Mikrotik didirikan pada tahun 1996 di Latvia untuk memproduksi perangkat keras dan lunak jaringan. RouterOS adalah software berbasis Linux yang dirancang khusus untuk manajemen jaringan, sementara RouterBoard adalah perangkat keras jaringan kompak yang menjalankan RouterOS. Firewall berfungsi untuk mengecek dan memodifikasi lalu lintas paket data dengan mengizinkan, menolak, atau menjatuhkan paket sesuai dengan aturan yang dibuat.
2. Sejarah Mikrotik
Mikrotik didirikan pada tahun 1996
di negara Latvia
Memperoduksi perangkat keras &
perangkat lunak untuk jaringan.
Dalam bahasa Latvia, menyebutnya
Mikrotikls yang berarti
"Network Kecil"
@Ridwan_G4
3. Mikrotik Produk
• RouterOS (ROS)
Merupakan software berbasis Linux yang didesign khusus untuk
management jaringan.(Juga dapat diinstall pada PC biasa Routeros-x86)
• RouterBoard (RB)
Merupakan perangkat keras jaringan yang didesign secara compact &
menggunkan sistem operasi RouterOS
@Ridwan_G4
5. Penamaan Produk
RB 9 2 1 UAGS – 5SHPacD – NM
Feature Wireless
Feature RouterBoard
Wireless
Jumlah Ethernet Jenis Casing RouterBoard
900 Series
• RouterBoard
Detail info :
https://wiki.mikrotik.com/wiki/Manual:Product_Naming@Ridwan_G4
6. Fitur Board :
• U : USB R : MiniPCIe
• P : PoE-Out E : PCIe
• i : Single Poe-Out S : SFP
• A : RAM L : Light Edition
• H : CPU G : Gigabit Ethernet
Jenis Casing :
• BU : Board Unit SA : Sectoral Antena
• RM : Rack Mount HG : High Gain Antenna
• IN : Indoor Enclosure BB : BaseBox Enclosure
• EM : Extended Memory NB : Netbox Enclosure
• LM : Light Memory NM : NetMetal Enclosure
• BE : Black Edition QRT : QRT Enclosure
• TC : Tower Case SX : Sextant Enclosure
• Out : Outdoor Enclosure PB : Powerboxx Enclosure
Penamaan Produk
@Ridwan_G4
Detail info :
https://wiki.mikrotik.com/wiki/Manual:Product_Naming
7. Band :
• 5 : 5GHz
• 2 : 2GHz
• 52 : Dualband 5GHz/2GHz
Number of Chain :
• D : Dual Chain
• T : Triple Chain
5 SHP ac D
• Band Power Protocol Number of Chain
Power :
• H : High (23-24dBm)
• HP : High Power (25-26dBm)
• SHP : Superhigh Power (>27dBm)
Protocol :
• n : 802.11n
• ac : 802.11ac
Penamaan Produk
@Ridwan_G4
8. RouterOS Package
Package Fungsi
Advanced Tools Advanced ping tools, netwatch, ip-scan, sms, WOL
DHCP DHCP Server & Client
Hotspot Hotspot Captive Portal
IPv6 Support IPv6
MPLS Support MPLS
PPP PPP, L2TP, PPPoE, PPTP, SSTP, OpenVPN
Routing RIP, BGP, OSPF, Fungsi dynamic routing filter
Security IPSec, SSH, Secure Winbox
System Default Router feature (static route, ip address, telnet, firewall, queue, webproxy, dns, tftp, snmp, etc
Wireless-CM2 Support Capsman
Wireless-FP Support Fastpath
Detail info:
https://wiki.mikrotik.com/wiki/Manual:System/Packages@Ridwan_G4
9. Licence Level
Feature Level 3 Level 4 Level 5 Level 6
Wireless CPE/PTP Yes
Wireless AP No Yes
Sync Interface No Yes
EoIP, Vlan Yes
PPPoe, PPTP, L2TP 200 200 500 Unlimited
OpenVPN 200 200 Unlimited
Firewall, Queue Unlimited
Proxy, Radius Client Yes
Dynamic Routing Yes
Hotspot Active User 1 200 500 Unlimited
User Account Manager 10 20 50 Unlimited
Level 0 = Full Feature Trial 24jam, Level 1 = Hanya bisa mengaplikasikan 1 Rule dalam 1 feature
14. General Command CLI
add Menambahkan entri tertentu
Commend Menambahkan komentar pada suatu entri
Disable Menonaktifkan entri tertentu
Enable Mengaktifkan entri tertentu
Monitor Memonitor parameter secara live
Print Menampilkan semua entri
Print detail Menampilkan semua entri secara detail
remove Mengahpus entri tertentu
Set Mengubah parameter tertentu pada sebuah entri
Detail info :
https://wiki.mikrotik.com/wiki/Manual:Scripting
CLI (Command-line Interface)
@Ridwan_G4
15. Basic Router Configuration
Simulasi
Topologi Jaringan
Internet
10.10.10.1
Internet Address (WAN)
ether 1 - 10.10.10.2
Local Address
ether 2 - 192.168.1.1
Client Address - DHCP
ether 2 - 192.168.1.XXX
@Ridwan_G4
16. Basic Router Configuration
• Konfigurasi ether1 sebagai backbone dari ISP
• /ip address add address=10.10.10.2/24 interface=ether1
• Konfigurasi ether2 sebagai jaringan ke local atau client.
