2-Classmtcna
PPTP
10.10.10.XY/24 10.20.20.XY/24
PPTPClient Server

XY : no absen

IP PPTP Client : 10.10.10.XY/24 IP PPTP Server : 10.20.20.XY/24

GW : 10.20.20.254 192.168.98.2/
192.168.99.2/ GW : 10.10.10.254
Local address : 1.1.1.1 24
24 Local address : 1.1.1.1
Remote address : 2.2.2.2 Remote address : 2.2.2.2

181
PPTP Server Client LAB
• Buat PPTP server dan client dengan teman anda
• Lihat pada Menu Ip addresses apakah anda mendapatkan IP
baru?
• Coba ping IP baru tersebut

182
PPTP Server Konfigurasi

183
PPTP Server setelah terhubung

184
 Firewall
Mikrotik Certified Network Associate

185
Firewall Filter Chain
• Seluruh firewall dalam RouterOS diatur dengan “chain”
• Bekerja dengan menggunakan konsep IF - THEN
• Berdasarkan urutan dari baris konfigurasi firewall rules
• Firewall filter memiliki 3 chain yaitu :
• INPUT = chain akan dijalankan Ketika traffic menuju
interface router
• OUTPUT = chain ini akan dijalankan Ketika traffic diproses
oleh router dan akan diteruskan menuju tujuan paket data
• FORWARD = chain ini akan dijalankan ketika traffic dari
luar router pergi ke tujuan paket (bypass router) .

186
Firewall Filter Chain

INPUT OUTPUT

FORWARD

187
Firewall Filter Chain
• Filter chain dikonfigurasi
pada menu New Firewall Rule

188
Firewall Filter

Berisi IP source/destination

Port dan Protokol rules

Interface paket data asal

dan tujuan

189
Filter Actions
• Berdasarkan konsep IF –THEN, “IF” adalah Filter rule chain
sedangkan “then” adalah rules actions.
• Rules action ada beberapa jenis yaitu :
• Accept
• Drop
• Jump/return = loncat ke rules yang telah dibuat
• Reject
• Log

190
Filter Actions
• Fungsi Log untuk
menampilkan proses rule
yang dicatat dalam log
mikrotik

191
 Firewall Filter
Meneruskan paket data

Rules akan ditambahkan ke address list

Paket data akan ditolak oleh router

Jump = paket data akan di lewatkan

pada rule lain (custom chain)

Log = rule akan dicatat pada log

mikrotik
Passthrough = akan diteruskan rule di
bawahnya / berikutnya

192
 Firewall Filter
Passthrough = akan diteruskan rule di
bawahnya / berikutnya

Reject = drop tapi ada balasan ICMP

Return = mengembalikan paket sesuai

custom chain

Tarpit = capturen dan hold TCP

(SYN/ACK)

193
Firewall Filter Strategy
• Metode yang sering digunakan adalah :
Drop beberapa, allow semua rules
1/0 DROP
1/0 DROP
1/0 DROP

1/0 ALLOW

194
Firewall Filter Strategy
• Metode yang sering digunakan adalah :
ACCEPT beberapa, DROP semua rules
1/0 ACCEPT
1/0 ACCEPT
1/0 ACCEPT

1/0 DROP

195
Firewall Input
• Mengatur rule yang menuju router
• Umumnya digunakan untuk melindungi layanan /service router
• Contoh penerapan adalah : ping
• Buat rules sebagai berikut :
• ACCEPT traffic dari PC
• DROP seluruh traffic

196
Firewall Input Accept

197
Firewall Input Drop

198
Firewall Input Log

Nama
Log

199
Firewall Filter Rule Order
• Urutan dari setiap baris rule di firewall mikrotik sangat
berpengaruh terhadap proses eksekusi firewall
• Rule akan diproses dengan urutan nomer kecil ke besar

200
Firewall Address List
• Address List digunakan ketika beberapa rule yang memiliki IP
address yang sama dan atau port yang sama juga
• Contoh beberapa IP client sebagai berikut :
• 192.168.100.10 protocol TCP, tujuan port 80, action Drop
• 192.168.100.20 protocol TCP, tujuan port 80, action Drop
• 192.168.100.30 protocol TCP, tujuan port 80, action Drop
• 192.168.100.40 protocol TCP, tujuan port 80, action Drop
IP addresss tersebut bisa dikelompokkan dengan fungsi address
list
201
Fitur Address List

