mikrotik Amel bab 4 & 5

MIKROTIK BAB IV

 

Parameter src-address

Untuk membatasi akses Internet pada komputer user berdasarkan IP Address, perintah yang dapat digunakan adalah

 

Dengan menggunakan WinBox, menu yang dapat digunakan adalah IP > Firewall > tab Filter Rules > tombol Add.

2.     Untuk parameter action=drop dapat dikonfigurasikan pada tab Action.

3.     Jika dikemudian hari diinginkan user 192.168.1.3 juga tidak bisa mengakses Internet, maka perintah yang sudah ada sebelumnya dapat ditambahkan :

4.     Jika pembatasan dilakukan untuk beberapa user, maka perintah berikut ini dapat digunakan:

5.     Pembatasan akses Internet untuk komputer dengan IP Address.

 

 

Parameter time

Misalnya saja diinginkan komputer dengan IP Address 192.168.1.1 s/d 192.168.1.10 tidak bisa mengakses Internet pada jam 08.00 s.d 16.00 setiap harinya, maka perintah berikut ini dapat digunakan.

Parameter time dapat dikonfigurasikan pada tab Extra, seperti terlihat pada gambar berikut ini.

 

Best Practice

1.     Untuk memberikan akses Internet sepanjang waktu untuk user 192.168.1.1 s/d 192.168.1.5, perintah yang dapat digunakan adalah sebagai berikut.

U   Untuk memberikan akses Internet selama hari kerja dan jam kerja bagi user 192.168.1.6 s/d 192.168.1.10, perintah yang dapat digunakan adalah sebagai berikut.

Sedangkan untuk mencegah user dengan IP Address 192.168.1.11 s/d 192.168.1.254 mendapatkan akses Internet, maka perintah berikut ini dapat digunakan.

Setelah konfigurasi tersebut selesai, maka menu IP > Firewall > tab Filter Rules pada WinBox, akan terlihat seperti gambar berikut ini.

6.     Jika ternyata Anda menempatkan rule-rule Firewall Filter seperti pada gambar di bawah ini, maka bisa dipastikan tidak ada satu pun komputer pada jaringan tersebut yang bisa mengakses Internet. Ini karena baris pertama sudah menyatakan bahwa semua komputer pada jaringan 192.168.1.0/24 tidak bisa mendapatkan akses Internet.

 

 

Filter HTTP dan HTTPS

1.     Jika akses browsing (HTTP dan HTTPS) tidak akan diberikan kepada komputer 192.168.1.2, maka perintah yang dapat digunakan adalah sebagai berikut.

2.     Parameter protocol dan dst-port dapat dikonfigurasikan pada menu IP > Firewall > tab Filter Rules > tombol Add > tab General, seperti pada gambar berikut ini.

3.     Kedua rule firewall yang masing-masing menggunakan parameter dst-port=80 dan dst-port=443 dapat digabung menjadi satu konfigurasi saja dengan perintah seperti berikut ini.

 

Filter Domain Name System (DNS)

1.     Jika diinginkan semua komputer dalam jaringan lokal 192.168.1.0/24 tidak bisa menggunakan akses DNS selain DNS Server pada Router MikroTik, maka perintah berikut ini dapat digunakan.

 

Best Practice

1.     Untuk mewujudkan skenario manajemen pembatasan akses yang diinginkan, maka contoh perintah yang dapat digunakan adalah sebagai berikut.

2.     Setelah konfigurasi selesai dilakukan, maka harus dipastikan bahwa susunan rule pada Firewall akan terlihat seperti gambar berikut ini.

 

3.     Jika suatu hari diinginkan komputer 192.168.1.1 diberikan pengecualian, misalnya saja komputer ini bisa saja mengakses apa saja, baik itu HTTP, HTTPS, DNS, Proxy maupun akses VPN yang berada di Internet, maka perintah berikut ini dapat ditambahkan.

4.     Rule yang baru ditambahkan harus dipastikan berada pada susunan paling atas, sehingga akses Internet kepada komputer 192.168.1.1 tersebut dapat diberikan terlebih dahulu. Untuk memindahkan rule tersebut, perintah berikut ini dapat digunakan.

5.     Setelah dilakukan pemindahan rule, maka susunan konfigurasi Firewall Filter untuk pengecualian komputer 192.168.1.1 seharusnya terlihat seperti pada gambar berikut ini.

