Lab 24. Nstreme MikrotikOS.

Nstreme ini adalah salah satu fitur dari mikrotik,
yang memungkinkan untuk meningkatkan performasi link, terutama untuk link jarak jauh,
jadi, bila menggunakan mikrotik dengan jarak yang jauh, mending pakek Nstreme aja.
gini caranya. misal topologi.

untuk mengaktifkan NStreme terdapat pada menu  wirelees> interface wlan1>tab nstreme.
perhatikan gambar di atas.
setting pada sisi router AP.
setting pada sisi AP memungkinkan pengaturan frame policy dan frame limits untuk mendapatkan hasil terbaik.

kita enable kan nstreme nya.

sekarang pada sisi router station
pada sisi station hanya terdapat pengaturan enable nstreme saja, frame policy dan frame limits mengikuti AP.

dan apabila sudah terkoneksi, cobalah tes bandwidth, dengan nstreme dan tanpa nstreme aturlah nilai freme limit pada sisi AP agar mendapatkan hasil maksimal.

• selain nstreme ada juga Nstreme dual.

nah, Nstreme dual ini, memanfaatkan keunggulan nstreme (poling based) namun namun menggunakan dua interface sekaligus, yaitu 1sebagai TX dan satu lagi sebagai RX, seperti gambar di bawah ini.

untuk menjalankan nstreme dual routerboard ini harus mempunyai minimal 2 intreface wireless.

caranya pertama tama add interface nstreme dual, mode wireless wlan 1 dan wlan 2 harus di ubah menjadi nstreme-dual-slave.

kemudian untuk konfigurasi frekuensi dan band tidak lagi di atur oleh interface fisik, melainkan diatur oleh interface nstreme dual.

Lab 23. Cara membuat Virtual Acces Point (Mikrotik).

bagaimana seh,,virtual access point itu..
membuat virtual access point, gimana caranya...?
virtual access point, itu kita membuat lagi access point (AP) dalam AP, jadi seakan kita bisa membuat banya AP hanya dengan 1 perangkat saja.
virtual AP akan jadi anaknya dari AP yang asli/ wlan (interface asli), dan dapat di setting dengan nama SSID yang yang berbeda , namun tetap menggunakan frekuensi dan band yang sama dengan wlan induk/wlan yang asli.
Virtual AP itu sifat nya sama dengan AP nya, yaitu :
Dapat di koneksikan dengan station /client.
Dapat di fungsikan sebagai DHCP server.
Dapat di fungsikan sebagai hotspot.
kalo mau coba, buatlah virtual AP sebanyak banyaknya pada router dan nama SSID yang berbeda untuk masing masing virtual AP.
kita bisa lihat di menu wireless.

kita buat virtual AP yang banyak.

dan ketika kita scan di router satunya akan tampak virtual AP yang kita buat.

pada gambar di atas terlihat bahwa semua virtual Access Point yang terbentuk memiliki channel frequensi yang sama dengan AP induk nya, walaupun SSID yang berbeda.

kita juga bisa membuat DHCP server untuk masing masing virtual interface yang terbentuk.

Lab 22. setup koneksi wireless (mikrotik).

koneksi terjadi antara acces point (AP) dengan satu atau lebih station atau client,
koneksi terjadi apabila ada kesamaan dalam SSID dan juga kesamaan band nya. station secara otomatis akan mengikuti channel frekuensi pada acces point (AP). staion hanya dapat melakukan scan AP dengan list channel frekuensi yang di set pada station.

mode wireless mikrotik dapat di kelompokkan menjadi 2, yaitu :
AP Mode

• AP-bridge = yaitu wireless difungsikan sebagai acces point.
• Bridge = hampir sama dengan ap bridge, namun hanya bisa di koneksikan oleh 1 station/client saja, mode ini biasanya digunakan untuk point to point.

