Sie sind auf Seite 1von 9

Setting Mikrotik 2.9.

27 Disini gua tulis cara awal dan sederhana namun sudah cukup untuk konfigurasi rou ter menggunakan mikrotik. ======================= Subnetmask kelas C 255.255.255.0 = 24 -> .. .128 = 25 -> .. .192 = 26 -> .. .224 = 27 -> .. .240 = 28 -> .. .248 = 29 -> .. .252 = 30 -> .. .254 = 31 -> .. .255 = 32 ->

254 128 64 32 16 8 4 2 1

mesin mesin mesin mesin mesin mesin mesin mesin mesin

======================= 1. Selesai instalasi, login ke Mikrotik Mikrotik login = admin Password = (kosong, enter saja) Mikrotik 2.9.27 Mikrotik Login: MMM MMM MMMM MMMM MMM MMMM MMM MMM MM MMM MMM MMM MMM MMM KKK KKK KKK KKK KKKKK KKK KKK KKK KKK TTTTTTTTTTT TTTTTTTTTTT TTT TTT TTT TTT KKK KKK KKK KKK KKKKK KKK KKK KKK KKK

III III III III

RRRRRR OOOOOO RRR RRR OOO OOO RRRRRR OOO OOO RRR RRR OOOOOO

III III III III

MikroTik RouterOS 2.9.27 (c) 1999-2005

http://www.mikrotik.com/

Terminal vt102 detected, using multiline input mode [admin@Mikrotikl] > 2. cek kondisi interface atau ethernet card. [admin@Mikrotik] > interface print Flags: X - disabled, D - dynamic, R - running # NAME TYPE 0 R ether1 ether 1 R ether2 ether a. Mengganti nama interface [admin@Mikrotik] > interface(enter) b. Untuk mengganti nama Interface ether1 menjadi Public (atau terserah namanya), maka [admin@Mikrotik] interface> set 0 name=Public c. Begitu juga untuk ether2, misalkan namanya diganti menjadi Local, maka [admin@Mikrotik] interface> set 1 name=Local d. atau langsung saja dari posisi root direktori, memakai tanda ip / , tanpa tanda kut

RX-RATE 0 0

TX-RATE 0 0

MTU 1500 1500

[admin@Mikrotik] > /interface set 0 name=Public e. Cek lagi apakah nama interface sudah diganti. [admin@Mikrotik] > /interface print Flags: X - disabled, D - dynamic, R - running # NAME TYPE 0 R Public ether 1 R Local ether

RX-RATE 0 0

TX-RATE 0 0

MTU 1500 1500

Harap di ingat!! Colokan UTP dari Internet/Modem masuk ke PCILAN Public !! sama halnya juga dengan UTP ke PCILAN Local 3.Mengganti password default [admin@Mikrotik] > password old password: kosongkan(enter) new password: ***** retype new password: ***** 4.Mengganti nama hostname [admin@Mikrotik] > system identity set name=routergua [admin@routergua]> 5.Setting IP Address, Gateway, Masqureade dan Name Server a. IP Address : perintah dasar ip address add address={ip address/netmask} interface={nama interface} contoh : IP Internet/modem dari ISP = 202.1.1.1, Ip untuk Lan = 192.168.0.10 disini kita gunakan ip lan dengan 32 mesin/komputer (lihat pada Subnetmask kelas C) [admin@routergua] > ip address add address=202.1.1.1 netmask=255.255.255.0 interface=Public comment= IP ke Internet [admin@routergua] > ip address add address=192.168.0.10 netmask=255.255.255.224 interface=Local comment = IP ke LAN untuk melihat : [admin@routergua] >ip address print b. Gateway : gateway yg diberikan oleh ISP [admin@routergua] > ip route add gateway=202.1.1.2 untuk melihat : [admin@routergua] > ip route print Tes Ping ke Gateway untuk memastikan konfigurasi sudah benar [admin@routergua] > ping 202.1.1.2 202.1.1.2 64 byte ping: ttl=64 time<1 ms 202.1.1.2 64 byte ping: ttl=64 time<1 ms 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max = 0/0.0/0 ms [admin@routergua]> c. NAT (Network Address Translation) [admin@routergua] > ip firewall nat add chain=scrnat out-interface=Public action =masquerade

