2010 april mikrotik
DESCRIPTION
4/30/2010VPNKamis, 29 April 2010VPN Networks• VPN (Virtual Private Networks) is a private data networks that utilizes a public telecomunication infrastructureMDP CenterJalan lingkaran I No. 305 Palembang Indonesia 30124, Telp. 0711 313626 ext 102 www.mdp-center.nethttp://id.wikipedia.org/Menurut IETF, Internet Engineering Task Force, VPN is an emulation of [a] private Wide Area Network(WAN) using shared or public IP facilities, such as the Internet or private IP backbones.VPN merupakTRANSCRIPT
4/30/2010
MDP Center@Seminar MikroTik 1
VPNKamis, 29 April 2010
MDP Center Jalan lingkaran I No. 305 Palembang Indonesia 30124, Telp. 0711 313626 ext 102www.mdp-center.net
VPN Networks• VPN (Virtual Private Networks) is a private data
networks that utilizes a public telecomunication infrastructure
http://id.wikipedia.org/Menurut IETF, Internet Engineering Task Force, VPN is an emulation of [a] private Wide Area Network(WAN) using shared or public IP facilities, such as the Internet or private IP backbones.VPN merupakan suatu bentuk private internet yang melalui public network
VPN adalah singkatan dari virtual private network, yaitu jaringan pribadi (bukan untuk akses umum) yang menggunakan medium nonpribadi (misalnya internet) untuk menghubungkan antar remote-site secara aman Perlu penerapan teknologi tertentu
merupakan suatu bentuk private internet yang melalui public network (internet), dengan menekankan pada keamanan data dan akses global melalui internet. Hubungan ini dibangun melalui suatu tunnel (terowongan) virtual antara 2 node.
remote-site secara aman. Perlu penerapan teknologi tertentu agar walaupun menggunakan medium yang umum, tetapi traffic(lalu lintas) antar remote-site tidak dapat disadap dengan mudah, juga tidak memungkinkan pihak lain untuk menyusupkan trafficyang tidak semestinya ke dalam remote-site.
http://google.co.id/
4/30/2010
MDP Center@Seminar MikroTik 2
http://google.co.id/ http://google.co.id/
http://google.co.id/ http://google.co.id/
4/30/2010
MDP Center@Seminar MikroTik 3
• Secure communication between corporate i t LAN
VPN Benefits
private LANs overPublic networksLeased linesWireless links
• Corporate resources (email, corporate p ( pservers, printers) can be accessed securely by users having granted access rights from outside (home, while traveling, etc.)
• Simple in configuration !
Simple Tunneling Protocols
• Do not require authentication• Do not use data encryption• Such protocols are :
IPIP (IP over IP)EOIP (Ethernet over IP)EOIP (Ethernet over IP)VLAN (Virtual LAN)
• A little bit sophisticated in configuration
Point to Point Protocol Tunnels
• Offer user authentication• Permit data encryption• Such protocols are :
PPPoE (Point to Point Protocol over Ethernet)PPTP (Point to Point Tunneling Protocol)PPTP (Point to Point Tunneling Protocol)L2TP (Layer 2 Tunneling Protocol)
• Point to Point Tunnel Protocol provides t d t l IP
PPTP
encrypted tunnels over IP• MikroTik RouterOS includes support for
PPTP client and server• Used to secure link between Local
Networks over InternetNetworks over Internet• For mobile or remote client to access
company Local network resources
4/30/2010
MDP Center@Seminar MikroTik 4
PPTP configuration
