Routing Dan Blokir Situs Dengan Firewall Pada Mikrotik

Firewall merupakan sebuah mekanisme yang fungsinya untuk melindungi jaringan maupun host dari ancaman yang berasal dari luar maupun dalam. Biasanya firewall terletak di tengah-tengah antara jaringan lokal dengan jaringan publik. Namun di dalam host pun (komputer dan laptop) juga terdapat firewall.

Dengan firewall kita bisa mengatur paket atau layanan apa saja yang diperbolehkan menuju jaringan kita dan mana saja yang tidak boleh masuk. Tidak hanya paket yang menuju ke dalam jaringan (inbound), namun paket yang akan keluar dari jaringan (outbound) juga dapat kita atur (accept/drop).

Contoh penerapan firewall pada mikrotik adalah untuk memblokir akses internet user pada situs tertentu. Konsepnya adalah mengkonfigurasi firewall agar memblokir (membuang) paket yang ditujukan untuk mengakses situs web. Dengan begitu halaman web tidak akan tampil pada browser client, yang artinya client tidak bisa mengakses web tersebut.

1. Pertama kita lihat dulu sambungannya

2. Disini kami memanfaatkan wlan1 untuk mengambil jaringan internet, jadi disini kami menambahkan 

wlan virtual sebagai AP atau pembagi jaringan

3. Selanjutnya untuk dapat acces internet kita harus meminta ip dari Internetnya dengan cara masuk ke dhcp client kemudian klik ikon tambah kemudian pilih interfacenya pada interface yang kita gunakan sebagai acces internet disini saya menggunakan wlan1

4. Kita konfigurasi Ip address pada jaringan kita, disini ip dan interface yang kita gunakan:

a. Wlan1(jaringan internet) : 192.168.43.111/24

b. Ether2 (server) : 172.100.1.1/24

c. Wlan2(client) : 10.1.1.1/24

5. Setelah itu agar client bisa mendapat ip secara otomatis kita gunakan dhcp server dengan cara klik ip lalu dhcp server kemudian klik dhcp setup kemudian pilih interface client kita

6. Kemudian kita cek routingnya, ini biasanya kita dapat otomatis saat kita mengatur ip dan dhcp client

7. Selanjutnya kita juga bisa cek dns ini juga biasanya terisi otomastis saat kita mengisi dhcp client

8. Setelah semua selesai kita bisa mendapat ip otomatis pada ether2 dan wlan2. Mohon maaf untuk pengecekan pada ip ether2 lupa di prtsc. Dibawah ini ip yang di dapat 

9. Setelah itu kita cek koneksi dengan acces web server dengan cara search ip server di web browser

10. Selanjutnya kita coba blokir situs dengan cara masuk ke ip kemudian ke menu firewall, lalu masuk ke menu layer7 protocol kemudian klik ikon tambah

11. Setelah itu kita isi name dengan nama dan regexp dengan nama web yang akan kita block, untuk contoh disini saya menggunakan www.tokopedia.com

12. Kemudian kita masuk ke menu filter rule, kemudian klik ikon tambah atur general untuk chain forward

13. Advanced nya kita atur di layer 7 protocol sesuai yang telah kita buat sebelumnya

14. Dan untuk actionnya kita pilih drop

15. Terakhir kita bisa coba

Cara Lain:

1. Menggunakan Parameter "Content"

Cara pertama adalah dengan memanfaatkan matcher Content yang tersedia pada firewall filter maupun raw di mikrotik router os. Parameter content akan mencocokan string yang terdapat pada halaman web dengan nilai yang telah kita isikan. Apabila cocok dan action yang digunakan adalah drop, maka firewall akan memblokir halaman web tersebut.

Matcher ini dapat kalian temui pada menu Tab Advanced. Firewall akan mencocokan isi paket dengan nilai yang diberikan pada parameter content. Misalkan kita ingin memblokir youtube menggunakan content ini maka kita bisa mengisinya dengan content=www.youtube.com .

Langkah konfigurasi :

Masuk menu IP > Firewall > Filter > Add (+).

