Port Forwarding pada Modem GPON Indihome

Mungkin banyak pertanyaan diantara kita pengguna jaringan ketika menggunakan layanan internet dari indihome, ketika akan melakukan koneksi VPN ke MikroTik. Karena secara topologi IP Public dari Internet Provider terpasang di perangkat modem GPON atau istilah lain pada ONT.

Untuk service yang terdahulu mungkin perangkat modem bisa disetting bridging, dan untuk VPN kita bisa langsung dil-up IP Public yang terpasang di MikroTik. Namun kebanyakan dengan teknologi GPON perangkat ONT tidak bisa di bridging karena adanya service-service yang mungkin dengan adanya bridging tidak akan berjalan. Lalu, bagaimana solusinya?

Dengan kasus seperti itu kita bisa memanfaatkan fitur port forwarding pada perangkat ONT, kemudian selanjutnya trafik untuk VPN Connection akan dibelokkan ke MikroTik

Untuk konfigurasi disisi ONT kita bisa setting pada menu ‘Forwarding Rules’, kemudian ditentukan service yang akan dilakukan redirect trafiknya. Disitu sudah ada opsi sendiri pada parameter ‘Application’. Misal, servicenya adalah VPN PPTP.

Pada parameter ‘Internal Host’ diisi dengan IP dari MikroTik-nya. Dengan demikian ketika ada koneksi VPN-PPTP (TCP 1723) yang masuk ke ONT Indihome nanti akan di-forward langsung ke Mikrotik.

Untuk sisi MikroTiknya sendiri cukup kita setting/aktifkan service VPN PPTP seperti pada umumnya.

Contoh konfigurasi VPN PPTP Server pada Mikrotik lebih detailnya bisa dilihat pada artikel sebelumnya disini.

Fail Over dengan Recursive Gateway

Dengan menggunakan lebih dari satu gateway internet (ISP) memungkinkan kita untuk melakukan fail over dimana salah satu link bisa dijadikan sebagai gateway utama dan yang lain menjadi link backup. Untuk kebutuhan tersebut konfigurasi yang biasa diterapkan adalah dengan mendefinisikan check-gateway dan membedakan nilai distance pada masing-masing rule routing.

Sebagai contoh seperti pada topologi jaringan berikut

Secara sederhana, failover dapat dilakukan tanpa script dengan mengatur check-gateway dan nilai distance pada tiap rule routing, contohnya seperti berikut

Dengan pengaturan tersebut mekanisme check-gateway akan melakukan pengecekan berkala ke gateway ISP dengan mengirimkan paket PING.

Namun yang menjadi kendala, mekanisme check-gateway hanya dapat melakukan pemantauan gateway terdekat  (ISP), sehingga jika yang terjadi masalah di atas jalur ISP (NAP) misalnya, paket data akan tetap dilewatkan ke ISP, sebab router masih menganggap ISP reachable. Efeknya failover tidak berjalan semestinya sehingga kita tetap tidak bisa akses.

Untuk itu ada sebuah trik pada pengaturan routing untuk membuat fail over secara otomatis tanpa menggunakan script. Selain distance dan check gateway, kita bisa memanfaatkan parameter scope/target scope untuk membuat recursive gateway, sehingga check-gateway dapat melakukan pemantauan gateway / IP Address di internet sekalipun, misalnya ke 8.8.8.8

Secara default Check-gateway tidak bisa melihat status 8.8.8.8 karena IP tersebut bukan sebagai gateway terdekat. Pada kondisi inilah pengubahan scope dan target-scope dapat diterapkan, biasanya pada rule routing gateway utama. Informasi ini pernah dibahas pada artikel Fungsi Dasar Routing.

Pertama, dari rule routing failover sederhana pada contoh di awal artikel ini, ubah routing yang melalui gateway=192.168.3.1 (Link utama) menjadi gateway=8.8.8.8 dan definisikan target-scope=30

gateway utama ke google

Selanjutnya agar menjadi recursive gateway, tambahkan satu rule routing baru dengan dst-address=8.8.8.8 gateway=192.168.3.1 .

gateway recursive

Jika dilihat dari rule nya, mungkin rule diatas tidak sesuai standar penentuan gateway, karena menggunakan 8.8.8.8 sebagai gateway, namun dengan target-scope=30 rule tersebut bisa melakukan lookup ke rule lain yang memiliki nilai scope ≤ 30 sehingga menjadi recursive gateway.