202
Address list Lab
• Buatlah rule yang mengijinkan (allowed) dari IP address
• Rule tersebut berfungsi untuk mengakses winbox router

203
Filter Forward
• Chain ini berfungsi untuk melewatkan traffic
• Membatasi akses client ke jaringan luar
• Secara default trafik internal antara client yang terhubung ke
router akan di izinkan (allowed)

204
Firewall forward
• Default port yang ditelah distandartkan baik TCP dan OSI Layer
adalah

205
Firewall Forward Lab
• Buatlah sebuah rules yang menggunakan rules action dan
membuang / drop port http 80

206
Connection Tracking
Mikrotik Certified Network Associate

207
Connection Tracking
• Aktifitas paket data semua akan disimpan dalam connection
tracking baik source atau destination paket data
• Beberapa state / status yang ada di connection tracking
• Established = kelanjutan dari paket yang baru daripaket pertama
• Invalid = traffic yang muncul tiba-tiba
• New = Paket data yang baru dibuat
• Related = Paket yang muncul seketika dan berkaitan dengan paket
establish

208
Skema Connection Tracking

209
Connection State
• ACCEPT all established packet
• ACCEPT all related packet
• DROP all invalid packet

210
 Firewall NAT
Mikrotik Certified Network Associate

211
Firewall filter struktur
Metode untuk memetakan dan memodifikasi source atau
destination paket data adalah NAT, NAT memiliki 2 tipe yaitu :
• Source Nat
• Destination NAT

212
SRC - NAT
• Agar jaringan internal yang menggunakan IP Private dapat
dikenali atau terhubung ke internet maka menggunakan
metode source nat
• Tipe source NAT yaitu :
• Source-Nat
• Masquerade

213
SRC -NAT INTERNET

Paket data :
Src : 10.10.10.10
Dst : www.detik.com

10.10.10.10
Paket data :
Src : 192.168.99.2
Dst : www.detik.com

192.168.99.2
214
SRC-NAT Masquerade
• Fungsi ini untuk mengubah IP private (local) menjadi IP public
• Sebagai gateway IP static untuk terhubung ke internet
• Koneksi WAN gateway dengan IP dinamis

215
SRC-NAT Masquerade INTERNET

Paket data :

masquerade
Src : 10.1.1.10
Dst : www.detik.com

10.10.10.10
Paket data :
Src : 192.168.99.2
Dst : www.detik.com

192.168.99.2
216
Source-nat
• Fungsi ini kita bisa memilih IP public mana yang akan
digunakan
• Router bisa memiliki lebih dari 1 gateway dan IP bersifat statik,
sehingga traffic akan diarahkan melalui salah satu gateway

217
SRC-NAT

218
SRC-NAT LAB
• Hubungkan laptop / PC anda dengan NAT masquerade sehingga
terhubung ke internet
• Tambahkan IP Public pada WLAN interface, sebagai berikut :
10.10.10.50 + XY
contoh XY = 10 IP public 10.10.10.60
• Tambahkan rule agar koneksi internet dengan port 80
menggunakan gateway IP baru 10.10.10.50 + XY
• Pastikan urutan rule NAT yang baru ditambahkan pada baris
atas / no kecil

219
SRC-NAT LAB

220
Destination - NAT
• Destination NAT berfungsi agar computer / server /
printerjaringan yang berada di internal network dapat diakses
dari internet (WAN/IP public)
• Dst-nat juga sering digunakan untuk membelokkan port tujuan
ke arah router sebagai proxy atau DNS server
2 jenis dst-nat adalah :
• Dst-nat
• redirect

221
DST-NAT INTERNET

Paket data :