• PPTP uses TCP port 1723 and IP protocol 47/GREprotocol 47/GRE
• There is a PPTP server & PPTP clients• PPTP clients are available for and/or
included in almost all OS• You must use PPTP & GRE “NAT• You must use PPTP & GRE NAT
helpers” to connect to any public PPTP server from your private masqueraded network
TERIMA KASIHKASIH
MDP Center Jalan lingkaran I No. 305 Palembang Indonesia 30124, Telp. 711 313626 ext 102www.mdp-center.net
Spectrum Indonesia @ MDP Training Center
Spectrum Indonesia
1
MENCIPTAKAN GATEWAYMURAH DAN HANDALMENGGUNAKAN MIKROTIK
Spectrum IndonesiaMikroTik Certified Training Partner
2
Spectrum Indonesia
TENTANG KAMI
Muhti SubiyantoroCompany : Spectrum Indonesia
Kepala Divisi Litbang (R&D)Kepala Teknisi RMA (Service and Repairment)
MikroTik Certified TrainerMTCNA, MTCTCE, MTCWE
3
Spectrum Indonesia
TENTANG KAMI
Herry DarmawanCompany : Spectrum Indonesia
MikroTik Master ResellerUbiquiti Master ResellerMikroTik Certified Training Partner
MikroTik Certified Trainer dan ConsultantMTCWE, MTCTCE, MTCUME, MTCRE
4
Spectrum Indonesia
SPECTRUM INDONESIA
• D~Net Surabaya – 1997• Divisi Wireless D~Net Surabaya – 2002• Lahir sebagai Spectrum Indonesia – 2005• Reseller MikroTik – 2006• Reseller Ubiquiti – 2007• MikroTik Certified Training Partner – 2007
– MTCNA, MTCWE, MTCTCE, MTCRE, MTCUME– Memiliki 5 orang Trainer dengan keahlian khusus
Spectrum Indonesia @ MDP Training Center
5
Spectrum Indonesia
MIKROTIK TRAINING - FUNDAMENTALS
MikroTik Certified Network Associate (MTCNA)Install, upgrade/downgrade, login pertama kali danmenggunakan RouterOS + RouterBOARDMembuat jaringan sederhanaStatic IP, Routing, TCP/IP SederhanaDHCP Server dan ClientFirewall filter dan NATPPP TunnelSimple QueueHotspotWireless NetorksWeb Poxy untuk Filter URL dan CachingThe DudeTes Sertifikasi (gelar MTCNA)
6
Spectrum Indonesia
MT TRAINING - ADVANCED
MikroTik Certified Routing Engineer (MTCRE)IP Routing StatikTunnels (IPIP, EoIP, VLAN)Policy RoutingRoute FilterOSPFBGP SederhanaTes Sertifikasi (gelar MTCRE)
7
Spectrum Indonesia
MT TRAINING - ADVANCED
MikroTik Certified Wireless Engineer (MTCWE)Teori Wireless dan AntennaInstalasi WirelessPenjelasan fitur-fitur Wireless di RouterOSWireless Mesh, WDSKeamanan WirelessBriging, STP/RSTP, FirewallTes Sertifikasi (gelar MTCWE)
8
Spectrum Indonesia
MT TRAINING - ADVANCED
MikroTik Certified Traffic Control Engineer (MTCTCE)DNSDHCPProxyFitur-fitur lanjutan dari Firewall (Advaned + Extra)Qos (Simple Queues dan Queue Tree, Bursts, Queue Algoritms, etc.)Network Intrusion Detection SystemTes Sertifikasi (gelar MTCTCE)
Spectrum Indonesia @ MDP Training Center
9
Spectrum Indonesia
MT TRAINING - ADVANCED
MikroTik Certified User Management Engineer (MTCUME)
PPP TunnelsPPP Tunnel dengan RADIUSPPP Tunnel terenkripsi
HotSpot Server lebih lanjutMenghubungkan HotSpot Server dengan MangleHotSpot Server dan RADIUS lebih lanjut
Pengenalan pada User Manager yang baruTes Sertifikasi (gelar MTCUME)
10
Spectrum Indonesia
MIKROTIK
Mikrotikls = small network (dlm bhs Latvia)Terletak di Riga, Latvia, Eropa Timur
Dapat ditemukan di web : www.mikrotik.com
11
Spectrum Indonesia
MIKROTIK
MikroTik RouterOSSoftware untuk mengubah PC menjadi sebuah RouterDiiinstall sebagai Sistem Operasi