Pada parameter chain, pilih forward (karena kita akan memblokir paket yang melewati router). Kemudian isi Src. Address dengan ip network yang digunakan oleh jaringan kalian (jaringan lokal).

Selanjutnya masuk ke tab Advanced, kemudian masukkan situs yang ingin diblokir pada bagian Content.

Pada tab menu Action, pilih action drop.

Untuk pengujiannya, silahkan akses youtube melalui browser. Seharusnya situs tidak bisa diakses. Dan pada tabel firewall akan terlihat jumlah bytes dan paket yang didrop oleh firewall.

Langkah-langkah di atas dapat juga dipakai pada firewall raw. Karena langkahnya sama maka saya tidak akan menuliskannya. Kalian dapat mencobanya sendiri. 

2. Menggunakan Layer 7 Protocol

Cara yang kedua adalah dengan memanfaatkan fitur layer 7 protocol yang ada pada mikrotik. Cara ini sedikit lebih rumit. Berbeda dengan content yang hanya menggunakan string biasa, layer 7 protocol menggunakan regular expression untuk mencocokan paket-paket. Kelebihannya, layer 7 protocol memungkinkan firewall untuk melakukan pemeriksaan secara mendetail. Namun kekurangannya, firewall akan menggunakan lebih banyak resource router.

Setidaknya ada 2 langkah yang perlu dilakukan jika ingin memblokir situs web menggunakan L7 protocol. Pertama buat regexp terlebih dahulu pada menu IP > Firewall > Layer7 Protocols > +.

Saya sendiri tidak hafal penulisan regexp-nya, namun untuk kepentingan memblokir situs kita bisa menggunakan pola seperti ini

^.+(web1.com|web2.com|web3.com|webn.com).*$

Tanda “|” digunakan untuk memisahkan nama-nama situs apabila kita ingin memblokir lebih dari satu situs. Tinggal ubah tulisan web1, web2, web3, dan webn pada pola di atas dan sesuaikan dengan situs yang ingin kalian blok.

Misalkan situs yang ingin diblokir adalah facebook dan youtube, maka regexp-nya kurang lebih seperti berikut :

Setelah membuat regexp, langkah selanjutnya adalah membuat rule firewallnya.

Pada bagian Advanced, yakni parameter Layer 7 Protocol, pilih regexp yang telah dibuat.

Kemudian pilih action drop.

Silahkan akses situs yang diblokir tersebut kemudian amati juga statistik pada tabel firewall.

3. Menggunakan Parameter "TLS Host"

Cara yang ketiga ini bisa dibilang cara yang baru. Pada router os versi 6.41.1 terdapat parameter baru pada firewall yakni TLS host. Matcher tersebut dapat kita gunakan untuk memblokir situs web.

Langkah-langkahnya tidak berbeda jauh dengan dua cara di atas.

Pilih chain forward dan tentukan Src Address-nya. Kemudian pada matcher Protocol pilih tcp. Untuk bisa menggunakan matcher TLS Host, kita perlu menentukan protokol yang akan difilter.

Kenapa tcp ? Karena kita disini memblokir situs web, dimana untuk mengakses website diperlukan sebuah protokol yakni http atau https, dan http maupun https termasuk ke dalam protokol tcp.

Selanjutnya, masuk ke tab Advanced. Pada parameter TLS Host silahkan diisi dengan nama situs yang ingin diblokir, misal situs youtube.

Jangan lupa tentukan action-nya yakni drop.

Hasil pengujian :

Referensi tentang TLS Host masih sedikit sehingga saya sendiri belum tahu pasti kegunaan dari matcher ini. Namun dari diskusi grup mikrotik yang saya ikuti, dengan menggunakan TLS Host, kita dapat memblokir situs youtube tanpa mengganggu situs atau layanan google yang lain.

Sumber:

Read More

Memisahkan Bandwidth Lokal (IIX) dan Internasional (IX) 2 ISP di Mikrotik

Fungsi mark routing di mikrotik ini sangatlah berguna bagi anda yang memiliki 2 buah upstream link karena dapat melewatkan jalur koneksi ke geteway tertentu.