• /ip address add address=192.168.1.1/24 interface=ether2
• Konfigurasi Routing – Default Gateway
• /ip route add gateway=10.10.10.1
• Konfigurasi DNS
• /ip dns set server=10.10.10.1 allow-remote-request=yes
• Konfigurasi NAT
• /ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
@Ridwan_G4
17. Basic Router Configuration
Troubleshoot!
• Test ping dari router ke gateway.
Jika error : Cek IP Address pada ether 1
• Test ping dari router ke internet.
Jika error : cek DNS Server Setting.
• Test ping dari laptop ke gateway.
Jika error : Cek konfigurasi Firewall – NAT
• Test ping dari laptop ke internet.
Jika error : cek setting DNS Pada laptop dan router.
@Ridwan_G4
18. ./Pre-Test!
• Perhatikan konfigurasi berikut :
/ip address
add address=10.10.10.4/24 interface=ether1
add address=192.168.100.1/24 interface=ether2
/ip route
add gateway=10.10.10.1
/ip dns
set server=10.10.11.5 allow-remote-request=no
Soal :
1. Apakah Router sudah bisa melakukan
ping ke 8.8.8.8 / google.co.id ?
2. Apakah Client pada ether2 bisa melakukan
ping ke domain google.co.id ?
@Ridwan_G4
19. Basic Router Configuration - DHCP
• Konfigurasi DHCP Server pada ether2
@Ridwan_G4
/ip dhcp-server setup
20. Basic Router Configuration - DHCP
• DHCP Server
(Dynamic Host Configuration Protocol)
Digunakan untuk secara dinamik mendistribusikan konfigurasi jaringan kepada
client.
Konfigurasi Berisikan :
• IP address & Netmask
• IP Address default Gateway
• Konfigurasi DNS & NTP Server
• Dan masih banyak lagi
@Ridwan_G4
Detail info :
https://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Server
21. Basic Router Configuration - DHCP
• DHCP Lease
/ip dhcp-server lease print
Berisikan semua list IP Address yang sudah diberikan kepada user / client.
@Ridwan_G4
22. Basic Router Configuration - DHCP
• DHCP Static Lease / MAC Address Reservation
Agar client selalu mendapatkan IP yang sama, bisa menggunakan static lease
/ip dhcp-server lease add address=192.168.4.X mac-address=28:D2:44:69:9B:B0 comment=“static IP laptop”
@Ridwan_G4
23. Basic Router Configuration – IP POOL
• IP Pool
Merupakan daftar range IP yang akan diberikan oleh Router.
Service yang disupport :
• DHCP
• Hotspot
• VPN
@Ridwan_G4
24. ./Pre-Test!
• DHCP Server dan Client, dapat diaktifikan di satu interface yang sama.
(Benar/Salah) =
• IP Pool, dapat dikonfigurasi secara manual & bisa berisikan IP tidak satu
segment.
(Benar/Salah) =
@Ridwan_G4
26. RouterOS Tools
Selain sebagai router, Mikrotik RouterOS juga tersedia berbagai macam tools
yang dapat digunakan untuk memonitoring jaringan atau device Mikrotik
@Ridwan_G4
Detail info:
https://wiki.mikrotik.com/wiki/Manual:Tools
27. RouterOS Tools
• Bandwidth Test
@Ridwan_G4
Detail info:
https://wiki.mikrotik.com/wiki/Manual:Tools/Bandwidth_Test
28. RouterOS Tools
• Profiler
Dapat menunjukkan penggunaan CPU Usage
dari setiap service yang berjalan di RouterOS
@Ridwan_G4
Detail info:
https://wiki.mikrotik.com/wiki/Manual:Tools/Profiler
29. RouterOS Tools
• Netwatch
Mampu memantau status host di jaringan.