Station Mode

• Station = scan dan connect AP dengan frequensi dan SSID yang sama, mode ini tidak dapat di bridge.
• Station-WDS = sama seperti station, namun membentuk koneksi WDS (wireless distribution system) dengan AP yang menjalankan WDS.
• Station-pseudobridge = sama seperti station, dengan tambahan mac address translation untuk fungsi bridge.
• Station-pseudobridge-clone = sama seperti station pseudobridge, namun menggunakan station-bridge-clone-mac address untuk koneksi ke AP.

special Mode

• allignment-only = mode trasmit secara terus menerus digunakan untuk positioning antena jarak jauh.
• nstreme-dual-slave = digunakan untuk system nstreme-dual.
• WDS-slave = sama seperti AP bridge, namun melakukan scan ke AP dengan SSID yang sama dan melakukan koneksi dengan WDS. apabila link terputus, akan melanjutkan scanning.

nah sekarang kita akan mencoba koneksi AP wireless:
buatlah koneksi antara AP dan client berpasangan antara dua router.

salah satu menjadi AP, salah satu menjadi station, samakan SSID, frekuensi dan band nya.
setting di AP:

 setting di station:

tambahkan IP address pada masing-masing wlan pad AP dan station,
IP AP.

IP Station.

dan pastikan link sudah terkoneksi dan dapat dilakukan ping ke masing masing IP address.
cobalah gunakan tool freq. usage dan snooper untuk mencari signel frekuensi yang maksimal (ccq tertinggi).
lakukan tes ping, dan banwidth menggunakan tool>banwidth test.

Lab 21. wireless encryption mikrotik.

untuk pengamanan koneksi wireless, tidak hanya cukup dengan Mac-filtering, karena data yang lewat ke jaringan juga bisa di ambil dan analisa.
terdapat metode keamanan lain yang dapat di gunakan.
antara lain yaitu :
- authentication (WAP-PSK, WPA-AEP).
- Encripsi (AES, TKIP, WEP ).
- Tunnel
jika ingin pilihan wireless encription terdapat pada menu wireless > security profile.

Lab 20. MAC address filtering mikrotik.(wireless)

kali in kita akan mencoba memfilter dengan mac address yaitu dengan alamat yang di bawah oleh perangkat nya.

kita akan coba untuk memfilter mac address agar koneksi point to point anda dengan partner tidak mudah di kacaukan oleh koneksi lain.

jangan lupa memasukkan data mac address wireless partner ke list yang benar , jika sebagai station masukkan dalam konnect-list, apabila sebagai AP masukkan dalam access-list.

untuk setting wireless pada AP, default authenticate harus di uncheck, agar tidak semua client bisa terauthentikasi secara otomatis.

Lab 19. Tranparent DNS firewall, (mikrotikOS).

disini kita akan menredirect semua traffic dns request menjadi ke DNS nawala.
jadi jika ada yang nyambung ke internet ke youtube misal nya, maka lari nya akan ke web sita nawala.
dengan bayangan topologi seprti berikut.

buatlah rule untuk redirect port 53 baik itu protocol TCP dan UDP, pada menu  IP>firewall >NAT:

chain=dst.nat to-ports=53 protocol=udp dst.port=53 action=dst.nat to-
dan
chain=dst.nat to port=53 protocol=udp dst-port=53 action=dst-nat to-address=180.131.144.144

 action yang di pake "dst-nat"rule ini akan memaksa semua user yang menggunakan DNS apapun pada PC nya akan di ganti dengan dns server nawala ,rule ini me redirect semua request port 53 ke IP 180.131.144.144 port 53.

cobalah akses web porno, seperti playboy.com dll.

cobalah ganti dns laptop menggunakan dns google 8.8.8.8, apakah masih bisa digunakan untuk membuka situs porno..?

tranparent dns ini juga bisa dilakukan dengan cara membolehkan semua traffic request dns (port 53) dari user ke IP dan port 53 internal router. nat action yang di gunakan adalah "redirect" atau "dst.nat".

dalam hal ini DNS router harus diset dulu ke server yang kita inginkan ( misal ke DNS nawala ), dan check pilihan allow remote request pada menu  IP>DNS>DNS setting.

cobalah akses kembali domain2 yang berbau porno. :P.

Lab 18 . Membuat Rule untuk DMZ mikrotikOS.

