Wednesday, 11 January 2017

Lab. 15 Superlab Mikrotik

Assalamualaikum,

Pada kali ini kembali saya akan share mengenai superlab yang saya buat sendiri, dan akan ada beberapa materi yang nantinya akan dibahas di dalam superlab ini yaitu :
  1. Firewall NAT
  2. Routing OSPF Multi Area
  3. GRE Tunnel 
  4. L2TP Tunnel
  5. DHCP Server 
  6. Firewall Filter
Dan topology yang akan kita gunakan pada kali ini adalah seperti berikut.
Dan tujuan dari topologi yang akan kita gunakan pada kali ini sebagai berikut. 
  1. Menghubungkan client ke internet
  2. Menghubungkan setiap device 1 dengan lainnya menggunakan routing ospf
  3. Menghubungkan standart area dengan area backbone
  4. Interkoneksi network menggunakan GRE Tunnel dan L2TP
  5. Memberikan IP DHCP kepada client
  6. Filter packet yang masuk ke R5 dengan action drop
Konfigurasi

Tambahkan ip address kepada setiap device yang ada.
[admin@R1] > /ip address
add address=2.2.2.1/30 disabled=no interface=ether2 network=2.2.2.0
add address=3.3.3.1/30 disabled=no interface=ether3 network=3.3.3.0
add address=19.19.19.3/16 disabled=no interface=ether1 network=19.19.0.0
[admin@R2] > /ip address
add address=2.2.2.2/30 disabled=no interface=ether1 network=2.2.2.0
add address=4.4.4.1/30 disabled=no interface=ether3 network=4.4.4.0
add address=10.10.10.1/30 disabled=no interface=ether2 network=10.10.10.0
add address=172.16.1.1/24 disabled=no interface=ether4 network=172.16.1.0
[admin@R3] > /ip address
add address=3.3.3.2/30 disabled=no interface=ether1 network=3.3.3.0
add address=10.10.10.2/30 disabled=no interface=ether2 network=10.10.10.0
add address=6.6.6.1/30 disabled=no interface=ether3 network=6.6.6.0
add address=172.16.2.1/30 disabled=no interface=ether4 network=172.16.2.0
[admin@R4] > /ip address
add address=4.4.4.2/30 disabled=no interface=ether1 network=4.4.4.0
add address=5.5.5.1/30 disabled=no interface=ether2 network=5.5.5.0
[admin@R5] > /ip address
add address=5.5.5.2/30 disabled=no interface=ether1 network=5.5.5.0
add address=192.168.1.1/24 disabled=no interface=ether2 network=192.168.1.0
[admin@R6] > /ip address
add address=6.6.6.2/30 disabled=no interface=ether1 network=6.6.6.0
add address=7.7.7.1/30 disabled=no interface=ether2 network=7.7.7.0
[admin@R7] > /ip address
add address=7.7.7.2/30 disabled=no interface=ether1 network=7.7.7.0
add address=192.168.2.1/24 disabled=no interface=ether2 network=192.168.2.0
Setelah itu, buat standart area terlebih dahulu pada R2, R4, R5 dan R3, R6, R7. R2, R4, dan R5 akan ditambahkan area 1 dengan area id 1.1.1.1 lalu R3, R6, dan R7 akan ditambahkan area 2 dengan area id 2.2.2.2.
[admin@R2] > /routing ospf area
add area-id=1.1.1.1 disabled=no instance=default name=area1
[admin@R4] > /routing ospf area
add area-id=1.1.1.1 disabled=no instance=default name=area1
[admin@R5] > /routing ospf area
add area-id=1.1.1.1 disabled=no instance=default name=area1
Lalu konfigurasi pada R3, R6, dan R7 dengan area id 2.2.2.2
[admin@R3] > /routing ospf area
add area-id=2.2.2.2 disabled=no instance=default name=area2
[admin@R6] > /routing ospf area
add area-id=2.2.2.2 disabled=no instance=default name=area2
[admin@R7] > /routing ospf area
add area-id=2.2.2.2 disabled=no instance=default name=area2
 Setelah itu, konfigurasi route ospf network dan juga ospf instance. OSPF instance dikonfigurasi agar router mendapatkan router id sesuai yang kita inginkan.
[admin@R1] > /routing ospf network
add area=backbone disabled=no network=2.2.2.0/30
add area=backbone disabled=no network=3.3.3.0/30
[admin@R1] > /routing ospf instance
set router-id=1.1.1.1
[admin@R2] > /routing ospf network
add area=area1 disabled=no network=4.4.4.0/30
add area=backbone disabled=no network=2.2.2.0/30
add area=backbone disabled=no network=10.10.10.0/30
[admin@R2] > /routing ospf instance
set router-id=2.2.2.2