 

Filter dengan Content

1.     Jika diinginkan komputer 192.168.1.1 tidak bisa mengakses media sosial seperti Facebook, maka perintah berikut ini dapat digunakan.

2.     Parameter content dapat dikonfigurasikan pada tab Advanced, seperti terlihat pada gambar berikut ini.

3.     Jika ingin melakukan pembatasan jenis ekstensi file yang tidak bisa di-download dari Internet, maka contoh berikut ini memperlihatkan bahwa komputer 192.168.1.1 tidak bisa melakukan download file dengan ekstensi .mp4 dari Internet.

 

Filter dengan L7 Protocol

1.     Untuk membatasi akses Youtube maka anda dapat mencoba Regular Expression yang diambil dari alamat https://dokter-squid.com berikut ini.

r[0-9]+---[a-z]+-+[a-z0-9-]+\.googlevideo\.com

Regular Expression tersebut dapat ditambahkan pada menu IP à Firewall à tab L7 Protocols, tombol Add, seperti pada gambar berikut ini.

2.     Jika pembatasan web site dengan L7 Protocols akan diterapkan pada user 192.168.1.1, maka perintahnya berikut ini.

3.     Parameter l7-protocols dapat dikonfigurasikan pada tab Advanced, seperti terlihat pada gambar berikut ini.

 

Best Practice

 Skenario pembatasan akses Internet yang diinginkan :

Akses internet hanya diberikan kepada komputer ber-IP 192.168.1.1–192.168.1.10 sepanjang waktu.

Komputer 192.168.1.1–192.168.1.7 dibatasi untuk tidak mengakses Facebook pada hari kerja (Senin–Jumat) pukul 08.00–16.30.

Komputer dengan IP 192.168.1.11–192.168.1.254 tidak diperbolehkan mengakses internet sama sekali.

1.     Untuk mewujudkan skenario di atas, maka langkah konfigurasi yang dapat dilakukan adalah membatasi terlebih dahulu akses Facebook terhadap komputer 192.168.1.1 s/d 192.168.1.7, perintah berikut ini dapat digunakan.

2.     Untuk memberikan semua layanan Internet kepada 10 unit komputer (192.168.1.1 s/d 192.168.1.10), maka perintah berikut ini dapat digunakan.

3.     Sedangkan untuk memastikan tidak ada komputer lain (selain 10 unit komputer tersebut) yang dapat menggunakan akses Internet, maka perintah berikut ini dapat ditambahkan.

4.     Setelah konfigurasi selesai dilakukan, maka susunan rule pada Firewall Filter seharusnya terlihat seperti gambar berikut ini.

MIKROTIK BAB V

 

Konfigurasi Parameter Wireless

1.     Memastikan bahwa interface wlan1 sudah diaktifkan. Bila interface wlan1 masih dalam kondisi disable, maka untuk mengaktifkannya, perintah berikut ini dapat digunakan.

[admin@GATEWAY] > interface set wlan1 disabled=no

[admin@GATEWAY] > interface print

2.     Lakukan konfigurasi parameter wireless pada interface wlan1. Perintah yang dapat digunakan adalah sebagai berikut.

3.     Wireless > tab Interfaces, klik 2x interface > wlan1, memilih tab Wireless, seperti pada gambar berikut ini.

Konfigurasi IP Address

1.     Memberikan IP Address pada interface wlan1. IP Address yang akan diberikan adalah 192.168.2.254/24. Perintah yang dapat digunakan adalah sebagai berikut.

2.     IP > Addresses, tombol Add

Aktifkan DHCP Server pada interface wlan1. Adapun perintah yang dapat digunakan adalah sebagai berikut.

 

Pengujian dan Monitoring

1.     Jika terdapat satu station yang terhubung, maka label R akan terlihat pada interface wlan1, seperti pada gambar berikut ini.

2.     Perintah yang digunakan untuk melihat tabel Registration :

Dengan menggunakan WinBox, menu yang dapat digunakan adalah Wireless > tab Registration.

 

Security Key

1.     Router MikroTik sudah menyediakan satu profil security key yang diberi nama default. Untuk melihat profil tersebut dapat menggunakan perintah berikut ini.

2.     Jika key yang digunakan adalah 12345678, maka perintah berikut ini dapat digunakan.

3.     Wireless > tab Security Profiles > klik 2x key default > memilih tab General.

4.     Profil default ini, juga akan terlihat sebagai parameter security-profile pada interface wlan1.

5.     Jika ingin membuat sebuah security key dengan nama key-1 dan key 87654321, maka perintah berikut ini dapat digunakan.

