Traing Miktrotik

Mikrotik Training
Mikrotik Training
Organized by: Hyper Media
Taufik Hidayat
Materi Training
Statc Route L7 Filter

IP Tunnel Firewall
Load Balanced DHCP & Proxy
QOS
00-2 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

Static Route & Policy Route
Mikrotik Training
Taufik Hidayat
[LAB-1] Konfigurasi Dasar
Internet
WLAN1 WLAN1
10.10.10.1/24 WLAN1 10.10.10.X/24
10.10.10.2/24
ETHER1 ETHER1 ETHER1

192.168.1.1/24 192.168.2.1/24 192.168.X.1/24
ETHERNET PORT ETHERNET PORT ETHERNET PORT

92.168.1.2/24
1 192.168.2.2/24 192.168.X.2/24
MEJA 1 MEJA 2 MEJA X

IP Configuration

Routerboard Setting
WAN IP : 10.10.10.x/24
Gateway : 10.10.10.100
LAN IP : 192.168.x.1/24
DNS : 10.100.100.1
Services: Src-NAT and DNS

Server

Laptop Setting
IP Address : 192.168.x.2/24
Gateway : 192.168.x.1
DNS : 192.168.x.1
01-13
01-2 24-Jun-15 http://www.hypermedia.net.id
Mikrotik Indonesia http://www.mikrotik.co.id Taufik Hidayat
15-Nov-11
Routed Network

Pengaturan jalur antar network segment
berdasarkan IP Address tujuan (atau juga asal),
pada OSI layer Network.

Tiap network segment biasanya memiliki subnet
network (IP Address) yang berbeda-beda.

Routing!

Memungkinkan kita melakukan pemantauan dan
pengelolaan jaringan yang lebih baik

Lebih aman (firewall filtering lebih mudah dan
lengkap)

Trafik broadcast hanya terkonsentrasi di setiap

subnet

Dibutuhkan perangkat wireless yang mampu
melakukan full routing, atau menambahkan
router

di BTS.
Untuk skala besar, bisa digunakan Dynamic
Routing (RIP/OSPF/BGP)
Routing
192.168.1.0/24
192.168.3.0/24
192.168.2.0/24
ROUTER
GATEWA
Y
WIRELESS
setiap segment jaringan memiliki 192.168.0.0/24
subnet IP address yang berbeda.
01-5
01-1 24-Jun-15 Mikrotikhttp://www.hypermedia.net.id
Indonesia http://www.mikrotik.co.id Taufik Hidayat
15-Nov-11
Static Route

Routing bertujuan untuk melakukan pengaturan
arah paket data yang melalui router, dengan
menentukan gateway untuk dst-address tertentu

Gateway bisa berupa :
IP Address
Interface

Dst-address 0.0.0.0/0 disebut sebagai default
gateway karena ip 0.0.0.0/0 menggantikan
semua ip yang ada di internet.

Tipe Informasi Routing
MikroTik RouterOS tipe routing sbb:

dynamic routes

yang akan dibuat secara otomatis:
saat menambahkan IP Address pada interface
informasi routing yang didapat dari protokol routing
dinamik seperti RIP, OSPF, dan BGP.

static routes
adalah informasi routing yang dibuat secara
manual oleh user untuk mengatur ke arah mana
trafik tertentu akan disalurkan. Default route
adalah salah satu contoh static routes.

Menambahkan Routing

Tipe Routing
A: Active
S: Static
A: Active
D: Dynamic
C: setiap IP Address yang dipasang pada
Connected interface di router secara otomatis akan
menambahkan DAC Routing dengan
pref-source IP Address tersebut.

Connected Routes

Dibuat secara otomatis setiap kali kita
menambahkan sebuah IP Address pada
interface yang valid (interface yang aktif).

Jika terdapat dua buah IP Address yang
berasal dari subnet yang sama pada
sebuah interface, hanya akan ada 1

connected route.
Jangan menempatkan dua ip address dari
subnet yang sama pada dua interface yang
berbeda, karena akan membingungkan tabel
dan logika routing di router.
Connected Routes
Network Prefix
Network Address
Forwarding Interface
Local Address

Static Route
Contoh Implementasi Static Route,

yaitu pemasangan Default Gateway
atau Default Route.

Parameter Dasar Routing

Destination
Destination address & networkmask Address yang satu subnet
0.0.0.0/0 -> ke semua network

Gateway
- IP Address gateway, harus merupakan IP Address yang satu subnet
dengan IP yang terpasang pada salah satu interface

Gateway Interface, digunakan apabila IP gateway tidak diketahui
dan

Pref Source
bersifat dinamik.
Distance
source IP address dari paket yang akan meninggalkan router,

Biasanya adalah ip address yang terpasang di interface yang
menjadi gateway.
01-25
01-13 Beban untuk kalkulasi
24-Jun-15 pemilihan rule routing yang akan dijalankan
Mikrotikhttp://www.hypermedia.net.id
15-Nov-11
Distance

Merupakan salah satu parameter yang
digunakan untuk pemilihan rule routing, nilainya
(0-255) secara default tergantung protocol
routing yang digunakan:
Connected routes : 0

Static Routes :1

eBGP : 20

OSPF : 110

RIP : 120

Note:
MME : 130

Distance=255
iBGP : 200

berarti rejected
Konsep Dasar Routing
IP Address Gateway harus merupakan IP
Address yang subnetnya sama dengan salah satu
IP Address yang terpasang pada router (connect
directly). Pada interface yang menghubungkan router A

Internet dan B, pada masing-masing router terdapat
lebih dari 1 buah IP Address.
10.10.0.2/24
Default gateway pada router B adalah

A router A
10.10.1. 10.10.2.1/24
1/24 IP Address yang menjadi default gateway
10.10.2.2/24 10.10.3.2/24
router B adalah 10.10.2.1, karena IP Address
B
tersebut berada dalam subnet yang sama
10.10.4.
1/24

dengan salah satu IP Address pada router B
10.10.4.2/24
(10.10.2.2/24)
Setting static route default :
Implementasi Konsep Routing
(DAC) Dst-addr= 10.10.1.0/24 (DAC) Dst-addr= 10.10.2.0/24
pref-source=10.10.1.2 pref-source=10.10.2.2
(DAC) Dst-addr= 10.10.2.0/24 (DAC) Dst-addr= 10.10.3.0/24
Internet pref-source=10.10.2.1 pref-source=10.10.3.1
(AS) Dst-addr= 0.0.0.0/0 gw=10.10.1.1 (AS) Dst-addr= 0.0.0.0/0
10.10.0.1/24 (AS) Dst-addr= 10.10.3.0/24 gw=10.10.2.2 gw=10.10.2.1
10.10.0.2/24
10.10.2.2/24
10.10.1.1/24 10.10.1.2/24 10.10.2.1/24
10.10.3.1/24
(DAC) Dst-addr= 10.10.0.0/24

pref-source=10.10.0.2
(DAC) Dst-addr= 10.10.1.0/24 10.10.3.2/24
pref-source=10.10.1.1 (DAC) Dst-addr= 10.10.3.0/24
pref-source=10.10.3.2
(AS) Dst-addr= 0.0.0.0/0 gw=10.10.0.1
(AS) Dst-addr= 10.10.2.0/24 gw=10.10.1.2
(AS) Dst-addr= 0.0.0.0/0
(AS) Dst-addr= 10.10.3.0/24 gw=10.10.1.2 gw=10.10.3.1
01-28
15-Nov-11
Konsep Dasar Routing
Untuk pemilihan routing, router akan

memilih berdasarkan:
Rule routing yang paling spesifik tujuannya

Contoh: destination 192.168.0.128/26 lebih
spesific dari 192.168.0.0/24

Distance
Router akan memilih yang distance nya paling
kecil
Round robin (random)


Contoh Pemilihan
Untuk koneksi dengan destination

192.168.0.1, manakah urutan prioritas rule
yang digunakan?
Destination Gateway Distance Prioritas

192.168.0.0/27 192.168.1.1 1 2
192.168.0.0/29 192.168.2.1 1 1
192.168.0.0/24 192.168.3.1 5 4
192.168.0.0/24 192.168.4.1 1 3

Point to Point Addressing
Adalah sistem pengalamatan IP Address

untuk dua buah perangkat yang
terkoneksi langsung, menggunakan dua
buah IP Address /32
Router 1 Router 2
172.16.0.X1/32 IP Address 172.16.0.X2/32
172.16.0.X2 Network Address 172.16.0.X1
[kosongkan] Broadcast Address [kosongkan]
ether2 Interface ether2

[LAB-5] P2P Addressing
Hubungkanlah ether2 di router dengan ether2 router
rekan sebangku
Test dengan ping antar router
Buatlah P2P Addressing dan static route untuk
lakukanlah
network laptop
Internet
Router Meja X Router Meja X
172.16.0.X1/32 172.16.0.X2/32
Ether2 Ether2
192.168.X.2 192.168.X.2

Contoh: P2P Addressing
Router Meja 1
Router Meja 2

Check Gateway

Adalah sebuah mekanisme pengecekan
gateway yang dilakukan oleh router mikrotik.

Dikirimkan setiap 10 detik, menggunakan ARP

request atau ICMP ping.
Dianggap Gateway time-out jika tidak
menerima respon dalam
Gateway dianggap 10 detik dari
unreachable jikamesin
terjadi 3

Gateway.
kali Gateway time-out berurutan.
Jika mengaktifkan fitur check gateway untuk

sebuah rule, maka akan berpengaruh juga untuk
semua rule dengan gateway yang sama
01-34
15-Nov-11
Check Gateway Option
01-35
15-Nov-11
[LAB-6] Static Route
192.168.X.2 192.168.X.2
Ether2 Ether3
172.16.Y.1/3 172.16.Y.2/32
R1 R2
2
172.16.Y.3/3 172.16.Y.5/3
2 2
Internet
Ether3 Ether2
Ether3
Ether2
172.16.Y.6/3
172.16.Y.4/3
2
2
172.16.Y.7/32 172.16.Y.8/32
R4
R3 Ether3 Ether2
192.168.X.2 192.168.X.2
01-36
15-Nov-11
[LAB-6] Static Route 2

Pasang ip Point to Point untuk menghubungkan semua
Router dalam kelompok.

Buatlah static route untuk menjangkau setiap laptop teman
sekelompok menggunakan link Point to Point address.

Konfigurasi Distance untuk menentukan Prioritas link.

Link utama adalah melalui jalan terdekat

Jika ada kondisi jaraknya sama, maka link utama adalah
yang searah jarum jam.

Pantaulah link utama dengan menggunakan check-gateway

Buatlah static route juga untuk back-up link
01-37
15-Nov-11
Example Static route on R1
192.168.1.2 192.168.2.2
Ether2 Ether3
172.16.Y.1/3 172.16.Y.2/32
R1
2 192.168.8.2
172.16.Y.3/3
2
Ether3
Dst-Address Gateway Check Gateway Distance
Ether2
172.16.Y.4/32 0.0.0.0/0 10.10.10.100 No 1
192.168.2.0/24 172.16.Y.2 ping 1
192.168.2.0/24 172.16.Y.4 no 2
192.168.7.0/24 172.16.Y.4 ping 1
192.168.7.0/24 172.16.Y.2 no 2
192.168.8.0/24 172.16.Y.2 ping 1
192.168.7.2
192.168.8.0/24 172.16.Y.4 no 2
01-38
15-Nov-11
[LAB-7] Static Route (Fail Over)
192.168.X.2 192.168.X.2
DROP LINK !!!!!!
Ether2 Ether3
172.16.Y.3/3
R1
172.16.Y.1/32
X 172.16.Y.2/32
R2
172.16.Y.5/3
2 2
Ether3 Internet Ether2
Ether3
Ether2
172.16.Y.6/3
172.16.Y.4/3
2
2
172.16.Y.7/32 172.16.Y.8/32
R4
R3 Ether3 Ether2
192.168.X.2 192.168.X.2

Evaluasi

Mekanisme Check gateway yang kita gunakan
hanya bisa mendeteksi problem koneksi pada
hoop (gateway) terdekat.

Jika problem terjadi setelah gateway terdekat
(next hoop), check gateway tidak bisa
mendeteksinya.

Untuk mendeteksi problem koneksi yang
terjadi
setelah gateway terdekat, bisa digunakan
teknik
scope/target scope.
01-40
15-Nov-11
Scope dan Target Scope

Digunakan untuk static route yang dibuat
recursive (tidak terkoneksi langsung).

Target Scope adalah nilai scope
maksimum dari rule lainnya yang
reachable.

Kegunaan:
Bisa melakukan pemantauan check gateway

ping untuk gateway yang tidak terhubung
langsung

Dikombinasikan dengan iBGP bila nexthoop
tidak direct connected

Nilai default scope dan target scope:


Contoh: dst-address 0.0.0.0/0 dengan gateway

117.20.50.233, recursive via 10.10.10.100
Internet
10.10.10.100/24
10.10.10.1/24 117.20.50.233
Dst-Address Gateway Scope Target Scope

0.0.0.0/0 117.20.50.233 30 30
117.20.50.233 10.10.10.100 30 10

[LAB-8] Routing - Scope

Sesuai dengan diagram network pada LAB-2 sebelumnya,
perbaikilah sistem monitoring link sehingga bisa
mendeteksi adanya problem koneksi yang terjadi setelah
gateway terdekat.
Coba cabut salah satu koneksi kabel untuk

mensimulasikan terjadinya permasalahan di salah satu
link.

Routing Modification
Dst-Address Gateway Check Gateway Distance Scoop Target Scoop
0.0.0.0/0 10.10.10.100 no 1 30 10
172.16.Y.5 172.16.Y.2 no 1 30 10
172.16.Y.6 172.16.Y.2 no 1 30 10
172.16.Y.7 172.16.Y.4 no 1 30 10
172.16.Y.8 172.16.Y.4 no 1 30 10
192.168.2.0/24 172.16.Y.2 ping 1 30 10
192.168.2.0/24 172.16.Y.4 no 2 30 10
192.168.7.0/24 172.16.Y.4 ping 1 30 10
192.168.7.0/24 172.16.Y.2 no 2 30 10
192.168.8.0/24 172.16.Y.6 ping 1 30 30
192.168.8.0/24 172.16.Y.4 no 2 30 10

Static Route dgn Scope

Static Route dgn Scope
Pada saat terjadi link failure antara R2 dan R4

Routing Type

Kita bisa melakukan blok untuk dst-address tertentu
menggunakan static route :
Blackhole
Memblok dengan diam-diam
Prohibit
Memblok dan mengirimkan pesan error ICMP

administratively prohibited (type 3 code 13)

Unreachable
Memblok dan mengirimkan pesan error ICMP

host unreachable (type 3 code 1)

Ketiga tipe di atas tidak membutuhkan IP Address
gateway.
Pref-source

By default: null, kecuali untuk connected routes

Fungsi :
IP Address asal untuk paket data yang berasal
dari router
IP Address src-address-to untuk paket data
yang
terkena action NAT masquerade

Jika tidak ditentukan, secara otomatis akan menggunakan
salah satu IP Address yang ada pada output interface

Jika isian pref-src adalah IP Address yang tidak terpasang
pada router, rule ini akan non-aktif.