Setelah semua langkah dilakukan maka rule routing lengkap dapat dilihat pada gambar di bawah ini

table routing

Dengan demikian, check-gateway dapat melakukan pemantauan ke IP 8.8.8.8 yang pada rule tersebut seolah-olah menjadi gateway langsung. Sehingga ketika check-gateway gagal melakukan PING ke 8.8.8.8 maka gateway internet akan dialihkan ke link backup.

Sebagai catatan, mekanisme ini hanya untuk membantu check-gateway melakukan pemantauan link, sedangkan jika dilakukan traceroute traffic aslinya tetap melewati link / gateway ISP.

http://www.mikrotik.co.id/artikel_lihat.php?id=260

Port Forwarding Multiple Webserver berbeda Domain

Pada artikel sebelumnya sudah kita coba untuk melakukan port forwarding supaya web server di jaringan lokal dapat diakses menggunakan IP Public yang terpasang di router. Selengkapnya bisa dilihat pada link berikut disini.

Namun bagaimana jika kita ingin mengakses lebih dari satu webserver di jaringan LAN menggunakan nama domain dari internet. Dan setiap nama domain tersebut kita resolve ke satu IP Public yang terpasang di router.

Hal tersebut bisa kita lakukan menggunakan router MikroTik yaitu dengan konfigurasi NAT dan dikombinasikan dengan fitur yang lain yaitu Web Proxy dan DNS Static.

Contoh kasus

Dengan topologi seperti diatas, ketika ada user yang akan akses dari internet menggunakan nama domain akan dilakukan resolve ke IP Public yang terpasang di router. Supaya trafik request dari internet bisa di-redirect ke masing-masing webserver di jaringan LAN sesuai nama domain, maka kita akan menggunakan webproxy. Konfigurasi pada web proxy seperti berikut:

  • Aktifkan service webproxy pada router

  • Untuk keamanan kita akan konfigurasi pada ‘webproxy access’ dengan hanya mengijinkan trafik request dari nama domain kedua webserver tersebut dan trafik yang lain akan di block.

Setelah konfigurasi webproxy seperti diatas kita selanjutnya akan setting NAT pada menu firewall. Untuk NAT nanti kita akan melakukan redirect setiap trafik dengan tujuan port 80 yang masuk router dari jaringan internet ke webproxy. Konfigurasi dari NAT seperti berikut:
  • Winbox – pada menu ‘IP–> Firewall –> NAT

  • CLI Terminal

Dan langkah terakhir kita juga konfigurasi pada DNS  Static di router untuk melakukan mapping/resolve nama domain ke masing-masing alamat IP webserver di jaringan LAN. Contoh konfigurasinya seperti berikut:
  • Kita masuk pada menu IP –> DNS, dan klik pada tombol command ‘Static‘. Kemudain kita isikan pada list untuk nama domain dan juga IP Address dari webserver.

Sampai langkah ini konfigurasi sudah selesai. Untuk pengetesan kita coba akses nama domain wenbserver kita dari jaringan internet.

*) Catatan:

Kita harus membeli nama domain terlebih dahulu pada penyedia layanan domain & hosting dan mengisikan pada A record dengan IP Public dari router kita.
Supaya lebih stabil IP Public dari router kita menggunakan IP Public Static.
Sumber : http://www.mikrotik.co.id/artikel_lihat.php?id=258

Deteksi dan Filter Trafik Ultrasurf VPN dengan MikroTik

Banyak kasus yang dialami dilapangan ketika kita melakukan filtering trafik client untuk akses internet. Seiring berkembangnya teknologi banyak aplikasi-aplikasi yang dibuat untuk melakukan ‘bypass’ koneksi sehingga filtering yang dibuat tidak akan berguna lagi. Client yang menggunakan aplikasi tersebut tetap bebas ‘berselancar’ di internet tanpa terkena filtering.