6.     Wireless > tab Security Profiles > tombol Add > tab General.

7.     Jika Anda telah memiliki beberapa Security Key, maka pada bagian Security Profiles akan terlihat seperti gambar berikut ini.

8.     Interface wlan1 akan memiliki beberapa pilihan key.

 

Konfigurasi Virtual Access Point

            Menambahkan Virtual Access Point, Wireless > tab Interfaces > tombol Add > memilih Virtual.

Menambahkan interface wlan2, parameter wireless yang harus digunakan adalah mode=ap-bridge dan ssid=”Hotspot Tamu”.

 Setelah melakukan penambahan interface virtual, maka menu Interfaces akan terlihat seperti gambar berikut ini.

 Memberikan IP Address 192.168.3.254/24 pada interface wlan2 dengan menggunakan perintah :

[admin@GATEWAY] > ip address add address=192.168.3.254/24 \ interface=wlan2

[admin@GATEWAY] > ip address print

Konfigurasi DHCP Server pada interface wlan2 dengan menggunakan perintah :

            Perhatikanlah parameter security-profile=default.

 

Security Key

Membuat profile tanpa key. Parameter yang digunakan pada profile ini adalah mode=none. Jika profil ini akan diberi nama tanpa-key, maka perintahnya :

admin@GATEWAY] > interface wireless security-profiles add \ name=tanpa-key mode=none

admin@GATEWAY] > interface wireless security-profiles print

 

 

 

 

  

            Wireless > tab Security Profiles > tombol Add > tab General.

Gunakan profile tanpa-key sebagai parameter security-profiles pada interface wlan2 perintahnya :

[admin@GATEWAY] > interface wireless set wlan2 \ security-profile=tanpa-key

 Wireless > tab Interfaces > klik 2x interface wlan2 > kemudian memilih tab Wireless.

 

Konfigurasi Internet Gateway

            Perintah penambahan IP Address

Aktifkan DHCP Server, perintahnya :

 

Konfigurasi Access Point

1.  Pada AP-1 konfigurasi wireless dapat dilakukan pada interface wlan1 dengan menggunakan perintah berikut ini.

[admin@AP-1] > interface wireless set wlan1 mode=ap-bridge \ band=2ghz-b/g/n frequency=2412 ssid="Hotspot Kung Fu"

2.     Membuat interface bridge terlebih dahulu dengan menggunakan perintah berikut ini.

[admin@AP-1] > interface bridge add name=bridge1

3.     Bridge > tab Bridge > tombol Add > tab General.

4.     Masukkan interface ether1 dan wlan1 ke dalam interface bridge1 tadi, perintahnya :

[admin@AP-1] > interface bridge port add interface=ether1 \ bridge=bridge1 [admin@AP-1] > interface bridge port add interface=wlan1 \ bridge=bridge

5. Bridge > tab Port > tombol Add

6.     Menambahkan IP Address pada interface bridge1, sekaligus memberikan konfigurasi default route, perintahnya :

[admin@AP-1] > ip address add address=192.168.2.253/24 \ interface=bridge1 [admin@AP-1] > ip route add gateway=192.168.2.254

7.     Konfigurasi parameter wireless pada AP-2 dapat menggunakan perintah :

[admin@AP-2] > interface wireless set wlan1 mode=ap-bridge \ band=2ghz-b/g/n frequency=2437 ssid="Hotspot Kung Fu"

8.     Konfigurasi bridge dapat menggunakan perintah :

[admin@AP-2] > interface bridge add name=bridge1

[admin@AP-2] > interface bridge port add interface=ether1 \ bridge=bridge1 [admin@AP-2] > interface bridge port add interface=wlan1 \ bridge=bridge1 [admin@AP-2] > ip address add address=192.168.2.252/24 \ interface=bridge1 [admin@AP-2] > ip route add gateway=192.168.2.254

 

Monitoring

1.     Tabel Leases pada DHCP Server yang ada di Router Gateway.

2.     Gambar berikut memperlihatkan bahwa user wireless dengan MAC Address 30:CB:F8:CC:D5:8F terhubung pada AP-1.

3.     Sedangkan station atau user wireless dengan MAC Address E8:BB:A8:20:F3:87, terhubung pada AP-2, seperti yang diperlihatkan gambar berikut yang merupakan tabel Registration dari AP-2.