Source Routing

Source Routing adalah sebuah teknik rotuing
yang memungkinkan Administrator jaringan
menentukan jalur routing yang akan dilalui oleh
paket data.

Perlu diingat bahwa parameter dst-address
pada paket header akan selalu diperiksa oleh
router yang dilewatinya untuk menentukan

hoop
selanjutnya.
Dengan memodifikasi Pref-Source Maka jalur
routing balik bisa dimanipulasi sesuai keinginan
[LAB-9] Pref-Source
Uplink menggunakan gateway 1
Downlink gateway 2.
menggunakan Internet
Uplink Traffic Downlink Traffic
10.10.10.100/24 10.20.20.100/24
10.10.10.X/24 10.20.20.X/24
WLAN1 WLAN2

Static Route Setting

Src-Nat Setting

Routing Information Base
Connected
Routes
Static
Routes
All Output
OSPF
Routes Filters
OSPF
RIP
+
RIP
Protocols Input Actives Route
Routes
MME
Filters Routes Selection MME
BGP BGP
-
Instance 1 Instance 1
Discard
Instance 2 Instance 2
Instance n Instance n

Berisi informasi routing yang lengkap, yang

terdiri dari:
Static routes dan Policy Routing Rules

Informasi routing dari Routing Protocol (OSPF,

BGP, etc)
Informasi Connected Routes


Digunakan untuk:

Memfilter informasi routing

Mengkalkulasi best route untuk masing-masing

dst-address/prefix

Membuat dan mengupdate Forwarding
Information Base (FIB)
Mendistribusikan informasi routing ke routing

protokol lainnya

Forwarding Information Base
Merupakan informasi +
-
routing yang Cache FIB
disimpan dalam
cache, sebagai hasil FIB
Routing Tables Rules
olahan Routing
Information Base yang Main
telah terfilter Connected
Routes Implicit
Active
Routes
User
Defined
Catch All

Policy Route
Secara default, router akan menggunakan

table routing main
Kita bisa membuat table routing tambahan

dan mengarahkan router menggunakan
table tersebut dengan menggunakan:
IP - Route Rules

IP - Firewall - Mangle Route-mark


Route Rules
Route rules hanya
dapat melakukan
filtering berdasarkan
src-address, dst-
address, routing-mark,
dan interface.
Untuk filtering yang
lebih detail,
gunakanlah mangle.

[LAB-10] Route Mark
WLAN1: Untuk traffic dari 192.168.x.0/24

WLAN2: Untuk traffic dari 172.16.x.0/24

Internet Internet
10.10.10.100/24 10.20.20.100/24
10.10.10.X/24 10.20.20.X/24
WLAN1 WLAN2
Ether1 Ether2
192.168.X.0/24 172.16.X.0/24

Route - Rules
Tambahkan Route
Rules untuk
menentukan
klasifikasi dari
segmen
network yang
akan
menggunakan
gateway yang
berbeda.

Routing Table - Rules
Tambahkan rule
routing untuk
mengarahkan
segmen network2
supaya
menggunakan
gateway lain.

Mangle Route Mark
Untuk trafik yang melalui router:

Mangle chain: prerouting
Untuk trafik yang berasal dari router, keluar:

Mangle chain: output
Chain lainnya (input, forward, dan postrouting)

tidak dapat digunakan untuk melakukan route-
mark.
01-63
15-Nov-11
[LAB-11] Route Mark
WLAN1: All other traffic
only
WLAN2:Web
Internet Internet
10.10.10.100/24 10.20.20.100/24
10.10.10.X/24 10.20.20.X/24
WLAN1 WLAN2
01-64
15-Nov-11
Route Mark (client)

Route Mark (local process)
01-66
15-Nov-11
Static Route
Trafik Lainnya Trafik TCP 80
01-67
15-Nov-11
Tunnel
Mikrotik Training
Taufik Hidayat
IP Tunnel
Tunnel adalah sebuah metode penyelubungan

(encapsulation) paket data di jaringan TCP/IP, yang biasanya
digunakan untuk mensimulasikan koneksi fisik antara dua
network melewati jaringan yang lebih besar (WAN/Internet).
Paket data dari aktifitas transfer data di kedua network
mengalami sedikit pengubahan atau modifikasi. Yaitu

penambahan header dari tunnel di tiap paket data dari traffic
yang terjadi di kedua network tersebut. Walupun ada
pengubahan pada paket data informasi paket yang asli tetap
disertakan (RFC 2003 compliant ).
Ketika data sudah melewati tunnel dan sampai di tujuan
(ujung) tunnel, maka header dari paket data akan

dikembalikan seperti semula (header tunnel dihilangkan).
Taufik Hidayat
IP Tunnel Network
WAN CLOUD
Point 1 tunnel Point 2
1.1.1.1 1.1.1.2
R1 R2
IP Address: 10.0.0.0/24 IP Address: 20.1.1.0/24
Point to point network encalsulation

Taufik Hidayat
VPN Networks
Virtual private network. A private data network that utilizes
a public telecommunication infrastructure.
File Server Aplication Server Aplication Server File Server
Client 1
Server
Office 1 Router Router
Office 2
WAN
PC PC PC PC
VPN Networks
File Server
Client 2 Office 3
Router
Mobile Mobile
Client 2 Client 1
PC PC PC PC
Taufik Hidayat
Tunnel & VPN
Tunnel
EoIP Ethernet Over IP
VLAN Virtual Lan
Gre Tunnel
VPN
PPPoE Over Ethernet
PointToPointProtocol
PPTP PointToPoint Tunnel Protocol
L2TP Leyer 2 Tunnel Protocol
OpenVPN Open Virtual Private
Network
IPSec IP Security
SFTP Secure Socket Tunnel Protocol
Taufik Hidayat
Ethernet over IP (EoIP)
EoIP Merupakan salah satu implementasi

protocol IP Tunneling untuk komunikasi dua
router di jaringan TCP/IP.
Interface EoIP dianggap sebagai sebuah

Ethernet Interface walaupun sebenarnya
adalah Virtual Interface.
Karena dianggap sebagai Ethernet

interface
maka Interface EoIP dapat

diimplementasikan
pada Routed dan Bridged network.
Taufik Hidayat
EoIP Example
Internet
10.0.0.1 10.10.10.1
City A
City B
192.168.0.11 192.168.0.1
EoIP
192.168.0.12 192.168.0.13 192.168.0.2

192.168.0.3
Virtually, these computer located in one network with

same subnet
Taufik Hidayat
EoIP Configuration
Parameter Remote-Address
adalah parameter ip address
dari Router lawan.
Tunnel-ID adalahparameter
identitas dari koneksi tunnel.
Jika ingin membangun
sebuah tunnel melewati

jaringan WAN atau Internet
maka gunakan IP public untuk
parameter Remote-Address.
Pastikan Tunnel ID yang
berbeda di tiap tunnel

interface pada satu router.
Taufik Hidayat
EoIP Packet Header
Test packet sniffer menunjukkan bahwa Tunnel EOIP

membutuhkan sekitar 80-116 byte di tiap packet data per
trafficnya.
Taufik Hidayat
EoIP Configuration
Taufik Hidayat
[LAB-3] EoIP Tunnels
Internet
Meja 1 Meja 2
10.10.10.1 10.10.10.2
EoIP
192.168.1.1 192.168.2.1
192.168.1.2 192.168.2.3 192.168.2.2
192.168.1.3
Virtually, these computer located in one network with same subnet
Taufik Hidayat
Buat Interface EoIP
baru dari menu interface.
Buat ip address satu
segmen untuk kedua

interface EoIP di kedua
router.
Test ping pada kedua
router menggunakan ip
yang ada
di interface EoIP.
Jika reply maka tunnel
EoIP sudah siap untuk
digunakan pada routing
maupun bridge network.
Taufik Hidayat
ROUTER A ROUTER B
Taufik Hidayat
Virtual LAN (VLAN) 1
VLAN adalah sebuah logical group

(pengelompokan) yang memungkinkan user untuk
berkomunikasi dengan user yang lain tetapi
terisolasi dari user lain yang berbeda group
walaupun sebenarnya user-user ini masih
terhubung secara fisik.
Dengan menggunakan protocol Vlan Router dapat

meningkatkan security dan management yang
berbeda terhadap jaringan walaupun masih ada
sharing media fisik.
Bekerja di leyer DataLink
Taufik Hidayat
Virtual LAN (VLAN) 2
VLAN di Mikrotik RouterOS merupakan

implementasi dari standarisasi 802.1Q. Dengan
menggunakan metode VLAN ini Mikrotik RouterOS
memungkinkan membangun beberapa Virtual LAN
untuk memisahkan jaringan (group) di sebuah
interface ethernet atau wireless.
Mikrotik RouterOS mampu membangun 4095
Interface Vlan di sebuah Interface ethernet, banyak

yang sudah mendukukng protocol ini.
router termasuk CISCO, Linux dan Leyer2 Switch
Taufik Hidayat
VLAN Configuration
Taufik Hidayat
Mikrotik Vlan on Manageable Switch
Vlan 1
TRUNK ACCESS
Vlan 2 Vlan 1
Vlan pada Mikrotik bisa

bekerja sama dengan
switch manageable yang
mampu Vlan 2
mengimplementasikan
standarisasi 802.1q.
Taufik Hidayat
Mikrotik Vlan on Manageable Switch
Port 4 mode Access Vlan 3

Manageable Switch
Por
Portt 3 mode Access Vlan 2
Port 2 mode Access Vlan 1
Ether 2
Port 1 Vlan 1
Mode Trunk Vlan 2
Vlan 3
Taufik Hidayat
Vlan Implementation using RB250GS
Detail Config : http://www.mikrotik.co.id/artikel_lihat.php?id=36

Taufik Hidayat
Mikrotik Vlan on CISCO Switch
Taufik Hidayat
[LAB-4] Mikrotik Vlan Trunking
EoIP
Internet
Meja 1 Meja 2
Vlan 2
10.10.10.1 Vlan 3 10.10.10.2
Ether 2 Ether 3 Ether 3 Ether 2

192.168.1.1 192.168.2.3 192.168.2.1 192.168.1.3
192.168.2.4
192.168.2.2 192.168.1.4
192.168.1.2
Bridge 1 port: Bridge 2 port: Bridge 1 port: Bridge 2 port:

Vlan2 & ether 2 Vlan3 & ether 3 Vlan3 & ether 3 Vlan2 & ether 2
Taufik Hidayat
[LAB-4] Create VLAN Interface
Membangun vlaninterface (trunking) memanfaatkan

EoIP Tunnel
Taufik Hidayat
[LAB-4] Create VLAN Interface
Menggabungkan Vlan (Access) antara ether 2 dan 3 denganvlan

2 dan vlan 3 ke dalam bridge yang terpisah.
Taufik Hidayat
Point to Point Protocol over
Ethernet (PPPoE) (1)
PPPoE adalah salah satu metode implementasi

Protocol PPP atau VPN, Hampir sama dengan
protocol VPN yang lain (PPTP,L2TP,OpenVPN)
PPPoE menambahkan fungsi accounting dan
management user.
PPPoE biasa digunakan oleh ISP untuk

mengontrol koneksi xDSL, cable modem atau
bisa juga di Ethernet cable.
Keunikan dari PPPoE ini adalah menggunakan

standard yang berbeda pada protocol PPP yaitu
menggunakan metode transport ethernet.
Support RADIUS authentication.
Taufik Hidayat
PPPoE Example
Taufik Hidayat
[LAB-5] PPPoE Tunnels - Client
Internet
Automaticaly Routed
10.10.10.1/24 10.10.10.2/24 10.10.10.X/24
Local Network Local Network Local Network

92.168.1.2/24
1 192.168.2.2/24 192.168.X.2/24
PPPoE-user1 PPPoE-user2 PPPoE-userX
Taufik Hidayat
[LAB-5] PPPoE Tunnels - Client
Taufik Hidayat
PPP Secret Routing Injection
Network yang akan
di advertise secara
otomatis
menggunakan PPP
protocol di konfigurasi
di parameter Routes.
Network yang
diadvertise bisa lebih

dari satu network
dipisahkan
menggunakan tanda
koma (,).
Taufik Hidayat
PPPoE Routing Dynamic
Taufik Hidayat
Load Balanced
Mikrotik Training
Taufik Hidayat
Konsep Dasar
Load Balanced
Membagi trafik ke dua atau lebih jalur

sehingga setiap jalur bisa digunakan
secara optimal
Fail Over
Sistem proteksi untuk menjaga apabila link

utama terganggu, secara otomatis akan
memfungsikan jalur cadangan
Taufik Hidayat
15-Nov-11
Load Balanced
1+1=2
+1=1+1
1 1 =+++
1+1=+++++++
+1
Semakin banyak user, semakin banyak koneksi, pembagian
Load balance akan semakin rata dan mudah.
06-263 Mikrotik Indonesia http://www.mikrotik.co.id 15-Nov-11

Konsep Load Balanced
Pembagian trafik dilakukan berdasarkan
probabilitas
Kita harus mengetahui kapasitas masing-
masing link dan membagi trafik ke setiap

interface sesuai dengan proporsinya
Misalnya kita memiliki 2 buah gateway, A
dengan kapasitas 1 mbps, dan B dengan

kapasitas 2 mbps, maka kita akan
membagi trafik menjadi 3 = 2:1 = 1 ke A
dan 2 ke B
Taufik Hidayat
Penggunaan Fitur
Untuk bisa melakukan load balance dengan
baik, kuasailah fitur-fitur berikut ini:

Static route dan policy route
Firewall Mangle
Firewall src-nat
Untuk yang lebih advanced, perlu juga
menggunakan : OSPF dan BGP
Taufik Hidayat
Kunci Load Balanced
Pada jaringan yang sederhana, kita hanya
bisa mengatur jalur uplink. Kita bisa

mengatur koneksi mana yang lewat ke jalur
yang mana, tetapi kita tidak bisa mengatur
lewat mana jalur yang digunakan untuk
downlink, karena hal tersebut bergantung
pada routing internet secara keseluruhan.
Taufik Hidayat
Kunci Load Balanced
Untuk mengatur jalur downlink, kuncinya

pada penggunaan src-nat pada tiap
gateway, pada saat request dikirimkan ke
internet.
Data
yang di
NAT
Jika kita hanya menggunakan masquerade
dengan
untuk
IP yangtiap interface gateway, maka data
akan
ada kembali pada interface yang sama
dengan
pada interface uplink.
Taufik Hidayat
Skema Kerja Load Balanced
MASQ
MASQ
ALGORITMA
PEMBAGI
TRAFIK
Taufik Hidayat
Metode Load Balanced
Static Route dengan Address List
ECMP (Equal Cost Multi Path)
NTH
PCC
BGP
Taufik Hidayat
Contoh dgn Static Route
Berdasarkan Tujuan
Gateway A untuk internasional

Gateway B untuk trafik lokal

Menggunakan address-list NICE
Taufik Hidayat
Contoh dgn Static Route
Berdasarkan source address
IP Address client: 192.168.0.0/24

192.168.0.0-127 gateway A
192.168.0.128-255 gateway B

Taufik Hidayat
ECMP
Equal Cost Multi Path
Pada saat kita memiliki beberapa gateway
yang ingin di load balance, metode

termudah adalah menggunakan ECMP
ECMP akan memisahkan trafik per
gateway secara random
Taufik Hidayat
Contoh ECMP (1)
2 gateway yang sama besarnya
Taufik Hidayat
Contoh ECMP (2)
2 gateway, A dua kali lebih besar dari B
Taufik Hidayat
Contoh ECMP (3)
3 gateway, gateway A dan B menggunakan
gateway IP Address, dan gateway C

menggunakan pppoe
Taufik Hidayat
[LAB-1] ECMP & Policy Route
IIX via WLAN1 dan PPPoE di WLAN2.