untuk melihat : [admin@routergua] ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat out-interface=Public action=masquerade d. Name server setting DNS dengan DNS yg telah ditentukan oleh ISP [admin@routergua] > ip dns set primary-dns=202.1.1.9 allow-remoterequests=no [admin@routergua] > ip dns set secondary-dns=202.1.1.10 allow-remoterequests=no untuk melihat : [admin@routergua] > ip dns print primary-dns: 202.1.1.9 secondary-dns: 202.1.1.10 allow-remote-requests: no cache-size: 2048KiB cache-max-ttl: 1w cache-used: 16KiB tes untuk akses domain : [admin@routergua] > ping yahoo.com 216.109.112.135 64 byte ping: ttl=48 time=250 ms 10 packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max = 571/571.0/571 ms [admin@routerku]> ==================== sampai disini, router sudah bisa digunakan dan bisa dikonfigurasi dengan mudah m elalui Winbox dengan komputer lain yang berada dalam 1 jaringan lan, yaitu denga n cara mengetik pada address browser ip router mikrotik,diatas kita contohkan ht tp://192.168.0.10, download winbox taruh di local hd, jalankan winbox dengan mem asukkan IP router, login dan password. ==================== Untuk konfigurasi Client gua disini menyarankan pake ip static, dimana kita lebi h mudah memonitoring client yang menggunakan router tersebut, kelemahannya ya ki ta secara manual mensetting tiap2 komputer client dengan IP static. konfigurasi ip pada client 1 : pada LAN di isi : ip address : 192.168.0.1 Subnet mask : 255.255.255.224 (atau bisa juga 255.255.255.0) Default gateway : 192.168.0.10 (IP router mikrotik yg menghubung ke LAN) Preferred DNS : 202.1.1.9 (ip primary dns dari ISP) Alternate DNS : 202.1.1.10 (Ip secondary dns dari ISP) lalu "OK" begitupula selanjutnya pada ip client yang lain, bedakan ip address saja, sedang kan subnet mask dan lain-lain sama seperti konfigurasi diatas. contoh ip pada client 2 : ip address : 192.168.0.2 <---- ini saja yg dibedakan Subnet mask : 255.255.255.224 (atau bisa juga 255.255.255.0) Default gateway : 192.168.0.10 (IP router mikrotik yg menghubung ke LAN) Preferred DNS : 202.1.1.9 (ip primary dns dari ISP) Alternate DNS : 202.1.1.10 (Ip secondary dns dari ISP) Ingat..!! jangan ada IP Client yang sama dalam 1 jaringan lan.

Tapi bila tetap ingin menggunakan DHCP server, konfigurasi mikrotik : a. Tambahkan IP address pool /ip pool add name=dhcp-pool ranges=192.168.0.1-192.168.0.30 b. Tambahkan DHCP Network dan gatewaynya yang akan didistribusikan ke client. Pada contoh ini networknya adalah 192.168.0.0/27 dan gatewaynya 192.168.0.10 /ip dhcp-server network add address=192.168.0.0/27 gateway=192.168.0.10 dnsserver=192.168.0.10 comment= " c. Tambahkan DHCP Server ( pada contoh ini dhcp diterapkan pada interface Local ) /ip dhcp-server add interface=local address-pool=dhcp-pool untuk melihat : [admin@routerku] > ip dhcp-server print Flags: X - disabled, I - invalid # NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP 0 dhcp1 Local d. Jangan Lupa dibuat enable dulu dhcp servernya /ip dhcp-server enable 0 selesai.. test dari client dengan tanpa mengkonfigurasikan IP address apapun di client ( Komputer client sudah terkonek melalui jaringan LAN dengan router mikro tik ) =================== OK..sekarang kita kembali ke router mikrotik dengan konfigurasi lebih lanjut. 1. Transparent Proxy Server Proxy server merupakan program yang dapat mempercepat akses ke suatu web yang su dah diakses oleh komputer lain, karena sudah di simpan didalam caching server.Tr ansparent proxy menguntungkan dalam management client,karena system administrato r tidak perlu lagi melakukan setup proxy disetiap browser komputer client karena redirection dilakukan otomatis di sisi server. Bentuk perintah konfigurasi : -> Setting web proxy : - ip proxy set enable=yes port={ port yang mau digunakan } maximal-client-connec tions=1000 maximal-server-connections=1000 - ip proxy direct add src-address={ network yang akan di NAT} action=allow - ip web-proxy set parent-proxy={proxy parent/optional} - ip web-proxy set hostname={ nama host untuk proxy/optional}

