FireWall untuk menjaga keamanan Router MikroTik

Untuk mengamankan router MikroTik dari traffic virus dan excess ping dapat digunakan skrip firewall berikut

Pertama buat address-list "ournetwork" yang berisi alamat IP ether1 ke radio, IP ether2 ke LAN1 dan IP ether3 ke Lan2 atau IP ether lainnya bila ada.

Dalam contoh berikut alamat IP ether1 ke radio (DHCP) dapat = 202.93.239.118/29, IIP ether2 ke LAN1 = 192.168.1.0/24 dan IP ether3 ke Lan2 = 192.168.2.0/24

Untuk membuat address-list dapat menggunakan contoh skrip seperti berikut ini tinggal disesuaikan dengan konfigurasi jaringan Anda.

Buat skrip berikut menggunakan notepad kemudian copy-paste ke console MikroTik

/ ip firewall address-list
add list=ournetwork address=202.93.239.118/29 comment="fm ISP" \
disabled=no
add list=ournetwork address=192.168.1.0/24 comment="LAN1 NetWork" disabled=no
add list=ournetwork address=192.168.2.0/24 comment="LAN2 Network" disabled=no

Selanjutnya copy-paste skrip berikut pada console MikroTik

/ ip firewall filter
add chain=forward connection-state=established action=accept comment="allow \
established connections" disabled=no
add chain=forward connection-state=related action=accept comment="allow \
related connections" disabled=no
add chain=virus protocol=udp dst-port=135-139 action=drop comment="Drop \
Messenger Worm" disabled=no
add chain=forward connection-state=invalid action=drop comment="drop invalid \
connections" disabled=no
add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Drop \
Blaster Worm" disabled=no
add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="Worm" \
disabled=no
add chain=virus protocol=tcp dst-port=445 action=drop comment="Drop Blaster \
Worm" disabled=no
add chain=virus protocol=udp dst-port=445 action=drop comment="Drop Blaster \
Worm" disabled=no
add chain=virus protocol=tcp dst-port=593 action=drop comment="________" \
disabled=no
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="________" \
disabled=no
add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop MyDoom" \
disabled=no
add chain=virus protocol=tcp dst-port=1214 action=drop comment="________" \
disabled=no
add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester" \
disabled=no
add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server" \
disabled=no
add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast" \
disabled=no
add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx" \
disabled=no
add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid" \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus" \
disabled=no
add chain=virus protocol=tcp dst-port=2283 action=drop comment="Drop Dumaru.Y" \
disabled=no
add chain=virus protocol=tcp dst-port=2535 action=drop comment="Drop Beagle" \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Drop \
Beagle.C-K" disabled=no
add chain=virus protocol=tcp dst-port=3127 action=drop comment="Drop MyDoom" \
disabled=no
add chain=virus protocol=tcp dst-port=3410 action=drop comment="Drop Backdoor \
OptixPro" disabled=no
add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm" \
disabled=no
add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm" \
disabled=no
add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop Sasser" \
disabled=no

add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B" \
disabled=no
add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop \
Dabber.A-B" disabled=no
add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop \
Dumaru.Y, sebaiknya di didisable karena juga sering digunakan utk vpn atau \
webmin" disabled=yes
add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop \
MyDoom.B" disabled=no
add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop NetBus" \
disabled=no
add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop Kuang2" \
disabled=no
add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop \
SubSeven" disabled=no
add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop PhatBot, \
Agobot, Gaobot" disabled=no
add chain=forward action=jump jump-target=virus comment="jump to the virus \
chain" disabled=no
add chain=input connection-state=established action=accept comment="Accept \
established connections" disabled=no
add chain=input connection-state=related action=accept comment="Accept related \
connections" disabled=no
add chain=input connection-state=invalid action=drop comment="Drop invalid \
connections" disabled=no
add chain=input protocol=udp action=accept comment="UDP" disabled=no
add chain=input protocol=icmp limit=50/5s,2 action=accept comment="Allow \
limited pings" disabled=no
add chain=input protocol=icmp action=drop comment="Drop excess pings" \
disabled=no
add chain=input protocol=tcp dst-port=21 src-address-list=ournetwork \
action=accept comment="FTP" disabled=no
add chain=input protocol=tcp dst-port=22 src-address-list=ournetwork \
action=accept comment="SSH for secure shell" disabled=no
add chain=input protocol=tcp dst-port=23 src-address-list=ournetwork \
action=accept comment="Telnet" disabled=no
add chain=input protocol=tcp dst-port=80 src-address-list=ournetwork \
action=accept comment="Web" disabled=no
add chain=input protocol=tcp dst-port=8291 src-address-list=ournetwork \
action=accept comment="winbox" disabled=no
add chain=input protocol=tcp dst-port=1723 action=accept comment="pptp-server" \
disabled=no
add chain=input src-address-list=ournetwork action=accept comment="From \
Datautama network" disabled=no
add chain=input action=log log-prefix="DROP INPUT" comment="Log everything \
else" disabled=no
add chain=input action=drop comment="Drop everything else" disabled=no

Efek dari skrip diatas adalah:


* Router MikroTik hanya dapat diakses FTP, SSH, Web dan Winbox dari IP yang didefinisikan dalam address-list "ournetwork" sehingga tidak bisa diakses dari sembarang tempat.
* Port-port yang sering dimanfaatkan virus di blok sehingga traffic virus tidak dapat dilewatkan, tetapi perlu diperhatikan jika ada user yang kesulitan mengakses service tertentu harus dicek pada chain="virus" apakah port yang dibutuhkan user tersebut terblok oleh firewall.
* Packet ping dibatasi untuk menghindari excess ping.


Selain itu yang perlu diperhatikan adalah:

Sebaiknya buat user baru dan password dengan group full kemudian disable user admin, hal ini untuk meminimasi resiko MikroTik Anda di hack orang.

Sumber :r-wli.net

PROMOSI ONLINE !

Read More

Bandwidth Managemen Buat Warnet di Mikrotik Router

Di era kesuksesannya usaha warnet khususnya di sigli, ada yang langsung menggunakan modem routing (biasanya bawaan jatah dari telkom) sebagai routernya sekaligus, tapi jelas kesulitan bandwidth management nya nah nih wak coba berbagi tips membuat router sekaligus bandwidth managementnya menggunakan mikrotik 2.9.27 (yang bajakan untuk lebih power full sebaiknya menggukan yang asli tapi klo tak ada duit terpaksa lah).