Pada contoh kali ini kita asumsikan memiliki 2 buah koneksi internet, dimana salah satu isp anda memberikan koneksi ke arah lokal (IIX) lebih besar di bandingkan ke arah internasional, sebuat saja ISP A. Sedangkan ISP B memiliki bandwidth ke internasional cukup besar hanya saja koneksi dari ISP B tidak simetris atau Up to. Untuk itu perlu di optimalkan.

Maka topologinya akan seperti di bawah ini:

Nah, karena kita akan memisahkan traffic lokal dan internasional, maka kita membutuhkan daftar ip yang ada di indonesia yang sudah di advertise ke IIX. 

http://ixp.mikrotik.co.id/download/nice.rsc

Ketikkan perintah di bawah ini pada terminal mikrotik.

[admin@R1] > tool fetch address=ixp.mikrotik.co.id src-path=/download/nice.rsc mode=http;

Selanjutnya import file nice tersebut.

[admin@R1] > import nice.rsc

Setelah berhasil maka, pada address-list di menu firewall akan muncul list ip yang ada di indonesia.

Selanjutnya buat mangle pada mikrotik untuk menandakan routing mark traffic iix dan internasional.

[admin@R1] > ip firewall mangle add chain=prerouting action=mark-routing new-routing-mark=lokal passthrough=yes src-address=192.168.7.0/24 dst-address-list=nice

[admin@R1] > ip firewall mangle chain=output action=mark-routing new-routing-mark=lokal passthrough=yes src-address=192.168.7.0/24 dst-address-list=nice

Sekarang buat default routenya.

[admin@R1] > ip route add gateway=10.10.7.1 routing-mark=lokal

[admin@R1] > ip route add gateway=172.16.7.1

Karena untuk lannya menggunakan ip privat, jangan lupa untuk membuat Nat nya untuk kedua isp.

[admin@R1] > ip firewall nat add chain=srcnat action=masquerade out-interface=ether1

[admin@R1] > ip firewall nat add chain=srcnat action=masquerade out-interface=ether2

Kita coba lakukan tracert dari lan (windows 7) untuk memastikan traffic sudah di alirkan ke default route iix dan internasional.

Dari hasil tracert bahwa traffic internasional sudah di alirkan ke ISP B, sedangkan untuk traffic lokal di alirkan ke ISP A.

Read More

Setting Dasar Hotspot Mikrotik

Router Mikrotik memiliki banyak fitur, salah satu fitur yang cukup populer dan banyak digunakan adalah Hotspot. Kita sering menemukan sinyal internet wifi yang di password. Jadi jika ingin mengakses wifi tersebut harus tahu password-nya terlebih dahulu. Namun berbeda dengan Hotspot, kebanyakan wifi hotspot tidak di password dan semua user bisa connect dan akan diarahkan ke halaman login di Web Browser. Tiap user bisa login dengan username dan password yang berbeda-beda. Metode semacam inilah yang sering kita temukan di Kampus, wifi Cafe, Sekolah, Kantor, maupun area publik lainnya.

Sebenarnya hotspot tidak hanya bisa diaplikasikan untuk jaringan wireless saja, namun juga bisa untuk jaringan kabel. Kelebihan Hotspot adalah kita dapat mengkonfigurasi jaringan yang hanya bisa digunakan dengan username dan password tertentu. Kita juga dapat melakukan manajemen terhadap user-user tersebut. Misalnya, mengatur durasi total penggunaan hotspot per user, membatasi berapa besar data yang dapat di download tiap user, mengatur konten apa saja yang boleh diakses user, dll.