 

Salah satu aplikasi yang banyak digunakan adalah Ultrasurf VPN. Aplikasi ini menggunakan protokol TCP dan port 443. Hal ini yang menjadi alasan cukup sulit untuk mencegah atau memblokir koneksi dari ultrasurf VPN. Terlebih lagi aplikasi ini menggunakan IP Public yang dinamis untuk konektivitasnya. Sudah banyak cara yang kita coba untuk menaklukkan aplikasi Ultrasurf VPN dengan menggunakan router MikroTik. Namun, tidak sedikit dari cara-cara tersebut yang akhirnya bisa kembali ditembus.

 

Pada artikel ini kita akan melakukan percobaan dengan sebuah metode yang nantinya bisa diimplementasikan dalam jaringan untuk melakukan filtering trafik ultrasurf. Cara yang digunakan adalah kombinasi antara fitur Firewall Mangle, Address List dan juga Filter.

Deteksi Trafik Ultrasurf

Kita akan mendeteksi terlebih dahulu trafik Ultrasurf VPN yang dijalankan dari perangkat-perangkat client. Langkah pendeteksian akan menggunakan fitur Firewall Mangle. Jika ada client yang terdeteksi mengaktifkan UltraSurf maka akses client ke internet akan diblock.

Pertama lakukan import IP Public dari Ultrasurf Server ke ‘Address-List’ di Firewall. Untuk daftar IP Public bisa di-download disini. Setelah download tinggal dilakukan ‘import’ ke router.

Selanjutnya tambahkan sebuah rule mangle yang akan digunakan untuk men-deteksi trafik ultrasurf VPN dari client. Contoh konfigurasi mangle-nya seperti berikut:

/ip firewall mangle
add action=add-src-to-address-list address-list=UltrasurfUser address-list-timeout=5s chain=preroutingcomment=”Deteksi Ultrasurf” dst-address-list=ultra dst-port=443 protocol=tcp

Mekanisme dari rule diatas ketika ada client yang mencoba menjalankan Ultrasurf VPN dengan tujuan IP Public Ultrasurf Server maka IP Address dari client tersebut akan di masukkan ke dalam Address List UltrasurfUser‘ secara otomatis.

Block/Filter Trafik Client

Langkah selanjutnya setelah kita membuat rule ‘Mangle’ untuk mendeteksi trafik Ultrasurf VPN dari client, maka kita akan buat rule untuk block/filter trafik client tersebut.

Masuk dimenu IP –> Firewall –> Filter –> Klik Add [+]. Kemudian kita tambahkan konfigurasi seperti berikut:

Sampai langkah ini, konfigurasi sudah selesai. Untuk pengetesan tinggal kita coba untuk mengkoneksikan aplikasi Ultrasurf VPN dari masing-masng perangkat client.

Cara Kerja Rule?

Secara garis besar mekanisme dari rule yang telah kita buat diatas adalah ketika ada user yang melakukan koneksi Ultrasurf VPN maka IP Address dari perangkatnya akan dimasukkan kedalam Address-List UltrasurfUser secara dinamis. Dengan hal itu maka kita bisa melakukan drop aktivitas koneksi internet client dari IP Address-nya secara langsung.

Seberapa lama IP Address client pada Address-List UltrasurfUser sesuai dengan rule mangle yang kita setting diatas yaitu selama 5 detik. Selama Client tidak menutup aplikasi Ultrasurf, maka IP Client akan tetap dicatat dengan penambahan waktu 5 detik secara berkala. Namun ketika client menutup aplikasi Ultrasurf VPN maka setelah 5 detik dan dideteksi oleh Router tidak ada aktivitas dari aplikasi tersebut maka IP Address client akan dihapus dari Address-List dan koneksi akan berjalan normal kembali.

Sumber : http://www.mikrotik.co.id/artikel_lihat.php?id=239

Setting MPLS Via VPN Perangkat Mikrotik

Setting MPLS Via VPN Perangkat Mikrotik , Isi di blog ini adalah pidahan dari blog saya di tukangpel.blogspot.com karena beberapa alasan saya ingin memulai hal baru juga dari blog sya ini :).

untuk untuk lebih mudah melihat maksud dari konfigurasi saya , berikut topologinya .