Disini saya ingin berbagi pengalaman dalam mengelola bandwidth yang lebih fleksibel dan adil dimana setiap user mendapatkan jadah koneksi yang sama. Dalam hal ini agar lebih mudah dalam penerapatannya saya menggunakan Router MikrotikOS bukan langsung dari modem bawaan telkom, seperti kita ketahui kalo berlangganan jasa koneksi internet dari telkom yaitu speedy dilengkapi dengan Modem ADSL yang juga berfungsi Sebagai Raoter

Disini saya menganggap Sudah Menginstall Sebuah PC yang berfungsi sebagai Router dengan System Mikrotik dan sudah bisa jalan dengan baik

Skema JAringan yang saya gunakan
Modem - PC Rauter (Mikrotik) – Hub – Client

Disisi Router saya memiliki 2 LAN CARD
1 terhubung ke modem saya berinama ethernya public dengan ip 192.168.1.2/24 karna ip bawaan modem adalah 192.168.1.1
Lancard satu lagi terhubung ke Hub untuk mendistribusikan ke setiap client saya memakai ip 192.168.0.126/25 terserah anda mau pakai CIDR berapa kalo standarnya 24

nah cekarang coba pasang kabel lan dari komputer yang udah di install mikrotik tadi ke hub/swith (kan td satu kabel dah dipasang ke modem, nah yang satu lagi tu lah yang di hubungkan ke hub/swith)

klo dah sukses kita tinggal atur bandwidth managemennya. misalnya kita dapat bandwidh download = 330k upload=50k mo kita bagikan ke sepuluh komputer client bagi rata berarti kita masing client minimal dapat bandwidth download=33k upload=5k nah di kita ketik di komputer mikrotik tadi :

/queue simple add name="Client-01" target-addresses=192.168.0.1 dst-address=0.0.0.0/0 interface=all direction=both priority=8 queue=default-small/default-small limit-at=5000/33000 max-limit=5000/33000 burst-limit=50000/330000 burst-threshold=48000/256000 c=2s/2s total-queue=default-small
disabled=no

dst... tinggal ganti komp-01 s.d. komp-10 dan ganti 192.168.10.1 s/d 192.168.10.10 (sesuai ip client)

wak tak jelaskan lagi burst-limit, burst-threshold, burst-threshold. yang jelas dengan setingan seperti ini lumayan ampuh, sehingga client tidak rebutan bandwidth lagi, dan browsing maupun download jadi lancar semua.

masih banyak lagi fitur mikrotik (web proxy - firewall - hotspot - dll ) tapi klo untuk sebuah warnet itu aj dah cukup

maaf klo ada yang salah, wak hanya coba menjelas dengan versi wak, dengan tujuan agar semua jadi semudah mungkin. klo ada yg kurang jelas tanya aj disini.

klo tak ngerti juga tanya aj, wak coba bantu klo perlu wak remote aj (klo untuk meremote paling kurang setting modem dah benar / dah online dan mikotik dah terinstal ) ok




PROMOSI ONLINE !

Read More

Setting Web-Proxy di Dalam Mesin Mikrotik RoutersOS

setelah berhari-hari saya mengutak atik router Mikrotik di warnet tempat saya kerja untuk mesetting warnetnya menggunakan Proxy server, yang selama ini warnetnya tanpa menggunakan Proxy server.
Asumsinya ketika client1 mengakses website A maka proses yang terjadi adalah client1 meminta/request ke web server yang mempunyai website A tersebut. Ketika client2 atau yang lain mengakses website yang sama (website A) maka proses client tersebut akan mengulang kembali proses meminta/request ke web server tersebut. Seandainya ada banyak client lain yang mengakses website yang sama (website A) maka proses yang sama akan dilakukan lagi. nah inilah yang membuat akses terasa lambat.

Disinilah peran sebuah Proxy sangat dibutuhkan untuk mempercepat akses website. Suatu halaman website yang pernah dikunjungi oleh client akan disimpan (cache) di server proxy. Ketika ada client yang meminta/request suatu website maka client tidak langsung request ke webserver. client akan mencari website yang direquest-nya ke proxy dulu, kalo ada maka proxy akan menjawab request tersebut dan memberikannya ke client, jika website yang dicari tidak ditemukan di simpanan/Cache proxy barulah proxy server request website tersebut ke webserver dituju.

Ada banyak macam proxy, untuk basis OS windows bisa menggunakan winroute,winproxy, dll. untuk basis OS linux bisa menggunakan Squid. Disini saia menngunakan basis linux mikrotik. selain handal digunakan sebagai router, mikrotik juga bisa digunakan sebagai web proxy server. settingannya dibawah ini yang saya gunakan

Spek PC : P4 3.0 Ghz, Mem 1 MB, HD 40 Gb, 2 buah LAN Card (1 LAN onboard, 1 LAN tambahan)
OS : Mikrotik OS 2.29.XX
ISP : Telkom Speedy (Unlimited Warnet) 1 line
Modem merk Sanex standard bawaan speedy
Client : 15 komputer

Konfigurasi Mikrotik :

#1. Setting Interface LAN card
/interface
set ether1 name=publik
set ether2 name=lokal

keterangan:
ether1 diganti nama (interface) menjadi publik (koneksi dari dan ke modem)
ether2 diganti nama (interface) menjadi lokal (koneksi dari dan ke jaringan Dalam)
tujuannya biar mudah di ingat gak ada pengaruh ke akses-nya.

#2. Setting IP address
/ip address
add address=192.168.0.2/24 interface=publik
add address=192.168.1.126/25 interface=lokal


#3. Setting Gateway
/ip route
/add gateway=192.168.0.1

#4. Setting DNS
/ip dns
set primary-dns=125.160.10.2
set secondary-dns=203.130.196.155
set allow-remote-requests=yes

Keterangan :
DNS digunakan untuk menerjemahkan alamat IP ke domain (****.com, ****.net, dll) atau sebaliknya, ada beberapa DNS untuk speedy pilih yang latency-nya kecil dengan nge-ping agar akses ke dns-nya agak cepat dikit.

#5. Setting NAT
/ip firewall nat
add chain=srcnat action=masquerade out-interface=publik
keterangan :
Network Address Translation (NAT) fasilitas router untuk meneruskan paket dari ip asal dan atau ke ip tujuan dan merupakan standart internet yang mengizinkan komputer host dapat berkomunikasi dengan jaringan luar menggunakan ip address public.

#6. Setting web Proxy (transparent)
/ip web-proxy
set enabled=yes
set hostname=proxyonlineNET
set transparent-proxy=yes
set cache-administrator=admin@onlineNET

Keterangan :
settingan web proxy yang lain menggunakan default bawaan mikrotik.
hostname=hostname dns atau ip address web proxy
cache-administrator=email admin yang bisa dihubungi ketika proxy error, yang akan ditampilkan pada browser client ketika proxy error.

#7. Setting redirect ke proxy
/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 action=redirect to-port=3128

keterangan :
Redirect digunakan untuk membelokkan/memaksa koneksi port 80 (www/web) dari client ke port 3128 default-nya web proxy mikrotik, jadi semua request client yang menggunakan port 80 (www/web) akan di belokkan ke web proxy mikrotik.

#8. Memonitor web proxy
/ip web-proxy
monitor interval=1

keterangan :
memonitor penggunaan web proxy mikrotik dengan interval waktu 1 detik

Hasilnya : memuaskan dan bikin puas…puas…!
Sengaja tidak setting DHCP karena ip client (windows) disetting manual hubungannya dengan billing warnet. Untuk jaringan yang besar dan client banyak sebaiknya menggunakan Squid di linux.