Hotspot merupakan fitur gabungan dari berbagai service yang ada di Mikrotik, antara lain :

DHCP server, digunakan untuk memberi layanan IP otomatis ke user

Firewall NAT, untuk mentranslasi IP user ke IP yang bisa dikenali ke internet

Firewall filter, untuk memblock user yang belum melakukan login

Proxy, untuk memberikan tampilan halaman login

dan sebagainyaTetapi beruntungnya, service-service tersebut tidak perlu kita buat secara manual. Bagaimana langkahnya, bisa dijabarkan sebagai berikut :

Buka di menu IP > Hotspot > Hotspot Setup

Dengan menekan tombol Hotspot Setup, wizard Hotspot akan menuntun kita untuk melakukan setting dengan menampilkan kotak-kotak dialog pada setiap langkah nya.

Langkah pertama, kita diminta untuk menentukan interface mana Hotspot akan diaktifkan. Pada kasus kali ini, Hotspot diaktifkan pada wlan1, dimana wlan1 sudah kita set sebagai access point (ap-bridge). Selanjutnya klik Next.

Jika di interface wlan1 sudah terdapat IP, maka pada langkah kedua ini, secara otomatis terisi IP Address yang ada di wlan1. Tetapi jika belum terpasang IP, maka kita bisa menentukan IP nya di langkah ini. Kemudian Klik Next.

Langkah ketiga, tentukan range IP Address yang akan diberikan ke user (DHCP Server). Secara default, router otomatis memberikan range IP sesuai dengan prefix/subnet IP yang ada di interface. Tetapi kita bisa merubahnya jika dibutuhkan. Lalu klik Next.

Langkah selanjutnya, menentukan SSL Certificate jika kita akan menggunakan HTTPS untuk halaman loginnya. Tetapi jika kita tidak memiliki sertifikat SSL, kita pilihl none, kemudian klik Next

Jika diperlukan SMTP Server khusus untuk server hotspot bisa ditentukan, sehingga setiap request SMTP client diredirect ke SMTP yang kita tentukan. Karena tidak disediakan smtp server, IP 0.0.0.0 kami biarkan default. Kemudian klik Next.

Di langkah ini, kita meentukan alamat DNS Server. Anda bisa isi dengan DNS yang diberikan oleh ISP atau dengan open DNS. Sebagai contoh, kita menggunakan DNS Server Google. Lalu klik Next.

Selanjutnya kita diminta memasukkan nama DNS untuk local hotspot server. Jika diisikan, nantinya setiap user yang belum melakukan login dan akan akses ke internet, maka browser akan dibelokkan ke halaman login ini. Disini DNS name sebaiknya menggunakan format FQDN yang benar. Jika tidak diisikan maka di halaman login akan menggunakan url IP address dari wlan1. Pada kasus ini, nama DNS-nya diisi "hotspot.mikrotik.co.id". Lalu klik Next.

Langkah terakhir, tentukan username dan pasword untuk login ke jaringan hotspot Anda. Ini adalah username yang akan kita gunakan untuk mencoba jaringan hotspot kita.

Sampai pada langkah ini, jika di klik Next maka akan muncul pesan yang menyatakan bahwa setting Hotspot telah selesai.

Selanjutnya kita akan mencoba mengkoneksikan laptop ke wifi hotspot yang sudah kita buat. Kemudian buka browser dan akses web sembarang (pastikan Anda mengakses web yang menggunakan protokol http, karena hotspot mikrotik belum mendukung untuk redirect web yang menggunakan https), maka Anda akan dialihkan ke halaman login hotspot seperti pada gambar berikut ini:

Untuk mencobanya, silahkan coba login dengan username dan password yang telah Anda buat pada langkah sebelumnya. Jika berhasil login maka akan membuka halaman web yang diminta dan membuka popup halaman status Hotspot.

Sumber:

http://mikrotik.co.id/artikel_lihat.php?id=125

Read More

Membuat Hotspot Dengan Routerboard Mikrotik

Router Mikrotik memiliki banyak fitur, salah satu fitur yang cukup populer dan banyak digunakan adalah Hotspot. Kita sering menemukan sinyal internet wifi yang di password. Jadi jika ingin mengakses wifi tersebut harus tahu password-nya terlebih dahulu. Namun berbeda dengan Hotspot, kebanyakan wifi hotspot tidak di password dan semua user bisa connect dan akan diarahkan ke halaman login di Web Browser. Tiap user bisa login dengan username dan password yang berbeda-beda.