MikroTik RouterBOARDHardware (pengganti PC) yang menggunakan RouterOSsebagai Sistem Operasi nyaTersedia mulai low-end hingga high-end Router
12
Spectrum Indonesia
FITUR MIKROTIK ROUTEROS
• Interface– Fisik : Ethernet, V35, ISDN, Dial-up Modem– Wireless : 900MHz, 2.4GHz, 5GHz– Virtual : Bridge, Bonding, HWMP+– Tunnel : EoIP, IPIP, PPTP/L2TP, MPLS, PPPoE
• Routing– Static Route, Policy Route, Dynamic Route (OSPF, BGP,
RIP)• Firewall
– Network Address Translation– Filter Rules, change TTL, Address List
Spectrum Indonesia @ MDP Training Center
13
Spectrum Indonesia
FITUR MIKROTIK ROUTEROS
Bandwidth ManagementHTB, PFIFO, BFIFO, RED, SFQ, PCQ
ServicesWeb Proxy, Hotspot, DHCP, DNS
Tools untuk Monitoring dan DiagnostikGraph, Watchdog, Ping, MAC-Ping, Torch, etc
Manajemen UserRADIUS, local user, PPP user, Accounting, AAA
14
Spectrum Indonesia
FITUR – DHCP
Memberikan IP secara dinamis
15
Spectrum Indonesia
FITUR - FIREWALL
16
Spectrum Indonesia
FITUR – WEB PROXY
Spectrum Indonesia @ MDP Training Center
17
Spectrum Indonesia
FITUR – MANAJEMEN BANDWIDTH
18
Spectrum Indonesia
FITUR – MANAJEMEN BANDWIDTH
queue=pcq-downmax-limit=512k
128k
128k
128k
128k
73k
73k
73k
73k
73k
73k
73k
128k
128k
2 ‘users’ 4 ‘users’ 7 ‘users’
queue=pcq-downmax-limit=512k
73k
73k
73k
73k
73k
73k
73k
512k
1 ‘user’ 7 ‘users’
256k
2 ‘users’
256k
PCQ Rate = 0
PCQ Rate = 128k
19
Spectrum Indonesia
FITUR – STATIC ROUTING
HTTP/WEBMAIL/SAP
20
Spectrum Indonesia
FITUR – DYNAMIC ROUTING
Spectrum Indonesia @ MDP Training Center
21
Spectrum Indonesia
FITUR - HOTSPOT
22
Spectrum Indonesia
FITUR – MANAJEMEN USER
23
Spectrum Indonesia
FITUR - TUNNEL
24
Spectrum Indonesia
VERSI DAN LISENSI MIKROTIK
MikroTik sampai saat ini sudah mengeluarkan v5beta
Spectrum Indonesia @ MDP Training Center
25
Spectrum Indonesia
ROUTERBOARD
Hardware yang didesain oleh MikroTik, menggunakanRouterOS sebagai Sistem OperasinyaMemiliki beragam seri dan interface, yang disesuaikandengan kebutuhan
Core RouterWireless RouterGateway Router (untuk Warnet, Kantor, dll)
26
Spectrum Indonesia
RB1000
27
Spectrum Indonesia
RB1100
28
Spectrum Indonesia
RB800 DAN RB400
Spectrum Indonesia @ MDP Training Center
29
Spectrum Indonesia
RB450 DAN RB450G
30
Spectrum Indonesia
RB750
31
Spectrum Indonesia
RB750G
32
Spectrum Indonesia
PANDUAN MEMILIH ROUTERBOARD
Spectrum Indonesia @ MDP Training Center
Spectrum Indonesia
33
Q&A
Spectrum Indonesia
34
GATEWAY DENGAN MIKROTIKAPA HEBATNYA?
35
Spectrum Indonesia
GATEWAY
• Berdasarkan wiki– a gateway is a point of entry/exit at which a gate may be hung
• Penting diperhatikan :– Terdapat titik masuk dan keluar– Terdapat gate (pintu)
• Gateway memungkinkan kita untuk mengaturkeluar/masuk-nya traffic dari dan ke jaringan lokal
36
Spectrum Indonesia
GATEWAY
• Mengapa kita perlu Gateway?– IP Public yang kita peroleh tidak cukup banyak untuk
diberikan ke semua Host/PC– Memberikan IP Public ke Host berarti membuka Host
tersebut untuk diakses dari seluruh dunia– Manajemen Host
• Siapa saja yang diberikan akses ke Internet• Mengatur bandwidth agar tidak terjadi monopoli• Mengamankan host dari dunia luar namun tetap dapat diakses dengan
cara tertentu
Spectrum Indonesia @ MDP Training Center
37
Spectrum Indonesia
APA KELEBIHAN MIKROTIK SEBAGAI GATEWAY?
