SOAL/TUGAS
Skenario :
Dalam kegiatan uji kompetensi ini anda bertindak sebagai Network System Administrator. Tugas anda
sebagai Network System Administrator adalah merancang bangun dan mengkonfigurasi sebuah Wifi
Router yang berfungsi sebagai Gateway Internet, Hotspot dengan RADIUS,Web Proxy, dan Firewall,
kemudian internet tersebut di-share ke client melalui jalur kabel dan wireless secara DHCP.
Jaringan Internet
Jaringan Lokal
6. IP Address = 192.168.100.1/25
7. DHCP Pool sebanyak 99 Client
8. Buat firewall agar IP 192.168.100.2-192.168.100.50 tidak dapat ping ke router
9. Buat firewall agar IP 192.168.100.51-192.168.100.100 tidak dapat ping ke client wireless
10. Buat rule agar setiap akses ke router tercatat di logging dan tersimpan di disk
Jaringan Wireless
1. Menerapkan prosedur kesehatan, keselamatan kerja dan keamanan kerja yang diperlukan
2. Melakukan pemasangan kabel UTP
3. Melakukan pemasangan dan konfigurasi jaringan lokal (LAN)
4. Melakukan pemasangan dan konfigurasi jaringan lokal (WAN)
5. Melakukan pemasangan dan konfigurasi jaringan lokal (WLAN)
6. Melakukan konfigurasi DHCP Server
7. Melakukan konfigurasi Firewall pada router
8. Melakukan instalasi dan konfigurasi Hotspot+RADIUS
9. Melakukan konfigurasi Server/Router (WebProxy)
10. Melakukan Pengujian dari PC Client yang terhubung kabel :
a. IP DHCP Client
b. Koneksi internet
d. Logging
b. Blocking Site/
c. Blocking File
Dalam artikel ini, membahas langsung ke proses pengerjaan setting mikrotik dengan
winbox sesuai dengan soal diatas.
Masuk ke mikrotik dengan winbox > buka menu System > Identity > rubah nama router
sesuai keinginan.
Kemudian kita akan masuk ke pembahasan pokok kita. untuk memudahkan pekerjaan
sesuai dengan soal diatas, disini akan kita uraikan dalam beberapa bagian, diantaranya:
Berarti, kita akan menggunakan fitur DHCP Client pada ether1 untuk mendapatkan IP,
Gateway dan DNS sesuai dengan ISP. Langkah-langkahnya:
Klik menu IP > DHCP Client > (+) > Interface : ether1 > Centang Use Peer DNS > Centang Use
Peer NTP > Add Default Route : Yes
Selanjutnya, cek apakah IP dhcp (otomatis) sudah didapat dari ISP pada ether1, amati
gambar dibawah:
IP Address ether1-Internet secara otomatis didapatkan dari ISP (Foto: Mas Tosu)
Jika pada Status bertuliskan bound, berarti ip dhcp sudah berhasil di release dari ISP ke
ether1.
Tes koneksi internet mikrotik kita sesuai dengan yang diberikan oleh ISP, caranya klik
menu New Terminal, pada command shell ketikkan ping google.com
Jika tampilan kurang lebih seperti gambar diatas, maka itu artinya router mikrotik kita
sudah terkoneksi ke internet melalui ether1 yang tersambung dengan ISP.
Selanjutnya, masukkan IP Address pada interface wlan1 (Jaringan Wireless), dengan cara:
Klik menu IP > Address > (+) > Address: 192.168.200.1/24 > Interface: wlan1 (Jaringan
Wireless > OK
Sekarang ip address untuk 3 interface sudah terisi sesuai dengan soal, yaitu ether1 dari ISP,
ether2 192.168.100.1/25 dan wlan1 192.168.200.1/24
Tampilan IP Address masing-masing interfaces (Foto: Mas Tosu)
Agar client pada router kita bisa terhubung ke internet, diperlukan sebuah firewall NAT
(Network Address Translation).
Langkah-langkahnya:
NTP Client digunakan untuk men-singkronkan waktu pada router kita dengan layanan NTP
Server yang ada di internet.