Kapasitas PPPoE 2 x kapasitas WLAN1
Internasional ke IP 10.100.100.1
PPTP
WLAN1 PPPoE
PPTP
Taufik Hidayat
Address List
Download nice.rsc dari server mikrotik.co.id
Taufik Hidayat
PPTP dan PPPoE Username
Username dan password:
PPTP

: mikrotik-pptp
Username
: training
Password

PPPoE
Username : mikrotik-pppoe
Password : training
Taufik Hidayat
Static Route untuk PPTP
Taufik Hidayat
PPTP & PPPoE Setting
Taufik Hidayat
Interface
Pastikan semua interface sudah bekerja
dengan baik
Taufik Hidayat
IP Address
Pastikan sudah mendapatkan IP Address
dinamik dari PPTP dan PPPoE
Taufik Hidayat
Masquerade Setting
Buatlah masquerade untuk ketiga gateway
Taufik Hidayat
Route-mark Setting
Rule no 0 untuk trafik dari klien

Rule no 1 untuk trafik dari local process di router
Rule no 1 menggunakan parameter

out-interface=pptp-out1 karena secara default,
routing keluar melalui pptp-out1
Taufik Hidayat
Route for IIX & Internasional
Taufik Hidayat
Test dengan traceroute
Taufik Hidayat
Kekurangan ECMP
Forwarding table di Linux Kernel secara
otomatis akan refresh setiap 10 menit

Hal ini menyebabkan ada kemungkinan
paket data untuk suatu aplikasi berganti

koneksi sehingga mendapatkan masq
address yang berbeda. Koneksi bisa
terputus.
Info lebih lanjut mengenai hal ini:
http://www.enyo.de/fw/security/notes/linux-dst-cache-dos.html
http://marc.info/?m=105217616607144
http://lkml.indiana.edu/hypermail/linux/net/0305.2/index.html#19
Taufik Hidayat
Metode NTH
NTH dilakukan dengan mengaktifkan
counter pada mangle, dan kemudian

dinamai (route mark) berdasarkan
gatewaynya.
Route mark kemudian digunakan sebagai
dasar untuk membuat policy route.
Taufik Hidayat
Proses NTH pada Mangle
Misalkan kita mempunyai 2 buah gateway
(A dan B)
Koneksi pertama route mark conn-A

Koneksi kedua route mark conn-B

Koneksi ketiga route mark conn-A

Koneksi keempat route mark conn-

Koneksi B

Dst.. kelima route mark conn-A
Taufik Hidayat
Proses NTH pada Routing
Setelah ada route-mark, maka kita tinggal

mengarahkan route mark tersebut ke
gateway yang sesuai.

Route-mark conn-A ke gateway A

Route-mark conn-B ke gateway B
Taufik Hidayat
Proses NTH pada Routing
Taufik Hidayat
Kelemahan nth
Nth bekerja berdasarkan connection
tracking
Seperti halnya ECMP, nth juga ikut ter-
refresh setiap 10 menit

Mikrotik tidak menyarankan
penggunaan
nth untuk melakukan load balanced
Untuk load balanced yang baik,

disarankan menggunakan PCC (Per
Connection Classifier)
Taufik Hidayat
Per Connection Classifier
Adalah parameter firewall yang memiliki
kemampuan untuk membedakan trafik

menjadi dua atau lebih stream berdasarkan
parameter tetap terjaga, meskipun
forwarding table pada kernel ter-refresh
Option yang bisa digunakan adalah: src-
address, src-port, dst-address, dst-port

Informasi lebih lanjut:
http://wiki.mikrotik.com/wiki/PCC
Diperkenalkan mulai RouterOS 3.24
Taufik Hidayat
[LAB-2] Load balanced PCC
Dengan konfigurasi network seperti lab
sebelumnya, gunakanlah wlan1, pppoe,

dan pptp untuk load balanced dengan PCC
WLAN1 PPPoE
PPTP
Taufik Hidayat
Trafik ke Connected Network
Routing ke connected route hanya tersedia
di routing table main

Kita harus menjaga jangan sampai trafik ke
network ini berpindah routing table.

Kita membuat address-list untuk connected
network
Taufik Hidayat
Trafik ke Connected Network
Taufik Hidayat
Koneksi dari luar
Untuk menjamin bahwa router akan me-
reply setiap connection yang masuk dari

luar sesuai dengan jalur masuknya.
Taufik Hidayat
Custom Route-mark Chain
Ada dua trafik yang harus di load balanced:
Trafik dari client

Chain=prerouting
In-interface=local (ether1)
Connection-mark=no-mark
Trafik dari local process
Chain=output
Connection-mark=no-mark
Kedua trafik ini akan di jump ke chain baru
Taufik Hidayat
Jump to Custom Chain
Taufik Hidayat
PCC Rules
Taufik Hidayat
Conn-mark Route Mark
Taufik Hidayat
All Mangle
Taufik Hidayat
Static Route
Taufik Hidayat
Beberapa Problem Lainnya
Hati-hati untuk penggunaan DNS Server
jika kita menggunakan DNS Server ISP dan

menggunakan beberapa gateway dari ISP
yang berbeda.
Hal ini bisa diatasi dengan:
membuat static route untuk masing-masing

DNS dan meng-accept IP DNS sehingga
tidak ikut di PCC
Menggunakan dns public seperti google-

dns
Taufik Hidayat
Basic Configuration,
DHCP & Proxy
Mikroti Training
k
Organized by: Hyper
Media
Objectives
Pada materi ini akan dibahas :

DNS Server

DHCP Server

DHCP Client

DHCP Relay

Proxy Access Control
Taufik Hidayat
First do First !
Ubahlah nama Router menjadi :

XX-NAMA ANDA.
Aktifkan neighbor interface pada WLAN1.
Buatlah username baru dan berilah password
(group full).
Proteksilah user Admin (tanpa password)
hanya bisa diakses dari 10.10.10.28/30 (grup

full).
Buatlah user demo dengan grup read.
Taufik Hidayat
[LAB-1] Konfigurasi Dasar
Internet
WLAN1 WLAN1
10.10.10.1/24 WLAN1 10.10.10.X/24
10.10.10.2/24
ETHER1 ETHER1 ETHER1

192.168.1.1/24 192.168.2.1/24 192.168.X.1/24
ETHERNET PORT ETHERNET PORT ETHERNET PORT

92.168.1.2/24
1 192.168.2.2/24 192.168.X.2/24
MEJA 1 MEJA 2 MEJA X

Taufik Hidayat
IP Configuration
Routerboard Setting
WAN IP :
10.10.10.x/24
Gateway : 10.10.10.100
LAN IP :
192.168.x.1/24 Server
DNS : 10.100.100.1
Services: Src-NAT and
DNS
Laptop Setting
IP Address : 192.168.x.2/24
Taufik Hidayat
Gateway : 192.168.x.1
DNS Domain Name System
Adalah sebuah sistem yang menyimpan informasi Nama
Host maupun Nama Domain dalam bentuk Data Base
(distributed database) di dalam jaringan komputer.
DNS menyediakan alamat IP untuk setiap nama host /
server di dalam domain yang hal ini cukup penting untuk

jaringan Internet,
Bilamana perangkat keras komputer dan jaringan
dengan alamat IP untuk pengalamatan dan penjaluran
bekerja
(routing).
Taufik Hidayat
DNS - 2
Manusia padaumumnya lebih memilih untuk

menggunakan nama host dan nama domain karena
mudah diingat.
Analogi yang umum digunakan untuk menjelaskan
fungsi DNS adalah dianggap seperti buku telepon

internet dimana saat pengguna mengetikkan nama
website(domain) tertentu di internet maka pengguna
akan diarahkan ke alamat IP tertentu
INTERNET
DNS
Resolver
Authoritative DNS server Recursive DNS
Taufik Hidayat
DNS Static & DNS Cache
Fungsi DNS Static digunakan router pada
aplikasi web-proxy dan juga di hotspot.

Fungsi DNS Cache akan aktif bila konfigurasi
Allow Remote Requests diaktifkan.

DNS Cache dapat meminimalkan waktu
request DNS dari client.
Taufik Hidayat
Konfigurasi Dasar DNS
Taufik Hidayat
DNS Static & DNS Cache
DNS Cache juga dapat berfungsi sebagai
DNS Server sederhana.
Untuk setiap setting static DNS, router akan
menambahkan parameter A dan PTR secara

otomatis.
A Memetakan Alamat Domain ke Alamat IP
PTR Untuk memetakan Reverse DNS
Static DNS akan meng-override dynamic entry
yang ada di DNS cache.
Untuk mempercepat proses trace route di OS
Windows, kita bia menambahkan static DNS untuk IP

lokal kita. Taufik Hidayat
[LAB-3] Static DNS
Taufik Hidayat
Cache Lists
Taufik Hidayat
DHCP
Dynamic Host Configuration Protocol digunakan
untuk secara dinamik mendistribusikan konfigurasi
jaringan, seperti:
IP Address dan netmask
IP Address default gateway
Konfigurasi DNS dan NTP Server
Dan masih banyak lagi custom option apakah
(tergantung
DHCP client bisa support DHCP option tersebut)
DHCP dianggap tidak terlalu aman dan
hanya digunakan pada jaringan yang
dipercaya. Taufik Hidayat
Skema Komunikasi DHCP
DHCP Discovery
src-mac=<client>, dst-mac=<broadcast>, protocol=udp, src-
ip=0.0.0.0:68, dst-ip=255.255.255.255:67
DHCP Offer
src-mac=<DHCP-server>, dst-mac=<broadcast>, protocol=udp,src-
ip=<DHCP-Server>:67, dst-ip=255.255.255.255:67
DHCP Request
src-mac=<client>, dst-mac=<broadcast>, protocol=udp, src-
ip=0.0.0.0:68, dst-ip=255.255.255.255:67
DHCP Acknowledgement
src-mac=<DHCP-server>, dst-mac=<broadcast>, protocol=udp, src-

ip=<DHCP-Server>:67, dst-ip=255.255.255.255:67
Taufik Hidayat
Identifikasi DHCP Client
DHCP Server dapat membedakan client

berdasarkan proses identifikasi.
Identifikasi dilakukan berdasarkan:

caller-id option
(dhcp-client-identifier pada RFC2132)
Mac-Address, apabila caller-id tidak ada
hostname memungkinkan client DHCP yang
menggunakan RouterOS mengirimkan tambahan

informasi identifikasi ke server, secara bawaan
menggunakan system identity.
Taufik Hidayat
DHCP Client
Taufik Hidayat
DHCP Server
Hanya boleh ada satu DHCP server per kombinasi
interface/relay pada router.

Untuk membuat DHCP Server, kita harus memiliki :
IP Address pada interface fisik DHCP

Address pool untuk client
Informasi jaringan lainnya
Ketiga informasi di atas harus sesuai satu sama lain.
Lease on disk adalah opsi untuk menuliskan data Lease
DHCP ke harddisk.
Taufik Hidayat
DHCP Networks & Option
Pada menu DHCP Networks, kita dapat melakukan
konfigurasi DHCP Options tertentu untuk network

tertentu
Beberapa option sudah terintegrasi dengan
RouterOS, dan Option lainnya dapat dilakukan

custom dalam format raw
http://www.iana.org/assignments/bootp-dhcp-parameters
DHCP Server dapat memberikan option apapun
DHCP Client hanya dapat menerima option

yang
dikenali
Taufik Hidayat
DHCP Options (1)
DHCP Options yang bisa dilakukan:
Subnet-mask (option 1) netmask

Router (option 3) gateway
Domain-Server (option 6) dns-server
NTP-Servers (option 42) ntp-server
NETBOIS-Name-Server (option 44) wins-
server
Custom DHCP options (contoh) :

Classless Static Route (option 121)
0x100A270A260101 = network=10.39.0.0/16
gateway=10.38.1.1
Taufik Hidayat
DHCP Options (2)
Raw Format :
0x | 10 | 0A27 | 0A260101 |

0x Hex Number

10 Subnet/Prefix = 16

0A27 Network = 10.39.0.0

0A260101 Gateway = 10.38.1.1

Taufik Hidayat
[LAB-4] DHCP Server
Taufik Hidayat
DHCP Server (2)
1 2
3 4
192.168.1.1
5 6
7 Taufik Hidayat
[LAB-5] Custom DHCP Option
Taufik Hidayat
IP Address Pool
IP address pool digunakan untuk menentukan

rentang IP Address yang akan didistribusikan
secara dinamik (DHCP, PPP, Hotspot)
IP address harus selain yang digunakan
untuk keperluan lain (misalnya: server)
Dimungkinkan untuk :
Membuat beberapa rentang untuk satu pool

Menentukan pool berikut dengan next pool
Taufik Hidayat
IP Address Pools
Taufik Hidayat
Distribusi Address Pool
.1 .2 .3 .4 .5 .6 .7 .8 .9 .10 .11 .12 .13 .14
.1 .2 .3 .4 .5 .6 .7 .8 .9 .10 .11 .12 .13 .14
.1 .2 .3 .4 .5 .6 .7 .8 .9 .10 .11 .12 .13 .14
.1 .2 .3 .4 .5 .6 .7 .8 .9 .10 .11 .12 .13 .14
.1 .2 .3 .4 .5 .6 .7 .8 .9 .10 .11 .12 .13 .14
.1 .2 .3 .4 .5 .6 .7 .8 .9 .10 .11 .12 .13 .14
address berikutnya reserved, tapi tidak digunakan
tidak digunakan address digunakan
Taufik Hidayat
Distribusi Address Pool
Secara default Pembagian IP address oleh
DHCP-server Mikrotik akan dimulai dari angka

ip yang paling besar dari pool yang diberikan.
Jika ternyata ip yang didapatkan adalah ip
yang tekecil maka biasanya ada DHCP option

di
client yang aktif yang meminta ip terkecil.
Taufik Hidayat
DHCP Server Setting
Src-address menentukan IP Address DHCP server

apabila terdapat lebih dari 1 IP Address pada interface
DHCP server
Delay Threshold memberikan prioritas DHCP

server
yang satu dari yang lainnya (makin besar delay,

prioritas makin rendah)
Add ARP for Leases memperbolehkan
menambahkan data entri ARP dari lease DHCP jika
interface ARP=reply-only
Always Broadcast mengijinkan komunikasi dengan
client yang tidak standart, misalnya pseudo-bridges
Taufik Hidayat
DHCP Server Setting
Taufik Hidayat
DHCP-Server Alerts!!!
DHCP-Alerts memungkinkan DHCP server

untuk mendeteksi adanya DHCP Server
Tandingan (Rogue) yang ada di jaringan yang
sama.
Valid-Server Mendaftarkan mac-address

dari
DHCP server yang valid.