MikroTik merupakan solusi murah dan mudah untukmenciptakan sebuah GatewayDapat menggunakan PC (bahkan PC bekas sekalipun)Memiliki dukungan interface yang sangat banyakUser-interface yang sangat mudah digunakanReal-time monitoring yang sangat cepatDukungan support yang banyak (forum, wiki, trainer, konsultan, dll)
38
Spectrum Indonesia
AKSES MIKROTIK
MikroTik bisa diakses dengan beberapa caraGUI - WinBoxCLI – Telnet, SSH, Terminal Console, Keyboard/MonitorWeb – WebBoxAPI
Kelebihan akses MikroTik adalah dapat diakses melaluikoneksi Layer-2 (bahkan tanpa IP Address)
Mac-TelnetMac-Winbox
39
Spectrum Indonesia
AKSES MIKROTIK - WINBOX
40
Spectrum Indonesia
AKSES MIKROTIK - WEB
Spectrum Indonesia @ MDP Training Center
41
Spectrum Indonesia
AKSES MIKROTIK - TELNET
42
Spectrum Indonesia
FITUR MIKROTIK YANG DIGUNAKAN
• DHCP (Dynamic Host Configuration Protocol)– Memberikan IP secara otomatis
• Firewall (DMZ)– Melindungi Router dan Host– Membatasi akses dan memberikan akses ke jaringan internal
• Queue (Quality of Service)– Melimit bandwidth dan memprioritaskan traffic
• Web-Proxy– Menyimpan website
43
Spectrum Indonesia
DHCP
Digunakan untuk memberikan IP secara otomatisDisarankan hanya digunakan untuk jaringan lokal (yang dipercaya)Selain IP, Subnet, dan Gateway, DHCP juga dapatmemberikan informasi lain, seperti :
WIN ServerStatic Route
44
Spectrum Indonesia
DHCP
Spectrum Indonesia @ MDP Training Center
45
Spectrum Indonesia
DHCP - KONFIGURASI
46
Spectrum Indonesia
DHCP - STATUS
47
Spectrum Indonesia
DHCP – APA YANG BISA DI ASSIGN KE USER
48
Spectrum Indonesia
DHCP - KEAMANAN
DHCP disarankan hanya diaplikasikan untuk jaringanyang dijamin keamanannyaSetiap orang yang terhubung ke DHCP secara otomatisakan mendapatkan IP yang mengijinkan ia mengaksesjaringan yang terhubung secara lokalMikroTik memiliki beberapa metode yang dapatdigunakan untuk mengamankan DHCP
Spectrum Indonesia @ MDP Training Center
49
Spectrum Indonesia
DHCP – STATIC LEASE
50
Spectrum Indonesia
DHCP – RADIUS AUTH
51
Spectrum Indonesia
RADIUS
Remote Authentication Dial-In User ServiceMerupakan database yang menyimpan informasimengenai username dan passwordPada DHCP, digunakan untuk menyimpan MAC-ADDRESS yang diijinkan untuk mendapatkan IP dariDHCP
52
Spectrum Indonesia
MIKROTIK USER MANAGER
Built-in RADIUS for RouterOSInstalled as different package
Spectrum Indonesia @ MDP Training Center
53
Spectrum Indonesia
DHCP – RADIUS AUTHSpectrum
Indonesia
54
Q & A
55
Spectrum Indonesia
FIREWALL
Firewall biasanya digunakan untuk :Melindungi jaringan internal dari akses langsung melaluiInternetMelindungi Router dari akses yang tidak diinginkanMemberikan akses terbatas kepada orang luar (Internet) untukmengakses server-server yang kita ijinkan
Selain itu, Firewall juga digunakan untuk membatasiakses pengguna (jaringan internal) yang akan melakukankoneksi ke luar
56
Spectrum Indonesia
Karakteristik Firewall di RouterOS
Terdiri atasFilterNATMangle