Netwatch mengirimkan ping ICMP ke
suatu alamat IP.
@Ridwan_G4
Detail info:
https://wiki.mikrotik.com/wiki/Manual:Tools/Netwatch
30. RouterOS Tools
• Traceroute
Traceroute dapat menunjukkan jumlah hop yang
dilewati dalam menuju suatu host.
@Ridwan_G4
Detail info:
https://mikrotik.com/documentation/manual_2.5/Tool/Traceroute.html
31. RouterOS Tools
• Torch (Realtime Traffic Monitor)
Mampu memonitor lalu lintas data.
pada suatu interface atau bedasarkan
port, protocol, alamat IP.
Detail info:
https://mikrotik.com/testdocs/ros/2.9/tools/torch.php@Ridwan_G4
34. Bridging, Switching & Routing
Routing
adalah proses menentukan jalur lintas data untuk sampai pada sebuah tujuan. (OSI Layer 3)
Gateway harus IP address dari router yang ada didepannya.
• Router B, jika akan ke internet harus melewati router A. Pada router B gatewaynya harus diset ke Router A.
• Begitu juga dengan laptop, karena melewati Router B jika ke internet, maka gatewaynya Router B
10.10.10.X/24 10.10.11.X/24 10.10.12.X/24
Router A Router B
@Ridwan_G4
35. Bridging, Switching & Routing
Route Type
• Static Route
Merupakan informasi routing yang dibuat secara manual oleh user untuk menentukan jalur mana yang akan digunakan
• Dynamic Route
Merupakan informasi routing yang dibuat secara otomatis oleh router.
AS = Active
Static
DAC =Dynamic
Active
Connected
@Ridwan_G4
36. Bridging, Switching & Routing
Switching
Digunakan untuk menggabungkan interface yang bertipe ethernet kedalam sebuah
broadcast domain / network yang sama. Switching mampu melakukan forwarding frame
ethernet secara full duplex dan independen tanpa membebani prosesor di Router. Untuk
melakukan Switching dibutuhkan hardware khusus yakni switch chip yang ditanam di
routerboard.
Bridging
Digunakan untuk menggabungkan beberapa interface yang berbeda menjadi satu
segmant. Bridging bekerja dilevel software, maka paket data yang masuk akan terbaca
dahulu di prosessor sehingga menyebabkan CPU-Loadnya akan naik.
@Ridwan_G4
37. Bridging, Switching & Routing
Feature Bridge Switch
Resource Software Hardware
Platform Semua (RB / PC} Hanya pada RB tertentu
Interface Ethernet, Vlan, Wirelles, SFP, Tunnel Ethernet
Monitoring Support Tidak
Firewall Support Tidak
Speed Slower (CPU Usage) Faster (Hardware)
Bridge vs Switch
@Ridwan_G4
43. Firewall
Firewall - Action
• Accept
Paket diterima dan tidak melanjutkan membaca baris berikutnya
• Drop
Menolak paket secara diam-diam (tidak mengirimkan pesan penolakan ICMP)
• Reject
Menolak paket dan mengirimkan pesan penolakan ICMP)
• Tarpit
Menolak, tetapi tetap menjaga TCP connections yang masuk (membalas dengan SYN/ACK untuk paket TCP SYN yang
masuk)
• Log
Menambahkan informasi paket data ke log
@Ridwan_G4
Detail info:
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
44. Firewall
• Firewall Filter – Input
Membloki koneksi service ssh (port 22) yang masuk ke router.
/ip firewall filter
add chain=input action=drop protocol=tcp dst-port=22 in-interface=ether1
• Firewall Filter – Forward
Membloki user yang melakukan ping ke alamat 8.8.8.8
/ip firewall filter
add chain=forward action=reject protocol=icmp dst-address=8.8.8.8 out-interface=ether1
• Firewall Filter – Output
Membloki router yang melakukan ping ke alamat 8.8.8.8
/ip firewall filter
add chain=output action=drop protocol=icmp dst-address=8.8.8.8 out-interface=ether1
@Ridwan_G4
Detail info:
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter#Basic_examples
45. Firewall
Network Address Translator (NAT)
Merupakan sebuah fitur dalam firewall untuk merubah IP atau Port yang ada didalam packet
header.
src-address= IP Laptop
dst-address= IP Google
src-address= IP Router
dst-address= IP Google
src-address= IP Google
dst-address= IP Laptop
src-address= IP Google
dst-address= IP Router
@Ridwan_G4
Detail info:
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
46. IPv4 Private Network
• RFC 1918 (Address Allocation for Private)
digunakan untuk jaringan area lokal (LAN) di lingkungan perumahan, perkantoran, dan perusahaan.
