Tuesday, 10 January 2017

Lab. 12 Superlab Mikrotik


Assalamualaikum,

Pada kali ini kembali saya akan share mengenai superlab yang saya buat sendiri, dan akan ada beberapa materi yang nantinya akan dibahas di dalam superlab ini yaitu :
  1. Firewall NAT
  2. Firewall FIlter
  3. Layer7Protocol 
  4. Static Route
  5.  EoIP Tunnel 
  6. Bonding Interface 
  7. Simple Queue
  8. Address-List
 Dan topologi yang akan digunakan adalah sebagai berikut.

Lalu tujuan dari setiap materi tersebut adalah.
  1. Mengkoneksikan PC ke internet
  2. Membuat jaringan fail over
  3. Melimit bandwith dari ISP untuk diberikan ke client
  4. Filter situs HTTPS menggunakan layer7protocol
  5. Menghubungkan jaringan yang berbeda dengan EoIP
Konfigurasi

Buat interface bonding terlebih dahulu pada router, lalu tambahkan ip address. 
[admin@ISP] > /interface bonding
add arp=enabled  arp-ip-targets=1.1.1.2  link-monitoring=arp  name=bonding1 slaves=ether2,ether3
add arp=enabled  arp-ip-targets=2.2.2.2 name=bonding2 slaves=ether4,ether5
[admin@R1] > /interface bonding
add arp=enabled arp-ip-targets=1.1.1.1 disabled=no link-monitoring=arp name=bonding1 slaves=ether2,ether3
[admin@R2] > /interface bonding
add arp=enabled arp-ip-targets=2.2.2.1 disabled=no link-monitoring=arp name=bonding1 slaves=ether4,ether5
Setelah itu tambahkan ip address pada setiap interface yang ada. 
[admin@ISP] > /ip address
add address=19.19.19.13/16 disabled=no interface=ether1 network=19.19.0.0
add address=1.1.1.1/30 disabled=no interface=bonding1 network=1.1.1.0
add address=2.2.2.1/30 disabled=no interface=bonding2 network=2.2.2.0
[admin@R1] > /ip address
add address=1.1.1.2/30 disabled=no interface=bonding1 network=1.1.1.0
add address=172.16.1.1/24 disabled=no interface=ether1 network=172.16.1.0
[admin@R1] > /ip address
add address=1.1.1.2/30 disabled=no interface=bonding1 network=1.1.1.0
add address=172.16.1.1/24 disabled=no interface=ether1 network=172.16.1.0
Jika sudah lakukan verifikasi apakah router sudah saling terhubung atau belum. Pemberian ip address pada interface bonding, akan memungkinkan antar router untuk menggunakan kedua jalur tersebut. Atau dalam artian kecepatan 1 interface, akan digabungkan dengan interface lainnya sehingga memungkinkan kedua tersebut terkoneksi dengan memanfaatkan lebih dari 1 jalur. Dalam hal ini juga dapat dibilang load balancing, namun konsep ini bukan konsep load balancing, hanyalah teknik untuk menggabungkan 2 interface menjadi 1. 

Penggunaan interface bonding juga dapat memungkinkan jaringan tersebut memiliki konsep fail over dimana apabila ada sebuah interface yang down, maka interface lainnya akan menggantikan interface tersebut. 

