Anda di halaman 1dari 11

Load-balancing & Fail-over di MikroTik

Kondisi : ISP dimana kita bekerja sebagai Administrator menggunakan lebih dari satu gateway untuk terhubung ke Internet. Semuanya harus dapat melayani layanan upstream & downstream. Karena akan beda kasusnya apabila salah satunya hanya dapat melayani downstream, contohnya jika menggunakan VSAT DVB One-way. Untuk kasus ini dimisalkan ISP memiliki 2 jalur ke Internet. Satu menggunakan akses DSL (256 Kbps) dan lainnya menggunakan Wireless (512 Kbps). Dengan rasio pemakaian DSL:Wireless = 1:2 . Yang akan dilakukan : 1. Menggunakan semua jalur gateway yang tersedia dengan teknik load-balancing. 2. Menjadikan salah satunya sebagai back-up dengan teknik fail-over. OK, mari saja kita mulai eksperimennya : 1. IP address untuk akses ke LAN : > /ip address add address=192.168.0.1/28 interface=LAN IP address untuk akses ke jalur DSL : > /ip address add address=10.32.57.253/29 interface=DSL IP address untuk akses ke jalur Wireless : > /ip address add address=10.9.8.2/29 interface=WIRELESS Tentukan gateway dengan rasionya masing-masing : > /ip route add gateway=10.32.57.254,10.9.8.1,10.9.8.1 2. Pada kasus untuk teknik fail-over. Diasumsikan jalur utama melalui Wireless dengan jalur DSL sebagai back-up apabila jalur utama tidak dapat dilalui. Untuk mengecek apakah jalur utama dapat dilalui atau tidak, digunakan command ping. > /ip firewall mangle add chain=prerouting src-address=192.168.0.0/28 action=markrouting new-routing-mark=SUBNET1-RM > /ip route add gateway=10.9.8.1 routing-mark=SUBNET1-RM check-gateway=ping > /ip route add gateway=10.32.57.254 3. Good Luck!!

PCQ
Dengan menggunakan queue type pcq di Mikrotik, kita bisa membagi bandwidth yang ada secara merata untuk para pelahap-bandwidth saat jaringan pada posisi peak. Contohnya, kita berlangganan 256 Kbps. Kalau ada yang sedang berinternet ria, maka beliau dapat semua itu jatah bandwidth. Tetapi begitu teman-temannya datang, katakanlah 9 orang lagi, maka masing-masingnya dapat sekitar 256/10 Kbps. Yah.. masih cukup layaklah untuk bukabuka situs non-porn atau sekedar cek e-mail & blog . OK, langsung saja ke caranya :

1. Asumsi : Network Address 192.168.169.0/28, interface yang mengarah ke pengguna diberi nama LAN, dan interface yang mengarah ke upstream provider diberi nama INTERNET; 2. Ketikkan di console atau terminal : > /ip firewall mangle add chain=forward src-address=192.168.169.0/28 action=markconnection new-connection-mark=NET1-CM > /ip firewall mangle add connection-mark=NET1-CM action=mark-packet new-packetmark=NET1-PM chain=forward > /queue type add name=downsteam-pcq kind=pcq pcq-classifier=dst-address > /queue type add name=upstream-pcq kind=pcq pcq-classifier=src-address > /queue tree add parent=LAN queue=DOWNSTREAM packet-mark=NET1-PM > /queue tree add parent=INTERNET queue=UPSTREAM packet-mark=NET1-PM 3. Good Luck!!

Memanipulasi ToS ICMP & DNS di MikroTik


Tujuan :

Memperkecil delay ping dari sisi klien ke arah Internet. Mempercepat resolving hostname ke ip address.

Asumsi : Klien-klien berada pada subnet 10.10.10.0/28 1. Memanipulasi Type of Service untuk ICMP Packet : > ip firewall mangle add chain=prerouting src-address=10.10.10.0/28 protocol=icmp action=mark-connection new-connection-mark=ICMP-CM passthrough=yes > ip firewall mangle add chain=prerouting connection-mark=ICMP-CM action=markpacket new-packet-mark=ICMP-PM passthrough=yes > ip firewall mangle add chain=prerouting packet-mark=ICMP-PM action=change-tos new-tos=min-delay 2. Memanipulasi Type of Service untuk DNS Resolving : > ip firewall mangle add chain=prerouting src-address=10.10.10.0/28 protocol=tcp dstport=53 action=mark-connection new-connection-mark=DNS-CM passthrough=yes > ip firewall mangle add chain=prerouting src-address=10.10.10.0/28 protocol=udp dstport=53 action=mark-connection new-connection-mark=DNS-CM passthrough=yes > ip firewall mangle add chain=prerouting connection-mark=DNS-CM action=markpacket new-packet-mark=DNS-PM passthrough=yes > ip firewall mangle add chain=prerouting packet-mark=DNS-PM action=change-tos new-tos=min-delay 3. Menambahkan Queue Type : > queue type add name=PFIFO-64 kind=pfifo pfifo-limit=64 4. Mengalokasikan Bandwidth untuk ICMP Packet : > queue tree add name=ICMP parent=INTERNET packet-mark=ICMP-PM priority=1 limit-at=8000 max-limit=16000 queue=PFIFO-64

