Job Experience 3 - Routing Management dan Firewall Mangle

Assalamu'alaikum

Selamat pagi, salam networking. Di kesempatan kali ini, saya ingin sharing lagi tentang apa saja yang sudah saya dapatkan selama berada dimasa kerja. Tidak jauh berbeda dari limitasi paket android kemarin, artikel kali ini juga membahas tentang mengarahkan paket yang melalui gateway. Artikel kali ini saya beri judul Routing management dan firewall mangle. Seberapa manfaatkah artikel ini untuk kalian? Langsung saja, ke TKP!!

Routing Management

Dalam lingkungan kerja, kita tau bahwa setiap perusahaan memiliki vendor internet yang menyediakan jasa internet untuk kita gunakan sebagai akses agar kita bisa mengakses contoh, server lokal kita, akses update sistem, dan akses lainnya demi tujuan menghubungkan koneksi agar bisa berkomunikasi antar pegawai dan karyawan didalam sebuah cloud hal ini pasti untuk mencapai target sebuah perusahaan. 

Sama seperti perusahaan pada umumnya, di tempat saya kita menyediakan akses internet dari beberapa vendor yang pasti bisa digunakan sebagai multiple gateway. Dalam gambar dibawah ini, kita bisa sebut ini sistem fail over. Dimana ketika internet utama mati, kita bisa menggunakan gateway lainnya dengan cara mengganti angka distance, disable rule, atau cara cara lainnya.

Note : Routing table akan memilih distance terkecil sebagai gateway.

Statik Routing, Routing Mark, Redirect

Dengan banyaknya gateway disebuah perusahaan, kita bisa membuat cabang arus data yang diinginkan. Hal ini guna meningkatkan kualitas management bandwidht dan mengurangi angka burst traffic (lonjakan traffic) dari salah satu isp. Semisal dalam hal ini kita bisa sebutkan bahwa :

• internet utama menggunakan isp1, 
• application office di isp2,
• mail server di isp3 
• lokal datacenter di isp4 dll

Dalam hal ini, kita bisa menggunakan rule routing mark seperti pada gambar dibawah ini. Routing mark sendiri adalah sebuah penamaan konfigurasi yang nantinya rule nama ini akan di deploy di firewall mangle. Dalam menambahkan rule routing mark ini, sebaiknya default gateway masing masing isp (non routing mark) tetap diaktifkan untuk berjaga jaga.

Routing mark ini sangat berguna di end user gateway dimana dalam satu perangkat terdapat multiple gateway yang bisa diakses bersama. Dan dengan memanfaatkan fitur routing mark, kita bisa menggunakan jalur redudancy dengan statik sesuai kebutuhan dan keperluan kita sebagai network engineer.

 

Semisal, dalam hal ini saya ingin mail server saya diakses via isp republik. Maka, routing mark yang sebelumnya ditambahkan kita letakkan di rule firewall mangle Ip > Firewall tab Mangle. Konfigurasi yang ditambahkan disini, menggunakan chain prerouting dengan dst-address (mail server), yang diberi action mark routing VIA_REPUBLIC. 

Note : Routing mark ini biasa digunakan untuk mengarahkan jalur internet di client. Hal ini tidak berlaku untuk router mikrotiknya. Router mikrotik tetap akan menggunakan default gateway di distance terkecil. Jadi ketika mangle routing mark diaktifkan, maka pengetestannya traceroute nya di client.

 

Firewall Mangle

Next, disini saya akan menjelaskan mengenai konfigurasi diatas sekalian mengenalkan kalian tentang firewall mangle. Btw, Penjelasan mengenai firewall mangle sengaja saya letakan di bawah agar alur cerita kita bisa terhubung dan menghasilkan akhir cerita yang bahagia :). Next, perhatikan diagram flow penjelasan tentang sistem dari sebuah firewall mangle pada router mikrotik berikut.

Setiap router mikrotik, berdasarkan paket data yang masuk dan keluar, pastinya memiliki input interface dan output interface. Dan paket data yang keluar masuk tersebut, tidak lewat begitu saja. Melainkan ada proses dari mikrotik yang harus dilalui paket tersebut. Kita anggap proses ini adalah sebuah proses mangle. Sehingga dengan mempelajari diagram flow paket mangle ini kita bisa tau dimana kita harus meletakan rule chain yang sesuai. 