Langkah-langkahnya:
Jika terdapat pesan error ketika di Apply atau OK, maka yang kita butuhkan adalah IP
Address dari domain tersebut, untuk mengetahui IP Address dari id.pool.ntp.org dan
asia.pool.ntp.org, cukup kita ping ip tersebut dari menu New Terminal > copy kedua ip
address tersebut kemudian masukan ke Primary NTP Server dan Secondary NTP Server:
Ping ip address id.pool.ntp.org dan asia.pool.ntp.org (Foto: Mas Tosu)
masukan ip address untuk Primary NTP Server dan Secondary NTP Server (Foto: Mas Tosu)
Zona waktu setiap kawasan berbeda-beda, untuk kasus ini kita gunakan GMT +07
(Asia/Jakarta). Caranya:
DHCP Server kali ini kita buat untuk masing-masing jaringan LAN maupun WLAN
Sebagaimana soal, pada jaringan LAN, DHCP Pool sebanyak 99 Client. Caranya:
Klik menu IP > DHCP Server > DHCP > (+) > DHCP Setup. Muncul kotak dialog DHCP
Setup, Kemudian
DHCP Server Interface: wlan1/Jaringan wireless > Next > DHCP Address Space:
192.168.200.0/24 > Next > Gateway for DHCP Network : 192.168.200.1 > Next >
Addresses to Give Out : 192.168.200.2-192.168.200.100 > Next > DNS Server: 8.8.8.8,
8.8.4.4 > Lease Time: 00:10:00 > Next > OK
Pada soal, kita di minta untuk mengaktifkan fitur web proxy pada mikrotik dengan
keterangan Cache Administrator = nama_peserta@sekolah.sch.id. Langkah-langkahnya:
Jaringan Hotspot pada interface jaringan wireless menggunakan RADIUS Server untuk
konektivitas pada client smartphone atau laptop melalui sambungan wireless. Kita harus
mensetting terlebih dahulu SSID yang akan kita gunakan. Langkahnya klik Interface > Pilih
Interface Wlan1 atau Jaringan Wireless > kemudian pada tab wireless > pilih mode : ap
bridge > SSID > nama_peserta@ProxyUKK
Konfigurasi SSID pada Jaringan Wireless (Foto: Mas Tosu)
Selanjutnya kita di minta untuk membuat sebanyak 20 akun hotspot secara random
menggunakan RADIUS Server (userman) dan akun hotspot tersebut hanya bisa terkoneksi
internet pada pukul 07.00 - 16.00.
Hotspot Interface : wlan1 atau Jaringan Wireless > Next > Local Address of Network:
192.168.200.1/24 > Next > Address Pool of Network: 192.168.200.2-192.168.200.100 >
Next > Next > Next > DNS Servers: 8.8.8.8, 8.8.4.4 > Next > DNS Name: ukk.tkj > Next >
User: admin, password: (kosong) > Next > OK
Konfigurasi jaringan wireless (Foto: Mas Tosu)
Userman (user manager) adalah aplikasi tambahan yang miliki mikrotik, jadi biasanya
paket tersebut untuk beberapa Routerboard tidak tersedia di daftar paket yang telah
terinstall oleh routerOS. Jadi bagi kalian yang memiliki routerboard dan belum terinstall
paket userman, silahkan mendownload terlebih dahulu situs resmi mikrotik.
Untuk melihat apakah routerOS kita telah terinstall paket userman atau belum, klik
menu System > Packages
Paket user manager/userman (Foto: Mas Tosu)
Gambar diatas menunjukkan paket userman telah tersedia di routerOS kita. Selanjutnya
kita akan melakukan konfigurasi userman, sebagai berikut:
Pada tampilan login, ketikkan Login : admin > Password: (kosong) > Log in
Setelah terbuka tampilan user manager di browser kita, selanjutnya klik menu Routers >
Add > New > Name: Router-Hotspot > IP Address: 127.0.0.1 > Shared secret: ukktkj >
Add / Save
Menambahkan router pada user manager (Foto: Mas Tosu)
Sebelum membuat user, kita akan membuat profile user terlebih dahulu, caranya:
Pada tampilan Userman, klik menu Profiles > Profiles > (+) > Name: user-UKK > Create
Membuat Profile User Manager (Foto: Mas Tosu)
Hubungkan rule limit yang sudah dibuat dengan profile user, caranya:
Klik tombol Add new limitation > Time: 07:00:00 - 16:00:00 > Centang limit1 > Add
Sesuai dengan soal, kita diharuskan membuat 20 akun hotspot secara random, caranya:
Jika berhasil, maka akan kita lihat tampilan seperti gambar dibawah
20 user telah dibuat secara random (Foto: Mas Tosu)
Lihat juga
H. Setting Firewall
Konfigurasi firewall kali ini kita di minta untuk melakukan blok ping (icmp) dari client LAN
maupun WLAN dengan rentang ip address yang ditentukan, kemudian melakukan blok
situs dan beberapa file dengan ekstensi tertentu serta membuat logging sistem.
1. Blok Ping
Blok ping ip address range 192.168.100.51 - 192.168.100.100 tidak bisa ping ke client wireless (Foto:
Mas Tosu)
Disini saya meberikan dua alternatif blokir situs dan file menggunakan Firewall dan
menggunakan WebProxy, silahkan pilih salah satu. Tetapi untuk menyelesaikan soal UKK TKJ
Paket 4 ini, gunakan web proxy, dengan catatan pada poin D. Setting Web Proxy
Mikrotik sudah dikonfigurasi seperti tersebut.