5. Mengalokasikan Bandwidth untuk DNS Resolving : > queue tree add name=DNS parent=INTERNET packet-mark=DNS-PM priority=1 limit-at=8000 max-limit=16000 queue=PFIFO-64 6. Good Luck!! Queue Tree with more than two interfaces Basic Setup This page will tak about how to make QUEUE TREE in RouterOS that with Masquerading for more than two interfaces. Its for sharing internet connection among users on each interfacess. In manual this possibility isnt writted. First, lets set the basic setting first. Im using a machine with 3 or more network interfaces: [admin@instaler] > in pr # NAME TYPE RX-RATE TX-RATE MTU 0 R public ether 0 0 1500 1 R wifi1 wlan 0 0 1500 2 R wifi2 wlan 0 0 1500 3 R wifi3 wlan 0 0 1500 And this is the IP Addresses for each interface: [admin@instaler] > ip ad pr Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK BROADCAST INTERFACE 0 10.20.1.0/24 10.20.1.0 10.20.1.255 public 1 10.10.2.0/24 10.10.2.0 10.10.2.255 wifi1 2 10.10.3.0/24 10.10.3.0 10.10.3.255 wifi2 3 10.10.4.0/24 10.10.4.0 10.10.4.255 wifi3 On the public you can add NAT or proxy if you want. Mangle Setup

And now is the most important part in this case. We need to mark our users. One connectoin for upload and second for download. In this example I add mangle for one user. At the end I add mangle for local transmission because I dont QoS local trafic emong users. But for user I need to separate upload and download. [admin@instaler] ip firewall mangle> print Flags: X - disabled, I - invalid, D - dynamic disabled=no 0 chain=forward dst-address=10.10.2.36 action=mark-connection new-connection-mark=users-userU passthrough=yes comment= disabled=no 1 chain=forward dst-address=10.10.2.36 action=mark-connection new-connection-mark=users-userD passthrough=yes comment= disabled=no 2 chain=forward connection-mark=users-userU action=mark-packet new-packet-mark=userU passthrough=yes comment= disabled=no 3 chain=forward connection-mark=users-userD action=mark-packet new-packet-mark=userD passthrough=yes comment= disabled=no 98 chain=forward src-address=10.10.0.0/16 dst-address=10.10.0.0/16 action=mark-connection new-connection-mark=users-lokal passthrough=yes 99 chain=forward connection-mark=users-lokal action=mark-packet new-packet-mark=lokalTrafic passthrough=yes Queue Tree Setup And now, the queue tree setting. We need one rule for downlink and one rule for uplink. Be careful when choosing the parent. for downlink traffic, we use parent global-out, because we have two or more downloading interfaces. And for uplink, we are using parent public, we want QoS uplink traffic. (Im using pcq-up and download from manual) This example is for 2Mb/1Mb [admin@instaler] > queue tree pr Flags: X - disabled, I - invalid

0 name=Download parent=global-out packet-mark= limit-at=0 queue=pcq-download priority=1 max-limit=2000000 burst-limit=0 burst-threshold=0 burst-time=0s 1 name=Upload parent=WGW packet-mark= limit-at=0 queue=pcq-upload priority=1 max-limit=1000000 burst-limit=0 burst-threshold=0 burst-time=0s Now we add our user: 2 name=user10D parent=Download packet-mark=userD limit-at=0 queue=pcq-download priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s 3 name=user10U parent=Upload packet-mark=userU limit-at=0 queue=pcq-upload priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s MAC Address + IP Address Linux #!/bin/sh iptables=/sbin/iptables #definisikan default policy disini $iptables -F INPUT $iptables -F OUTPUT $iptables -P INPUT DROP $iptables -P OUTPUT DROP #ingat nanti buka policy output yg perlu $iptables -F FORWARD $iptables -F -t nat $iptables -P FORWARD DROP #definisi default policy dan bikin chain baru bernama maccheck di interface eth1 $iptables -t mangle -F $iptables -t mangle -F maccheck $iptables -t mangle -X maccheck