- ip web-proxy set port={port yang mau digunakan} - ip web-proxy set src-address={ address yang akan digunakan untuk koneksi ke pa rent proxy/default 0.0.0.0} - ip web-proxy set transparent-proxy=yes - ip web-proxy set max-object-size={ ukuran maximal file yang akan disimpan seba gai cache/default 4096 in Kilobytes} - ip web-proxy set max-cache-size= {ukuran maximal hardisk yang akan dipakai seb agai penyimpan file cache/unlimited} - ip web-proxy set cache-administrator={ email administrator yang akan digunakan apabila proxy error } - ip web-proxy set enable=yes contoh : (sesuai dengan konfigurasi awal kita diatas) a. Web proxy setting / ip web-proxy set enabled=yes src-address=0.0.0.0 port=8080 hostname= proxy.route rgua.com transparent-proxy=yes parent-proxy=0.0.0.0:0 cache-administrator= admin@ro utergua.com max-object-size=131072KiB cache-drive=system max-cache-size=unlimited max-ram-cache-size=unlimited Nat Redirect, perlu ditambahkan yaitu rule REDIRECTING untuk membelokkan traffic HTTP menuju ke WEB-PROXY. b. Setting firewall untuk Transparent Proxy / ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-p orts=8080 comment= " disabled=no / ip firewall nat add chain=dstnat protocol=tcp dst-port=3128 action=redirect to -ports=8080 comment= " disabled=no / ip firewall nat add chain=dstnat protocol=tcp dst-port=8000 action=redirect to -ports=8080 comment= " disabled=no perintah diatas dimaksudkan, agar semua trafik yang menuju Port 80,3128,8000 dib elokkan menuju port 8080 yaitu portnya Web-Proxy. untuk melihat hasil : /ip web-proxy print { untuk melihat hasil konfigurasi web-proxy} /ip web-proxy monitor { untuk monitoring kerja web-proxy} catatan : perlu di ingat, tranparent proxy mikrotik ini masih kurang bagus di ba nding squid pada linux. untuk lebih memaximalkan perintah diatas dengan mengkonf igurasikan browsing komputer client dengan mengisi proxy browsing client dengan ip web proxy mikrotik. contoh pada IE : buka IE pilih -> Tools -> internet options -> connections -> LAN Settings -> pad a kotak Proxy server diisi Address : 192.168.0.10 (IP router mikrotik) port : 8080 (Port yg digunakan pada ip web-proxy di mikrotik) lalu "OK" 2. Bandwidth Management QoS memegang peranan sangat penting dalam hal memberikan pelayanan yang baik pad a client. Untuk itu kita memerlukan bandwidth management untuk mengatur tiap dat

a yang lewat, sehingga pembagian bandwidth menjadi adil. Dalam hal ini Mikrotik RouterOs juga menyertakan packet software untuk memanagement bandwidth. Lebih simple menggunakan web address mikrotik, dalam hal ini kita menggunakan ht tp://192.168.0.10 masukkan login & password ke address tersebut, begitu sudah masuk, terdapat bany ak pilihan menu pada kiri browser tadi, pilihlah SimpelQueues, klik add, lalu ad a tampilan : Add New Simple Queue contoh kita ingin mengkonfigurasi client 1 dengan ip 192.168.0.1 Name: client-1 Out-Limit: 64k (besarnya upload yg di limit 64k) In-Limit: 128k (besarnya download yg di limit 128k) Target-IP: 192.168.0.1 klik "OK" begitu seterusnya dengan client 1, 2 dan seterusnya. 3. Monitor MRTG via Web Fasilitas ini diperlukan untuk monitoring trafik dalam bentuk grafik, dapat dili hat dengan menggunakan browser. MRTG (The Multi Router Traffic Grapher) telah di build sedemikian rupa, sehingga memudahkan kita memakainya. Telah tersedia dipak et dasarnya. Contoh konfigurasinya / tool graphing set store-every=5min / tool graphing interface add interface=all allow-address=0.0.0.0/0 store-on-dis k=yes disabled=no