Setelah itu, tambahkan DNS, firewall nat, dan juga default route agar device terhubung dengan internet. 
[admin@ISP] > /ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=19.19.19.4
[admin@ISP] > /ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=ether1
[admin@ISP] > /ip dns
set allow-remote-requests=yes servers=8.8.8.8
[admin@R1] > /ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=1.1.1.1
[admin@R1] > /ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=bonding1
[admin@R1] > /ip dns
set allow-remote-requests=yes servers=8.8.8.8
Setelah itu tambahkan queue pada ISP agar R1 dan R2 mempunyai kecepatan sendiri untuk menggunakan internet.
 [admin@ISP] > /queue simple
add interface=all max-limit=5M/10M name=queue1 target-addresses=1.1.1.2/32
add interface=all max-limit=20M/30M name=queue2 target-addresses=2.2.2.0/30
Jika sudah, selanjutnya hubungkan kedua network R1 dan R2 menggunakan tunnel. 
[admin@R1] > /interface eoip
add arp=enabled disabled=no name=tunnelR2 remote-address=2.2.2.2 tunnel-id=10
[admin@R2] > /interface eoip
add arp=enabled disabled=no name=tunnelR1 remote-address=1.1.1.2 tunnel-id=10
Setelah itu tambahkan ip address untuk interface tunnel tersebut.
[admin@R1] > /ip address
add address=20.20.20.1/30 disabled=no interface=tunnelR2 network=20.20.20.0
[admin@R2] > /ip address
add address=20.20.20.2/30 disabled=no interface=tunnelR1 network=20.20.20.0
 Lalu lakukan verifikasi apakah interface tunnel tersebut sudah aktif atau belum.
[admin@R1] > ping 20.20.20.2
HOST                                     SIZE TTL TIME  STATUS 
20.20.20.2                                 56  64 32ms
20.20.20.2                                 56  64 6ms 
    sent=2 received=2 packet-loss=0% min-rtt=6ms avg-rtt=19ms max-rtt=32ms
Jika sudah, tambahkan interface bridge dan gabungkan interface tunnel dengan interface yang menuju ke pc.
[admin@R1] > /interface bridge
add disabled=no name=eoip protocol-mode=rstp
[admin@R1] > /interface bridge port
add bridge=eoip disabled=no interface=ether1 p
add bridge=eoip disabled=no interface=tunnelR2
[admin@R2] > /interface bridge
add disabled=no name=eoip protocol-mode=rstp
[admin@R2] > /interface bridge port
add bridge=eoip disabled=no interface=tunnelR1
add bridge=eoip disabled=no interface=ether1
Jangan lupa untuk menambahkan routing dari pada setiap router untuk menggunakan interface tunnel yang sudah dibuat.
[admin@R1] > /ip route
add disabled=no distance=1 dst-address=172.16.2.0/24 gateway=20.20.20.2
[admin@R2] > /ip route
add disabled=no distance=1 dst-address=172.16.1.0/24 gateway=20.20.20.1  
Lalu lakukan traceroute dari R1 untuk menuju ke ip address local R2.
[admin@R1] > tool traceroute 172.16.2.1
 # ADDRESS                                 RT1   RT2   RT3   STATUS  
 1 172.16.2.1                              16ms  4ms   3ms   
Selain itu, coba tambahkan ip address pada PC2, lalu lakukan traceroute kembali.
PC2> ip 172.16.2.2/24 172.16.2.1
Checking for duplicate address...
PC2 : 172.16.2.2 255.255.255.0 gateway 172.16.2.1
[admin@R1] > tool traceroute 172.16.2.2
 # ADDRESS                                 RT1   RT2   RT3   STATUS
 1 20.20.20.2                              9ms   3ms   4ms 
 2 172.16.2.2                              4ms   3ms   2ms  
Maka terlihat bahwa jalur yang digunakan oleh R1 untuk menuju jaringan local R2 adalah jalur tunnel yang tadi sudah kita buat. Jika sudah, tambahkan firewall agar situs facebook tidak dapat diakses oleh client.
[admin@R2] > /ip firewall layer7-protocol
add name=facebook regexp=^.+(facebook.com).*$
[admin@R2] > /ip firewall filter
add action=drop chain=forward disabled=no layer7-protocol=facebook src-address=172.16.2.0/24
 Lalu lakukan verifikasi apakah facebook dapat dibuka atau tidak. Setelah itu, tambahkan rule kembali pada firewall, apabila ada yang melakukan ping yang ditujukan ke router tersebut atau hanya melewati router tersebut, maka address dari pc yang melakukan ping tersebut akan dimasukkan ke address list. Hal ini tentunya sangat mempermudah admin jaringan terutama untuk menambahkan rule yang tidak secara keseluruhan terkena oleh rule tersebut.
[admin@R2] > /ip firewall filter
add action=add-src-to-address-list address-list=ping chain=input disabled=no protocol=icmp src-address=172.16.2.0/24
Setelah itu lakukan verifikasi ping terlebih dahulu dari PC2 menuju ke R2, lalu lihat apakah pc yang melakukan ping tersebut sudah masuk ke dalam address list atau belum.
[admin@R2] > ip firewall address-list pr
Flags: X - disabled, D - dynamic
 #   LIST    ADDRESS                       
 0 D ping   172.16.2.1

Share this