Wednesday, 11 January 2017

Lab. 14 Superlab Mikrotik

Assalamulaikum, 

Pada kali ini kembali saya akan share mengenai superlab yang saya buat sendiri, dan akan ada beberapa materi yang nantinya akan dibahas di dalam superlab ini yaitu :
  1. VLAN
  2. Firewall NAT
  3. PPTP Tunnel 
  4. Hotspot
  5. Walled Garden ip
  6. IP Binding
Dan topology yang akan kita gunakan adalah sebagai berikut.
Dari topologi seperti itu, maka tujuan yang akan kita dapatkan adalah seperti berikut.
  1. Menghubungkan PC ke internet
  2. Management lan menggunakan VLAN
  3. Menghubungkan 2 jaringan menggunakan tunnel 
  4. Login hotspot untuk mengakses internet
  5. Memperbolehkan membuka sebuah website tanpa login hotspot
  6. Memblokir hak akses hotspot 
  7. Mempebolehkan mengakses internet tanpa login hotspot
 Konfigurasi

 Tambahkan ip adress terlebih dahulu kepada setiap router yang ada sesuai dengan topologi diatas.
[admin@ISP] > /ip address
add address=1.1.1.1/30 disabled=no interface=ether2 network=1.1.1.0
add address=19.19.19.13/28 disabled=no interface=ether1 network=19.19.19.0
add address=2.2.2.1/30 disabled=no interface=ether3 network=2.2.2.0
[admin@R1] > /ip address
add address=1.1.1.2/30 disabled=no interface=ether1 network=1.1.1.0
add address=50.50.50.1/24 disabled=no interface=bridge1 network=50.50.50.0
[admin@R2] > /ip address
add address=2.2.2.2/30 disabled=no interface=ether1 network=2.2.2.0
add address=3.3.3.1/30 disabled=no interface=ether2 network=3.3.3.0
[admin@R3] > /ip address
add address=3.3.3.2/30 disabled=no interface=ether1 network=3.3.3.0
 Lalu sesuai dengan skenario diatas bahwa nantinya akan dibuat VLAN untuk jaringan local R3, maka buat interface vlan terlebih dahulu pada R3.
[admin@R3] > /interface vlan
add disabled=no interface=ether2 name=vlan10 vlan-id=10
add disabled=no interface=ether2 name=vlan20 vlan-id=20
add disabled=no interface=ether3 name=vlan30 vlan-id=30
add disabled=no interface=ether3 name=vlan40 vlan-id=40
Setelah itu tambahkan ip address kepada setiap VLAN tersebut agar setiap VLAN jika ingin berkomunikasi dengan VLAN lainnya memiliki gateway untuk menuju VLAN lainnya.
[admin@R3] > /ip address
add address=10.10.10.1/30 disabled=no interface=vlan10 network=10.10.10.0
add address=20.20.20.1/30 disabled=no interface=vlan20 network=20.20.20.0
add address=30.30.30.1/30 disabled=no interface=vlan30 network=30.30.30.0
add address=40.40.40.1/30 disabled=no interface=vlan40 network=40.40.40.0
Lalu konfigurasi switch. Switch yang ada di gns3 add address=3.3.3.2/30 disabled=no interface=ether1 network=3.3.3.0merupakan manageable switch, jadi anda dapat melakukan konfigurasi pada switch tersebut.