On-Alert memungkinkan untuk menjalankan
script tertentu jika terjadi adanya DHCP-Server
tandingan.
Taufik Hidayat
DHCP Alerts !
Authoritative = yes DHCP
Client
DHCP Alerts !!!!

Internet
Local Network
Rogue DHCP
Untuk mendeteksi DHCP
server
lain yang mengganggu maka
aktifkan DHCP Alerts
Taufik Hidayat
DHCP Alerts !
Taufik Hidayat
Authoritative DHCP Server
Authoritative memungkinkan DHCP server

menanggapi broadcast client yang tidak
dikenali dan meminta client untuk me-restart
DHCP lease (client akan mengirimkan
sequence broadcast hanya apabila gagal
melakukan pembaruan lease)
Digunakan untuk:
Menanggulangi apabila ada DHCP server

tandingan di dalam network

Melakukan perubahan konfigurasi jaringan
DHCP dengan lebih cepat
Taufik Hidayat
DHCP - Authoritative
Authoritative = yes DHCP
Client
Internet
Local Network
Rogue DHCP
Untuk menganggulangi adanya
DHCP server lain yang mengganggu
maka aktifkan Authoritative = yes
Taufik Hidayat
DHCP Delay Threshold
Delay = 0s
Delay = 5s
Internet
Local Network
Delay Threshold digunakanuntuk backup jika

DHCP server utama mengalami gangguan atau
tidak berfungsi.
Taufik Hidayat
[LAB-6] DHCP Delay
Hubungkan ether2 Anda
10.10.10.100/24
dengan router di sebelah
Buat bridge, masukkan

ether1 dan ether2 sebagai
bridge port
ETHER2
ETHER2
Buatlah DHCP server

ETHER1 pada
ETHER1
BRIDGE BRIDGE interface bridgethreshold dan
Mainkan delay

lihatlah apa yang terjadi
Taufik Hidayat
DHCP Relay
DHCP Relay bekerja seperti halnya Web-Proxy,

dapat menerima DHCP discovery dan request,
dan meneruskannya ke DHCP server
Hanya bisa ada 1 DHCP relay antara DHCP

server dan DHCP client
Komunikasi DHCP server ke DHCP relay tidak
membutuhkan IP Address
Konfigurasi local address pada DHCP relay

harus sama dengan relay address pada
DHCP
server. Taufik Hidayat
[LAB-7] DHCP Relay
10.10.10.100/24 Buatlah konfigurasi

setting DHCP Relay
DHCP SERVER
ETHER2 ETHER2
DHCP RELAY
172.16.30.1/2 172.16.30.2/24
4
192.168.31.1/24 192.168.32.1/24
ETHER1 ETHER1
Taufik Hidayat
Setting DHCP Server
Taufik Hidayat
Setting pada DHCP Relay
Taufik Hidayat
Proxy
Pada semua level routeros, baik yang diinstall
pada PC maupun yang diinstall pada

routerboard, kita bisa mengaktifkan fitur proxy
Internet
Taufik Hidayat
Konsep Proxy
Koneksi tanpa proxy
Internet
Koneksi dengan proxy
PROXY Internet
Taufik Hidayat
Fitur Proxy di RouterOS
Regular HTTP proxy

Transparent proxy
Dapat berfungsi juga sebagai transparan dan normal

sekaligus pada saat yang bersamaan
Access list
Berdasarkan source, destination, URL dan requested

method
Cache Access list

Menentukan objek mana yang disimpan pada cache
Direct Access
Mengatur List mana yang diakses secara
koneksi dan
langsung yang melalui proxy server lainnya
Logging facility
Taufik Hidayat
Setup Proxy
Aktifkanlah service web-proxy pada router Anda.

Konfigurasi browser Anda untuk menggunakan
proxy internal Mikrotik.

Kemudian test koneksi untuk memastikan proxy
sudah bisa menerima request.
Taufik Hidayat
Mengaktifkan Proxy
Taufik Hidayat
Statistik Web Proxy
Taufik Hidayat
Proxy Setting: Access
Menentukan mana yang boleh melakukan akses
dan mana yang tidak, berdasarkan :

Layer 3 information
URL / Host
HTTP Method
Untuk yang di-deny, kita dapat mengalihkan
(redirect) akses ke URL tertentu.
Taufik Hidayat
Taufik Hidayat
URL Filtering
http://www.domain.com
/path1/path2/file1.jpg
Destination host Destination path
Special Characters
* = karakter apapun (bisa banyak)

? = satu karakter

www.do?ai?.com
www.domain.*
*domain*
Taufik Hidayat
Regular Expressions
Tuliskan tanda : pada awal parameter untuk
mengaktifkan mode regex

^ = tidak ada simbol diijinkan sebelum
yang
pattern diijinkan sesudah
$ = tidak ada simbol
yang pattern
[] = karakter pembanding
\ = (diikuti karakter dengan fungsi
khusus)
meniadakan fungsi khusus
http://www.regular-expressions.info/reference.html
Taufik Hidayat
[LAB] Proxy RegEx
Untuk melakukan blok terhadap situs torrent
contoh :
Dst-Host=:(torrent|limewire|thepiratebay|

torrentz|isohunt)+.*
Complete RegEx :
:(torrentz|torrent|thepiratebay|isohunt|entertane|
demonoid|btjunkie|mininova|flixflux|torrentz|vertor|
h33t|btscene|bitunity|bittoxic|thunderbytes|entertane|
zoozle|vcdq|bitnova|bitsoup|meganova|fulldls|btbot|
flixflux|seedpeer|fenopy|gpirate|commonbits)+.*
Taufik Hidayat
Cache
Pengaturan penyimpanan objek ke dalam cache

01-61 Mikrotik Indonesia http://www 6-Mar-12

.mikrotik.co.id
Direct Access list

Mengatur request dari client untuk diproses oleh
parent proxy server
Berfungsi jika Parent Proxy telah didefinisikan.

Direct-list dst-host=* action=deny

Akses user akan dikontrol oleh proxy
local dibantu parent proxy.
Direct-list dst-host=* action=allow

Akses user akan dikontrol sepenuhnya oleh proxy

local.

.mikrotik.co.id
Firewall
Mikrotik Training
Organized by: Hyper
Media Taufik Hidayat
Objectives
Packet Flow
Firewall Mangle
Conn Mark
Packet Mark
Routing Mark
Firewall Filter
IP Address List
Advanced
Parameter
NAT
Taufik Hidayat
Packet Flow
Diagram yang menunjukkan alur proses paket
data yang keluar dan masuk di router

Terdapat perbedaan cukup mendasar antara
paket flow di versi 3 dengan versi sebelumnya

Use IP Firewall di bridge

Posisi routing decision

BROUTE dihilangkan

Taufik Hidayat
IP Flow (simple diagram)
INPUT PRE POST INTERFACE
FORWARD
INTERFACE ROUTING ROUTING QUEUE / HTB
LOCAL OUTPUT
INPUT OUTPUT INTERFACE
PROCESS
PREROUTING INPUT FORWARD OUTPUT POSTROUTING

Hotspot Input Mangle Bridge Decision Bridge Decision Mangle
Conn-Tracking Filter TTL = TTL - 1 Conn-Tracking Global-Out Queue
Mangle Mangle Mangle Global-Total
Dst-NAT Filter Filter Queue Source-
Global-In Acounting Routing NAT Hotspot
Queue Adjusment Output
Global-Total
Queue
Taufik Hidayat
OUTPUT POSTROUTING
Bridge Decision Mangle
IP Flow (RoSv3) Conn-Tracking

Mangle
Filter
Global-Out Queue
Global-Total
Queue Source-
- + +
Routing NAT Hotspot
Use ip Bridge BRIDGE Adjusment Output
firewall Decisio FORWAR
n
PRE D
ROUTING
-
BRIDGE BRIDGE Use ip - BRIDGE
firewall
DST- INPUT SRC-
NAT
+ + NAT
FORWARD BRIDGE
INPUT is - Routing + OUTPUT
Bridged? Decision
-
OUTPUT is + Bridge
INPUT INPUT OUTPUT Bridged? Decision
INTERFACE
IPSEC -
+ IPsec Routing
DECRYPTION Policy Decision + Use ip
firewall
PREROUTING -
Hotspot Input
LOCAL LOCAL POST -
Conn-Tracking
Mangle PROCESS-IN PROCESS-OUT ROUTING
Dst-NAT
Global-In FORWARD IPSEC OUTPUT
Queue IPsec INTERFACE
Bridge ENCRYPTION + Policy
Global-Total Decision
TTL = TTL - 1
Queue
INPUT
Mangle -
Mangle
Filter INTERFACE QUEUE / HTB
Filter
Acounting
Taufik Hidayat
Simple Packet Flow
FORWARD
ROUTING MANGLE FILTER
DECISION FORWARD FORWARD
PRE POST
ROUTING ROUTING
OUTPUT
QUEUE ROUTING MANGLE
GLOBAL-IN ADJUSTMENT POSTROUTING
FILTER QUEUE
DST-NAT OUTPUT GLOBAL-OUT
INPUT
MANGLE MANGLE
MANGLE SRC-NAT
INPUT OUTPUT
PREROUTING
FILTER CONNECTION HTB

CONNECTION INPUT TRACKING INTERFACE
TRACKING
INPUT LOCAL ROUTING OUTPUT
INTERFACE PROCESS DECISION INTERFACE
Taufik Hidayat
Packet Flow
Input / Output Interface / Local Process
Routing Decision / Routing Adjustment
Mangle
Filter
NAT
Queue / HTB on other chapter
Taufik Hidayat
Input Interface
Adalah interface yang dilalui oleh paket data, tepat
ketika masuk di router.

Pada saat proses uplink atau request yang
dimaksud dengan input interface adalah interface yang

mengarah ke client (local/lan interface).
Pada saat proses downlink atau response yang
dimaksud dengan input interface adalah interface yang

mengarah ke internet (public/WAN interface)
Jika client menggunakan IP Address publik, proses
request juga bisa dilakukan dari internet, sehingga

input interface adalah interface WAN.
Taufik Hidayat
Output Interface
Adalah interface yang dilalui oleh paket data
tepat ketika keluar dari router.

Pada saat proses uplink atau request yang
dimaksud dengan output interface adalah

interface yang mengarah ke internet (WAN
interface).
Pada saat proses downlink atau response
yang dimaksud dengan output interface

adalah interface yang mengarah ke client
(lokal/LAN interface).
Local Process
Adalah router itu sendiri, jika ada paket data

yang menuju ke router, misalnya:
Ping dari client ke IP router
Request Winbox dari client ke router
Proses response http akibat request dari
web proxy
Adalah router itu sendiri, jika ada paket data
yang berasal dari router, misalnya:

Ping dari router ke internet atau ke client
Proses request http dari web proxy
Routing Decision
Adalah proses yang menentukan apakah
paket data akan disalurkan ke luar router, atau

menuju ke router itu sendiri.
Proses ini juga menentukan interface mana

yang akan digunakan untuk melewatkan paket
data keluar dari router.
Pada chain output (setelah mangle, dan filter)

terdapat Routing Adjustment yang berfungsi
memperbaiki routing decision yang
diakibatkan
oleh route-mark pada mangle di chain
Taufik Hidayat
output.
Trafik Menuju Router
FORWARD
PRE POST
ROUTING ROUTING
OUTPUT
FILTER QUEUE
INPUT
MANGLE MANGLE
MANGLE SRC-NAT
INPUT OUTPUT
PREROUTING

TRACKING
Taufik Hidayat
Trafik dari Router
FORWARD
PRE POST
ROUTING ROUTING
OUTPUT
FILTER QUEUE
INPUT
MANGLE MANGLE
MANGLE SRC-NAT
INPUT OUTPUT
PREROUTING

TRACKING
Taufik Hidayat
Trafik Melalui Router
FORWARD
PRE POST
ROUTING ROUTING
OUTPUT
FILTER QUEUE
INPUT
MANGLE MANGLE
MANGLE SRC-NAT
INPUT OUTPUT
PREROUTING

TRACKING
Taufik Hidayat
Posisi Chain / Parent
From To Mangle Firewall Queue
Outside Router/ Prerouting Global-In
Local Input Input Global-Total
Process
Router/ Outside Output Output Global-Out
Local Postrouting Global-Total
Process
Interface
Outside Outside Prerouting Global-In
Forward Forward Global-Out
Postrouting Global-Total
Interface
Taufik Hidayat
Use IP Firewall on Bridge
Jika kita menggunakan fungsi bridge, dan ingin

menggunakan logika firewall ataupun mangle
(Leyer 3), kita harus mengaktifkan setting use
ip firewall.
Taufik Hidayat
Connection State
Setiap paket data yang melewati router memiliki status:
Invalid paket tidak dimiliki oleh koneksi apapun, tidak

berguna
New paket yang merupakan pembuka sebuah koneksi/paket

pertama dari sebuah koneksi
Established merupakan paket kelanjutan dari paket dengan

status new.
Related paket pembuka sebuah koneksi baru, tetapi masih

berhubungan dengan koneksi sebelumnya.
Contoh connection Related adalah komunikasi FTP yang membuka
connection related di port 20 setelah connection new di port 21
sudah dilakukan.
Taufik Hidayat
Connection State
Firewall
New Established Related Invalid
Taufik Hidayat
Firewall Mangle
Mangle adalah cara untuk menandai paket-

paket data tertentu, dan kita akan
menggunakan tanda (Marking) tersebut pada
fitur lainnya, misalnya pada filter, routing, NAT,
ataupun queue.
Tanda mangle ini hanya bisa digunakan pada

router yang sama, dan tidak terbaca pada
router lainnya.
Pembacaan / pelaksanaan rule mangle akan

dilakukan dari atas ke bawah secara
berurutan.
Taufik Hidayat
Type of Mark
Flow Mark / Packet Mark

Penandaan untuk setiap paket data
Connection Mark
Penandaan untuk suatu koneksi (request dan response)
Route Mark

Penandaan paket khusus untuk routing
Setiap paket data hanya bisa memiliki maksimal