PROMOSI ONLINE !

Read More

Implementasi Queue dengan SRC-NAT

Pada penggunaan queue (bandwidth limiter), penentuan CHAIN pada
MENGLE sangat menentukan jalan nya sebuah rule. Jika kita memasang
SRC-NAT dan WEB-PROXY pada mesin yang sama, sering kali agak sulit
untuk membuat rule QUEUE yang sempurna.


Percobaan yang dilakukan menggunakan sebuah PC dengan
MikroTik RouterOS versi 2.9.27. Pada mesin tersebut, digunakan 2 buah
interface, satu untuk gateway yang dinamai PUBLIC dan satu lagi untuk
jaringan lokal yang dinamai LAN.


[jamal@OnlineNET] > in pr

Flags: X - disabled, D - dynamic, R - running

# NAME TYPE RX-RATE TX-RATE MTU
0 R publik ether 0 0 1500
1 R lokal ether 0 0 1500

Dan berikut ini adalah IP Address yang digunakan. Subnet 192.168.0.0/24 adalah subnet gateway untuk mesin ini.

[jamal@OnlineNET] > ip ad pr

Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.217/24 192.168.0.0 192.168.0.255 public
1 172.21.1.1/24 172.21.1.0 172.21.1.255 lokal



Fungsi MASQUERADE diaktifkan

[jamal@OnlineNET] ip firewall nat> pr

Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=public
src-address=172.21.1.0/24 action=masquerade

Berikut ini adalah langkah terpenting dalam proses ini,
yaitu pembuatan MANGLE. Kita akan membutuhkan 2 buah PACKET-MARK. Satu
untuk paket data upstream, yang pada contoh ini kita sebut test-up. Dan satu lagi untuk paket data downstream, yang pada contoh ini kita sebut test-down.

Untuk paket data upstream, proses pembuatan manglenya cukup
sederhana. Kita bisa langsung melakukannya dengan 1 buah rule, cukup
dengan menggunakan parameter
SRC-ADDRESS dan IN-INTERFACE. Di sini kita menggunakan chain prerouting. Paket data untuk upstream ini kita namai test-up.

Namun, untuk paket data downstream, kita membutuhkan
beberapa buah rule. Karena kita menggunakan translasi IP/masquerade,
kita membutuhkan Connection Mark. Pada contoh ini, kita namai test-conn.

Kemudian, kita harus membuat juga 2 buah rule. Rule yang
pertama, untuk paket data downstream non HTTP yang langsung dari
internet (tidak melewati proxy). Kita menggunakan chain forward, karena data mengalir melalui router.

Paket data untuk downstream pada kedua rule ini kita namai test-down.
Jangan lupa, parameter passthrough hanya diaktifkan untuk connection mark saja.

[jamal@OnlineNET] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; UP TRAFFIC
chain=prerouting in-interface=lokal
src-address=172.21.1.0/24 action=mark-packet
new-packet-mark=test-up passthrough=no

1 ;;; CONN-MARK
chain=forward src-address=172.21.1.0/24
action=mark-connection
new-connection-mark=test-conn passthrough=yes

2 ;;; DOWN-DIRECT CONNECTION
chain=forward in-interface=public
connection-mark=test-conn action=mark-packet
new-packet-mark=test-down passthrough=no


Untuk tahap terakhir, tinggal mengkonfigurasi queue. Di sini
kita menggunakan queue tree. Satu buah rule untuk data dowstream, dan
satu lagi untuk upstream. Yang penting di sini, adalah pemilihan
parent. Untuk downstream, kita menggunakan parent lan, sesuai dengan interface yang mengarah kejaringan lokal, dan untuk upstream, kita menggunakan parent global-in.


[admin@instaler] > queue tree pr
Flags: X - disabled, I - invalid
0 name="downstream" parent=lokal packet-mark=test-down
limit-at=32000 queue=default priority=8
max-limit=32000 burst-limit=0
burst-threshold=0 burst-time=0s

1 name="upstream" parent=global-in
packet-mark=test-up limit-at=32000
queue=default priority=8
max-limit=32000 burst-limit=0
burst-threshold=0 burst-time=0s


Variasi lainnya, untuk bandwidth management, dimungkinkan
juga kita menggunakan tipe queue PCQ, yang bisa secara otomatis membagi
trafik per client.


PROMOSI ONLINE !

Read More

Pengertian MikroTik Router OS

MikroTik RouterOS™, merupakan sistem operasi Linux base yang diperuntukkan sebagai network router. Didesain untuk memberikan kemudahan bagi penggunanya. Administrasinya bisa dilakukan melalui Windows Application (WinBox). Selain itu instalasi dapat dilakukan pada Standard komputer PC (Personal Computer). PC yang akan dijadikan router mikrotik pun tidak memerlukan resource yang cukup besar untuk penggunaan standard, misalnya hanya sebagai gateway. Untuk keperluan beban yang besar (network yang kompleks, routing yang rumit) disarankan untuk mempertimbangkan pemilihan
resource PC yang memadai.
Sejarah MikroTik RouterOS
MikroTik adalah sebuah perusahaan kecil berkantor pusat di Latvia, bersebelahan dengan Rusia. Pembentukannya diprakarsai oleh John Trully dan Arnis Riekstins. John Trully adalah seorang berkewarganegaraan Amerika yang berimigrasi ke Latvia. Di Latvia ia bejumpa dengan Arnis, Seorang darjana Fisika dan Mekanik sekitar tahun 1995.
John dan Arnis mulai me-routing dunia pada tahun 1996 (misi MikroTik adalah me-routing seluruh dunia). Mulai dengan sistem Linux dan MS-DOS yang dikombinasikan dengan teknologi Wireless-LAN (WLAN) Aeronet berkecepatan 2 Mbps di Moldova, negara tetangga Latvia, baru kemudian melayani lima pelanggannya di Latvia.
Prinsip dasar mereka bukan membuat Wireless ISP (W-ISP), tetapi membuat program router yang handal dan dapat dijalankan diseluruh dunia. Latvia hanya merupakan tempat eksperimen John dan Arnis, karena saat ini mereka sudah membantu negara-negara lain termasuk Srilanka yang melayani sekitar 400 pengguna.
Linux yang pertama kali digunakan adalah Kernel 2.2 yang dikembangkan secara bersama-sama denag bantuan 5-15 orang staff Research and Development (R&D) MikroTik yang sekarang menguasai dunia routing di negara-negara berkembang. Menurut Arnis, selain staf di lingkungan MikroTik, mereka juga merekrut tenega-tenaga lepas dan pihak ketiga yang dengan intensif mengembangkan MikroTik secara marathon.

JENIS-JENIS MIKROTIK
1.MikroTik RouterOS yang berbentuk software yang dapat di-download di www.mikrotik.com. Dapat diinstal pada kompuetr rumahan (PC).
2.BUILT-IN Hardware MikroTik dalam bentuk perangkat keras yang khusus dikemas dalam board router yang didalamnya sudah terinstal MikroTik RouterOS.