Di dalam dunia mangle sistem chain seperti ini diolah berdasarkan tujuan paket. Ketika paket tersebut menuju internet (melalui router), maka pada routing decision (keputusan routing), router akan mengolah paket dan mengarahkannya ke jalur forward. Tentu saja, pada konfigurasi kita sebelumnya kita menggunakan chain prerouting yang berarti mengarahkan paket sebelum diolah router di routing decision.

Paket paket yang di mangle, diberikan tanda (marking) pada header paket. Sehingga marking tersebut menjadi identitas dari paket tersebut. Ketika paket melewati routing decision, proses tersebut akan mengecek identitas dari paket yang lewat tersebut. Dari hasil pengecekkan routing decision akan memberikan keputusan apakah paket tersebut menuju router atau paket yang melewati router. Tidak hanya itu, routing decision juga mengecek ke arah interface mana (output) paket tersebut akan keluar.

Selain mengarahkan paket kearah mana, mangle bisa melakukan hal lain seperti mengarahkan paket ke management bandwidht yang pernah saya share pada artikel sebelumnya di limitasi bandwidht android. Sehingga berdasarkan identitas paket yang kita inginkan bisa kita olah terlebih dahulu dimanagement bandwidht sebelum diarahkan ke routing decision. Hal ini bisa kita lihat seperti diagram flow pada gambar dibawah ini. Yang membedakan mangle mana yang harus digunakan (action) adalah mark packet dan mark routing. Mark packet digunakan untuk management bandwidht dan mark routing digunakan untuk mengarahkan arah gateway (output).

 

Demikian penjelasan singkat mengenai routing management dan firewall mangle. Semoga artikel ini bermanfaat untuk anda dan memudahkan pembaca memahami penjelasan saya. Sekian dari saya, saran dan pertanyaan bisa diletakan di komentar. Terima kasih sudah berkunjung, salam networking.

Job Experience 2 - Management Interface Di Mikrotik

Assalamu'alaikum

Selamat pagi, salam networking. Sudah sebulan saya tidak update artikel karena berbagai faktor. Jadi bagi subscriber mohon pengertiannya wkwk. Lanjut, kali ini saya ingin share experience terkait pekerjaan sehari hari di kantor. Next time, saya akan lebih aktif dalam sharing pengalaman dan beberapa artikel tambahan lainnya.

Management Interface

Sharing pertama ini, saya ingin sedikit membahas terkait masalah management. Management yang dimaksud disini adalah management konfigurasi dengan masukan bagaimana cara agar kita bisa memanfaatkan satu device dengan berbagai jalur. Untuk device saya disini menggunakan perangkat mikrotik.

Topology

Untuk topologynya bisa dilihat pada gambar dibawah. Untuk devicenya kita lebih terkonsentrasi pada 2 router 951 mikrotik yang dibawah. Disini kita akan memaksimalkan 3 jalur yaitu : server farm, top management (boss) dan user biasa (production dan operation). Alasan tidak mengunakan satu jalur (sistem trunk) adalah karena masing masing ketiga jalur ini membutuhkan kecepatan yang signifikan dan tidak boleh ada hambatan. 

Lanjut, terkait konfigurasi kita buatkan listnya sebagai bahan apa saja yang perlu kita konfigurasi pada device ini. 

• untuk konfigurasi terakhir bulan lalu saya dapat permintaan dari atasan terkait jaringan top management dibuat di dua lantai. 
• Jaringan top management menggunakan isp cadangan, jaringan server farm dan user biasa menggunakan isp utama. 
• Untuk top management, management addressnya di letakkan di router 951 (dari topology router sebelah kiri)
• Untuk user biasa (operation dan production), pusat jaringannya terkonsentrasi di RB1100. Sehingga management user dilakukan di RB1100.
• Untuk server farm, menggunakan dhcp dari RB1100 dengan address yang berbeda dari user biasa sehingga bisa kita tetapkan jalur nya berbeda namun berada pada internet yang sama. Management server farm juga dilakukan di RB1100.

Overview

Berikut contoh interface yang sudah jadi. Dalam hal ini saya membagi beberapa jalur dengan konfigurasi sebagai berikut.

• Top management menggunakan sistem routing, gateway ke internet cadangan dengan sistem mangle. Dari sistem routing gateway, internal top management menggunakan sistem bridge antara wifi RB kiri dengan RB kanan yang ditrunk via eth5.
• User biasa menggunakan sistem bridge di port3 dan port vlan10 (trunk eth5). Sehingga bisa kita anggap sebagai jalur lewat saja. 
• Server farm menggunakan sistem bridge antara eth1 (gateway DMZ), eth2 dan wlan1 (ssid : DMZ_Server)

Untuk set addressnya sebagai berikut, bridge2rep untuk lokal top management, bridge1dmz untuk gateway server farm dan ip remotenya. eth4 reptop, untuk gateway isp cadangan (gateway top management). Sedangkan lokal user tidak dibuatkan ip, karena hanya sebatas lewat saja.