4. Keamanan di Mikrotik OK, setelah penjelasan konfigurasi diatas, sekarang kita masuk kedalam konfigura si mengamankan mikrotik kita. dalam mikrotik ini kita membahas Firewall. [admin@routergua] > /ip firewall Terdapat beberapa packet filter seperti mangle, nat, dan filter. untuk ini kita konfigurasi pada ip firewall filternya. Konfigurasi dibawah ini dapat memblokir beberapa Trojan, Virus, Backdoor yang te lah dikenali sebelumnya baik Nomor Port yang dipakai serta Protokolnya. Juga tel ah di konfigurasikan untuk menahan Flooding dari Jaringan Publik dan jaringan Lo kal. Serta pemberian rule untuk Access control, agar Rentang jaringan tertentu s aja yang bisa melakukan Remote atau mengakses service tertentu terhadap Mesin Mikrotik kita. Contoh Filternya : ( jgn malas ya.. ini kan demi keamanan router loe juga :P ) / ip firewall filter add chain=input connection-state=invalid action=drop comment= Drop Invalid connect ions disabled=no add chain=input src-address=!192.168.0.0/27 protocol=tcp src-port=1024-65535 dst

-port=8080 action=drop comment= Block to Proxy disabled=no add chain=input protocol=udp dst-port=12667 action=drop comment= Trinoo disabled=no add chain=input protocol=udp dst-port=27665 action=drop comment= Trinoo disabled=no add chain=input protocol=udp dst-port=31335 action=drop comment= Trinoo disabled=no add chain=input protocol=udp dst-port=27444 action=drop comment= Trinoo disabled=no add chain=input protocol=udp dst-port=34555 action=drop comment= Trinoo disabled=no add chain=input protocol=udp dst-port=35555 action=drop comment= Trinoo disabled=no add chain=input protocol=tcp dst-port=27444 action=drop comment= Trinoo disabled=no add chain=input protocol=tcp dst-port=27665 action=drop comment= Trinoo disabled=no add chain=input protocol=tcp dst-port=31335 action=drop comment= Trinoo disabled=no add chain=input protocol=tcp dst-port=31846 action=drop comment= Trinoo disabled=no add chain=input protocol=tcp dst-port=34555 action=drop comment= Trinoo disabled=no add chain=input protocol=tcp dst-port=35555 action=drop comment= Trinoo disabled=no add chain=input connection-state=established action=accept comment= Allow Establis hed connections disabled=no add chain=input protocol=udp action=accept comment= Allow UDP disabled=no add chain=input protocol=icmp action=accept comment= Allow ICMP disabled=no add chain=input src-address=192.168.0.0/27 action=accept comment= Allow access to router from known network disabled=no add chain=input action=drop comment= Drop anything else disabled=no add chain=forward protocol=tcp connection-state=invalid action=drop comment= drop invalid connections disabled=no add chain=forward connection-state=established action=accept comment= allow alread y established connections disabled=no add chain=forward connection-state=related action=accept comment= allow related co nnections disabled=no add chain=forward src-address=0.0.0.0/8 action=drop comment= " disabled=no add chain=forward dst-address=0.0.0.0/8 action=drop comment= " disabled=no add chain=forward src-address=127.0.0.0/8 action=drop comment= " disabled=no add chain=forward dst-address=127.0.0.0/8 action=drop comment= " disabled=no add chain=forward src-address=224.0.0.0/3 action=drop comment= " disabled=no add chain=forward dst-address=224.0.0.0/3 action=drop comment= " disabled=no add chain=forward protocol=tcp action=jump jump-target=tcp comment= " disabled=no add chain=forward protocol=udp action=jump jump-target=udp comment= " disabled=no add chain=forward protocol=icmp action=jump jump-target=icmp comment= " disabled=n o add chain=tcp protocol=tcp dst-port=69 action=drop comment= deny TFTP disabled=no add chain=tcp protocol=tcp dst-port=111 action=drop comment= deny RPC portmapper di sabled=no add chain=tcp protocol=tcp dst-port=135 action=drop comment= deny RPC portmapper di sabled=no add chain=tcp protocol=tcp dst-port=137-139 action=drop comment= deny NBT disabled= no add chain=tcp protocol=tcp dst-port=445 action=drop comment= deny cifs disabled=no add chain=tcp protocol=tcp dst-port=2049 action=drop comment= deny NFS disabled=no add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment= deny NetBus di sabled=no add chain=tcp protocol=tcp dst-port=20034 action=drop comment= deny NetBus disabled =no add chain=tcp protocol=tcp dst-port=3133 action=drop comment= deny BackOriffice dis abled=no add chain=tcp protocol=tcp dst-port=67-68 action=drop comment= deny DHCP disabled=n o add chain=udp protocol=udp dst-port=69 action=drop comment= deny TFTP disabled=no add chain=udp protocol=udp dst-port=111 action=drop comment= deny PRC portmapper di sabled=no add chain=udp protocol=udp dst-port=135 action=drop comment= deny PRC portmapper di sabled=no add chain=udp protocol=udp dst-port=137-139 action=drop comment= deny NBT disabled= no