FITUR-FITUR MIKROTIK
1.Address List : Pengelompokan IP Address berdasarkan nama
2.Asynchronous : Mendukung serial PPP dial-in / dial-out, dengan otentikasi CHAP, PAP, MSCHAPv1 dan MSCHAPv2, Radius, dial on demand, modem pool hingga 128 ports.
3.Bonding : Mendukung dalam pengkombinasian beberapa antarmuka ethernet ke dalam 1 pipa pada koneksi cepat.

- Bridge : Mendukung fungsi bridge spinning tree, multiple bridge interface, bridging firewalling.
- Data Rate Management : QoS berbasis HTB dengan penggunaan burst, PCQ, RED, SFQ, FIFO queue, CIR, MIR, limit antar peer to peer
- DHCP : Mendukung DHCP tiap antarmuka; DHCP Relay; DHCP Client, multiple network DHCP; static and dynamic DHCP leases.
- Firewall dan NAT : Mendukung pemfilteran koneksi peer to peer, source NAT dan destination NAT. Mampu memfilter berdasarkan MAC, IP address, range port, protokol IP, pemilihan opsi protokol seperti ICMP, TCP Flags dan MSS.
- Hotspot : Hotspot gateway dengan otentikasi RADIUS. Mendukung limit data rate, SSL ,HTTPS.
- IPSec : Protokol AH dan ESP untuk IPSec; MODP Diffie-Hellmann groups 1, 2, 5; MD5 dan algoritma SHA1 hashing; algoritma enkirpsi menggunakan DES, 3DES, AES-128, AES-192, AES-256; Perfect Forwarding Secresy (PFS) MODP groups 1, 2,5

1. ISDN : mendukung ISDN dial-in/dial-out. Dengan otentikasi PAP, CHAP, MSCHAPv1 dan MSCHAPv2, Radius. Mendukung 128K bundle, Cisco HDLC, x751, x75ui, x75bui line protokol.
2. M3P : MikroTik Protokol Paket Packer untuk wireless links dan ethernet.
3. MNDP : MikroTik Discovery Neighbour Protokol, juga mendukung Cisco Discovery Protokol (CDP).
4. Monitoring / Accounting : Laporan Traffic IP, log, statistik graph yang dapat diakses melalui HTTP.
5. NTP : Network Time Protokol untuk server dan clients; sinkronisasi menggunakan system GPS.
6. Poin to Point Tunneling Protocol : PPTP, PPPoE dan L2TP Access Consentrator; protokol otentikasi menggunakan PAP, CHAP, MSCHAPv1, MSCHAPv2; otentikasi dan laporan Radius; enkripsi MPPE; kompresi untuk PPoE; limit data rate.
7. Proxy : Cache untuk FTP dan HTTP proxy server, HTTPS proxy; transparent proxy untuk DNS dan HTTP; mendukung protokol SOCKS; mendukung parent proxy; static DNS.
8. Routing : Routing statik dan dinamik; RIP v1/v2, OSPF v2, BGP v4.
9. SDSL : Mendukung Single Line DSL; mode pemutusan jalur koneksi dan jaringan.
10.Simple Tunnel : Tunnel IPIP dan EoIP (Ethernet over IP).
11.SNMP : Simple Network Monitoring Protocol mode akses read-only.
12.Synchronous : V.35, V.24, E1/T1, X21, DS3 (T3) media ttypes; sync-PPP, Cisco HDLC; Frame Relay line protokol; ANSI-617d (ANDI atau annex D) dan Q933a (CCITT atau annex A); Frame Relay jenis LMI.
13.Tool : Ping, Traceroute; bandwidth test; ping flood; telnet; SSH; packet sniffer; Dinamik DNS update.
14.UPnP : Mendukung antarmuka Universal Plug and Play.
15.VLAN : Mendukung Virtual LAN IEEE 802.1q untuk jaringan ethernet dan wireless; multiple VLAN; VLAN bridging.
16.VoIP : Mendukung aplikasi voice over IP.
17.VRRP : Mendukung Virtual Router Redudant Protocol.
18.WinBox : Aplikasi mode GUI untuk meremote dan mengkonfigurasi MikroTik RouterOS.


PROMOSI ONLINE !

Read More

Dude Setting as windows service

This is a general how to, for running dudes as a windows service...

First question: why would you run dudes as a windows service???

Verry simple: dudes is a ideal program for network monitoring, but if you want good network monitoring, you need a server for this. The problem with dudes at the moment is that it requires a user to be logged on, if you log off it terminates dudes. running dudes as a service enables you to have dudes running on one server, and use a client to connect to it. Never again look at your dudes server, it will be running, and doesn't need logging in.

this is how you do it...

Find a copy of srvany (you can get it for free on the MS site) Copy SRVANY.EXE and INSTSRV.exe to your system folder (c:\windows, c:\winnt)

Issue the following command in a dos prompt...

INSTSRV dudes c:\winnt\srvany.exe

This will create a windows service called dudes, but it still doesn't do anything. set it to automatic startup in the service console, in the administrative tools section. also do not enable "Allow Service to Interact with Desktop" this is gives you some enoying windows. Choose your service restart policy, i do a restart service if dudes terminates for some reason.

Now open regedit and go to this key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dudes

create a 'Parameters' key under this reg key.

now in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dudes\Parameterscreate an 'Application' value of type REG_SZ and specify there the full path of your app executable (including the extension). for example C:\Program Files\Dude\dudes.exe

now go to the services console and start you dudes service. use dudesw to open a client console on your server and manage your dudes service... don't forget to enable secure connection to your dudes server so you can use your dudes client to access it from remote... log off your server, and dudes will still be running, monitoring everything.

enjoy


PROMOSI ONLINE !

Read More

Peer-to-Peer Traffic Marking

Untuk menjamin kualitas layanan untuk koneksi jaringan, lalu lintas jenis interaktif seperti VoIP dan HTTP harus diprioritaskan lebih dari non-interaktif, seperti ke-rekan-rekan jaringan lalu lintas. RouterOS QOS pelaksanaan menggunakan alat pelicin menandai berbagai jenis lalu lintas pertama, dan kemudian mereka ke tempat yang berbeda dengan batas antrian.