Untuk sistem bridgenya, kita punya 3 bridge yaitu server farm, top management (rep) dan segmen cideng (lokal user). sistem ini adalah sistem internal dari setiap jalur. Yang membedakan, hanya sistem routing ke gatewaynya top management. Untuk penambahan portnya, disesuaikan yang dibutuhkan. Listnya seperti berikut.

• eth1, 2 dan wlan1 adalah server farm karena akses server farm pada interface tersebut.
• vlan20 dan wlan2 adalah akses top management. Dimana vlan20 adalah trunking ke RB kanan (lt.5). 
• vlan10 dan eth3 adalah akses dari segmen cideng. Dimana vlan10 adalah trunking ke RB kanan (lt.5).

Note : penambahan sistem trunking ini di peruntukan untuk lt5 karena di lt5 kita ingin pasangkan lokal user dan top management. Untuk penambahan vlan dilakukan di kedua sisi dengan vlan id yang sama sesuai vlannya.

Overview Jalur Akses

Untuk jalur gateway internetnya, disini kita punya dua akses. Via Dmz dan via republik, secara default internet lewat via dmz. Untuk kedua jalur ini, kita pasangkan routing mark yang nantinya akan diarahkan ke firewall mangle. Jalur segmen cideng (lokal user) tidak ada gatewaynya karena disini segmen cideng sudah diatur secara DHCP dan sifatnya hanya lewat saja. Tidak seperti dmz dan republik, kedua gateway ini diarahkan secara point to point yang bisa ditambahkan dengan ip statik.

Berikut pemisahan trafficnya menggunakan sistem mangle firewall. Email server kita diarahkan via DMZ (jalur isp utama) karena biasanya tarikan email memang sangat banyak dan jalur top management di arahkan via isp cadangan. Sehingga penggunaan isp cadangan dapat dikalkulasikan. Di tab advance konfigurasi mangle top management kita pasangkan dst address list "kecuali lokal". Maka ip dst lokal ini tetap melalui via dmz.

Note : penjelasan mengenai firewall mangle akan saya jelaskan next time dengan penjelasan lengkap pengarahan berbagai traffic untuk gateway yang kita inginkan.

Note, berikut ip lokal yang diarahkan via dmz dan tidak akan melalui jalur republik. Hal ini karena hops tersebut adalah ip lokal kita dimana ip lokal tersebut hanya bisa diakses dari jalur dmz dan republik adalah gateway yang langsung menuju internet tanpa melalui lokal.

Demikian sedikit sharing sharing mengenai management interface yang diimplementasikan disini. Semoga artikel ini bermanfaat untuk anda terutama saya sendiri. Sekian perjumpaan kita sampai disini, saran dan pertanyaan bisa diletakkan di kolom komentar. Terima kasih sudah berkunjung, salam networking.

Lab 43 MikroTik - EoIP

Assalamu'alaikum

Selamat pagi, selamat beraktifitas, salam networking. Di pagi yang segar ini, saya ingin memberikan sedikit pengetahuan saya ke temen temen semua tentang vpn. Di postingan kali ini, kita akan coba dan pahami cara kerja vpn dan materi tentang Eoip. Karena ini sudah masuk di next bab, jangan lupa subscribe kita di tombol ikuti sebelah kanan header post ini dan berikan +1 untuk memajukan blog ini dan para pembacanya sekalian :).

EoIP (Ethernet Over Internet Protocol)

The next bab : Tunnel. Taukan kalian apa itu tunnel? Tunnel adalah suatu metode penyelubungan paket data di jaringan. Ibaratnya seperti “jalur khusus” dimana kita ingin sampai ke jaringan tujuan. Paket data yang melewati tunnel akan ditambahkan header paket (ibarat judul paket) dari si tunnel. Pelajaran tunnel pertama adalah EOIP (ethernet over internet protocol). 

Sesuai dengan namanya yang berarti ethernet yang berjalan di atas internet protocol. Bisa dibilang, jaringan ethernet yang berjalan diatas jaringan lain. Seperti pengertian tunnel, EOIP juga merupakan terowongan (jalur khusus) yang berjalan di jaringan lain. Biasanya EOIP digunakan untuk mengakses local area network yang jauh. 