DST-NAT
Src : 202.100.100.1
Dst : 10.10.10.99

10.10.10.10
Paket data :
Src : : 202.100.100.1
Dst : 192.168.99.2

192.168.99.2
222
Redirect INTERNET

• Fungsi redirect untuk

mengubah IP tujuan
menjadi IP router REDIRECT

10.10.10.10
Paket data :
Src : 192.168.99.2
Dst : 202.100.100.1 Paket data :
Src : 192.168.99.2
Dst : 10.10.10.10

192.168.99.2
223
Redirect DNS LAB
• Pada lab ini kita akan mengarahkan semua request port 53 DNS
agar menggunakan cache DNS router mikrotik

224
Redirect DNS LAB
• Untuk menambahkan IP domain bisa dilakukan pada menu IP
DNS Static dan tambahkan rule baru

225
DST-NAT INTERNET

• Berfungsi untuk mengubah

traffic dari internet menuju Paket data :

DST-NAT
IP public router dan diubah Src : 202.100.100.1
Dst : 10.10.10.99
menjadi IP local network
10.10.10.10
Paket data :
Src : : 202.100.100.1
Dst : 192.168.99.2

192.168.99.2
226
DST-NAT
• Akses IP PC teman anda agar bisa diakses dari IP public melalui
router mikrotik
• Buatlah sebuah layanan service web server di PC anda agar
dapat diakses oleh teman anda

227
DST-NAT

228
 PPPoE
Mikrotik Certified Network Associate

229
Point to Point Protocol over ethernet
• Mikrotik RouterOS memiliki fitur untuk dukungan PPPoE
• Dibutuhkan PPPoE client dan PPPoE Server
• Tidak perlu adanya router antar PPPoE server dan Client
• Bisa digunakan di koneksi modem ADSL, Cable dll
• PPPoE termasuk bagian OSI Layer 2 yaitu data link layer
• PPPoE server dan client harus berada satu network

230
PPPoE Client
• PPPoE akan melakukan request ke PPPoE server dan
dibutuhkannya autentikasi
• Konfigurasi network ( IP address, subnet, gateway) akan
diberikan setelah proses autentikasi
• PPPoE client juga tersedia di system operasi
• Support enskripsi autentifikasi pap,chap,mschap1,mschap2

231
PPPoE Operation
• PADI = Active Discovery
initialization
• PADO = Active
Discovery Offer
• PADR = Active
Discovery Request
• PADS = Active
Discovery Session
Information
• PADT = Active
Discovery terminal
232
PPPoE Client Configuration

PPoE Client
Enskripsi mode

233
PPPoE client
• Pada PPPoE client memiliki flag status “R” yang artinya
Running

234
PPPoE Client Nat Rule

Interface out diarahkan ke pppoe-out

235
PPPoE Server Configuration
• PPPoE server bisa menggunakan autentikasi yang disimplan di
local database yaitu PPP Secret
• Profil PPPoE server digunakan untuk menambahkan fitur
seperti rate-limit, user dan konfigurasi network (IP, network,
gateway) yang akan diberikan kepada PPPoE Client
• PPP Secret berisi tentang authentikasi username dan password

236
PPPoE Server Profile
• Remote address adalah alamat IP yang akan diberikan ke
PPPoE client
• Remote address bisa kita berikan melalui IP Pool
• Minimal konfigurasi adalah local address dan remote address
diisi

237
PPPoE Server PPP Secret
• Tambahkan kolom profile
dengan profile yang sudah
dibuat sebelumnya

238
PPPoE Server
• Pastikan interface sesuai
dengan yang digunakan untuk
terhubung terhadap client
• Default profile diisikan
dengan PPPoE profile yang
dibuat sebelumnya

239
PPPoE Windows client

240
PPPoE Windows client

241
PPPoE Windows client

242
PPPoE Windows client

243
 QoS
Quality of Service
Mikrotik Certified Network Associate

244
QoS
• Fitur unggulan mikrotik lainnnya adalah Qos
• QoS digunakan untuk mengatur traffic rate (pembatasan,
pengaturan dan prioritas)
• Karena proses packet data yang masuk ke router menggunakan
konsep system antrian,sehingga perlu ada pengaturan prioritas
traffic
• Ada 2 jenis QoS di mikrotik : simple queue dan queue tree

245
QoS
• Packet flow diagaram mikrotik v6

246