1 conn-mark, 1 packet-mark, dan 1 route-mark
Taufik Hidayat
Penggunaan Mangle
QUEUE TREE
MANGLE FIREWALL
PACKET
MARK
CONNECTION FIREWALL
MARK FILTER
ROUTE
MARK
POLICY ROUTE
(STATIC ROUTE)
Taufik Hidayat
Mangle Action
accept - Paket data yang datang ke chain diterima dan tidak

dicek lagi di rule bawahnya serta langsung keluar dari chain.
jump Paket data akan dilempar ke chain lain sesuai

parameter
Jump-Target.
return Paket data akan dikembalikan ke chain asal sesuai
urutan rule firewall jump sebelumnya.
log akan menambahkan informasi paket di system log

passthrough mengabaikan rule dan akan diteruskan ke rule
dibawahnya.
add-dst-to-address-list menambahkan informasi dst-address

dari paket ke address-list tertentu.
add-src-to-address-list menambahkan informasi src-address
dari paket ke address-list tertentu. Taufik Hidayat
Penggunaan Jump & Chain Tambahan
Input Input
1 ------------ 1 ------------
2 ------------ 2 ------------ Chain 1
3 ------------ 3a ------------ 3 ------------
4 ------------ 11 ------------
4 ------------
5 ------------ Chain 2 12 ------------ 5 ------------
6 ------------ 13 ------------ 13a ------------ 6 ------------
7 ------------ 14 ------------ 22 ------------ 7 ------------
8 ------------ 15 ------------ 23 ------------ 8 ------------
9 ------------ 16 ------------ 24 ------------ 9 ------------
10 ------------ 17 ------------ 25 ------------ 10 ------------
11 ------------ 18 ------------
12 ------------ 19 ------------
13 ------------ 20 ------------ Dengan beberapa chain
14 ------------ 21 ------------
15 ------------
16 ------------
17 ------------ Jika suatu trafik tidak memenuhi syarat
18 ------------
19 ------------ parameter no 3a dan 13a, maka paket
20
21
------------
------------
data tersebut tidak perlu dilewatkan
22 ------------ rule pada chain 1 dan chain 2.
23
24
------------
------------
Tanpa chain tambahan, Hal ini dapat menghemat beban CPU
25 ------------
hanya flat table pada router.
Taufik Hidayat
Aplikasi Penggunaan Jump
Chain Awal
1 ------------
2 ------------
------------
CHAIN INPUT 99 return CHAIN FORWARD
Chain ICMP
1 Jump to 1 ------------
1 Jump to chain-
chain-awal 2 ------------ awal
------------
99 return
2 ICMP 2 ICMP chain
chain icmp Chain TCP icmp
1 ------------
2 ------------
3 TCP 3 TCP chain-
------------
chain-tcp 99 return tcp
Chain UDP
4 UDP 1 ------------
4 UDP chain-
chain-udp 2 ------------ udp
------------
99 return
5 Rule lainnya 5 Rule lainnya
Taufik Hidayat
More Mangle Actions
mark-connection melakukan penandaan paket new dari

sebuah connection traffic.
mark-packet Menandai semua paket data yang melewati

router sesuai klasifikasinya.
mark-routing Menandai paket data dan akan digunakan untuk
menetukan routing dari paket tersebut.
change MSS Mengubah besar MSS dari paket di paket

header.
paket data ketika menggunakan koneksi VPN.
biasaya
change

TOSdigunakan untukparameter
Mengubah menghindari adanya
TOS dari fragmentasi pada
paket di paket
header
change TTL - Mengubah besar TTL dari paket di paket header
strip IPv4 options
Taufik Hidayat
Parameter Firewall (General)
Chain Input
Tidak bisa memilih out-interface
Untuk trafik yang menuju router (Local Proses)
Chain Forward
Bisa menentukan in-interface dan out-interface
Untuk trafik yang melalui / melewati router
Chain Output
Tidak bisa memilih in-interface
Untuk trafik yang berasal dari router (local proces)
Taufik Hidayat
Parameter Mangle
Chain Prerouting
Untuk trafik yang menuju router (local
proces)
dan melalui router
Chain

Postrouting

Untuk trafik yang berasal dari router (local
proces) dan yang melalui router
Taufik Hidayat
Connection Mark
Dilakukan untuk proses request (pada paket pertama

NEW dalam suatu koneksi)
Mutlak digunakan untuk melakukan mangle per src-

address pada jaringan dengan src-nat jika
menggunkan chain prerouting.
Sebaiknya digunakan untuk melakukan mangle

berdasarkan protocol tcp dan dst-port
Dilakukan sebelum packet-mark atau route-mark
Setting passthrough biasanya yes
Taufik Hidayat
Packet Mark
Untuk jaringan dengan nat, dan untuk protokol
tcp (dan dst port), sebaiknya dibuat

berdasarkan conn-mark.
Mark ini Dibuat untuk digunakan pada queue
tree, simple queue, dan bisa juga filter.

Setting passthrough biasanya no.
Taufik Hidayat
Route-Mark
Dilakukan untuk penandaan pada policy route / static
route
Sebaiknya dibuat berdasarkan conn-mark supaya
keutuhan koneksinya terjaga
Hanya bisa dilakukan pada chain prerouting atau

output, karena harus dilakukan sebelum proses
routing decision atau routing adjustment
untuk trafik ke router prerouting
melalui router
trafik prerouting

trafik dari router output

Taufik Hidayat
Passthrough on Mangle
INPUT Traffic
conn-mark: --none
packet-mark: --none
CONN-MARK lconn-client-1z passthrough=yes route-mark: --none--

conn-mark: conn-client-1
packet-mark: --none--
PACKET-MARK lpacket-client-1z passthrough=yes route-mark: --none--

packet-mark: packet-client-1


route-mark: --none--
OUTPUT Traffic
Taufik Hidayat
Passthrough on Mangle
INPUT Traffic
conn-mark: --none
packet-mark: --none
CONN-MARK lconn-client-1z passthrough=yes route-mark: --none--

packet-mark: --none--
PACKET-MARK lpacket-client-1z passthrough=no route-mark: --none--

PACKET-MARK lpacket-client-2z passthrough=no route-mark: --none--
PACKET-MARK lpacket-client-3z passthrough=no
OUTPUT Traffic
Taufik Hidayat
Mangle - NTH
NTH adalah salah satu fitur firewall yang digunakan
untuk penghitung Counter packet atau connection

(packet new).
Parameter every adalah parameter penghitung,
sedangkan parameter packet adalah penunjuk paket

keberapa rule tersebut akan dijalankan.
Dari contoh di atas maka router akan menghitung
semua paket yang lewat menjadi 1 dan 2, dan rule

tersebut akan dijalankan pada paket 1.
Taufik Hidayat
NTH Implementation Example
WEB server 3
Every=3
Packet=3 WEB server 2
Every=3
Packet=2
Mirror
Fungsi NTH ini bisa nakanServer Farm
digu
untu load balance atau Every=3
Packet=1
membagi beban beberapa Web
WEB server 1
server.
Taufik Hidayat
Mangle - PCC
PCC adalah penyempurnaan dari NTH.
Selain melakukan counter seperti NTH, PCC juga

mampu mengingat dan menjaga karakteristik dari
paket atau connection tertentu (src-address,dst-
address,src-port,dst-port) untuk tetap
menggunakan rule yang sama.
Hal ini akan menjaga konsistensi dari sebuah
counter.
PCC Implementation Example
www.Google.com
www.Yahoo.com
INTERNET
PCC
Both Address PCC
(2,1) Both Address
(2,0)
Implementasi PCC sngat cocok untuk load

balance beberapa Koneksi Internet.
Taufik Hidayat
[LAB-1] Mangle Protocol
Buatlah mangle untuk mengidentifikasi trafik
downstream berdasarkan protokol

Kelompokkanlah protokol-protokol tersebut
menjadi 5 grup berdasarkan prioritasnya

Test setiap mangle traffic berdasarkan
protocolnya
sudah berjalan sesuai atau belum.
Kemudian lakukan Backup !

/system backup save name="backup-
mangle-
prioritas Taufik Hidayat
Rencana Prioritas
DNS SSH ICMP
Telnet HTTP
1
request
VoIP skype
HTTPS
Video Conference
Game VPN MSN
DNS SSH ICMP
VoIP skype Telnet HTTP request
Video Conference HTTPS
VPN MSN Game
P2P
mail mail
HTTP HTTP download
download
sFTP FTP sFTP FTP
P2P
8
Taufik Hidayat
How to mark?
Group Priority Service Protocol Dst-Port Other Conditions
P2P_services 8 P2P p2p=all-p2p
TCP 110
TCP 995
Mails TCP 143
TCP 993
Download
7 TCP 25
services HTTP downloads TCP 80 Connection-bytes=500000-0
TCP 20
FTP TCP 21
SFTP TCP 22 Packet-size=1400-1500
TCP 53
DNS UDP 53
ICMP ICMP -
Ensign
1 HTTPS TCP 443
service Telnet TCP 23
s SSH TCP 22 Packet-size=0-1400
HTTP requests TCP 80 Connection-bytes=0-500000
User requests 3 Online game servers dst-address-list of server
VoIP
Skype
Communication
5 Video Conference
services VPN
MSN
Taufik Hidayat
Firewall Filter
Adalah cara untuk memfilter paket, dilakukan
untuk meningkatkan keamanan jaringan, dan

mengatur flow data dari, ke client, ataupun
router
Hanya bisa dilakukan pada chain Input,
Output, Forward
By default: policy untuk semua traffic yang
melewati router adalah accept.
Taufik Hidayat
Filter - Packet Flow
FORWARD
PRE POST
ROUTING ROUTING
OUTPUT
FILTER QUEUE
INPUT
MANGLE MANGLE
MANGLE SRC-NAT
INPUT OUTPUT
PREROUTING

TRACKING
Taufik Hidayat
Firewall Tactics (1)
Drop all unneeded, accept everything else
Input
1 DROP virus
2 DROP spam server
3 DROP virus
4 DROP
5 DROP
6 DROP
7 DROP
8 DROP
9 DROP
10 DROP
11 ACCEPT ALL
Firewall Tactics (2)
Accept only needed, drop everything else
Input
1 ACCEPT HTTP
2 ACCEPT POP3
3 ACCEPT SMTP
4 ACCEPT IM
5 ACCEPT IRC
6 ACCEPT FTP
7 ACCEPT SSH
8 ACCEPT TELNET
9 ACCEPT ..
10 ACCEPT ..
11 DROP THE OTHER
Taufik Hidayat
RouterOS v3 Services
PORT PROTOCOL DESCRIPTION PORT PROTOCOL DESCRIPTION
1 20 tcp FTP 23 53 udp DNS
2 21 tcp FTP 24 123 udp NTP
3 22 tcp SSH, SFTP 25 161 udp SNMP
4 23 tcp Telnet 26 500 udp IPSec
5 53 tcp DNS 27 520 udp RIP
6 80 tcp HTTP 28 521 udp RIP
7 179 tcp BGP 29 646 udp LDP (MPLS)
8 443 tcp SHTTP (Hotspot) 30 1698 udp RSVP (MPLS)
9 646 tcp LDP (MPLS) 31 1699 udp RSVP (MPLS)
10 1080 tcp SoCKS (Hotspot) 32 1701 udp L2TP
11 1723 tcp PPTP 33 1812 udp User-Manager
12 1968 tcp MME 34 1813 udp User-Manager
13 2000 tcp Bandwidth Server 35 1900 udp uPnP
14 2210 tcp Dude Server 36 1966 udp MME
15 2211 tcp Dude Server 37 5678 udp Neighbor Discovery
16 2828 tcp uPnP 38 --- /46 RSVP (MPLS)
17 3128 tcp Web Proxy 39 --- /47 PPRP, EoIP
18 8291 tcp Winbox 40 --- /50 IPSec
19 8728 tcp API 41 --- /51 IPSec
20 --- /1 ICMP 42 --- /89 OSPF
21 --- /2 IGMP (Multicast) 43 --- /103 PIM (Multicast)
22 --- /4 IPIP 44 --- /112 VRRP
Taufik Hidayat
Bogon IP Address
/ip firewall address-list add list=BOGONS address=104.0.0.0/6
add list=BOGONS address=192.168.0.0/16 add list=BOGONS address=100.0.0.0/6

add list=BOGONS address=10.0.0.0/8












6
Taufik Hidayat
Address List
Taufik Hidayat
[LAB-2] IP Filtering
Buatlah firewall filter untuk melakukan:

Mengijinkan paket data established dan related
Memblok paket data invalid

Mengijinkan paket menuju network apabila:

dari IP Address publik yang valid

menuju IP Address client yang valid

Mengijinkan paket keluar dari network apabila:
menuju IP Address publik yang valid
dari IP Address client yang valid
Taufik Hidayat
Penggunaan Chain tambahan
Chain tambahan dapat digunakan sebagai target jump

dari beberapa chain default, sehingga kita tidak perlu
menulis rule yang sama dua kali.
Input Forward
1 ------------ 1 ------------
2 ------------ 2 ------------
3 ------------ 3 ------------
4 ------------ 4 ------------
5 ------------ TCP Chain 5 ------------
6 jump 1 ------------ 6 jump
7 ------------ 2 ------------ 7 ------------
8 ------------ 3 ------------ 8 ------------
9 ------------ 4 ------------ 9 ------------
10 ------------ 5 ------------ 10 ------------
6 ------------
7 ------------
8 ------------
9 return
Taufik Hidayat
Action Filter (1)
accept paket diterima dan tidak melanjutkan
membaca baris berikutnya

drop menolak paket secara diam-diam (tidak
mengirimkan pesan penolakan ICMP)
reject menolak paket dan mengirimkan

pesan
penolakan ICMP
connections yang tetapi

tarpit menolak, masuktetap
(membalas dengan
menjaga TCP SYN/
ACK untuk paket TCP SYN yang masuk)
log menambahkan informasi paket data ke log
Taufik Hidayat
Action Filter (2)
add-dst-to-address-list menambahkan IP Address

tujuan ke dalam daftar address-list tertentu
add-src-to-address-list - menambahkan IP Address

asal ke dalam daftar address-list tertentu
jump berpindah ke chain lainnya, sesuai dengan
parameter jump-target
return kembali ke chain sebelumnya (jika sudah

mengalami jump)
passthrough tidak melakukan action apapun,

melanjutkan ke baris berikutnya
Taufik Hidayat
Parameter Filter (General) 1
Chain input
Untuk trafik yang menuju router
Chain forward
Bisa menentukan in-interface out-interface
dan
Untuk trafik yang melalui router
Chain output
Untuk trafik yang berasal dari router
Taufik Hidayat
Penulisan src-address dan dst-address:

Satu alamat IP (192.168.0.1)

Blok alamat IP (192.168.0.0/24)

IP range (192.168.0.1-192.168.0.32)

Taufik Hidayat
Pemilihan port hanya bisa dilakukan pada protokol tertentu,
misalnya TCP dan UDP
Port bisa dituliskan dengan :
single port (contoh: 80)

port range (contoh: 1-1024)
multi port (contoh: 21,22,23,25)
any-port = sesuai dengan (salah satu) src-port atau dst-port
Contoh untuk trafik http
Untukmemblok request http, digunakan dst-port=80
Untukmemblok response http, digunakan src-port=80
Untukmemblok keduanya, digunakan any-port=80
6-Mar-12
Parameter Filter (interface)
Jika router menggunakan mode routing,
parameter in/out bridge port tidak digunakan.