Topology

Dengan adanya tunnel EOIP, antar router dapat saling mengirim paket data dan dapat saling mengakses di jaringan publik. Namun agar dapat terhubung, kedua router harus saling mengetahui address dari router lawan yang akan diremote. Berbeda dari tunnel lainnya, tunnel EOIP ini adalah proprietary mikrotik dimana cara kerjanya menggunakan bridge dan tunnel. Berikut topologynya.

Pada topology bisa terlihat kedua router terhubung ke jaringan lain. Dalam jaringan lain tersebut, router satu mencari router lawan dengan cara mengetahui address si router lawan (biasanya ip publik yang ada di internet). Setelah antar router sudah mendapat address lawan, maka terbentuklah tunnel EOIP. Agar antar router dapat saling mengetahui informasi ether2 lawan, di bridgelah jaringan ether2 ke jaringan EOIP Tunnel.

Konfigurasi Jaringan Publik (implementasi)

Langsung saja kita meng konfigurasi EOIPnya. Namun sebelum itu pada kedua router harus terkoneksi ke jaringan publik (jaringan apa saja). Sebagai contoh implementasi disini saya mengkoneksikan pada jaringan akses point “mikrotik” sebagai jaringan publiknya.

Lalu konfigurasikan address pada kedua router. Interface yang disetting adalah interface ether2 (kearah pc) dan interface wlan1 (kearah akses point).

Konfigurasi EoIP

Setelah address dan sudah terkoneksi ke satu jaringan publik, kita setting EOIPnya. Setting EOIP bisa pada menu interface. Lalu pada tab EoIp Tunnel, kita tambahkan rule baru. Karena disini saya mengkonfigurasinya pada R2 maka saya memberi nama interface saya “Router2  Router1” (nama boleh bebas). 

Lalu masukan remote address. Remote address inilah yang dibutuhkan, kita harus mengetahui address dari router lawan. Dan untuk tunnel Idnya, tunnel id harus sama antar kedua router yang dipasang EoIP. Setelah itu di apply 

Tidak hanya R2 yang di konfigurasi, pada router1 juga harus dikonfigurasi. Lakukan hal yang sama, untuk namanya saya memberi nama interface “Router1  Router2” Dan juga masukan remote address (address router lawan). Dan terakhir masukan tunnel idnya seperti biasa tunnel ID harus sama.

Menghubungkan Jaringan Lokal Lawan

Maka dengan ini EoIP sudah terbuat dan kedua router sudah dapat terhubung. Namun disini kita ingin agar client pada ether2 dapat terhubung ke jaringan lawan. Karena itu kita bisa membridgenya. Port yang dibridge adalah interface pembuatan EoIP tadi dengan interface ether2. Sehingga informasi ether2 dapat diketahui oleh interface EoIP.

Lakukan juga pada router1 agar kedua jaringan router ether2 dapat saling terhubung.

Setup Address PC

Dengan ini informasi ether2 sudah diketahui oleh interface EoIP. Lanjut lagi, setting ip di kedua perangkat PC. Note : Yang kiri PC1, kanan PC2.

Pengetestan

Lalu coba lakukan ping antar kedua perangkat, disini saya melakukan test ping dari client 1 ke client 2.

Demikian penjelasan mengenai EoIP pada mikrotik. Semoga bermanfaat untuk anda, saran dan pertanyaan silahkan letakan di kolom komentar, jangan lupa berikan +1 untuk blog ini jika anda puas terhadap penjelasan pada artikel ini. Taku lupa share dan saling berbagi jika ada tambahan yang di perlukan. Terima kasih sudah berkunjung, sekian dari saya, salam networking.

Lab 42 Mikrotik - Static Routing

Assalamu'alaikum

Selamat sore, selamat beraktifitas dalam menjalankan puasa kita bagi yang menjalankannya. Sore ini mari kita berbincang bincang sedikit tentang pelajaran kita selanjutnya. Mohon maaf karena disini kurang updatenya karena miminnya juga agak sibuk :(. Note : seandainya saya bisa dapet uang tanpa absen ke kantor :').

Lanjut, materi kita kali ini tentang statik routing. Jika dipertemuan sebelumnya kita sudah pernah membahas tentang statik routing pada perangkat cisco. Kali ini kita akan coba menggunakan perangkat mikrotik untuk menjalankan routingnya. Langsung aja, check this out!!.