Tersusun di dalam sebuah flow (aliran traffic) sejaktraffic masuk sampai keluar
InputWinbox
ForwardWWW, E-Mail
OutputPing from Router
Spectrum Indonesia @ MDP Training Center
57
Spectrum Indonesia
PACKET FLOW
PREROUTING
ROUTINGDECISION
INPUTINTERFACE
POSTROUTING
OUTPUTINPUT
LOCALPROCESS-IN
LOCALPROCESS-OUT
INTERFACEQUEUE
OUTPUTINTERFACE
FORWARD
Prerouting
Hotspot input
ConnTrack
Mangle
Dst-NAT
Global-In Queue
Global-Total Queue
PostRouting
Mangle
Global-Out Queue
Global-Total Queue
Src-NAT
Hotspot Output
Output
ConnTrack
Mangle
Filter
Input
Mangle
Filter
Forward
Mangle
Filter
Accounting
58
Spectrum Indonesia
PACKET FLOW
59
Spectrum Indonesia
MEMBATASI AKSES USER KE INTERNET
Contoh kasus 1 :Kita akan melakukan blocking agar IP 10.1.1.1 – 10.1.1.127 tidak dapat menggunakan internet
Packet Flow
PREROUTING
ROUTINGDECISION
INPUTINTERFACE
POSTROUTING
INTERFACEQUEUE
OUTPUTINTERFACE
FORWARD
Forward
Mangle
Filter
Accounting
60
Spectrum Indonesia
MEMBATASI AKSES USER KE INTERNET
Spectrum Indonesia @ MDP Training Center
61
Spectrum Indonesia
MEMBATASI AKSES USER KE INTERNET
Contoh Kasus 2 :Kita akan memblok agar user 10.1.1.9, 10.1.1.100, 10.1.1.250, dan 10.1.1.252 agar tidak bisa browsing keinternet (namun tetap bisa ping)
Packet Flow
PREROUTING
ROUTINGDECISION
INPUTINTERFACE
POSTROUTING
INTERFACEQUEUE
OUTPUTINTERFACE
FORWARD
Forward
Mangle
Filter
Accounting
62
Spectrum Indonesia
MEMBATASI AKSES USER KE INTERNET
Address-List
63
Spectrum Indonesia
MEMBATASI AKSES USER KE INTERNET
64
Spectrum Indonesia
MENGAKSES JARINGAN LOKAL
Melalui Gateway, jaringan lokal akan terisolasi dari luarPengguna di luar (internet) hanya akan mengenali IP publik kita tanpa dapat mengakses langsung ke IP lokalAdakalanya kita perlu mengakses Host (yang ada dibelakang gateway) dari luarCara yang lazim digunakan :
NATVPN
Spectrum Indonesia @ MDP Training Center
65
Spectrum Indonesia
MENGAKSES JARINGAN LOKAL - NAT
Remote Desktop
66
Spectrum Indonesia
MENGAKSES JARINGAN LOKAL - NAT
Web Server
67
Spectrum Indonesia
MENGAKSES JARINGAN LOKAL- NAT
68
Spectrum Indonesia
MEMBATASI PENGGUNAAN BANDWIDTH
Pembatasan bandwidth dapat dilakukan dengan metodeQueue (antrian)Queue merupakan salah satu sistem QoS (Quality of Service) yang memungkinkan traffic yang akan keluardibatasi dengan cara mengatur antrian dari trafficSelain membatasi bandwidth, QoS juga melakukanbeberapa hal untuk mengoptimalkan penggunaanbandwidth
PrioritasDual-LimitasiBurstable
Spectrum Indonesia @ MDP Training Center
69
Spectrum Indonesia
QUEUE DALAM MIKROTIK
Simple Queue
70
Spectrum Indonesia
QUEUE DALAM MIKROTIK
Parent-Child
71
Spectrum Indonesia
QUEUE DALAM MIKROTIK
Prioritas
72
Spectrum Indonesia
QUEUE – MEMBAGI RATA BANDWIDTH
Metode ini dikenal dengan nama PCQ (Per Connection Queue)
queue=pcq-downmax-limit=512k
73k
73k
73k
73k
73k
73k
73k
512k
1 ‘user’ 7 ‘users’
256k
2 ‘users’
256k
queue=pcq-downmax-limit=512k
128k
128k
128k
128k
73k
73k
73k
73k
73k
73k
73k
128k
128k
2 ‘users’ 4 ‘users’ 7 ‘users’
Spectrum Indonesia @ MDP Training Center