[admin@R3] > /routing ospf network
add area=backbone disabled=no network=3.3.3.0/30
add area=backbone disabled=no network=10.10.10.0/30
add area=area2 disabled=no network=6.6.6.0/30
[admin@R3] > /routing ospf instance
set router-id=3.3.3.3
[admin@R4] > /routing ospf network
add area=area1 disabled=no network=5.5.5.0/30
add area=area1 disabled=no network=4.4.4.0/30
[admin@R4] > /routing ospf instance
set router-id=4.4.4.4
[admin@R5] > /routing ospf network
add area=area1 disabled=no network=5.5.5.0/30
[admin@R5] > /routing ospf instance
set router-id=5.5.5.5 redistribute-connected=as-type-1
[admin@R6] > /routing ospf network
add area=area2 disabled=no network=6.6.6.0/30
add area=area2 disabled=no network=7.7.7.0/30
[admin@R6] > /routing ospf instance
set router-id=6.6.6.6
[admin@R7] > /routing ospf network
add area=area2 disabled=no network=7.7.7.0/30
[admin@R7] > /routing ospf instance
set redistribute-connected=as-type-1 router-id=7.7.7.7
Jika sudah, verifikasi bahwa setiap router dapat berkomunikasi. Setelah itu,
lanjut ke konfigurasi firewall, default route, dan ip dns.
[admin@R1] > /ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=ether1
[admin@R1] > /ip dns
set allow-remote-requests=yes servers=8.8.8.8
[admin@R1] > /ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=19.19.19.4
[admin@R2] > /ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=ether1
[admin@R2] > /ip dns
set allow-remote-requests=yes servers=8.8.8.8
[admin@R2] > /ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=2.2.2.1
[admin@R3] > /ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=ether1
[admin@R3] > /ip dns
set allow-remote-requests=yes servers=8.8.8.8
[admin@R3] > /ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=3.3.3.1
[admin@R4] > /ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=ether1
[admin@R4] > /ip dns
set allow-remote-requests=yes servers=8.8.8.8
[admin@R4] > /ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=4.4.4.1
[admin@R5] > /ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=ether1
[admin@R5] > /ip dns
set allow-remote-requests=yes servers=8.8.8.8
[admin@R5] > /ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=5.5.5.1
[admin@R6] > /ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=ether1
[admin@R6] > /ip dns
set allow-remote-requests=yes servers=8.8.8.8
[admin@R6] > /ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=6.6.6.1
[admin@R7] > /ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=ether1
[admin@R7] > /ip dns
set allow-remote-requests=yes servers=8.8.8.8
[admin@R7] > /ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=7.7.7.1 scope=30 target-scope=10
Setelah itu pastikan setiap device dapat terkoneksi ke internet. Jika sudah, tambahkan konfigurasi DHCP Server pada R5 dan R7 agar pc mendapatkan ip address.
[admin@R5] > /ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether2 name=dhcp1
[admin@R5] > /ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8 gateway=192.168.1.1
[admin@R7] > /ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether2
[admin@R7] > /ip dhcp-server network
add address=192.168.2.0/24 dns-server=8.8.8.8 gateway=192.168.2.1 
Setelah itu, konfigurasi GRE Tunnel pada R1 dan R5 agar nantinya, keduanya membuat interkoneksi yang bertujuan agar kedua network yang ada pada R1 an R5 dapat terhubung secara langsung.
[admin@R1] > /interface gre
add disabled=no local-address=2.2.2.1 name=toR5 remote-address=5.5.5.2
[admin@R5] > /interface gre
add disabled=no local-address=5.5.5.2 name=toR1 remote-address=2.2.2.1
 Setelah itu berikan ip address pada tunnel interface yang mereka miliki.
[admin@R1] > /ip address
add address=100.100.100.1/30 disabled=no interface=toR5 network=100.100.100.0
[admin@R5] > /ip address
add address=100.100.100.2/30 disabled=no interface=toR1 network=100.100.100.0