Routing Statik

Untuk mengkonfigurasi routing statik, pertama-tama siapkan terlebih dahulu 3 unit router seperti terlihat pada topology dibawah ini. Jika kekurangan modal, kalian bisa menggunakan virtual konfigurasi seperti menggunakan aplikasi gns3. note : disini saya menggunakan metode cli untuk konfigurasinya.

Setup Address

Langkah awal yang harus dilakukan adalah setting addressnya. Settinglah setiap address disetiap router.

[admin@R1] > ip address add address=12.12.12.1/24 interface=ether1

[admin@R2] > ip address add address=12.12.12.2/24 interface=ether1 [admin@R2] > ip address add address=23.23.23.2/24 interface=ether2

[admin@R3] > ip address add address=23.23.23.3/24 interface=ether1

Test Ping 

Setelah setting address, kita coba lakukan pengetestan untuk melakukan ping. Pertama kita coba lakukan ping dari R1 ke R2. 

[admin@R1] > ping 12.12.12.2 HOST                                     SIZE TTL TIME  STATUS 12.12.12.2                                 56  64 17ms 12.12.12.2                                 56  64 2ms 12.12.12.2                                 56  64 17ms 12.12.12.2                                 56  64 2ms     sent=2 received=2 packet-loss=0% min-rtt=2ms avg-rtt=9ms max-rtt=17ms

Maka hasilnya bisa karena jelas dari R1 ke R2 terhubung secara langsung (directly connected). Selanjutnya, kita coba test ping dari R1 ke R3.

[admin@R1] > ping 23.23.23.3 HOST                                     SIZE TTL TIME  STATUS                                                         no route to host                                                         no route to host     sent=2 received=0 packet-loss=100%

Maka hasilnya no route to host. Disaat seperti ini, konfigurasi routing statik diperlukan. Hal ini bertujuan untuk mengenali network yang tidak dimiliki R1 dengan cara menambahkan network baru pada tabel routing. 

Konfigurasi Routing Statik

Untuk mengkoneksikan R1 dengan R3 kita perlu menambahkan konfigurasi routing statik. Konfigurasi routing statik adalah sebagai berikut.

[admin@R1] > ip route add dst-address=23.23.23.0/24 gateway=12.12.12.2

Dari konfigurasi diatas, kita tau bahwa dst-address adalah network tujuan yang ingin ditambahkan di R1. Dan gateway adalah jalur untuk mencapai network tujuan tersebut. Karena network tujuan disini adalah network 23.23.23.0/24 (lihat topology), maka jalur gatewaynya (perantara) adalah si R2 yang sebelumnya sudah bisa terkoneksi dengan R1.

Selanjutnya, kita coba test ping lagi dari R1 ke R3.
 

[admin@R1] > ping 23.23.23.3 HOST                                     SIZE TTL TIME  STATUS 23.23.23.3                                              timeout 23.23.23.3                                              timeout 23.23.23.3                                              timeout 23.23.23.3                                              timeout     sent=4 received=0 packet-loss=100%

Maka hasilnya timed out. Kenapa? hal ini dikarenakan tidak adanya feedback dari R3. Karena sebelumnya kita hanya menyetting statik routing di R1 maka network lawan yang hanya kenal si R1 saja. Kita bisa sebut ini, pdkt bertepuk sebelah tangan jiah :v.

lanjut, sekarang kita setting statik routing di R3nya. 

[admin@R3] > ip route add dst-address=12.12.12.0/24 gateway=23.23.23.2

Pengetestan Akhir

Di akhir, kita coba lakukan test ping untuk mengetest konektivitas antara 2 router yang dipisahkan oleh R2. Lakukan ping dari R1 ke R3 dan begitu juga sebaliknya.

[admin@R1] > ping 23.23.23.3 HOST                                     SIZE TTL TIME  STATUS 23.23.23.3                                 56  63 3ms 23.23.23.3                                 56  63 2ms 23.23.23.3                                 56  63 2ms     sent=3 received=3 packet-loss=0% min-rtt=2ms avg-rtt=2ms max-rtt=3ms

[admin@R3] > ping 12.12.12.1 HOST                                     SIZE TTL TIME  STATUS 12.12.12.1                                 56  63 11ms 12.12.12.1                                 56  63 2ms 12.12.12.1                                 56  63 1ms 12.12.12.1                                 56  63 2ms

Dan hasilnya, kedua router sudah bisa saling berkomunikasi dan sudah bisa beraktifitas seperti router router lainnya. 