$iptables -t mangle -N maccheck $iptables -t mangle -I PREROUTING -i eth1 -p all -j maccheck #self explanatory ip address + mac $iptables -t mangle -A maccheck -s 192.168.0.1 -i eth1 -m mac -j RETURN mac-source 00:80:11:11:11:11 $iptables -t mangle -A maccheck -s 192.168.0.2 -i eth1 -m mac -j RETURN mac-source 00:80:22:22:22:22 $iptables -t mangle -A maccheck -s 192.168.0.3 -i eth1 -m mac -j RETURN mac-source 00:80:33:33:33:33 #selain yg terdaftar baik ip maupun mac akan di mark untuk nanti di drop, isi dengan salah satu mac yg aktif yg mana saja #disini contohnya 00:80:11:11:11:11 yg sudah kita definisikan di atas $iptables -t mangle -A maccheck -s 0/0 -i eth1 -m mac -j MARK mac-source ! 00:80:11:11:11:11 set-mark 1 $iptables -t mangle -A maccheck -s 0/0 -i eth1 -p all -j MARK set-mark 1 #drop packet yg di mark $iptables -A INPUT -i eth1 -m mark mark 1 -j DROP $iptables -A OUTPUT -o eth1 -m mark mark 1 -j DROP $iptables -A FORWARD -i eth1 -m mark mark 1 -j DROP #lanjutkan firewall script anda disini source = primadonal.com

Automatic Failover dengan Mikrotik


September 23, 2008

Setelah posting di forum tidak ada yang reply, akhirnya script automatic failover di MT V.3x berhasil saya terapkan. Script ini diambil dari sini, akan tetapi saya rubah sedikit, karena belum jalan di mikrotik saya. Sebelumnya saya akan terangkan skenario-nya, ISP 1 | | | Mikrotik | ========= LAN ISP 2 | | Sebuah Mikrotik terhubung dengan 2 ISP (WAN), ISP 1 sebagain main link, sedangkan ISP 2 sebagai backup link. Bila ISP 1 down, maka routing internet akan ke ISP 2, jika ISP 1 up kembali, routing kembali ke semula. Setelah semua dikonfigurasi secara standar, Berikut adalah step2-nya : 1. Beri nilai 1 untuk distance di routing utama (main link), dan nilai 2 untuk routing backup. 2. Define IP Public luar yang bisa di monitoring, misal saya ambil 172.16.64.13 sebagai ip netwatch saya, kemudian tmbahkan routing ke ip tersebut melalui main link. Misal : ISP 1 = ADSL ISP 2 = Cable/IM2

3. Tambahkan script berikut yang berfungsi script fail over dan ip monitoring :

============================================================== /system script add name=failover source={ :if ([/ip route get [/ip route find comment="utama"] disabled]=yes) do={/ip route enable [/ip route find comment="utama"]} else={/ip route disable [/ip route find comment="utama"]} /system script add name=back2main source={ :if ([/ip route get [/ip route find comment="utama"] disabled]=yes) do={/ip route enable [/ip route find comment="utama"]} /tool netwatch add host=172.16.64.13 interval=10s timeout=1s down-script=failover /tool netwatch add host=172.16.64.13 interval=10s timeout=1s up-script=back2main

pemberian interval dan timeout silahkan disesuaikan dengan kebutuhan jaringan anda. keterangan : Monitoring ke ip 172.16.64.13 setiap 10 detik, bila dideteksi down maka failover script yang berfungsi untuk mendisable routing utama yang aktif, dan sebaliknya, bil ip tersebut up kembali maka mikrotik akan menjalan script back2main untuk meng-enable-kan routing utama. Silahkan dicoba..

Dua gateway failover di mikrotik


Posted on 12. Feb, 2010 by Kang Nadoel in tutorial

<p>Your browser does not support iframes.</p> Pada tutorial mikrotik kali ini kang nadoel yang merasa urang sunda dan juga urang subang, ingin berbagi cara bagaimana menangani dua buah gateway jika koneksi putus pada salah satunya, cara yang dipakai adalah teknik failover, dimana ketika salah satu gateway yang kita gunakan terputus maka koneksi akan secara otomatis dilarikan kepada gateway yang kedua. Untuk lebih jelasnya kang nadoel akan menampilkan nya dalam mode script dan juga winbox. Pada mode winbox : Misalnya kita mempunyai dua buah koneksi, ether1 sebagai link utama dan yang ether2 sebagai backup, seperti biasa kita setting mikrotik terlebih dahulu sebagai router.

Buat statik route sesuai dengan gateway yang diberikan ISP anda.

Setting Gateway 1

Setting Gateway 2

Pada mode CLI cukup mengetikan dua baris perintah berikut :


/ip route add gateway=192.168.1.1 check-gateway=ping /ip route add gateway=192.168.2.1 distance=2

Untuk melakukan pengetesan, anda bisa mendisable dan enable salah satu gateway di dalam winbox, atau bisa juga dengan cara mencabut link utama anda, jika setingan anda sudah benar, maka mikrotik akan melakukan change over secara otomatis dari gateway1 ke gateway2.