add chain=udp protocol=udp dst-port=2049 action=drop comment= deny NFS disabled=no add chain=udp protocol=udp dst-port=3133 action=drop comment= deny BackOriffice dis abled=no add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list addres s-list= port scanners address-list-timeout=2w comment= Port scanners to list disabled =no add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-s rc-to-address-list address-list= port scanners address-list-timeout=2w comment= NMAP FIN Stealth scan disabled=no add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list ad dress-list= port scanners address-list-timeout=2w comment= SYN/FIN scan disabled=no add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list ad dress-list= port scanners address-list-timeout=2w comment= SYN/RST scan disabled=no add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src -to-address-list address-list= port scanners address-list-timeout=2w comment= FIN/PSH/URG scan disabled=no add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to -address-list address-list= port scanners address-list-timeout=2w comment= ALL/ALL scan disabled=no add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=addsrc-to-address-list address-list= port scanners address-list-timeout=2w comment= NMAP NULL scan disabled=no add chain=input src-address-list= port scanners action=drop comment= dropping port sc anners disabled=no add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment= drop invalid connections disabled=no add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment= allow establi shed connections disabled=no add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment= allow already established connections disabled=no add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment= allow source quench disabled=no add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment= allow echo re quest disabled=no add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment= allow time e xceed disabled=no add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment= allow parame ter bad disabled=no add chain=icmp action=drop comment= deny all other types disabled=no add chain=tcp protocol=tcp dst-port=25 action=reject reject-with=icmp-network-un reachable comment= Smtp disabled=no add chain=tcp protocol=udp dst-port=25 action=reject reject-with=icmp-network-un reachable comment= Smtp disabled=no add chain=tcp protocol=tcp dst-port=110 action=reject reject-with=icmp-network-u nreachable comment= Smtp disabled=no add chain=tcp protocol=udp dst-port=110 action=reject reject-with=icmp-network-u nreachable comment= Smtp disabled=no add chain=tcp protocol=udp dst-port=110 action=reject reject-with=icmp-network-u nreachable comment= Smtp disabled=no -untuk memproteksi router dari pihak luar, aktifkan proteksi router. login ke ht tp://192.168.0.10, pada tampilan kiri menu pilih firewall, lalu : Firewall Public interface: public (nama LAN yg konek ke internet) Protect router: di conteng Protect customer: dikosongin aja ga apa-apa NAT: di conteng lalu "Apply"

-untuk memproteksi router dari website yang berbahaya atau yang berbau porno, pe mblokiran beberapa URL tertentu dapat dilakukan pada mikrotik. Jika paket web-pr oxy telah terinstall dan web-proxynya juga telah dikonfigurasi, maka perintah di bawah ini dapat disertakan. /ip web-proxy access add url= 17tahun.com action=deny comment= porno nih" disabled=no /ip web-proxy access add url= crack.ws action=deny comment= website trojan" disabled= no /ip web-proxy access add url= bugil.com action=deny comment= porno nih" disabled=no dan seterusnya..terserah loe mo ngeblock website apa aja agar client ga bisa mem buka website tersebut. ok deh..segini dolo tulisan gw..pegel juga nih tangan ngetik.. hehehehehehe semoga berhasil booooossssss... ^_^ ============================================= ##### ============================ ========================== tulisan ini gw ambil dari beberapa website : - http://dhanis.web.id - http://okawardhana.web.id - http://harrychanputra.web.id - http://www.cgd.co.id - http://www.ilmukomputer.org - http://www.mikrotik.com - http://www.mikrotik.co.id - http://forum.mikrotik.com