Demikian penjelasan singkat mengenai statik routing di mikrotik. Disini saya hanya menggunakan command text karena mengatur routing lebih mudah menggunakan terminal dibanding mode GUInya. Semoga merpermudah anda dalam memahami penjelasan saya. Sekian, salam networking.

Lab 41 MikroTik - Walled Garden

Assalamu'alaikum

Selamat pagi, salam networking. Kembali lagi bersama saya, masih membahas masalah yang sama yaitu tentang melewati proses autentikasi hotspot atau kita sebut bypass.

Walled Garden

Kalau sebelumnya kita membahas ip binding dimana yang dibypass adalah ip lokal atau jaringan lokal. Tidak terlalu berbeda, pada walled garden kita bisa membypass jaringan luar (publik) sehingga website, koneksi ftp, dns, atau ip lainnya bisa kita arahkan agar tidak memerlukan autentikasi.

Konfigurasi Walled Garden

Untuk mengkonfigurasi walled garden, langsung saja, dibuka menu walled garden pada menu hotspot. Lalu kita tambahkan rulenya. Disini saya ingin mencoba bypass blog saya sendiri. Sehingga disini yang kita isikan adalah hostnya langsung. Untuk portnya isi saja 80 (koneksi web). Dan pastinya pada server hotspot yang digunakan (hotspot1) dengan action allow.

Note : Kita juga bisa mengarahkan beberapa user saja yang bisa mengakses website tersebut dengan mengisi kolom scr addressnya sesuai dengan ip si user tersebut.

Dibawah ini beberapa sudah saya tambahkan contoh list yang saya izinkan untuk langsung akses tanpa menggunakan login hotspot.

 

Hasilnya akan tampak seperti gambar berikut bahwa website yang sudah di tambahkan di walled garden dengan action allow, maka akan di lewati tanpa login hotspot. 

 

Walled Garden IP List

Di fitur mikrotik ini, walled garden hanya bisa membypass akses ke host tertentu. Adakalanya kita harus menggunakan ip karena dalam beberapa kasus website yang dibypass berdasarkan host, rule nya tidak berjalan. Selain karena faktor kekurangan tersebut, kita juga membutuhkan koneksi ip tertentu yang tidak memiliki dns dan mungkin bisa pada port tertentu. Karena hal tersebut fitur walled garden ip list ada.

Untuk mengkonfigurasinya, langsung saja kita buka menu walled garden pada menu hotspot. Lalu coba tambahkan rule, tambahkan dst address yang kita ingin bypass. Dalam kasus ini, saya coba bypass website detik.com dimana ip nya seperti gambar berikut.

Selanjutnya, jika walled garden ip list sudah dikonfigurasi, maka rule tersebut akan masuk secara dynamic pada menu walled garden. Dan tentu saja, website detik akan langsung bisa diakses tanpa melakukan proses autentikasi hotspot.

Demikian penjalasan mengenai walled garden dan efeknya. Semoga bermanfaat untuk kita semua. Sekian dari saya, saran dan pertanyaan silahkan letakan di kolom komentar. Terima kasih sudah berkunjung, salam networking.

Lab 40 MikroTik - IP Bindings

Assalamu'alaikum

Selamat pagi, salam networking. Hari ini kita akan membahas sedikit tentang lanjutan materi hotspot pada lab sebelumnya. Seperti yang kita tau, hotspot itu bisa kita management atau kita konfigurasi sesuai keinginan kita. Jika sebelumnya kita mempelajari dasar management user hotspot. Sekarang kita akan mempelajari fitur ip binding pada hotspot ini. Lanjut!!

IP Binding

Ip bindings adalah suatu metode untuk tipe akses yang diberikan kepada pengguna hotspot. Salah satu konfigurasinya yaitu membypass (membiarkan lewat). Pada lab kali ini kita akan menggunakan tipe membypass tersebut. Jadi, ibaratnya seperti mengizinkan client agar dapat mengakses hotspot tanpa perlu proses authentikasi.

Selain bypass, ada 2 opsi lainnya untuk ip binding ini sehingga terdapat 3 parameter yang bisa kita terapkan yaitu :

• Blocked : Memblokir mac atau ip tertentu pada pool hotspot
• Bypass : Melewati proses autentikasi pada mac dan ip yang didaftarkan
• Regular : Untuk type ini, mac yang di daftarkan tetap melakukan proses autentikasi seperti biasa.