73
Spectrum Indonesia
QUEUE – MEMBAGI RATA BANDWIDTH
Gunakan tipe-queue PCQ dengan menggunakan klasifier:
Dst-address untuk downloadSrc-address untuk upload
74
Spectrum Indonesia
QUEUE – MEMBAGI RATA BANDWIDTH
75
Spectrum Indonesia
WEB-PROXY
Web proxy adalah suatu sistem store and forwarddimana setiap ada request untuk suatu halaman, makaRouterOS akan mengambil halaman tersebut on-behalf-of Proxy (Router), menyimpannya dan mengembalikanke user yang melakukan requestFitur web proxy selain store and forward antar lain
Filter akses berdasarkan urlStore cache untuk file-file yang ditentukan
76
Spectrum Indonesia
WEB-PROXY
Spectrum Indonesia @ MDP Training Center
77
Spectrum Indonesia
WEB-PROXY TRANSPARENT
NON - HTTP
HTTP (TCP/80, dibelokkan ke TCP/8080)78
Spectrum Indonesia
WEB-PROXY TRANSPARENT
79
Spectrum Indonesia
WEB-PROXY CONNECTION
80
Spectrum Indonesia
WEB-PROXY ACCESS LIST
Membatasi penggunaan internet ke site-site tertentuKelebihan dari Web-Proxy Access List adalahkemampuan untuk filtering di level URL (layer 7) sehingga sangat sesuai untuk website yang memilikibanyak IPSelain melakukan blocking (pembatasan), web-proxy access-list juga dapat membelokkan traffic ke suatu URL ke URL lain yang kita tentukan
Spectrum Indonesia @ MDP Training Center
81
Spectrum Indonesia
WEB-PROXY ACCESS LIST
Blok akses ke facebook.com
82
Spectrum Indonesia
WEB-PROXY ACCESS LIST
Membelokkan ke halaman lain
83
Spectrum Indonesia
WEB-PROXY CACHE
84
Spectrum Indonesia
WEB PROXY - CACHE
Ada 2 macam istilah dalam cache proxyMISS – informasi belum ada di dalam cache sehingga data akan diambil dari Internet, disimpan dalam cache, kemudianditransfer ke host (user)HIT – informasi telah ada di dalam cache sehingga data akandiambil dari cache tanpa meminta dari Internet
Identifikasi HIT adalah dengan memeriksa DSCP/TOS yang terdapat dalam paket tersebut
Spectrum Indonesia @ MDP Training Center
85
Spectrum Indonesia
WEB-PROXY + QUEUE
86
Spectrum Indonesia
WEB PROXY + QUEUE
Direct
HITMISS
87
Spectrum Indonesia
WEB-PROXY + QUEUE
PREROUTING
ROUTINGDECISION
INPUTINTERFACE
POSTROUTING
OUTPUTINPUT
LOCALPROCESS-IN
LOCALPROCESS-OUT
INTERFACEQUEUE
OUTPUTINTERFACE
FORWARD
Direct
HITMISS
88
Spectrum Indonesia
WEB-PROXY + QUEUE
Untuk traffic HIT, ditandai di OUTPUT, dengankarakteristik DSCP/TOS = 4 (angka 4 ini bisa diganti)Untuk traffic MISS, ditandai di OUTPUT namunDSCP/TOS != 4Untuk traffic DIRECT, ditandai di PREROUTING
Traffic ini sekaligus akan menandai traffic upload dari client
Spectrum Indonesia @ MDP Training Center
89
Spectrum Indonesia
WEB-PROXY + QUEUE (MANGLE)
90
Spectrum Indonesia
WEB-PROXY + QUEUE (SIMPLE QUEUE)
Simple Queue digunakan karena konfigurasi lebihsederhanaKita akan membuat 3 limiter untuk Direct, Hit, dan MissKetiganya menggunakan IP yang sama namun ditandaidengan packet-mark yang berbeda
91
Spectrum Indonesia
WEB-PROXY + QUEUE
Spectrum Indonesia
92
Q & AMuhti Subiyantoro – [email protected] Darmawan – [email protected]