Jika router menggunakan mode bridge:
In/out interface gunakan nama bridge

(contoh: bridge1)
In/out bridge port gunakan nama interface

fisik (contoh: ether1, ether2)
Taufik Hidayat
Parameter Filter (Advanced)(1)
src-mac-address hanya dapat digunakan jika
client terkoneksi langsung ke router (tidak bisa

jika sudah melalui router lainnya)
random action hanya akan dilakukan
secara random, dengan kemungkinan sesuai

parameter yang ditentukan (1-99)
ingress-priority priority yang

didapatkan dari protokol VLAN atau WMM
(0-63)
Taufik Hidayat
connection-byte
merupakan range dari besar data yang lewat di

suatu koneksi, bukan angka tunggal
contoh: 100000-45000000
(kita tidak pernah tahu berapa tepatnya
besar conn-

byte yang akan lewat)
Untuk jaringan dengan src-nat, sulit
diimplementasikan untuk downlink dengan
parameter IP Address client (membutuhkan
connection mark), karena conn-track dilakukan
Taufik Hidayat
sebelum pembalikan nat di prerouting.
packet-size besarnya packet data yang
lewat, untuk mendeteksi besar packet.

L7 protocol sesuai dengan namanya 7
layer protokol, yaitu tool untuk

mengklasifikasikan
paket data sesuai dengan aplikasinya (Layer
OSI 7).
L7 dijelaskan di Sesi yang lain.
Taufik Hidayat
icmp-type
icmp type yang biasa digunakan :
PING message 0:0 dan 8:0
TRACEROUTE message 11:0 dan 3:3
Path MTU discovery message 3:4
type lainnya sebaiknya di
blok.
Contoh block Traceroute only
/ip firewall filter :chain=forward action=drop
protocol=icmp icmp-options=11:0
/ip firewall filter chain=forward action=drop
protocol=icmp icmp-options=3:3
Taufik Hidayat
Parameter Filter (Extra)
connection-limit
jumlah koneksi per IP Address atau per blok

membatasi
IP address
contoh: 200 koneksi untuk setiap /26
membatasi
Dari rule diatas maka rule akan dijalankan ketika
connection dibawah 200.
Taufik Hidayat
[LAB-3] DoS Attack
IP Address yang memiliki 10 koneksi ke router
dapat diasumsikan sebagai pelaku DoS

Attack
Jika kita mendrop TCP connection, berarti kita
mengijinkan penyerang untuk membuat

koneksi yang baru
Untuk membloknya, kita menggunakan tarpit
Taufik Hidayat
IDM Detection
Fungsi ini bisa sangat berguna untuk mendeteksi

adanya program downloader yang aktif.
/ip firewall filter add action=accept chain=forward comment="IDM Detection"

connection- limit=!15,32 dst-port=80 protocol=tcp src-address=192.168.X.0/24
/ip firewall filter add action=add-src-to-address-list address-list=idm address-list-

timeout=5m chain=forward connection-limit=100,32 dst-port=80 protocol=tcp src-
address=192.168.X.0/24
/ip firewall filter add action=accept chain=forward connection-limit=!8,32 dst-port=20-21

protocol=tcp src-address=192.168.X.0/24
/ip firewall filter add action=add-src-to-address-list address-list=idm address-list-

timeout=5m chain=forward connection-limit=100,32 dst-port=20-21 protocol=tcp src-
address=192.168.X.0/24
Taufik Hidayat
limit
membatasi paket data, biasanya untuk paket

data non-connection
contoh: data icmp

Taufik Hidayat
[LAB-4] ICMP Flood Lab
Buatlah chain baru ICMP
Buatlah pada chain icmp rule untuk meng-accept 5
tipe icmp yang memang digunakan pada jaringan

Buatlah pada chain icmp limit 5 pps dengan 5 paket
burst, dan drop icmp berikutnya

Buatlah rule jump ke chain icmpdari chain input dan
chain forward
Test flood menggunakan fungsi /tool flood-ping
Taufik Hidayat
dst-limit
melimit jumlah paket per detik untuk setiap IP

Address tujuan atau port tujuan

clasifier :
addresses and dst-port
dst-address
dst-address and dst-port
src-address and dst-address
expire :

waktu kapan router akan melupakan informasi per
clasifier
Taufik Hidayat
src/dst-address-type:
unicast IP Address yang biasa kita gunakan

local jika IP Address tsb terpasang pada router

broadcast IP Address broadcast

multicast IP yang digunakan untuk transmisi multicast

Taufik Hidayat
PSD (Port Scan Detection)
untuk mengetahui adanya port scan (TCP)

low port : 0 1023

high port : 1024 - 65535

Taufik Hidayat
NAT
Merupakan proses manipulasi packet header,
terutama pada parameter 32-bit-src-address

dan 32-bit-dst-address.
Khusus untuk src-nat, akan dilakukan
proses otomatis pembalikan (dst-nat) pada

pre-routing.
Setelah paket data pertama dari sebuah

connection terkena NAT, maka paket
berikutnya pada connection tersebut otomatis
terkena NAT
Taufik Hidayat
NAT - Packet Flow
FORWARD
PRE POST
ROUTING ROUTING
OUTPUT
FILTER QUEUE
INPUT
MANGLE MANGLE
MANGLE SRC-NAT
INPUT OUTPUT
PREROUTING

TRACKING
Taufik Hidayat
Chain srcnat
Untuk menyembunyikan IP Address lokal dan

menggantikannya dengan IP Address publik yang
sudah terpasang pada router
src-nat
Kita bisa memilih IP Address publik yang
digunakan untuk menggantikan.
masquerade
Secara otomatis akan menggunakan IP Address pada

interface publik.

Digunakan untuk mempermudah instalasi dan bila IP
Address publik pada interface publik menggunakan IP
Address yang dinamik (misalnya DHCP, PPTP atau
EoIP)
Taufik Hidayat
Chain dstnat
Untuk melakukan penggantian IP Address
tujuan, atau mengarahkan koneksi ke localhost.

dst-nat
Kita bisa mengganti IP Address dan port

tujuan
dari seuatu koneksi.
redirect
Untuk mengalihkan koneksi yang tadinya
melwati router, dan dialihkan menuju ke loclhost
Taufik Hidayat
NAT netmap
Netmap Melakukan 1:1 dari suatu
range maping NATip yang lain.
ip ke range
Public Network
222.124.221.0/24
Local Network
192.168.1.0/24
Taufik Hidayat
NAT - same
kedua
Same Hampir sama dengan netmap tetapi range ip antara
network boleh berbeda. Router akan menjaga penggunaan
kombinasi ip yang sama untuk koneksi yang sama.
Public Network
222.124.230.0/29
Local Network
192.168.1.0/24
Taufik Hidayat
[LAB-5] Mangle dan proxy
Pada router terdapat proxy server
Buatlah mangle trafik internet yang:
direct

melalui proxy : HIT

melalui proxy : MISS
Taufik Hidayat
Proxy (single gateway)
ROUTER
DST
DST-NAT
1
SRC-NAT
TCP 80 Int
3 PROXY ern
2 et
1 Direct 2 MISS 3 HIT
Taufik Hidayat
Proxy HIT - MISS
Web Proxy bertugas menyimpan data file yang diakses
user, dan memberikan kepada user berikutnya jika

mengakses file yang sama.
Jika tersedia di cache . Akan langsung diberikan ..

disebut HIT
Jika tidak tersedia, proxy akan meminta ke server,

menyimpannya di cache, dan memberikan ke client
disebut MISS
Taufik Hidayat
Pengenalan HIT
Jika terjadi akses HIT di proxy, proxy akan
memberikan nilai TOS = 4 (nilai 4 bisa diubah

sesuai kebutuhan)
Nilai TOS = 4 ini bisa digunakan sebagai
parameter pada Mangle.
Taufik Hidayat
Setting Mangle
0 chain=prerouting action=mark-connection new-
connection-mark=conn-client passthrough=yes
in-
1 interface=ether1
chain=prerouting action=mark-packet new-packet-
mark=packet-client passthrough=no connection-
mark=conn-client
2 chain=output action=mark-packet new-packet-
mark=packet-hit passthrough=no out-
interface=ether1
3 connection-mark=conn-client dscp=4
chain=output action=mark-packet new-packet-
mark=packet-client passthrough=no out-
interface=ether1 connection-mark=conn-client dscp=!
4 Taufik Hidayat
[LAB] Mangle dual gateway
Buatlah mangle untuk memisahkan gateway
internasional dan gateway IIX.

Pada router menjalankan web proxy.
Koneksikan wlan2 . ssid training2 sebagai
gateway IIX
Taufik Hidayat
Proxy dan Dual Gateway
ROUTER
DST
DST-NAT
2 SRC-NAT INTERNA-
TCP 80 Int
SIONAL
1
6
PROXY ern
5 et
4
Inte
IIX
3
rnet
1. Direct IIX 2. Direct Internasional 3. MISS IIX
4. HIT IIX 5. MISS Internasional 6 HIT Internasional
Taufik Hidayat
Pengaturan Dual Gateway
Untuk memisahkan trafik domestik dan
internasional, kita menggunakan daftar IP

Address List NICE
www.mikrotik.co.id . Download area

Taufik Hidayat
Address List NICE
Taufik Hidayat
Import
Copy ke router, lalu jalankan dengan perintah /
import nice.rsc
Copy-paste pada terminal
Download otomatis :
lihat di :
http://www.mikrotik.co.id/artikel_lihat.php?id=23
Taufik Hidayat
Address-List
Saat ini ada sekitar 1000-
an
baris address-list
Daftar ini merupakan
hasil optimasi dari 2000an
baris pada BGP IIX
Proses dilakukan
optimasi
setiap jam
Taufik Hidayat
Mangle 1
0 chain=prerouting action=mark-connection new-connection-mark=conn-
client-int passthrough=yes dst-address-list=!nice in-interface=ether1
1 chain=prerouting action=mark-packet new-packet-mark=packet-client-int
passthrough=no connection-mark=conn-client-int
2 chain=prerouting action=mark-connection new-connection-mark=conn-
client-iix passthrough=yes dst-address-list=nice in-interface=ether1
3 chain=prerouting action=mark-routing new-routing-mark=route-iix
passthrough=yes dst-address-list=nice connection-mark=conn-client-iix
4 chain=prerouting action=mark-packet new-packet-mark=packet-client-iix
passthrough=no connection-mark=conn-client-iix
Mangle 2
5 chain=output action=mark-routing new-routing-mark=route-iix
passthrough=no dst-address-list=nice
6 chain=output action=mark-packet new-packet-mark=packet-hit-int
passthrough=no out-interface=ether1 connection-mark=conn-client-int dscp=4
7 chain=output action=mark-packet new-packet-mark=packet-client-int
passthrough=no out-interface=ether1 connection-mark=conn-client-int dscp=!4
8 chain=output action=mark-packet new-packet-mark=packet-hit-iix
passthrough=no out-interface=ether1 connection-mark=conn-client-iix dscp=4
9 chain=output action=mark-packet new-packet-mark=packet-client-iix
passthrough=no out-interface=ether1 connection-mark=conn-client-iix dscp=!4
Taufik Hidayat
NAT
0 chain=srcnat action=masquerade out-
interface=wlan1
1 chain=srcnat action=masquerade out-

interface=wlan2
2 chain=dstnat action=redirect to-ports=8080

protocol=tcp in-interface=ether1 dst-port=80
Taufik Hidayat
Route
0 dst-address=0.0.0.0/0 gateway=10.20.20.100
distance=1 scope=30 routing-mark=route-iix
1 dst-address=0.0.0.0/0 gateway=10.10.10.100
distance=1 scope=30
Policy Routing
10.10.20.100
wlan2
Taufik Hidayat
Test!
Cek apakah ping ke IIX melalui gateway 2
Cek apakah browsing ke IIX melalui gateway 2
Lakukan backup !
Taufik Hidayat
L7 Filter
Mikrotik Training
Taufik Hidayat
Outline
Cara Kerja L7 Filter
Regular Expression
Implementasi di Mikrotik routerOS
Keuntungan dan Konsekuensi penggunaan L7
Taufik Hidayat
Traffic Clasifier
L7 adalah sebuah packet classifier yang sebenarnya

digunakan oleh Netfilter (Linux) untuk melakukan
identifikasi paket data berdasarkan Layer aplikasi
(Layer 7).
Dengan menggunakan L7 packet classifier ini maka

memunginkan firewall atau Bandwith limiter
mengembangkan fungsinya ke level yang lebih tinggi.

Keterbatasan logika Firewall mikrotik yang
sebelumnya
hanya bisa memproses packet header dijawab oleh

L7
sehingga bisa memetakan paket data lebih detail.
Firewall mikrotik sudah mampu mengenali nama Taufik Hidayat
Packet Flow - Content
IP Packet
TCP / UDP
Packet
DATA
Src Dst
ToS Protocol Src Addr Dst Addr Port Port
L7 classifier secara default akan melakukan

inspeksi berdasarkan patern yang
diinstruksikan ke dalam 10 paket pertama atau
sekitar 2KB dari sebuah connection.

Seberapa Besar atau jumlah paket yang di-
inspeksi tidak dapat diubah.
Taufik Hidayat
L7 Requirement
L7 dapat bekerja maksimal jika bisa melihat
kedua arah traffic (request & response)

sehingga disarankan untuk meletakkan L7
classifier di chain forward.
Jika ingin diletakkan di chain
prerouting/input maka rule yang sama

juga harus diletakkan di
postrouting/output.
L7 memiliki
(RAM) karakteristik
sehingga hausuntuk
disarankan akandigunakan
memory
sesuai kebutuhan.
Taufik Hidayat
Layer 7 Protocol
L7 sudah bisa mengenali berbagai traffic seperti

protocol aplikasi, file-type, malware dan masih
banyak lagi.
Sekitar 150 patern sudah bisa digunakan

Tetapi perlu diingat juga bahwa Tidak semua
koneksi bisa diidentifikasikan.
L7 tetap belum bisa melakukan inspeksi

terhadap traffic yang ter-enkripsi seperti
traffic yang melewati SSL tunnel. Karena
data yang terlihat pada proses handshake
adalah hanya certificate ssl nya saja.
Taufik Hidayat
Regular Expression
L7 menggunakan Regular Expression untuk
melakukan inspeksi content dari sebuah

connection.
Regular Expression adalah sebuah
stringmendeskripsikan
untuk text pencarian patern yang
diinginkan.
Contoh :
"hello" messages such as "220 ftp ready",

server
"* ok", or "HTTP/1.1 200 ok".
Taufik Hidayat
RegEx Quick Reference
^ (caret) Matches the begining of input
$ Matches the end of input
. Matches any single character
? 0 or 1 occurrences of proceeding string
* (star) 0 or more occurrences of preceding

string
[...] Matches any on the enclosed

characters e.g. ca[tr] matches cat and car
| (pipe) Logical or, match either the part on

the left side, or the part on the right side
Taufik Hidayat
RegEx Usefull
[\x09-\x0d -~] printable characters, including
whitespace
[\x09-\x0d ] any whitespace
[!-~] non-whitespace printable characters
Taufik Hidayat
RegEx How To
Selidiki dan cari detail

spesifikasi dari protocol yang
ingin di-filter. Jika masih
menggunakan standard
Internet bisa menggunakan

RFC, jika proprietary
protocol maka coba cari

Gunakan patern RegEx yang bisa cocok dengan
reverse-engineering
beberapa paket pertama dari koneksi protocol
specification.
tersebut.
Gunakan software sniffer jika perlu (ex. Wireshark)
Test telebih dahulu.
untuk melihat detail paket datanya.
Taufik Hidayat
RegEx - Example
SSH :
^ssh-[12]\.[0-9]
FTP :
^220[\x09-\x0d-~]*ftp
Yahoo :

^(ymsg|ypns|yhoo).?.?.?.?.?.?.?[lwt].*\xc0\x80
Taufik Hidayat
RegEx Patern Resourse
Pattern libraries can be found on:
http://protocolinfo.org/wiki/Main_Page
http://l7-filter.sourceforge.net/protocols
Script for Mikrotik with common programs list:
www.mikrotik.com/download/l7-protos.rsc

Taufik Hidayat
L7 RegEx on Mikrotik
Taufik Hidayat
L7 for Firewall or Mangle
Taufik Hidayat
[LAB-1] Block Yahoo Msg
Taufik Hidayat
[LAB-2] Limit Traffic Video
http Video RegEx :
http/(0\.9|1\.0|1\.1)[\x09-\x0d ][1-5][0-9][0-9][\x09-\x0d

-~]*(content-type: video)
Taufik Hidayat
L7 - Video Mangle

.mikrotik.co.id
L7 - Video Queue
Taufik Hidayat
L7 - Conclusion
Keuntungan :
Memperkaya kemampuan firewall

Meningkatkan Keakurasian
firewall
Mampu paket walau menggunakan
membedakan
port yang sama
Konsekuensi :
CPU load tinggi

Haus RAM
Masih belum mengenali traffic yang terenkripsi

bisa
Taufik Hidayat
QoS
Mikrotik Training
Organized by: Hyper
Media Taufik Hidayat
Materi QoS
Konsep Dasar QoS
Queue Type
Parent Queue
HTB
Burst Calculation
Implementasi Simple Queue
Implementasi Queue Tree
Taufik Hidayat
Quality of Service
QoS tidak selalu berarti pembatasan bandwidth
Adalah cara yang digunakan untuk mengatur
penggunaan bandwidth yang ada secara rasional.