SW-IDN1


SW-IDN2
 

 Jika sudah, lakukan verifikasi bahwa antar VLAN dapat melakukan ping. Setelah itu, buat PPTP Tunnel antar R1 dan R2.
[admin@R1] > /interface pptp-server server
set enabled=yes
[admin@R1] > /ppp secret
add disabled=no local-address=100.100.100.1 name=idn password=123 profile=default remote-address=100.100.100.2 service=pptp
[admin@R2] > /interface pptp-client
add connect-to=1.1.1.2 disabled=no name=pptp password=123  user=idn
Setelah itu verifikasi apakah sudah ada ip address dynamic yang masuk ke R2 dan R1.
[admin@R2] > ip address pr
Flags: X - disabled, I - invalid, D - dynamic
 #   ADDRESS                 NETWORK         INTERFACE               
 0   2.2.2.2/30                  2.2.2.0                ether1         
 1   3.3.3.1/30                  3.3.3.0                ether2    
 2 D 100.100.100.2/32   100.100.100.1   pptp 
 [admin@R1] > ip address pr
Flags: X - disabled, I - invalid, D - dynamic
 #   ADDRESS                 NETWORK         INTERFACE 
 0   1.1.1.2/30                  1.1.1.0                ether1
 1   50.50.50.1/24           50.50.50.0          bridge1
 2 D 100.100.100.1/32   100.100.100.2   <pptp-idn>
Jika sudah, selanjutnya adalah menambah routing static pada R1 untuk menuju network yang ada di R2, dan begitupun sebaliknya.
[admin@R1] > /ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=1.1.1.1 add disabled=no distance=1 dst-address=3.3.3.0/30 gateway=100.100.100.2
add disabled=no distance=1 dst-address=10.10.10.0/30 gateway=100.100.100.2
add disabled=no distance=1 dst-address=20.20.20.0/30 gateway=100.100.100.2
add disabled=no distance=1 dst-address=30.30.30.0/30 gateway=100.100.100.2
add disabled=no distance=1 dst-address=40.40.40.0/30 gateway=100.100.100.2
[admin@R2] > /ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=2.2.2.1 add disabled=no distance=1 dst-address=10.10.10.0/30 gateway=3.3.3.2
add disabled=no distance=1 dst-address=20.20.20.0/30 gateway=3.3.3.2
add disabled=no distance=1 dst-address=30.30.30.0/30 gateway=3.3.3.2
add disabled=no distance=1 dst-address=40.40.40.0/30 gateway=3.3.3.2
add disabled=no distance=1 dst-address=50.50.50.0/30 gateway=100.100.100.1
 Lalu lakukan verifikasi R1 dapat melakukan ping ke jaringan local R2, dan sebaliknya. Jika sudah, lanjut ke skenario selanjutnya yaitu adalah hotspot. Pada penggunaan hotspot, pada kali ini saya akan menggunakan ip static pada client, bukan menggunakan ip dhcp yang dibuat pada hotspot.
[admin@R1] > /ip hotspot profile
add dns-name=login.idn.id hotspot-address=50.50.50.1 login-by=http-chap,https name=hsprof1 ssl-certificate=none
[admin@R1] > /ip hotspot
add disabled=no interface=bridge1 name=hotspot1 profile=hsprof1
[admin@R1] > /ip hotspot user
add disabled=no name=idn password=123 profile=default server=hotspot1
 Setelah itu cek apakah sudah bisa atau belum.


 Jika sudah, kita akan menambahkan rule untuk hotspot tersebut yaitu fitur walled garden. Walled garden merupakan fitur yang ada di dalam hotspot mikrotik dimana sebuah PC akan dapat mengakses sebuah website tanpa adanya login hotspot. Jadi apabila sebuah PC ingin mengakses sebuah website yang sudah diizinkan oleh mikrotik menggunakan walled garden, maka website yang dituju akan terbuka. Namun website yang dapat dituju, hanya yang diperbolehkan pada konfigurasi walled garden.
[admin@R1] > /ip hotspot walled-garden ip
add action=accept disabled=no dst-host=detik.com server=hotspot1
Setelah itu akses website tersebut pada client.


Selanjutnya tambahkan rule bahwa hanya address 50.50.50.2 yang dapat mengakses internet secara langsung tanpa login, dan address 50.50.50.3 tidak diperkenankan untuk mengakses internet, dan tidak diperkenankan untuk login.
[admin@R1] > /ip hotspot ip-binding
add address=50.50.50.2 disabled=no server=hotspot1 type=bypassed
add address=50.50.50.3 disabled=no server=hotspot1 type=blocked
 type bypassed akan mengizinkan sebuah PC untuk mengakses internet tanpa diperlukan login ke hotspot tersebut. Dan type blocked tidak akan memperbolehkan client untuk login ke hotspot, ataupun mengakses internet.

Bypassed 


Terlihat pada gambar diatas, login hotspot tidak dapat diakses, namun PC akan mendapatkan hak akses untuk mengakses internet. 

Blocked


Terlihat pada gambar di atas, login hotspot tidak dapat diakses dan juga tidak terhubung ke internet.

Share this