Berikut adalah contoh yang memaksa terjadinya P2P lalu lintas tidak akan memperoleh lebih dari 1Mbps dari total kapasitas link ketika link ini berisi banyak digunakan oleh lalu lintas otherwice lain untuk memperluas kapasitas penuh link
[admin@MikroTik] > /ip firewall mangle add chain=forward \
\... p2p=all-p2p action=mark-connection new-connection-mark=p2p_conn
[admin@MikroTik] > /ip firewall mangle add chain=forward \
\... connection-mark=p2p_conn action=mark-packet new-packet-mark=p2p
[admin@MikroTik] > /ip firewall mangle add chain=forward \
\... connection-mark=!p2p_conn action=mark-packet new-packet-mark=other

[admin@MikroTik] > /ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward p2p=all-p2p action=mark-connection new-connection-mark=p2p_conn

1 chain=forward connection-mark=p2p_conn action=mark-packet new-packet-mark=p2p

2 chain=forward packet-mark=!p2p_conn action=mark-packet new-packet-mark=other
[admin@MikroTik] >
[admin@MikroTik] > /queue tree add parent=Public packet-mark=p2p limit-at=1000000 \
\... max-limit=100000000 priority=8
[admin@MikroTik] > /queue tree add parent=Local packet-mark=p2p limit-at=1000000 \
\... max-limit=100000000 priority=8
[admin@MikroTik] > /queue tree add parent=Public packet-mark=other limit-at=1000000 \
\... max-limit=100000000 priority=1
[admin@MikroTik] > /queue tree add parent=Local packet-mark=other limit-at=1000000 \
\... max-limit=100000000 priority=1

Mark by MAC address
Untuk menandai lalu lintas dari alamat MAC yang dikenal masuk ke router atau melalui itu, lakukan yang berikut
[admin@MikroTik] > / ip firewall mangle add chain=prerouting \
\... src-mac-address=00:01:29:60:36:E7 action=mark-connection new-connection-mark=known_mac_conn
[admin@MikroTik] > / ip firewall mangle add chain=prerouting \
\... connection-mark=known_mac_conn action=mark-packet new-packet-mark=known_mac
Change MSS
Ini merupakan kenyataan yang terkenal VPN link memiliki ukuran lebih kecil paket karena incapsulation overhead. Sebagian besar paket dengan MSS yang melebihi dari MSS VPN link harus pecah sebelum mengirimnya melalui jenis sambungan. Namun, jika paket DF bendera telah ditetapkan, maka tidak dapat pecah dan harus dibuang. Pada link yang rusak path MTU penemuan (PMTUD) dapat menyebabkan sejumlah masalah, termasuk masalah dengan FTP dan HTTP transfer data dan layanan e-mail.

Dalam kasus dengan link rusak PMTUD, penurunan dari MSS dari paket yang datang melalui link VPN dapat mengatasi masalah. Contoh berikut ini menunjukkan bagaimana untuk menurunkan nilai MSS melalui Mangle
[admin@MikroTik] > /ip firewall mangle add out-interface=pppoe-out \
\... protocol=tcp tcp-flags=syn action=change-mss new-mss=1300 chain=forward
[admin@MikroTik] > /ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward out-interface=pppoe-out protocol=tcp tcp-flags=syn
action=change-mss new-mss=1300


PROMOSI ONLINE !

Read More

Mikrotik New Release Ver. 4.0 Beta

Bagi anda yang sudah familiar dengan mikrotik sekarang ada kabar baru dari mikrotik, dengan versi 4.0 beta, dengan fitur-fitur tambahan yang akan menjamin server anda lebih aman dari orang-orang yang tidak bertanggng jawab
*) added support for Intel 10Gb PCI Express driver;
*) made Huawei E220 USB modem work again;
*) added support for Novatel Wireless Ovation MC950D HSUPA;
*) fixed PCQ fairness when pcq-total-limit is reached;
*) fixed fetch tool to work when dst-path is not specified (broken in 3.16);
*) fetch tool - added keep-result command line argument;
*) allow to specify routing-table for ping, trace-route, and telnet;
*) fixed an IPsec bug;

*) fixed /ip firewall address-list;
*) added propagate-ttl option for MPLS;
*) fix very long wireless scan-list issues;
*) fixed problem - sometimes PCQ could stop data pass-through if pcq-rate was set;
*) fixed problem - L2TP could stop working when one of clients stopped responding
at wrong time;
*) fixed problem - reduced size of supout.rif files;
*) graphing - support for 10 Gbit interfaces;
*) routing-test - added support for multi-instance OSPF;
*) user manager - fixed bug for PayPal payments with long parameter list;
*) user manager - database load command supports external storage
for temporary files;
*) user manager - added support for all UTC time-zone offsets,
including +5:30, +5:45, etc.;
*) allow queues to have all traffic, not only ip (for example vpn)
*) improved ipv6 sniffing
*) improve torch and sniffer behavior under high load
*) improved queue statistics


PROMOSI ONLINE !

Read More

Mikrotik 3.15 Telah di Release

What's new in 3.15:
*) added workaround for non-standards compliant CPE with timestamp issue;
*) added ability to manage multiple disks & stores under /store;
*) added support for storing user-manager database on secondary media via /store;
*) /store should be used to set up secondary disk as web proxy cache;
*) added support for Mesh in WinBox;
*) fixed client roaming in mesh protocol;
*) fixed bug in MME routing protocol:
routes sometimes were lost from routing table;

*) fixed some bugs in routing-test;
*) fixed traffic forwarding when VRF (virtual routing and forwarding) is used;
*) fixed problem - USB did not work on Geode LX boards;
*) fixed problem - farsync cards did not negotiate links;
*) added support for Novatel EU870D;
*) added support for Intel 82575EB & 8257GB gigabit ethernet PCI-Express cards;
*) removed support for all synchronous cards but farsync;
*) graphing - all target (source) addresses displayed in queue statistics page;
*) bridge firewall broute table is removed - it did not work as expected anyway;
*) ingress-priority matcher added to bridge firewall
*) fixed use-dns property of console traceroute command, default now is
use-dns=no;
*) updated UK 5.8 FIXED regulatory domain info;
*) /system ssh now by default uses name of logged in user instead of "admin";
*) fixed support for some microSD cards on RB400;
*) include Relay-Session-ID in packets sent by PPPoE client if required;
*) added ability to specify src. address for radius client;
*) dns cache - improved static entry behavior;
*) fixed dial-on-demand on ppp interfaces;



Download :
Torrent files:

Regular HTTP download:

Read More

Mikrotik Wireless Bridge Setting

Sering kali, kita ingin menggunakan Mikrotik Wireless untuk solusi point to point dengan mode jaringan bridge (bukan routing). Namun, Mikrotik RouterOS sendiri didesain bekerja dengan sangat baik pada mode routing. Kita perlu melakukan beberapa hal supaya link wireless kita bisa bekerja untuk mode bridge.

Mode bridge memungkinkan network yang satu tergabung dengan network di sisi satunya secara transparan, tanpa perlu melalui routing, sehingga mesin yang ada di network yang satu bisa memiliki IP Address yang berada dalam 1 subnet yang sama dengan sisi lainnya.

Namun, jika jaringan wireless kita sudah cukup besar, mode bridge ini akan membuat traffic wireless meningkat, mengingat akan ada banyak traffic broadcast dari network yang satu ke network lainnya. Untuk jaringan yang sudah cukup besar, saya menyarankan penggunaan mode routing.
Berikut ini adalah diagram network yang akan kita set.