QoS tidak selalu berarti pembatasan bandwidth,
Qos bisa digunakan juga untuk mengatur prioritas

berdasarkan parameter yang diberikan,
menghindari
terjadinya trafik yang memonopoli seluruh bandwidth
yang tersedia.
Taufik Hidayat
Queue Disciplines
Queuing disciplines dapat dibedakan menjadi
2:
Scheduler queues

Mengatur packet flow, sesuai dengan jumlah paket
data yang menunggu di antrian, dan bukan melimit
kecepatan data rate.

Shaper queues
Mengontrol kecepatan date rate.
Taufik Hidayat
Shaper
Mbps
2
detik
5 10 15 20
kelebih
kelebihan data-rate
2 aka
akan didrop
detik
5 10 15 20
Taufik Hidayat
Scheduler
Mbps
2
detik
5 10 15 20
kelebihan data-rate
2 akan di antri
detik
5 10 15 20
Taufik Hidayat
Queue Kinds
Scheduler queues:
BFIFO (Bytes First-In First-Out)
PFIFO (Packets First-In First-Out)
MQ-PFIFO (Multi Queue Packets First-In First-Out)
RED (Random Early Detect)
SFQ (StochasticFairness Queuing)
Shaper queues:
PCQ (Per Connection Queue)
HTB (Hierarchical Token Bucket)
You can configure queue properties in /queue type
Taufik Hidayat
Queue Kinds
Kita dapat mengatur tipe queue pada /queue
type
Taufik Hidayat
FIFO (First In First Out)
PFIFO dan BFIFO keduanya menggunakan algoritma FIFO,
dengan buffer yang kecil.
FIFO tidak mengubah urutan paket data, hanya menahan
dan menyalurkan bila sudah memungkinkan.

Jika buffer penuh maka paket data akan di drop
FIFO baik digunakan bila jalur data tidak congested
Parameter pfifo-limit dan bfifo-limit menentukan jumlah data
yang bisa diantrikan di buffer
MQ-FIFO adalah sebuah mekanisme fifo yang dikhususkan

pada system hardware yang sudah SMP (multi core
processor) dan harus pada interface yang support multiple
transmit queues.
Taufik Hidayat
Skema FIFO
Paket disalurkan sesuai

Flow 1 yang datang duluan
ke
Flow 2 interface
Flow 3
Flow 4
Jika penuh
akan di drop
Taufik Hidayat
RED (Random Early Detect)
RED tidak melimit kecepatan, tetapi bila buffer sudah penuh,

maka secara tidak langsung akan menyeimbangkan data rate
setiap user.
Saat ukuran queue rata-rata mencapai min-threshold, RED secara
random akan memilih paket data untuk di drop
Saat ukuran queue rata-rata mencapai max-threshold, paket data

akan di drop
Jika ukuran queue sebenarnya (bukan rata-ratanya) jauh lebih
besar dari red-max-threshold,
RED digunakan jika kita memilikimaka
trafiksemua paket yangSangat
yang congested. melebihi
red-limit
sesuai akan
untuk didrop.
trafik TCP, tetapi kurang baik digunakan untuk trafik
UDP.
Taufik Hidayat
Logika RED
Antrian
A < MinThreshold Paket
Hitung rendah
Rata-rata Kalkulasi
A > MinThreshold Kemungkinan
Panjang
A < MaxThreshold Drop
Queue
(A) tinggi
Drop
A > MaxThreshold Paket
Taufik Hidayat
Skema RED
Flow 1
ke
Flow 2 interface
Flow 3
Flow 4
Secara random
akan di drop
Taufik Hidayat
SFQ (Stochastic Fairness Queuing)
SFQ sama sekali tidak dapat melimit trafik. Fungsi
utamanya adalah menyeimbangkan flow trafik jika link

telah benar-benar penuh.
Dapat digunakan untuk TCP maupun UDP.
SFQ menggunakan metoda hasing dan round robin.
Total SFQ queue terdiri dari 128 paket.
Algoritma hasing dapat membagi trafik menjadi 1024 sub

queue, dan jika terdapat lebih maka akan dilewati.
ulang
Algoritma round robin akan melakukan queue sejumlah
bandwidth (allot) dari setiap queue.
Taufik Hidayat
Skema SFQ
Setelah Perturb detik algoritma hasing
akan berganti dan membagi session trafik
queue lainnya dengan Allot besar packet
ke sub-
Flow 1 ke
Flow 2 interface
Flow 3
Flow 4
Algoritma
Hashing sub-queue Algoritma
Round
Robin
Taufik Hidayat
PCQ (Per Connection Queue)
PCQ dibuat sebagai penyempurnaan SFQ.
PCQ tidak membatasi jumlah sub-queue
PCQ membutuhkan memori yang cukup besar
Taufik Hidayat
Setting PCQ
PCQ akan membuat sub-queue, berdasarkan parameter
pcq-classifier, yaitu: src-address, dst-address, src-port,

dst-port
Dimungkinkan untuk membatasi maksimal data rate untuk
setiap sub-queue (pcq-rate) dan jumlah paket data (pcq-

limit)
Total ukuran queue pada PCQ-sub-queue tidak bisa

melebihi jumlah paket sesuai pcq-total-limit
Taufik Hidayat
Skema PCQ
Algoritma
pcq-clasifier Round
src-address sub-queue Robin
SRC-ADDRESS=10.0.0.1
Flow 1 ke
Flow 2 SRC-ADDRESS=10.0.0.4 interface
Flow 3 SRC-ADDRESS=10.0.0.5
Flow 4
Taufik Hidayat
PCQ in Action (1)
Pcq-
rate=128000 2 users 4 users 7 users
73k
128k
73k
128k 73k
queue=pcq-down
73k
max-limit=512k
128k 128k 73k
73k
128k 128k
73k
Taufik Hidayat
PCQ in Action (2)
Pcq-
rate=0 1 user 2 users 7 users
73k
73k
256k
73k
queue=pcq-down
512k 73k
max-limit=512k
73k
256k 73k
73k
Taufik Hidayat
Burst
Burst adalah salah satu cara menjalankan QoS
Burst memungkinkan penggunaan data-rate yang
melebihi max-limit untuk periode waktu tertentu
Jika data rate lebih kecil dari burst-threshold,

burst dapat dilakukan hingga data-rate
mencapai burst-limit
Setiap detik, router mengkalkulasi data rate rata-rata
Burst time tidak
pada suatu kelassama
queuedengan waktu yang
untuk periode diijinkan
waktu terakhir
untuk
sesuaimelakukan burst.
dengan burst-time
Taufik Hidayat
Contoh Burst (1)
Limit-at=128kbps, max-limit=256kbps, burst-time=8,

burst-threshold=192kbps, burst-limit=512kbps.
Rate(kbps) Actual Rate

512 Burst-limit
Average Rate
384
256 Max-limit
192 Burst-Threshold
128 Limit-at
0 5 10 15 20 time(s)
Taufik Hidayat
Contoh Burst (1)
Pada awalnya, data rate rata-rata dalam 8 detik terakhir adalah 0
kbps. Karena data rate rata-rata ini lebih kecil dari burst-threshold,
maka burst dapat dilakukan.
Setelah 1 detik, data rate rata-rata adalah
(0+0+0+0+0+0+0+512)/8=64kbps, masih lebih kecil dari burst-

threshold. Burst dapat dilakukan.
Demikian pula untuk detik kedua, data rate rata-rata adalah
(0+0+0+0+0+0+512+512)/8=128kbps.
Setelah 3 detik, tibalah pada saat di mana data rate rata-rata lebih
besar dari burst-threshold. Burst tidak dapat lagi dilakukan, dan

data rate turun menjadi max-limit (256kbps).
Contoh Burst (2)
Taufik Hidayat
PCQ - Burst
Di versi 5.x pada queue-type PCQ terdapat fitur

baru yaitu PCQ-Burst yang memungkinkan
mengimplementasikan Burst di substream
(sub-
queue).
Parameter PCQ-Rate digunakan sebagai
Logika kalkulasi
pengganti burt di
parameter PCQ-burst
Max-limit masih sama
di perhitungan
dengan fungsi Burst yang ada di queue.

PCQ-Burst.
Taufik Hidayat
PCQ - Burst
Di Versi 5.x juga sudah ditambahkan fitur baru

yaitu Address-mask pada PCQ.
Parameter ini memungkinkan untuk grouping

beberapa ip client di dalam satu substream-
queue
Address-mask juga berguna jika PCQ ingin
digunakan sebagai limiter di IPv6.
Taufik Hidayat
[LAB-1] PCQ Burst Calculation
Cobalah bermain dengan
parameter burst untuk
mendapatkan konfigurasi
burst yang nyaman untuk
seorang client yang ada di
dalam PCQ-substream.
Taufik Hidayat
Posisi Queue
Queue pada RouterOS dilakukan pada parent:
Interface
Virtual:
Global In
Global Out
Global Total
Simple-Queue tidak bisa melakukan queue
pada parent interface sehingga secara otomatis

menggunakan Virtual Interface.
Taufik Hidayat
Simple Packet Flow
FORWARD
PRE POST
ROUTING ROUTING
OUTPUT
FILTER QUEUE
INPUT
MANGLE MANGLE
MANGLE SRC-NAT
INPUT OUTPUT
PREROUTING

TRACKING
Taufik Hidayat
Penggunaan Mangle
Parameter mangle yang digunakan adalah
packet-mark
Khusus untuk global-in mangle harus
dilakukan pada chain prerouting
Taufik Hidayat
HTB (Hierarchical Token Bucket)
HTB adalah classful queuing discipline yang dapat
digunakan untuk mengaplikasikan handling yang

berbeda untuk beberapa jenis trafik.
Secara umum, kita hanya dapat membuat 1 tipe

queue untuk setiap interface. Namun dengan
HTB di RouterOS, kita dapat mengaplikasikan
properti yang berbeda-beda.
HTB dapat melakukan prioritas untuk grup yang
berbeda.
Taufik Hidayat
Skema Hirarki pada HTB
Level0 Level1 Level2
POP3
Flow 1 HTTP ke
Flow 2 interface
HTTP
Flow 3 &FTP
LOCAL
Flow 4
FTP
FILTER
Taufik Hidayat
HTB States
hijau
Posisi di mana data-rate lebih kecil dari limit-at.

Nilai limit-at pada kelas tersebut akan dilihat terlebih dahulu daripada parent
classnya.
Contoh, sebuah class memiliki limit-at 512k, dan parent-nya memiliki limit-at
128k. Maka class tersebut akan selalu mendapatkan data-rate 512k.

kuning
Posisi di mana data-rate lebih besar dari limit-at, namun lebih kecil dari max-
limit.
Diijinkan atau tidaknya penambahan trafik bergantung pada :
posisi parent, jika prioritas class sama dengan parentnya dan parentnya dalam posisi
kuning

Posisi
posisi classdata-rate
di mana itu sendiri,sudah
jika parent sudahmax-limit.
melebihi berstatus kuning.
merah

Tidak dapat lagi meminjam dari parentnya.