Konfigurasi IP Binding

Untuk memulai konfigurasi siapkan router mikrotik, lalu masuk ke menu IP > Hotspot. Di menu hotspot pilih tab menu ip bindings. Karena kita ingin mengimplementasikan untuk membypass salah satu ip. Maka tambahkan rule nya dengan type bypass dengan ip user yang ingin di bypass. 

Selain itu pada rule ip bindings ini, kita bisa menambahkan aktif mac address sebagai mac device yang di binding tersebut.

Selain menggunakan cara statik diatas (menambahkan user per ip/mac), kita bisa menggunakan cara yang lebih simpel untuk membinding host tertentu. Yaitu pada host yang connected (di menu hosts), kita klik lalu make binding.

User yang di binding, tidak perlu lagi login hotspot. Karena itu akses ke login page mikrotik yang biasa dilakukan di web browser tidak bisa diakses.

 

Yang di binding tersebutlah yang sudah terkoneksi ke internet. Untuk mengetest nya coba buka google atau buka situs situs lainnya yang ada di internet. 

 

Demikian penjelasan mengenai ip binding. Semoga bermanfaat untuk para reader. Sekian, saya undur diri, salam networking. Saran dan pertanyaan silahkan masukan di kolom komentar. Terima kasih. 

Job Experience 1 : Blokir Dan Limitasi Android Di Router Mikrotik

Assalamu'alaikum

Selamat pagi, salam opreker, salam networking. Gimana kabar reader? semoga masih bahagia dan tak lupa bersyukur ya :). Ngomong ngomong admin mau mangap dulu nih dah lama ga ngasih kabar lagi tentang postingan berikutnya. Mangap yak, jadi jangan ngambek lagi :'). ya kalo mau tau kenapa, admin bekangan ini sibuk banget dah, beneran. Khusus hari ini admin mau berbagi sedikit pengalaman kerja. Semoga bermanfaat.

Intro

Langsung saja, tema kita kali ini adalah android. Ada apa dengan android? kalo di tempat kerja mimin, ini nih yang bikin traffic jadi gede. Terkoneksinya android dengan jaringan kita membuat admin jaringan selalu mendapat komplen. Padahal yang komplen itu si pembuat problemnya. Biasanya sih usernya main game, youtuban (padahal udah diblok), ngemusic dll. Sedangkan bandwidht yang disediakan hanya sebatas upload data dan input sebagainya.

Karena hal tersebut mimin bersikeras ingin membuat rule kalo android itu dibatasi saja. Mau di blokir kek, mau di limit kek. Ya, semuanya juga kembali ke kebutuhan admin jaringan yang bersangkutan.

Konfigurasi

Untuk konfigurasinya, saya akan melakukan 2 metode. yang pertama memblokir android dan sisanya bypass. Yang di bypass biasanya user yang membutuhkan koneksi pada androidnya termasuk saya sendiri, untuk bypass ini beberapa saja. Untuk yang pertama kita lakukan konfigurasi pada blokir android.

Blokir Android

Sejauh ini saya sudah mencari cara untuk memblokir akses android ini. Tapi hanya beberapa website saja yang menjelaskan cara managament pada ip androidnya. Dari kata management ip saya menemukan cara yang sederhana, ya walaupun ada cara lain untuk menjalankan rule ini. Cara ini saya beri nama memberikan adress fake yang tidak sesuai dengan ip lokal. Sehingga ip ini bukan ip yang bisa mendapat akses internet.

Membuat rule ini cukup mudah. Pada menu IP > Pool kita tambahkan rule baru untuk address fakenya. Isi addressnya yang kalian inginkan asalkan tidak satu network dengan ip lokalnya.

Disisi lain kita bisa menambahkan rule baru untuk android bypass (tapi limit nantinya). Di sisi address bypass, kita bisa masukan ip tertentu. Sehingga nantinya management semakin mudah dilakukan. Semisal, menggunakan host host terakhir dalam sebuah ip lokal subnet tertentu.