Konfigurasi Pada Access Point

1. Buatlah sebuah interface bridge yang baru, berilah nama bridge1

2. Masukkan ethernet ke dalam interface bridge

3. Masukkan IP Address pada interface bridge1

4. Selanjutnya adalah setting wireless interface. Kliklah pada menu Wireless (1), pilihlah tab interface (2) lalu double click pada nama interface wireless yang akan digunakan (3). Pilihlah mode AP-bridge (4), tentukanlah ssid (5), band 2.4GHz-B/G (6), dan frekuensi yang akan digunakan (7). Jangan lupa mengaktifkan default authenticated (8) dan default forward (9). Lalu aktifkankanlah interface wireless (10) dan klik OK (11).

5. Berikutnya adalah konfigurasi WDS pada wireless interface yang digunakan. Bukalah kembali konfigurasi wireless seperti langkah di atas, pilihlah tab WDS (1). Tentukanlah WDS Mode dynamic (2) dan pilihlah bridge interface untuk WDS ini (3). Lalu tekan tombol OK.

6. Langkah selanjutnya adalah menambahkan virtual interface WDS. Tambahkan interface WDS baru seperti pada gambar, lalu pilihlah interface wireless yang kita gunakan untuk WDS ini. Lalu tekan OK.

7. Jika WDS telah ditambahkan, maka akan tampak interface WDS baru seperti pada gambar di bawah.

Konfigurasi pada Wireless Station
Konfigurasi pada wireless station hampir sama dengan langkah-langkah di atas, kecuali pada langkah memasukkan IP Address dan konfigurasi wirelessnya. Pada konfigurasi station, mode yang digunakan adalah station-wds, frekuensi tidak perlu ditentukan, namun harus menentukan scan-list di mana frekuensi pada access point masuk dalam scan list ini. Misalnya pada access point kita menentukan frekuensi 2412, maka tuliskanlah scan-list 2400-2500.

Pengecekan link
Jika link wireless yang kita buat sudah bekerja dengan baik, maka pada menu wireless, akan muncul status R (lihat gambar di bawah).

Selain itu, mac-address dari wireless yang terkoneksi juga bisa dilihat pada jendela registration (lihat gambar di bawah).


Konfigurasi keamanan jaringan wireless

Pada Mikrotik, cara paling mudah untuk menjaga keamanan jaringan adalah dengan mendaftarkan mac-address wireless pasangan pada access list. Hal ini harus dilakukan pada sisi access point maupun pada sisi client. Jika penginputan access-list telah dilakukan, maka matikanlah fitur default authenticated pada wireless, maka wireless lain yang mac addressnya tidak terdaftar tidak akan bisa terkoneksi ke jaringan kita.

Jika kita menginginkan fitur keamanan yang lebih baik, kita juga bisa menggunakan enkripsi baik WEP maupun WPA.

Sumber Mikrotik indonesia

Read More

SRC-NAT dan WEB-PROXY Setting

Pada penggunaan queue (bandwidth limiter), penentuan CHAIN pada MENGLE sangat menentukan jalannya sebuah rule. Jika kita memasang SRC-NAT dan WEB-PROXY pada mesin yang sama, sering kali agak sulit untuk membuat rule QUEUE yang sempurna. Penjelasan detail mengenai pemilihan CHAIN, dapat dilihat pada manual Mikrotik di sini.

Percobaan yang dilakukan menggunakan sebuah PC dengan Mikrotik RouterOS versi 2.9.28. Pada mesin tersebut, digunakan 2 buah interface, satu untuk gateway yang dinamai PUBLIC dan satu lagi untuk jaringan lokal yang dinamai LAN.

[admin@instaler] > in pr
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R public ether 0 0 1500
1 R lan wlan 0 0 1500

Dan berikut ini adalah IP Address yang digunakan. Subnet 192.168.0.0/24 adalah subnet gateway untuk mesin ini.

[admin@instaler] > ip ad pr
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.217/24 192.168.0.0 192.168.0.255 public
1 172.21.1.1/24 172.21.1.0 172.21.1.255 lan

Fitur web-proxy dengan transparan juga diaktifkan.


[admin@instaler] > ip web-proxy pr
enabled: yes
src-address: 0.0.0.0
port: 3128
hostname: "proxy"
transparent-proxy: yes
parent-proxy: 0.0.0.0:0
cache-administrator: "webmaster"
max-object-size: 4096KiB
cache-drive: system
max-cache-size: none
max-ram-cache-size: unlimited
status: running
reserved-for-cache: 0KiB
reserved-for-ram-cache: 154624KiB

Fungsi MASQUERADE diaktifkan, juga satu buah rule REDIRECTING untuk membelokkan traffic HTTP menuju ke WEB-PROXY

[admin@instaler] ip firewall nat> pr
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=public
src-address=172.21.1.0/24 action=masquerade
1 chain=dstnat in-interface=lan src-address=172.21.1.0/24
protocol=tcp dst-port=80 action=redirect to-ports=3128

Berikut ini adalah langkah terpenting dalam proses ini, yaitu pembuatan MANGLE. Kita akan membutuhkan 2 buah PACKET-MARK. Satu untuk paket data upstream, yang pada contoh ini kita sebut test-up. Dan satu lagi untuk paket data downstream, yang pada contoh ini kita sebut test-down.

Untuk paket data upstream, proses pembuatan manglenya cukup sederhana. Kita bisa langsung melakukannya dengan 1 buah rule, cukup dengan menggunakan parameter SRC-ADDRESS dan IN-INTERFACE. Di sini kita menggunakan chain prerouting. Paket data untuk upstream ini kita namai test-up.

Namun, untuk paket data downstream, kita membutuhkan beberapa buah rule. Karena kita menggunakan translasi IP/masquerade, kita membutuhkan Connection Mark. Pada contoh ini, kita namai test-conn.

Kemudian, kita harus membuat juga 2 buah rule. Rule yang pertama, untuk paket data downstream non HTTP yang langsung dari internet (tidak melewati proxy). Kita menggunakan chain forward, karena data mengalir melalui router.

Rule yang kedua, untuk paket data yang berasal dari WEB-PROXY. Kita menggunakan chain output, karena arus data berasal dari aplikasi internal di dalam router ke mesin di luar router.

Paket data untuk downstream pada kedua rule ini kita namai test-down.

Jangan lupa, parameter passthrough hanya diaktifkan untuk connection mark saja.

[admin@instaler] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; UP TRAFFIC
chain=prerouting in-interface=lan
src-address=172.21.1.0/24 action=mark-packet
new-packet-mark=test-up passthrough=no

1 ;;; CONN-MARK
chain=forward src-address=172.21.1.0/24
action=mark-connection
new-connection-mark=test-conn passthrough=yes

2 ;;; DOWN-DIRECT CONNECTION
chain=forward in-interface=public
connection-mark=test-conn action=mark-packet
new-packet-mark=test-down passthrough=no

3 ;;; DOWN-VIA PROXY
chain=output out-interface=lan
dst-address=172.21.1.0/24 action=mark-packet
new-packet-mark=test-down passthrough=no

Untuk tahap terakhir, tinggal mengkonfigurasi queue. Di sini kita menggunakan queue tree. Satu buah rule untuk data dowstream, dan satu lagi untuk upstream. Yang penting di sini, adalah pemilihan parent. Untuk downstream, kita menggunakan parent lan, sesuai dengan interface yang mengarah ke jaringan lokal, dan untuk upstream, kita menggunakan parent global-in.