Taufik Hidayat
Staged Limitation
Pada RouterOS, dikenal 2 buah limit:
CIR (Committed Information Rate)

dalam keadaan terburuk, client akan mendapatkan
bandwidth sesuai dengan
limit-at (dengan asumsi bandwidth yang tersedia
cukup untuk CIR semua client)

MIR (Maximal Information Rate)
jika masih ada bandwidth yang tersisa setelah semua
client mencapai limit-at, maka client bisa
mendapatkan bandwidth tambahan hingga max-
limit
Taufik Hidayat
Struktur HTB
Setiap queue bisa menjadi parent untuk queue
lainnya
Semua child queue (tidak peduli berapa banyak
level parentnya) akan berada pada level HTB

yang sama (paling bawah)
Semua Child queue akan mendapatkan trafik
sekurang-kurangnya sebesar limit-at
Taufik Hidayat
Parent & Dual Limitation (1)
Max-limit child harus kurang atau sama dengan
max-limit parentnya :
max-limit(parent)>= max-limit(child1)
max-limit(parent)>= max-limit (child2)
max-limit(parent)>= max-limit (childN)
Jika max-limit child lebih besar dari max-limit parent,
maka child tidak akan pernah mendapatkan trafik

sebesar max-limit child.
Taufik Hidayat
Parent & Dual Limitation (2)
Max-limit parent harus lebih besar atau sama
dengan jumlah limit-at clientnya

max-limit(parent) >= limit-at(child1) + .... + limit-at(child*)
Contoh :
queue1 limit-at=512k parent=parent1


max-limit parent1 sekurang-kurangnya (512k*3), jika

kurang, maka max-limit akan bocor
Taufik Hidayat
Tips
Rule untuk parent paling atas, hanya
membutuhkan max-limit, tidak membutuhkan

limit-at dan priority
Priority hanya bekerja pada child paling bawah
Priority hanya berfungsi (diperhitungkan) untuk

meminjam bandwith yang tersisa dari parent
setelah semua queue child mendapatkan limit-
at nya.
Taufik Hidayat
HTB Distribution (1)
Name: A
Parent: interface
Max-limit: 4mbps
Name: B Name: C
Parent: A Parent: A
Limit-at: Limit-at:
2mbps 2mbps
Max-limit: Max-limit:
4mbps2mbps 4mbps2mbps
Jika semua menggunakan internet sebanyak-banyaknya, maka :
B dan C masing-masing akan mendapatkan 2mbps.
Jika C tidak menggunakan internet, maka B akan mendapatkan 4mbps.
Taufik Hidayat
Name: A
Parent: interface
Max-limit: 2mbps
Name: B Name: C
Parent: A Parent: A
Limit-at: Limit-at:
2mbps 2mbps
Max-limit: Max-limit:
4mbps2mbps 4mbps2mbps
Meskipun max-limit A hanya 2mbps, tetapi B dan C masing-masing akan tetap
mendapatkan 2 mbps. Max Limit parent harus >= total limit-at client.
Jika B tidak menggunakan internet, C tetap hanya mendapatkan 2mbps,
tidak bisa naik ke 4 mbps
Taufik Hidayat
Name: A
Parent: interface
Max-limit: 5mbps
Name: B Name: C
Parent: A Parent: A
Limit-at: 2mbps Limit-at: 2mbps
Max-limit: 4mbps Max-limit: 4mbps
Priority: 1 Priority: 8
3mbps 2mbps
B memiliki prioritas (1) lebih tinggi dari pada C (8).
Taufik Hidayat
Name: A
Parent: interface
Max-limit: 6mbps
4mbps
Name: C
Parent: A
Limit-at:
2mbps
Max-limit:
4mbps
Name: B Name: C1 Name: C2
Parent: A Parent: C Parent: C
Limit-at: Limit-at: 2mbps Limit-at: 2mbps
2mbps Max-limit: 4mbps Max-limit: 4mbps
Max-limit:
4mbps2mbps 2mbps 2mbps
Client B, C1 dan C2, masing-masing akan mendapatkan 2mbps,

sesuai dengan limit-at nya masing-masing
Taufik Hidayat
Name: A
Parent: interface
Max-limit: 6mbps
4mbps
Name: C
Parent: A
Limit-at:
4mbps
Max-limit:
4mbps
Limit-at: Limit-at: 1mbps Limit-at: 1mbps
2mbps Max-limit: 2mbps Max-limit: 2mbps
Max-limit:
4mbps2mbps 2mbps 2mbps
C1 dan C2 bisa naik hingga max-limit, karena parentnya (C) memiliki limit-at
hingga 4mbps.
Taufik Hidayat
Name: A
Parent: interface
Max-limit: 8mbps
4mbps
Name: C
Parent: A
Limit-at:
4mbps
Max-limit:
6mbps
Limit-at: 2mbps Limit-at: 2mbps Limit-at: 2mbps
Max-limit: 4mbps Max-limit: 3mbps Max-limit: 3mbps
Priority: 1 Priority: 4 Priority: 8
4mbps 2mbps 2mbps

Pada saat semua limit-at sudah tercapai, sisa kapasitas akan dibagikan
berdasarkan prioritas.
Taufik Hidayat
Name: A
Parent: interface
Max-limit: 8mbps
4mbps
Name: C
Parent: A
Limit-at: 4mbps
Max-limit: 6mbps
Priority: 1

Limit-at: 2mbps Limit-at: 2mbps Limit-at: 2mbps
Max-limit: 4mbps Max-limit: 3mbps Max-limit: 3mbps
Priority: 2 Priority: 4 Priority: 8
4mbps 2mbps 2mbps
Priority pada parent (rule yang bukan level 0) tidak berpengaruh.

Taufik Hidayat
Name: A
Parent: interface
Max-limit: 10mbps
4mbps 6mbps
Name: B Name: C
Parent: A
Parent: A
Limit-at: 2mbps Limit-at:
4mbps
Max-limit: 4mbps Max-limit:
6mbps
Name: B1 Name: B2 Name: C1 Name: C2 Name: C3
Parent: B Parent: B Parent: C Parent: C Parent: C
Limit-at: 2mbps Limit-at: 2mbps Limit-at: 2mbps Limit-at: 2mbps Limit-at: 2mbps
Max-limit: 3mbps Max-limit: 3mbps Max-limit: 3mbps Max-limit: 3mbps Max-limit: 3mbps
Priority: 8 Priority: 8 Priority: 8 Priority: 8 Priority: 8
2mbps 2mbps 2mbps 2mbps 2mbps
Semua child akan mendapatkan trafik 2mbps

Name: A
Parent: interface
Max-limit: 8mbps
2mbps 6mbps
Name: B Name: C
Parent: A
Parent: A
Max-limit: 6mbps
Max-limit: 4mbps

C1, C2, C3 mendapatkan 2mbps karena priority-nya lebih tinggi dari B1 dan B2
Taufik Hidayat
Name: A
Parent: interface
Max-limit: 8mbps
4mbps 4mbps
Name: B Name: C
Parent: A
Parent: A
Max-limit: 6mbps
Max-limit: 4mbps

Queue-B akan mendapatkan 4mbps karena limit-at nya.

C1 > C2 dan C1 > C3 karena priority-nya
Name: A
Parent: interface
Max-limit: 8mbps
3,2mbps 4,8mbps
Name: B Name: C
Parent: A
Parent: A
Max-limit: 6mbps
Max-limit: 4mbps

1,6mbps 1,6mbps 1,6mbps 1,6mbps 1,6mbps
Bandwidth dibagi rata ke semua child karena priority-nya sama

Taufik Hidayat
[LAB-2] HTB Implementation
Silahkan lakukan pengecekan dan percobaan
untuk contoh-contoh HTB di halaman sebelumnya.
Tambahkan ip local network di Laptop untuk simulasi
client
Gunakan bandwithtestuntuk simulasi trafficnya
Taufik Hidayat
Simple Queue
Simple queue is not simple anymore

Taufik Hidayat
Simple Queue
Hanya bisa menggunakan parent Global-in dan
global-out (dan global-total)

Dalam satu rule, bisa langsung melimit trafik
up, down, dan total
Bisa menggunakan target address, atau

menunjuk interface tempat client terkoneksi
Bisa menggunakan lebih dari satu packet-mark
Bisa menggunakan parameter waktu
Taufik Hidayat
Target Address
Target address adalah IP Address yang ingin dilimit.
Untuk 1 rule simple queue, kita bisa menentukan lebih
dari 1 target address
Router akan mengkalkulasi di interface mana

terkoneksinya target address
Jika kita menentukan target address, biasanya kita tidak
perlu menentukan interface
Taufik Hidayat
Interface
Interface adalah interface terkoneksinya client.
Kita perlu menentukan interface apabila kita

tidak menyebutkan target address.
Taufik Hidayat
[LAB-3] Simple Queue
Lanjutkanlah membuat simple queue untuk
LAB yang telah kita lakukan pada materi

Firewall Dual gateway dengan internal proxy
Buatlah simple queue untuk trafik direct, miss,
dan hit
Taufik Hidayat
Proxy dan Dual Gateway
ROUTER
DST
DST-NAT
2 SRC-NAT INTERNA-
TCP 80 Int
SIONAL
1
6
PROXY ern
5 et
4
Inte
IIX
3
rnet
1 Direct IIX 3 MISS IIX 5 MISS Intl
2 Direct Intl 4 HIT IIX 6 HIT Intl
Taufik Hidayat
Simple Queue
Simple Queue
0 name="queue-client1-254-iix" target-
addresses=192.168.0.254/32 packet-marks=packet-
1 iix
max-limit=64000/64000
name="queue-client1-254-iix-hit" target-
2 addresses=192.168.0.254/32 packet-marks=packet-
iix-
hit max-limit=256000/256000
3
name="queue-client1-254-intl" target-
addresses=192.168.0.254/32 packet-marks=packet-
intl
max-limit=16000/16000
name="queue-client1-254-intl-hit" target- Taufik Hidayat
Queue Tree
Konfigurasi queue tree jauh

lebih sederhana daripada
simple queue.
Keunggulan queue tree,

kita bisa memilih untuk
menggunakan interface
queue.
Tetapi bisa menjadi lebih

kompleks karena harus
menggunakan Mangle.
Taufik Hidayat
[LAB-4] Queue Tree
Lanjutkanlah membuat queue tree untuk
mengatur prioritas trafik, melanjutkan yang

sudah dilakukan pada LAB di materi Firewall.
Lakukanlah Dual Limitasi (prioritas trafik dan
juga melimit koneksi user)
Taufik Hidayat
Simple Packet Flow
FORWARD
MANGLE FILTER
Mangle ClieRDECISION
nOtU(T3I FORWARD FORWARD
PRE POST
ROUTING ROUTING
N G OUTPUT
)
QUEUE MANGLE
GLOBAL-IN Queue Prioritas ( FILTER
OUTPUT POSTROUTING
2)
ROUTING QUEUE
DST-NAT OueueADCJUliSeTnMt GLOBAL-OUT
INPUT
MANGLE (4 ) MANGLE
MANGLE Ma n g
MaININnPPgUUTl
le
Prioritas
EN T
(1) OUTPUT
SRC-NAT
PREROUTING
e
Pri
le
T FILTER CONNECTION HTB
TRACKING
Taufik Hidayat
Mangle Client - 1
chain=forward action=mark-connection new-
6 connection-mark=conn-client1 passthrough=yes src-
address=192.168.5.1-192.168.5.100
chain=forward action=mark-packet new-packet-
7 mark=packet-client1-upload passthrough=no out-
interface=wlan1 connection-mark=conn-client1
8 mark=packet-client1-download passthrough=no out-
interface=ether1 connection-mark=conn-client1
Taufik Hidayat
Mangle Client - 2
9 connection-mark=conn-client2 passthrough=yes src-
address=192.168.5.101-192.168.5.254
10mark=packet-client2-upload passthrough=no out-
11mark=packet-client2-download passthrough=no out-
Taufik Hidayat
Mangle Client - 3
12connection-mark=conn-client3 passthrough=yes src-
address=10.5.50.0/24
13mark=packet-client3-upload passthrough=no out-
14mark=packet-client3-download passthrough=no out-
Taufik Hidayat
Queue-tree
Taufik Hidayat
Mikrotik Training
Traffic Control
(LAB Session)
Mikrotik Training
Taufik Hidayat
KONSEP
Lab Praktek ini dibuat berkelompok, dengan
memanfaatkan 4 router dan 4 Peserta.

Tiap kelompok membuat konfigurasi beberapa
router sehingga lengkap menjadi sebuah

sistem kerja ISP yang sudah
mengimplementasikan Materi Traffic Control.
Taufik Hidayat
Network Topology
ISP 1 R1
SSID: training Wlan1 ISP 2
SSID: training2
Wlan2
Ether 3
Ether 2
R3 R2
Ether 3
Ether 2
Keterangan :
AP Wlan2
R1 Router
Wlan2 Backbone
R2 Router BM
R4
LAN Ether 2 R3 Router Proxy
R4 Router Distribusi
00-277 Mikrotik Indonesia http://www 3/6/12
.mikrotik.co.id
R1 Router Backbone
SSID: training2
ISP 1 Router R1 sebagai Router
SSID: training SP 2
backbone terkoneksi dengan
ISP
2 ISP menggunakan
Wlan1
10.20.20.X/24 wireless.
Wlan2

10.10.10.X/24 Konfigurasi LoadBalance ke
kedua ISP menggunakan
metode PCC.

R1
Aktifkan NAT untuk semua
Ether 3
10.Y.1.1/24

koneksi internet.
10.Y.1.2/24
Ether 2 Gunakan routing untuk
R2
interkoneksi seluruh network
kelompok.
Taufik Hidayat
R2 Router BM
R1
Router R2 adalah sebagai
Ether 3

Router Bandwith Management.
10.Y.1.2/24 Ether 2
Konfigurasi routing untuk

interkoneksi seluruh network
10.Y.2.1/24
R3 Ether 3

kelompok.
R2
Ether 2 Pisahkan bandwith Internet
10.Y.2.2/24 AP Wlan2 dan IIX secara Merata untuk

10.Y.3.1/24 semua traffic (proxy dan
SSID: kelompokY client).
Wlan2 Gunakan mark rotuing untuk
10.Y.3.2/24
R4

membelokkan traffic web ke
proxy.
Mikrotik Indonesia http://www Taufik Hidayat
.mikrotik.co.id Bypass khusus traffic HIT dari
R3 Router Proxy
Router R3 adalah sebagai

Router Proxy.

Aktifkan proxy dan juga
R3 fungsi cache untuk
Ether 2
10.Y.2.1/24
Ether 3 R2
menyimpan object dari
Ether 2 website.

10.Y.2.2/2
4
Gunakan semua filter
(proxy / firewall / DNS)
untuk melakukan block
website yang
dengan pornografi.
berhubungan
Taufik Hidayat
R4 Router Distribusi
R2
Router R4 adalah
AP Wlan2 sebagai Router Distribusi.

SSID: kelompokY
Konfigurasi bandwith
10.Y.3.2/24 merata di semua client
Wlan2
172.16.Y.0/24 berdasarkan protocol :
TCP

UDP
Ether 2
172.16.Y.1/24

ICMP
LAN R4
Pastikan koneksi internet
client (LAN) tidak bisa
menggunakan free proxy
contohnya menggunakan Taufik Hidayat
Selamat
!
Mengerjakan

Traing Miktrotik

Uploaded by

Copyright:

Available Formats

Traing Miktrotik

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Traing Miktrotik

Uploaded by

Copyright:

Available Formats

Mikrotik Training

Statc Route L7 Filter

00-2 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

ETHER1 ETHER1 ETHER1

ETHERNET PORT ETHERNET PORT ETHERNET PORT

MEJA 1 MEJA 2 MEJA X

Services: Src-NAT and DNS

01-3 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-6 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-7 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-8 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-9 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-11 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

Contoh Implementasi Static Route,

01-12 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

dengan IP yang terpasang pada salah satu interface

(DAC) Dst-addr= 10.10.0.0/24

01-17 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

Destination Gateway Distance Prioritas

01-18 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-19 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

Router Meja X Router Meja X

01-20 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-21 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-27 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-29 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-30 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

Dst-Address Gateway Scope Target Scope

01-31 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-32 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

192.168.2.0/24 172.16.Y.2 ping 1 30 10

192.168.7.0/24 172.16.Y.4 ping 1 30 10

192.168.8.0/24 172.16.Y.6 ping 1 30 30

01-33 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-34 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-35 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

Memblok dengan diam-diam

Memblok dan mengirimkan pesan error ICMP

administratively prohibited (type 3 code 13)

01-37 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-39 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-40 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-41 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-42 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-43 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-44 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-45 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-46 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-47 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-48 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-49 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-60 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

01-63 24-Jun-15 http://www.hypermedia.net.id Taufik Hidayat

Tunnel adalah sebuah metode penyelubungan

mengalami sedikit pengubahan atau modifikasi. Yaitu

(ujung) tunnel, maka header dari paket data akan

Point 1 tunnel Point 2

IP Address: 10.0.0.0/24 IP Address: 20.1.1.0/24

Point to point network encalsulation