 

Setelah menambahkan poolnya, baru kita bisa managementkan pada menu DHCP server > Leases. Di sini kita bisa melihat akses android. Memang awalnya susah di marking karena satu satunya cara hanya dari mac address atau dari hostname android tersebut. Karena hal tersebut, kita harus marking satu persatu android yang terdeteksi. Cara markingnya cukup mudah, klik pada salah satu hostname android, lalu klik pada 'make static'

Note : Jika marking via IP, ip DHCP selalu berubah sesuai time expirednya. Yang di marking bukan android saja, melainkan hostname lainnya seperti redmi, blackberry, iphone, mi, meizu, nokia (sejauh ini baru hostname tersebut yang saya temukan)

 

Setelah di make static, close lalu klik kembali di note android tersebut. Maka address android tadi sudah bisa kita management. Kita sebut saja ini marking satu persatu. Jadi, jika android di router mikrotik sangat banyak. Ya mau gamau di marking satu satu wkwk. Setelah itu, pada pilihan address kita bisa masukan android tersebut ke group blokir (fake) atau grup bypass.

 

Jika ingin di blokir android tersebut (sesuai kan dengan mac address), addressnya kita arahkan ke fake. Dengan begitu, akses fake akan di dapatkan oleh si android yang bersangkutan. Selain menggunakan fake address, cara lainnya bisa kita gunakan adalah mengklik centang pada block access (sesuai gambar). Ini juga bisa diterapkan. tergantung anda ingin pakai yang mana.

 

Jika ingin di bypass, masukan address sesuai dengan address lokal android yang sudah ditambahkan tadi (bukan yang fake). Dan juga hilankan ceklis pada blokir untuk membypass aksesnya.

 

Limitasi Android

Seperti yang kita tau, dua akses yang kita berikan untuk android. Ada yang di blokir ada yang di bypass. Untuk yang bypass ini jelas kita tidak ingin mereka mengganggu traffic pada jaringan kita. Karena itu, kita buatkan jalur khusus untuk mereka dimana traffic mereka tidak akan drastis naik tiba tiba.

Untuk limitasi, saya menggunakan sistem marking dengan rule mangle dimana paket android nantinya akan di marking dan di masukan kedalam tabel queue. Sebenarnya bisa menggunakan cara sederhana selain cara ini, mau menggunakan limitasi subnet terntentu, mac address tertentu, ada address host terakhir yang sudah di marking tadi. Begitu banyak metode yang bisa kalian lakukan untuk membuat sebuah rule.

Karena menggunakan mangle, disini saya ingin menambahkan terlebih dahulu address list yang akan kita marking. Disini saya menggunakan filter rules untuk marking satu persatu mac address yang ingin di marking untuk di tambahkan ke address list. Untuk address listnya kita berikan saja namanya android limit.

Jika sudah ditambahkan bisa dicek kembali total paket android dari mac address yang bersangkutan berjalan sesuai total paket yang dilakukan user tersebut pada jaringan kita. Dan pada address list juga sudah muncul address dari si mac android yang kita marking tadi (marking : tandai).

Note : dengan menggunakan marking address list, kita bisa menandai dengan satu nama marking yang nantinya bisa diarahkan ke queue rule.

 

Setelah di address list sudah muncul. Sekarang waktunya konfigurasi manglenya. Untuk mangle yang dikonfigurasi adalah scr address list diarahkan ke marking packet dengan nama marking packet bebas. Marking packet ini yang nantinya akan diarahkan ke queue table. Penjelasan mengenai packet marking akan saya jelaskan di lain waktu, itupun kalo sempat wkwk.

 

Setelah di packet marking, paket marking tadi di arahkan ke queue. Disini saya menggunakan simple queue. Untuk terget kita berikan saya ip lokal LAN nya. Disini saya melimit sampai 256kb. Pada tab advanced jangan lupa untuk mengarahkan paket markingnya ke kofigurasi yang kita marking di firewall tadi.

Dan tadaaaa, traffic konfigurasi sudah bisa kita lihat. Dari konfigurasi yang kita terapkan tadi kita juga bisa memonitoring berapa banyak traffic yang dikeluarkan oleh satu, dua atau beberapa android. Tergantung berapa banyak yang ingin dibypass dan diberikan limitasi pada queue.

 

Update Video

Berikut saya siapkan video juga bagi temen-temen yang masih belum terlalu paham dengan artikelnya

Demikian, sedikit penjelasan mengenai sharing sharing pengelaman blokir android. Semoga bermanfaaat bagi para opreker dan reader maupun sider wkwk. Jangan lupa share, commend, atau tanya tanya jawab pada kolem komentar. Saran dan kritikan juga boleh masukan saja. kita sering sering saling sharing aja :). Terima kasih atas waktu singkat membaca article ini. Sekian, salam opreker. 

 

Alfa Farhan 12:41 PM MikroTik, MTCNA, Networking 8 Read More →