[admin@instaler] > queue tree pr
Flags: X - disabled, I - invalid
0 name="downstream" parent=lan packet-mark=test-down
limit-at=32000 queue=default priority=8
max-limit=32000 burst-limit=0
burst-threshold=0 burst-time=0s

1 name="upstream" parent=global-in
packet-mark=test-up limit-at=32000
queue=default priority=8
max-limit=32000 burst-limit=0
burst-threshold=0 burst-time=0s

Variasi lainnya, untuk bandwidth management, dimungkinkan juga kita menggunakan tipe queue PCQ, yang bisa secara otomatis membagi trafik per client.

sumber Mikrotik Indonesia

Read More

Setting Mikrotik Wireless Bridge

Sering kali, kita ingin menggunakan Mikrotik Wireless untuk solusi point to point dengan mode jaringan bridge (bukan routing). Namun, Mikrotik RouterOS sendiri didesain bekerja dengan sangat baik pada mode routing. Kita perlu melakukan beberapa
hal supaya link wireless kita bisa bekerja untuk mode bridge. Mode bridge memungkinkan network yang satu tergabung dengan network di sisi satunya secara transparan, tanpa perlu melalui routing, sehingga mesin yang ada di network yang satu bisa memiliki IP Address yang berada dalam 1 subnet yang sama dengan sisi lainnya.

Namun, jika jaringan wireless kita sudah cukup besar, mode bridge ini akan membuat traffic wireless meningkat, mengingat akan ada banyak traffic broadcast dari network
yang satu ke network lainnya. Untuk jaringan yang sudah cukup besar, saya menyarankan penggunaan mode routing.

Berikut ini adalah diagram network yang akan kita set.

Konfigurasi Pada Access Point
1. Buatlah sebuah interface bridge yang baru, berilah nama bridge1

2. Masukkan ethernet ke dalam interface bridge

3. Masukkan IP Address pada interface bridge1
/p>

4. Selanjutnya adalah setting wireless interface. Kliklah pada menu Wireless
(1), pilihlah tab interface (2) lalu double click pada nama interface wireless
yang akan digunakan (3). Pilihlah mode AP-bridge (4), tentukanlah ssid (5), band
2.4GHz-B/G (6), dan frekuensi yang akan digunakan (7). Jangan lupa mengaktifkan
default authenticated (8) dan default forward (9). Lalu aktifkankanlah interface
wireless (10) dan klik OK (11).

5. Berikutnya adalah konfigurasi WDS pada wireless interface yang digunakan.
Bukalah kembali konfigurasi wireless seperti langkah di atas, pilihlah tab WDS
(1). Tentukanlah WDS Mode dynamic (2) dan pilihlah bridge interface untuk WDS
ini (3). Lalu tekan tombol OK.

6. Langkah selanjutnya adalah menambahkan virtual interface WDS. Tambahkan interface
WDS baru seperti pada gambar, lalu pilihlah interface wireless yang kita gunakan
untuk WDS ini. Lalu tekan OK.

7. Jika WDS telah ditambahkan, maka akan tampak interface WDS baru seperti pada
gambar di bawah.

Konfigurasi pada Wireless Station

Konfigurasi pada wireless station hampir sama dengan langkah-langkah di atas,
kecuali pada langkah memasukkan IP Address dan konfigurasi wirelessnya. Pada konfigurasi
station, mode yang digunakan adalah station-wds, frekuensi tidak perlu ditentukan, namun harus menentukan scan-list di mana
frekuensi pada access point masuk dalam scan list ini. Misalnya pada access point
kita menentukan frekuensi 2412, maka tuliskanlah scan-list 2400-2500.

Pengecekan link



Jika link wireless yang kita buat sudah bekerja dengan baik, maka pada menu wireless,
akan muncul status R (lihat gambar di bawah).

Selain itu, mac-address dari wireless yang terkoneksi juga bisa dilihat pada
jendela registration (lihat gambar di bawah).

Konfigurasi keamanan jaringan wireless

Pada Mikrotik, cara paling mudah untuk menjaga keamanan jaringan adalah dengan
mendaftarkan mac-address wireless pasangan pada access list. Hal ini harus dilakukan
pada sisi access point maupun pada sisi client. Jika penginputan access-list telah
dilakukan, maka matikanlah fitur default authenticated pada wireless, maka wireless lain yang mac addressnya tidak terdaftar tidak akan
bisa terkoneksi ke jaringan kita.

Jika kita menginginkan fitur keamanan yang lebih baik, kita juga bisa menggunakan
enkripsi baik WEP maupun WPA.

Read More

SETTING QUEE TREE DENGAN SRC-NAT dan WEB-PROXY

Pada penggunaan queue (bandwidth limiter), penentuan CHAIN pada MENGLE sangat menentukan jalannya sebuah rule. Jika kita memasang SRC-NAT dan WEB-PROXY pada mesin yang sama, sering kali agak sulit untuk membuat rule QUEUE yang sempurna. Penjelasan detail mengenai pemilihan CHAIN, dapat dilihat pada manual Mikrotik di sini.

Percobaan yang dilakukan menggunakan sebuah PC dengan Mikrotik RouterOS versi 2.9.28. Pada mesin tersebut, digunakan 2 buah interface, satu untuk gateway yang dinamai PUBLIC dan satu lagi untuk jaringan lokal yang dinamai LAN.


[admin@onlinenet] > interface print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R public ether 0 0 1500
1 R lan wlan 0 0 1500

Dan berikut ini adalah IP Address yang digunakan. Subnet 192.168.0.0/24 adalah subnet gateway untuk mesin ini.


[admin@onlinenet] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.217/24 192.168.0.0 192.168.0.255 public
1 172.21.1.1/24 172.21.1.0 172.21.1.255 lan

Fitur web-proxy dengan transparan juga diaktifkan.


[admin@onlienet] > ip web-proxy print
enabled: yes
src-address: 0.0.0.0
port: 3128
hostname: "proxy"
transparent-proxy: yes
parent-proxy: 0.0.0.0:0
cache-administrator: "webmaster"
max-object-size: 4096KiB
cache-drive: system
max-cache-size: none
max-ram-cache-size: unlimited
status: running
reserved-for-cache: 0KiB
reserved-for-ram-cache: 154624KiB

Fungsi MASQUERADE diaktifkan, juga satu buah rule REDIRECTING untuk membelokkan traffic HTTP menuju ke WEB-PROXY

[admin@onlinenet] ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=public
src-address=172.21.1.0/24 action=masquerade
1 chain=dstnat in-interface=lan src-address=172.21.1.0/24
protocol=tcp dst-port=80 action=redirect to-ports=3128

Berikut ini adalah langkah terpenting dalam proses ini, yaitu pembuatan MANGLE. Kita akan membutuhkan 2 buah PACKET-MARK. Satu untuk paket data upstream, yang pada contoh ini kita sebut test-up. Dan satu lagi untuk paket data downstream, yang pada contoh ini kita sebut test-down.