DMZ gan,itu adalah suatu service tertentu dalam zona prifat (local area Network) yang dapat di akses dari luar (internet) dengan metode port forwarding.
disini kita akan mencoba salah satu web server kita di jaringan lokal, dapat di akses dari lua, yaitu dari internet.

coba fungsikan salah satu dari client pada LAN 1 sebagai web server yang bisa di akses dari IP luar (WAN).
topologinya adalah sebagai berikut.

jalankan web server di laptop anda dengan program WAMP,XAMP, dll.

agar web serer dalam jaringan LAN 1 bisa di aksesdari luar, maka harus di buatkan rule dst.nat pada menu IP> firewall >NAT.

rule ini dapat di artikan jika kondisi traffic menuju jaringan yang di NAT (LAN 1), pada protocol TCP port 80 ( http ), maka di arahkan ke web server pada LAN 1.
untuk mencoba hasil dari dst.nat coba diakses IP wlan 1 router peserta 1 via web broswer dari LAN 2,
coba non aktifkan rule dan akses kembali , apa yang akan terjadi..?
. (perhatikan topologi yang di atas)

Lab 17. Membuat Rule Connection State MikrotikOS.

Rule connection state agar router mikrotik kita lebih aman dan menghemat resource,
biasanya setiap firewall di awali dengan filtering connection state.
mari kita buat gan,,..

buatlah filter rule untuk connection state invalid :
connection state invalid > drop.
di menu IP > firewall > general > chain = input > connection state= invalid> action drop.

dan untuk action nya kita pilih drop.

nah,,.. sekarang, dengan cara yang sama buatlah  filter rule untuk connection state yang sisanya :
- connection state establised > accept
- connection state related > accept
- connection state new > passtrough.

nah, dengan system rule ini, akan sangat menghemat resource router,
karena proses filtering selanjutnya akan di lakukan ketika koneksi dimulai ( connection state new).

Lab 16. Connection Traking & State mikrotikOS.

ternyat gan, connection tracking bisa dilihat.
connection tracking dapat dilihat pada menu > IP > firewall > connection.

connection tracking mempunyai kemampuan untuk melihat informasi koneksi yang melewati router, seperti  source dan destination IP dan Port yang sedang di gunakan, status koneksi,tipe protocol dan lain-lain.

setiap paket data itu memiliki status koneksi ( connection started ) yang dapat dilihat pada connection tracking, ini gan, status koneksi nya :

• established = paket tersebut adalah bagian dari koneksi yang telah dikenal.
• New = paket tersebut memulai koneksi baru atau memiliki koneksi yang belum melihat paket di kedua arah.
• related = paket tersebut memulai koneksi baru, tetapi yang berhubungan dengan koneksi yang ada, seperti FTP transfer data atau pesan icmp yang error. 
• invalid = paket tersebut tidak tergabung dalam connetion yang dikenal dan pada saat yang sama,paket teresbut tidak membuka koneksi baru yang valid. 

 ini gan gambaran status koneksi / connection state :

Lab 15. Block Situs dengan Address list. ( firewall ).

sekarang mari kita coba blocking sebuah situs dengan address list.
seprti postingan sebelumnya kita akan coba blocking youtube.com. tapi kali ini dangan address list,
langusung saja kita coba...
beberapa ip youtebe yang akan kita block.

pertama buatlah address list untuk IP youtube, misalkan kita beri nama IP-youtube.
kita bisa ste di menu IP>firewall> address list.

kemudian buat filter rule untuk drop address list IP-youtube.
pada tabs advances, Dst.address list = < nama address list yang telah kita buat>.

kita juga dapat mengatur client mana sajakah yang di perbolehkan akses ke youtube dengan mengatur Rsc.address nya pada filter rule nya, atau mendefinisikan terlebih dahulu kelompok ip client pada address list,kemudian baru dilakukan action untuk kelompok client tersebut.
silkan coba sendiri.....
terimahkasih.........................:D

Lab 14. block situs web via mikrotikOS firewall.

disini kita akan melakukan simulasi pengamanan jaringan local, yang memiliki akses keluar ( internet ).
misal kita ingin membatasi client yang nyambung dengan router kita agar tidak bisa akses youtube misalnya.

coba batasi semua client agar tidak bisa mengakses youtube,.
gimana caranya...?
sebelumnya kita harus tau dulu IP server dari youtube, bisa dengan perintah nslookup pada MSDOS (cmd), untuk mengetahui IP-IP yang digunakan oleh domain youtube.com.