Agar tidak perlu setting web-browser client satu per satu, ubah web-proxy Mikrotik agar
berfungsi sebagai Transparent Proxy. Implementasinya, gunakan fitur NAT untuk
membelokan semua traffic browsing HTTP (tcp 80) yang berasal dari client ke fitur internal
web-proxy yang sudah diaktifkan sebelumnya.
fitur NAT untuk membelokan semua traffic browsing HTTP (tcp 80)
Tambahkan rule web-proxy access baru. Dalam soal ini, client tidak diperbolehkan akses ke
linux.org
Untuk melakukan block akses client ke website tertentu dapat dilakukan pada menu
Webproxy -> Access (lihat gambar di bawah ini):
Memblock File Extention ".mp3". Isi kolom path dengan "*.mp3", dan ubah action menjadi
"deny", lalu apply dan ok. Lakukan hal yang sama pada file extention .mkv dengan langkah
yang sama seperti pada blok file mp3.
Pada kasus ini, kita diminta untuk membuat rule agar setiap akses client ke router bisa
tercatat di logging dan tersimpan di disk router.
Langkah-langkahnya:
User Profile
Untuk memberikan kebiijakan pada username yang telah kita buat, bisa kita
tentukan dengan User Profile. Dengan kebutuhan kebijakan yang berbeda, maka
pada contoh kasus ini kita akan membuat satu user profile untuk masing-masing
username.
Terdapat parameter-parameter yang bisa digunakan untuk menentukan
kebijakan untuk Hotspot Client pada User Profile. Untuk beberapa kondisi ,
kebijakan tidak bisa langsung diatur pada User Profile, tetapi harus
dikombinasikan dengan Fitur yang lain.
Limitasi Bandwidth
Limitasi Bandwidth per user bisa dilakukan langsung pada User Profile dengan
mendefinisikan parameter Rate-Limit. Limitasi ini akan diberikan untuk masing-
masing User. Misalnya, jika kita tentukan rate-limit=512k/512k berarti untuk
masing-masing Hotspot Client yang menggunakan User Profile tersebut akan di-
limit sebesar 512kbps.
Akan tetapi pada contoh kasus ini, akan diterapkan limitasi bandwidth share.
Bandwidth 512k merupakan limitasi total untuk semua Hotspot Client yang Login
menggunakan username yang sama. Untuk itu kita tidak bisa menentukan
langsung pada user Profile tetapi harus dikombinasikan dengan fitur Mangle, dan
kemudian dibuatkan queue berdasar penandaan packet dari mangle tersebut.
Pada User Profile terdapat parameter yang bisa digunakan untuk menentukan
Packet-Mark Mangle yang secara otomatis akan digenerate pada saat Hotspot
Client Login.
Filtering/Blocking
Sesuai rencana awal, username=Mahasiswa hanya diperbolehkan untuk aktifitas
ke internet saja, Sedangkan untuk akses ke router akan diblock. Kebijakan ini
tidak bisa langsung diatur pada User Profile, tetapi harus dikombinasikan dengan
Firewall Filter.
Dalam pembuatan Firewall Filter sebenarnya kita bisa langsung menggunakan
src-addrress=IP Hotspot Client secara manual, tetapi konfigurasi ini terdapat
kemungkinan tidak sesuai harapan ketika IP yang sudah didefinisikan, terpasang
/ diberikan ke Client yang lain oleh Hotspot System.
Maka untuk kasus ini, digunakan parameter Incoming-Filter pada User-Profile
barulah kemudian dikombinasikan dengan Firewall Filter.
Pengaturan User-Profile=Dosen
Penentuan Nama Profile
Bandwidth Manajemen
Pada contoh kasus ini, akan digunakan Queue Tree dengan penandaan Packet-
Mark yang dibuat otomatis oleh Hotspot-User Profile.
Penandaan Paket yang dilakukan oleh User-Profile tidak berada pada built-in
chain yang ada pada Mangle, melainkan pada chain=hotspot yang dibuat
otomatis. Oleh karena itu agar metode ini bekerja perlu dibuat Mangle dengan
action=jump dari Built-In ke chain=hotspot.
Setelah ada Hotspot Client yang Login maka otomatis akan terdapat rule mangle
mark-packet baru yang ditambahkan otomatis oleh User-Profile yang sudah kita
buat sebelumnya
Selanjutnya tentukan limitasi untuk Dosen dan Mahasiswa sebagai child dari
Parent Total Bandwidth yang dibuat sebelumnya.
Dosen memiliki garansi bandwidth 512k dengan up-to:1Mbps, maka bisa
dilakukan konfigurasi seperti berikut
Pada contoh tersebut menggunakan PCQ untuk queue type nya, digunakan
untuk membagi bandwidth per user yang menggunakan username=Dosen
Filtering
Dari konsep awal, Mahasiswa tidak diijinkan untuk akses ke Router, baik
ping,winbox,ssh,dsb. Sebelumnya sudah kita tentukan pada User-Profile
Mahasiswa, bahwa ketika Client Login, maka akan dibuat chain baru dengan
nama Mahasiswa-in.
Chain ini bukan pada chain utama, sehingga perlu dibuat jump ke chain hotspot
dari Built-In chain. Baru setelah itu kita gunakan Chain=Mahasiswa-in untuk
melakukan blocking traffic dari Client ke arah Router
Dengan kombinasi konfigurasi seperti contoh tersebut kita akan lebih mudah dan
fleksible dalam melakukan manajemen jaringan Hotspot.