Untuk paket data upstream, proses pembuatan manglenya cukup sederhana. Kita bisa langsung melakukannya dengan 1 buah rule, cukup dengan menggunakan parameter SRC-ADDRESS dan IN-INTERFACE. Di sini kita menggunakan chain prerouting. Paket data untuk upstream ini kita namai test-up.

Namun, untuk paket data downstream, kita membutuhkan beberapa buah rule. Karena kita menggunakan translasi IP/masquerade, kita membutuhkan Connection Mark. Pada contoh ini, kita namai test-conn.

Kemudian, kita harus membuat juga 2 buah rule. Rule yang pertama, untuk paket data downstream non HTTP yang langsung dari internet (tidak melewati proxy). Kita menggunakan chain forward, karena data mengalir melalui router.

Rule yang kedua, untuk paket data yang berasal dari WEB-PROXY. Kita menggunakan chain output, karena arus data berasal dari aplikasi internal di dalam router ke mesin di luar router.

Paket data untuk downstream pada kedua rule ini kita namai test-down.

Jangan lupa, parameter passthrough hanya diaktifkan untuk connection mark saja.

[admin@onlinenet] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; UP TRAFFIC
chain=prerouting in-interface=lan src-address=172.21.1.0/24 action=mark-packet
new-packet-mark=test-up passthrough=no
1 ;;; CONN-MARK
chain=forward src-address=172.21.1.0/24
action=mark-connection
new-connection-mark=test-conn passthrough=yes
2 ;;; DOWN-DIRECT CONNECTION
chain=forward in-interface=public
connection-mark=test-conn action=mark-packet
new-packet-mark=test-down passthrough=no
3 ;;; DOWN-VIA PROXY
chain=output out-interface=lan
dst-address=172.21.1.0/24 action=mark-packet
new-packet-mark=test-down passthrough=no

Untuk tahap terakhir, tinggal mengkonfigurasi queue. Di sini kita menggunakan queue tree. Satu buah rule untuk data dowstream, dan satu lagi untuk upstream. Yang penting di sini, adalah pemilihan parent. Untuk downstream, kita menggunakan parent lan, sesuai dengan interface yang mengarah ke jaringan lokal, dan untuk upstream, kita menggunakan parent global-in.

[admin@onlinenet] > queue tree print
Flags: X - disabled, I - invalid
0 name="downstream" parent=lan packet-mark=test-down
limit-at=32000 queue=default priority=8
max-limit=32000 burst-limit=0
burst-threshold=0 burst-time=0s

1 name="upstream" parent=global-in
packet-mark=test-up limit-at=32000
queue=default priority=8
max-limit=32000 burst-limit=0
burst-threshold=0 burst-time=0s

Variasi lainnya, untuk bandwidth management, dimungkinkan juga kita menggunakan tipe queue PCQ, yang bisa secara otomatis membagi trafik per client.

sumber : Mikrotik indonesia

Read More

HOW TO SETUP MIKROTIK

mikrotik RouterOS sudah terinstall di PC rauter dengan baik dan sukses
untuk melakukan pengaturan (setup) bisa dengan menggunakan consule Winbox,telnet,putty atau langsung di PC Router user name dan password default belum dig anti adalah admin dan paswordnya kosong lalu enter
untuk melihat kartu NIC yang terpasang apakah sudah di detect oleh mikrotik ketik perintah :
SET Interface
[nabilacom@mikrotik] >/interface print
akan menampilkan NIC yang terpasang dan terdeteksi oleh mikrotik, kalo seandainya di PC Router terpasang 2 LAN CARD tapi saat kita lihat di mikrotik hanya terdeteksi eth0 berarti lancard yang anda pasang tidak di detiksi atau rusak, silakan dig anti atau cari yang kompatibel (biasanya lancard model lama)
[nabilacom@mikrotik] /interface set 0 name=public (untuk mengganti nama eth0 menjadi public)
[kucing@mikrotik] /interface set 1 name=local (menggati nama eth1 menjadi local)

IP address
Disini kita coba menggunakan speedy
[nabilacom@mikrotik]/ ip address add address=192.168.0.254/24 interface=local commant=”IP LAN” untuk memberikan IP jaringan computer Client
[nabilacom@mikrotik]/ ip address add address=192.168.1.2/24 interface=public commant=”IP Modem” ip yang mengarah langsung ke internet, biasanya di berikan oleh ISP tempat anda berlangganan
[nabilacom@mikrotik]/ip address print untuk melihat hasil settingan
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.1.2/24 192.168.1.0 192.168.1.255 Public
1 192.168.0.254/24 192.168.0.0 192.168.0.255 Local

gatewaynya
[nabilacom@mikrotik] / ip route add gateway=192.168.1.1 ip dari modem Speedy sebagai jalur keluar
[nabilacom@mikrotik] / ip route print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0ADC 192.168.1.2/24 192.168.1.0 192.168.1.255 Public
1ADC 192.168.0.254/24 192.168.0.0 192.168.0.255 Local
2A S 0.0.0.0/0 r 192.168.1.1 0 public

IP DNS
[nabilacom@mikrotik] / ip dns set primary-dns=202.134.0.155 allow-reguest=no
[nabilacom@mikrotik] /ip dns set secondary-dns=202.134.2.5 allow-reguest=no
[nabilacom@mikrotik] / ip dns print untuk melihat hasil settingan dns

setup webproxy
[nabilacom@mikrotik] >ip web-proxy
[nabilacom@mikrotik] ip web-proxy >set enable=yes
[nabilacom@mikrotik] ip web-proxy >set transparent-proxy=yes
[nabilacom@mikrotik] ip web-proxy >set max-object-size=1200KiB

buat rule supaya setiap client yang mengakses port 80 langsung di arahkan ke web-proxy
[nabilacom@mikrotik] / ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=3128

kalo webproxy terpisah dari mikrotik atau server proxy
[nabilacom@MikroTik]/ ip firewall nat add chain=dstnat action=dst-nat protocol=tcp dst-address=192.168.1.1/32 dst-port=80 to-address=192.168.1.100

Masqurading untuk menyembunyikan IP Jaringan Lokal anda

[nabilacom@mikroTik] / ip firewall nat add chain=srcnat action=masquerade out-interface=public

[nabilacom@MikroTik]/ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=Public action=masquerade

Membatasi Bandwidth
[nabilacom@MikroTik]/queue simple add max-limit=64000/384000 interface=Local
[nabilacom@MikroTik] queue simple> print
Flags: X - disabled, I - invalid, D - dynamic
0 name="queue1" target-address=0.0.0.0/0 dst-address=0.0.0.0/0
interface=Local queue=default/default priority=8 limit-at=0/0
max-limit=64000/128000 total-queue=default

untuk menggabungkan 2 line speedy dalam satu HUB silakan baca tutorialnya

Read More