disini kita dapat lihat , bahwa youtube.com menggunakan IP 173.194.38.xxx seperti gambar yang di atas.

tapi kita juga dapat mengetahui IP dari domain youtube.com dengan melakukan ping.

youtube memiliki beberapa IP server, namun yang aktif saat ini adalah IP 173.194.38.134.
agar firewall lebih valid, kita akan blog semua IP server youtube.

pertama, buatlah filter rule, chain=forward, dst.address=173.194.38.134, action=drop.

ulangi seperti itu ke semua dari semua ip youtube tadi.

sekarang cobalah akses youtube dari browser laptop, apakah yang akan terjadi...
check pada firewall rule, chain mana yang byte nya counter.

kita juga dapat mendefinisikan IP address terlebih dahulu pada address list, sebelum di buatkan rule address list tersebut.

terimah kasih......

Lab 13. Firewall Loginng mikrotikOS.

firewall loging adalah fitur untuk mencatat ( menampilkan pada log) aktifitas yang jaringan, yang kita inginkan.
 jadi router akan mencatat aktifitas jaringan dan kemudian akan ditampilkan di log nya.
cobalah untuk me log semua ping yang mengarah ke IP public router kita.

buatlah filter rule dulu, di menu IP > firewall > filter rules, untuk login semua  protocol icmp yang mengarah ke interface luar.

kemudian action nya.

atau bisa juga dengan script yang dapat di eksekusi langsung pada terminal mikrotik.

chain=input protocol=icmp in-interface=wlan1 action=log log-prefix="pinger".

cobalah ping dari laptop IP interface wlan1 dan amati log pada router :

Lab 12 . filter mikrotikOs firewall ( drop few, accept any ).

nah di potingan sebelumnya kita membuat filtering accept few dan drop any, yang mana hanya ip laptop tertentu saja yang bisa digunakan,
sekarang kita akan membuat bagai mana agar hanya ip laptop tertetu yang gak bisa di gunakan,
misal kita ingin ip laptop 129.168.88.2 itu gak bisa konek internet lewat router kita, tapi selain ip laptop tersebut bisa. gimana caranya..? yaitu dengan strategi drop few, accept any.

buat IF condition di menu ip> firewall> filter rule> ganeral.
IF ( jika ) ada traffic yang menuju ke arah router ( chain=input0. berasal dari ip laptop tersebut (rsc.address = 129.168.88.2 )

 buat THEN condition di menu action, paket akan di "drop", kemudian apply.

sebenernya dengan konfigurasi ini saja sudah cukup untuk memfilter ip laptop tersebut. hanya drop few saja.
tapi kalo ingin accept any juga gak papa..
buat lagi IF condition chain input.

dan then action accept.

maka akan jadi filter yang mana hanya ip laptop tadi yang gak bisa konnek, dan yang lain masih bisa konek....

Lab 11. Filter rule, Protecting RouterMikrotik ( accept few, drop any ).

oke,...
sekarang kita belajar gimana memfilter atau memprotect melindungi router .,
coba buat firewall filter yang memperbolehkan hanya IP laptop sendiri yang hanya bisa di akses router.

kita akan membuat rule ini dengan strategi accept few & drop any.
berarti chain yang di gunakan adalah "input" kerena kita akan melakukan filtering traffic yang yang menuju arah router.
buatlah IF condition di menu IP> firewall > filter > general.
IF (jika) ada traffic yang menuju router ( chain = input ) berasal dari laptop (src.address =192 168.xx.2 ).

buat THEN condition menu Action, paket akan di "accept", kemudian klik apply.

kita sudah melakukan accept hanya IP laptop kita aja,( accept few ). sedangkan jadi selain laptop kita dibuat kan rule untuk di drop ( drop any )
jadi buat lagi IF condition di menu IP> filter rules > general, IF any traffic.

dan acition nya di "drop".

 nanti akan ada 2 chain filter rule, perhtikan perhatikan jumlah byte pada setiap chain rule ketika melakukan adses ke router, tetap ataukah bertambah..?

selesai, jadi kita sudah buat filtering, yang mana hanya ip laptop kita saja yang bisa pakai.
terimahkasih..