• Pengalokasian IP public diatur oleh organisasi yang disebut IANA (Internet Assigned Numbers Authority).
IPv4 ataupun IPv6 pada dasarnya dialokasikan secara terstruktur. Karena IP public dalam penggunaan nya
memerlukan registrasi sebelum dialokasikan.
RFC 1918 IP Range Total
Jumlah IP
Subnet
Mask
Host id size Mask bits Description
24-bit block 10.0.0.0 –
10.255.255.255
16,666,217 /8 24 bits 8 bits Single Class A
Network
20-bit block 172.16.0.0 –
172.31.255.255
10,048,576 /12 20 bits 12 bits 16 Contiguous
Class B Network
16-bit block 192.168.0.0 –
192.168.255.255
65,536 /16 16 bits 16 bits 256 contiguous
class C Network
@Ridwan_G4
Detail info:
https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
47. Firewall
Firewall - NAT
• srcnat (Source NAT)
Digunakan untuk merubah paket header yang berasal dari jaringan lokal menuju luar.
srcnat dapat merubah packet header alamat IP natted menjadi alamat IP Gateway.
Proses srcnat dikerjakan sesudah routing saat sebelum paket keluar menuju jaringan.
• dstnat (Destination NAT)
Digunakan untuk merubah paket header yang berasal dari luar menuju jaringan lokal.
dstnat dikerjakan saat sebelum routing saat paket masuk ke gateway.
Contoh penggunaan : Port Forward, Port Mapping, transparent.
@Ridwan_G4
Detail info:
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
48. Firewall
Firewall - NAT
• srcnat (Source NAT)
/ip firewall nat
add chain=srcnat action=masquerade out-interface=ether1
masquerade merupakan teknik penggantian otomatis IP Address private/lokal menjadi IP Address publik yang ada di router
Mikrotik.
@Ridwan_G4
Detail info:
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Source_NAT
49. Firewall
Firewall - NAT
• dstnat (Distination NAT)
/ip firewall nat
add chain=dstnat action=dst-nat comment="Forward RDP" dst-address=11.12.13.5 dst-port=3389 protocol=tcp
to-addresses=192.168.1.15 to-ports=3389
Mikrotik Router
11.12.13.5
Public IP
Remote Desktop Server
192.168.1.15
Private IP
RDP Client
Internet
@Ridwan_G4
Detail info:
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Destination_NAT
50. list of TCP and UDP port numbers
• Ports 0 to 1023 are Well-Known Ports.
• Ports 1024 to 49.151 are Registered Ports
(often registered by a software developer to
designate a particular port for their
application)
• Ports 49.152 to 65.535 are Public Ports
Port Protocol Description
21 TCP FTP Service
22 TCP/UDP SSH Service
23 TCP/UDP Telnet Service
25 TCP/UDP SMTP Service
110 TCP POP3 Service
80 TCP HTTP Service
443 TCP HTTPS Service
445 UDP Windows SMB
3389 TCP/UDP Windows RDP
8291 TCP Winbox
1723 TCP PPTP Service
1701 UDP L2TP Service
123 UDP NTP Service
@Ridwan_G4
Detail info:
https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
53. Bandwidth Management
Simple Queue
/queue simple
add comment=“staff_limit" target=192.168.1.0/24 dst=0.0.0.0/0 max-limit=5M/5M name=“staff" parent=none
priority=8/8 queue=default-small/default-small disabled=No.
Target = Dapat berupa single/multiple IP Address atau interface.
• target= 192.168.2.15/32
• dst= stech.id / alamat IP
• Priority : 1 = tertinggi
• Priority : 8 = terendah
Staff Network
192.168.1.XXX
Internet
Pembagian bandwithnya adalah :
• Limit-At = Total Bandwith : Jumlah Client
• Max-Limit ≤ Total Bandwith
@Ridwan_G4
Detail info:
https://wiki.mikrotik.com/wiki/Manual:Queue
54. Bandwidth Management
Simple Queue – Parent
• Parent queue harus dibuat terlebih dahulu untuk membantu router menentukan Total bandwith yang dimiliki.
/queue simple
add target=ether1-WAN dst=0.0.0.0/0 max-limit=10M/10M name=“Total Bandwidth" parent=none priority=8/8
queue=default-small/default-small disabled=no
• Child queue, dibuat untuk melakukan limitasi setiap clientnya.