Perangkat yang dibutuhkan :

1 Routerboard Mikrotik : 1 Unit

2 Kabel UTP : 1 Unit

3 Laptop : 1 Unit

Jaringan Internet

Dengan menggunakan Mikrotik sebagai Hotspot, kita dapat mengkonfigurasi jaringan wireless yang hanya bisa digunakan dengan username dan password tertentu. 

Dapat melakukan manajemen terhadap user-user tersebut. Misalnya, mengatur durasi total penggunaan hotspot per user, membatasi berapa besar data yang dapat di download tiap user, mengatur konten apa saja yang boleh diakses user, dll.

Langkah-langkah:

Hubungkan laptop ke routerboard(RB) menggunakan kabel straight, kemudian buka aplikasi winbox untuk mengkonfigurasi RB mikrotiknya

Kemudian cari MAC atau IP yang sesuai dengan MAC /IP mikrotik tersebut, jika sudah klik dan kemudian Connect kan.

Setelah ini setting IP terlebih dahulu

IP yang pertama untuk laptop yang sudah terhubung ke RB mikrotik (ether2) menggunakan IP 192.168.1.1/24

Jika kita ingin membuat Hotspot pastikan kita sudah menyiapkan jaringan Internet, agar kita bisa langsung mencobanya untuk mengakses keinternet

Untuk mengaktifkan Jaringan Internet di winbox, Klik wireless kemudian klik wlan satu dan klik icon centang

Setelah itu kita hubungkan ke nama jaringan internet kita, jika jaringan internet kita ada passwordnya kita setting dulu untung passwordnya agar bisa masuk

Setelah itu kita klik2 kali pada tulisan wlan1 kemudian kita sambungkan ke nama jaringan internet kita

SSID default bernama MikroTik dan Untuk mencari nama jaringan internet kita kita tekan scan

Pastikan nama Interface adalah wlan1, kemudian klik start dan akan muncul jaringan-jaringan yang terdeksi oleh Mikrotik, untuk jaringan yang saya gunakan SSID bernama A70202 kemudian klik Connect

SSID akan berubah dan jangan lupa untuk mengubah Security Profile sesuai setingan password tadi

wlan dikatakan berjalan setelah ada icon ‘R’ disebelahnya

Setelah itu kita masuk ke IP lalu pilih DHCP Client , untuk mendapatkan IP secara DHCP dari Jaringan internet kita

Kita akan membuat DHCP Client untuk mendapatkan IP dari jaringan internet untuk itu kita pilih interface wlan1

Setelah itu kita masuk ke DHCP server , pilih DHCP setup

Kita pilih interface ether2 untuk menyambungkan jaringan internet kita ke RB (router board)

Setelah itu kita masuk ke settingan di laptop kita kita ubah IPnya menjadi DHCP agar mendapatkan ip dari Jaringan Internet kita

Jaringan RB menjadi Internet Acces

Selanjutnya kita akan membuat WIFI Virtual, untuk SSID yang digunakan yaitu “WIFI Saya”. Wifi virtual akan masuk ke interface wlan2

Setelah itu kita set IP untuk wlan2

Setalah itu kita akan membuat firewall NAT

Seperti sebelumnya supaya wlan2/ wifi virtualnya bias mengakses internet kita buat DHCP servernya terlebih dahulu

Setelah DHCP server untuk wlan2 terbentuk kita akan membuat hotspotnya

Kemudian klik Hotspot setup, interfaces kita menggunakan wlan2. Kita set untuk hotspot pertama 

Login : "admin" & Passwordnya : "admin"

Hotspot 1 sudah selesai , untuk loginnya menggunakan username : “admin” & password : “admin”

Kita akan coba sambung ke “WIFI Saya” dan kita akan memasukkan login dan passwordnya seperti 

yang sudah di setting tadi 

Wifi sudah ter connect dan juga bias mengakses internet.

Read More