Lalu lakukan verifikasi dengan cara ping tunnel interface tersebut.
 [admin@R1] > ping 100.100.100.2
HOST                                     SIZE TTL TIME  STATUS
100.100.100.2                              56  64 128ms
100.100.100.2                              56  64 9ms 
    sent=2 received=2 packet-loss=0% min-rtt=9ms avg-rtt=68ms max-rtt=128ms
[admin@R5] > ping 100.100.100.1
HOST                                     SIZE TTL TIME  STATUS
100.100.100.1                              56  64 8ms
100.100.100.1                              56  64 4ms
    sent=2 received=2 packet-loss=0% min-rtt=4ms avg-rtt=6ms max-rtt=8ms
Lalu tambahkan static routing untuk menuju network dari R5 menggunakan gre tunnel.
[admin@R1] > /ip route
add disabled=no distance=1 dst-address=192.168.1.0/24 gateway=100.100.100.2 scope=30 target-scope=10
Lalu lakukan verifikasi traceroute untuk melihat apakah tunnel sudah berfungsi atau belum.
[admin@R1] > tool traceroute 192.168.1.253
 # ADDRESS                                 RT1   RT2   RT3   STATUS
 1 100.100.100.2                           9ms   4ms   4ms 
 2 192.168.1.253                           12ms  4ms   4ms 
Jika sudah, lanjut ke skenario selanjutnya yaitu tunneling menggunakan L2TP antar R1 dan R7. Jadikan R1 sebagai L2TP Server dan jadikan R7 sebagai L2TP Client.
[admin@R1] > /interface l2tp-server server
set enabled=yes
[admin@R1] > /ppp secret
add local-address=200.200.200.1 name=idn password=123 profile=default remote-address=200.200.200.2 routes=192.168.2.0/24 service=l2tp
[admin@R7] > /interface l2tp-client
add connect-to=3.3.3.1 name=l2tp-out1 password=123 profile=default-encryption user=idn
Lalu verifikasi apakah ip address dynamic sudah ditambahkan ke router atau belum.
 [admin@R1] > ip address pr
Flags: X - disabled, I - invalid, D - dynamic
 #   ADDRESS                 NETWORK         INTERFACE 
 0   2.2.2.1/30                  2.2.2.0                ether2
 1   3.3.3.1/30                  3.3.3.0                ether3
 2   19.19.19.3/16           19.19.0.0            ether1
 3   100.100.100.1/30     100.100.100.0   toR5
 4 D 200.200.200.1/32   200.200.200.2   <l2tp-idn>
[admin@R7] > ip address pr
Flags: X - disabled, I - invalid, D - dynamic
 #   ADDRESS                 NETWORK         INTERFACE
 0   7.7.7.2/30                  7.7.7.0                ether1
 1   192.168.2.1/24         192.168.2.0       ether2
 2 D 200.200.200.2/32   200.200.200.1   l2tp-out1
Setelah itu, coba test traceroute dari R1 ke client dari R7.
[admin@R1] > tool traceroute 192.168.2.253
 # ADDRESS                                 RT1   RT2   RT3   STATUS
 1 200.200.200.2                           29ms  3ms   4ms
 2 192.168.2.253                           5ms   4ms   3ms  
Jika sudah, lanjut ke skenario selanjutnya yaitu drop ping menggunakan firewall filter pada interface tunnel.
 [admin@R5] > /ip firewall filter
add action=drop chain=input disabled=no dst-address=192.168.1.0/24 in-interface=toR1
Maka apabila router selain R1 melakukan ping ke jaringan local dari R5, maka hasilnya akan seperti berikut.
[admin@R2] > ping 192.168.1.1
HOST                                     SIZE TTL TIME  STATUS                                                                                                        
192.168.1.1                                56  63 5ms 
192.168.1.1                                56  63 10ms
    sent=2 received=2 packet-loss=0% min-rtt=5ms avg-rtt=7ms max-rtt=10ms
Dan apabila R1 yang melakukan ping kepada jaringan local R5, maka hasilnya akan seperti berikut.
 [admin@R1] > ping 192.168.1.1
HOST                                     SIZE TTL TIME  STATUS
192.168.1.1                                             timeout
192.168.1.1                                             timeout 
    sent=2 received=0 packet-loss=100%

Share this