/queue simple
add target=192.168.1.0/24 dst=0.0.0.0/0 max-limit=2M/2M name=“STAFF" parent=Total Bandwidth priority=5/5
queue=default-small/default-small disabled=no
add target=192.168.2.0/24 dst=0.0.0.0/0 max-limit=5M/5M name=“SPV" parent=Total Bandwidth priority=2/2
queue=default-small/default-small disabled=no
@Ridwan_G4
Detail info:
http://www.mikrotik.co.id/artikel_lihat.php?id=53
55. Bandwidth Management
Rate Limitation Principles
Dalam mengontrol lalu lintas data yang dikirim atau diterima (upload/download) pada interface jaringan.
Rate limitasi dilakukan dengan 2 cara :
• Membuang semua packet yang melebihi batas limitasi (rate limiting).
• Menunda semua packet yang melebihi batas limitasi lalu memasukan ke antrian selanjutnya.(rate equalizing).
Pada RouterOS terdapat 2 buat limitasi :
CIR (Committed Information Rate)
Dalam Keadaan terburuk, client akan mendapatkan bandwidth sesuai dengan “limit-at” (dengan asumsi bandwitdh yang
tersedia cukup untuk CIR semua client)
MIR (Maximal Information Rate)
Jika masih ada bandwidth yang tersisa setelah semua client mencapai limit “limit-at”,
Maka client bisa mendapatkan bandwidth tambahan hingga “max-limit”
@Ridwan_G4
58. VPN Services
Point-to-Point Tunneling Protocol (PPTP)
Configurasi PPTP Server pada Mikrotik
• enable PPTP server:
/interface pptp-server server set enabled=yes
• Check status PPTP server:
/interface pptp-server server print
• Check koneksi aktif pada PPTP server:
/ppp active print
@Ridwan_G4
Detail info:
https://wiki.mikrotik.com/wiki/Manual:Interface/PPTP
59. VPN Services
@Ridwan_G4
Point-to-Point Tunneling Protocol (PPTP)
Create user PPTP Server :
/ppp secret add name=USER01 service=pptp password=rahasia local-address=10.10.5.1 remote-address=10.10.5.2
profile=default-encryption
• Sercret = Merupakan Local Database yang berisi informasi client dari VPN.
• Service = digunakan untuk menentukan service client. (secara dafault service=any)
• Default-profile = terdapat 2 opsi, menggunakan enkripsi atau tidak.
• Local-address = IP yang akan terpasang di sisi server setelah client login
• Remote-address = IP yang akan terpasang di sisi client setelah client login
Detail info:
https://wiki.mikrotik.com/wiki/Manual:Interface/PPTP#PPTP_Server
60. VPN Services
Point-to-Point Tunneling Protocol (PPTP)
• Configurasi PPTP client pada Mikrotik
/interface pptp-client add user=User01 password=rahasia connect-to=Server.IP disabled=no
• Username & Password = Sesuaikan dengan konfigurasi PPTP-Server.
• Connect-to = Alamat dari PPTP-Server.
• Add-Default-Route = Menjadikan koneksi PPTP sebagai gateway utama
@Ridwan_G4
Detail info:
https://wiki.mikrotik.com/wiki/Manual:Interface/PPTP#PPTP_Client
62. ./Pre-Test
Tips !
• Materi Test membahas konfigurasi dasar, features, dan dasar jaringan.
• Soal terdiri dari 25 pertanyaan dan dikerjakan dalam waktu 1jam.
• Nilai 50% - 59%
Peserta dapat mengulang test.
• Nilai ≥ 65%
Peserta dinyatakan lulus test.
• Nilai ≥75%
untuk memenuhi salah satu syarat menjadi Mikrotik Academy.
@Ridwan_G4
63. ./Pre-Test
Type pertanyaan pada soal ujian MTCNA
• Selection
What kind of users are listed in the Secrets window of the PPP menu?
a. hotspot users
b. wireless users
c. l2tp users
d. pptp users
e. pppoe users
f. winbox users
@Ridwan_G4
64. ./Pre-Test
Type pertanyaan pada soal ujian MTCNA
• chose one, best answer
Which is correct masquerade rule for 192.168.0.0/24 network on the router with outgoing
interface=ether1?
oA./ip firewall nat add action=masquerade chain=srcnat
oB./ip firewall nat add action=masquerade chain=srcnat src-address=192.168.0.0/24
oC./ip firewall nat add action=masquerade out-interface=ether1 chain=dstnat
• D./ip firewall nat add action=masquerade chain=srcnat out-interface=ether1
@Ridwan_G4
65. ./Pre-Test
Type pertanyaan pada soal ujian MTCNA
• True or False
Using wireless connect-list it’s possible to prioritize connection to one Access Point over
another Access Point by changing the order of the entries.
False
True
@Ridwan_G4