Topologi MPLS Via VPN Perangkat Mikrotik

saya pernah sewa sebuah VPS dengan system operasi mikrotik , dan saya mencoba untuk menerapkan sedikit yang saya tau dari MPLS dalam penggunaanya topologi yang berbeda mungkin bisa memiliki settingan yang berbeda. tapi dari hal ini mungkin bisa di kembangkan lagi untuk kebutuhan yang lebih besar , jika ingin tanya jawab bisa melalui akun facebook sayaSoefyanSyah

Setting MPLS Via VPN Perangkat Mikrotik

Oke kita masuk ketahap konfigurasinya .

1. Aktifkan / Set Enable untuk PPTP Server di R1 .

Cara Setting PPTP Mikrotik
Enable PPTP Server Mikrotik

untuk perintah menggunakan CLI seperti berikut

interface pptp-server server set enabled=yes 

Untuk memastikan apakah perintah sudah berjalan sepertiyang kita inginkan ketik perintah berikut

 interface pptp-server server print 

Kemudian akan tampil seperti berikut .

Kemudian Create user pptp client di router R1

[[email protected]] > ppp secret add name=vpn1 service=any password=vpn1 profile=default remote-address=20.20.20.6 local-address=20.20.20.5 
[[email protected]] > ppp secret add name=vpn2 service=any password=vpn2 profile=default remote-address=20.20.20.11 local-address=20.20.20.10 

2. Lakukan dial up dari SXT-lite5

PPTP/VPN sudah bertatus connected .Oke lanjutnya kita setting R1 lagi

3. Setting R1

setting loopback

/interface bridge  add name=lo 
/ip address  add address=212.212.212.1/32 interface=lo 
/ip route  add dst-address=212.212.212.2/32 gateway=20.20.20.6
/mpls ldp set enabled=yes lsr-id=212.212.212.1 transport-address=212.212.212.1 
/mpls ldp interface 
add interface=vpn1
add interface=vpn2

4. Setting SXT

/interface bridge  add name=lo 
/ip address add address=212.212.212.2/32 interface=lo 
/ip route add dst-address=212.212.212.1/32 gateway=20.20.20.5 
mpls ldp set enabled=yes lsr-id=212.212.212.2 transport-address=212.212.212.2 
/mpls ldp interface 
add interface=vpn1 
add interface=vpn2

5. BGP signaled VPLS

  • Setting Router R1
[[email protected]] /routing bgp peer >
[[email protected]] add name=peer1 remote-address-20.20.20.6 remote-as=65530 address-families=l2vpn 
[[email protected]] add name=peer2 remote-address-20.20.20.11 remote-as=65530 address-families=l2vpn
  • Setting  SXT
[[email protected]] /routing bgp peer >
[[email protected]] add name=peer1 remote-address-20.20.20.5 remote-as=65530 address-families=l2vpn
[[email protected]] add name=peer2 remote-address-20.20.20.10 remote-as=65530 address-families=l2vpn
  • Setting Router R1
[[email protected]] /interface vpls bgp-vpls >
[[email protected]] add export-route-targets=222:222 import-route-targets=222:222 name=bgp-vpls1 \ route-disti nguisher=222:222 site-id=1
[[email protected]] add export-route-targets=211:211 import-route-targets=223:223 name=bgp-vpls2 \ route-disti nguisher=211:211 site-id=1
  • Setting  SXT
[[email protected]] /interface vpls bgp-vpls 
[[email protected]] add export-route-targets=222:222 import-route-targets=222:222 name=bgp-vpls1 routedisti-nguisher=222:222 site-id=2 
[[email protected]] add export-route-targets=223:223 import-route-targets=223:223 name=bgp-vpls2 routedisti-nguisher=211:211 site-id=2
  • Setting keduan nya R1 dan SXT 1

/routing bgp peer 
set peer1 out-filter=bgp-out1  
set peer2 out-filter=bgp-out2 
/routing filter 
add action=discard chain=bgp-out1 route-targets=211:211  
add action=discard chain=bgp-out2 route-targets=222:222

Test apakah settingan sudah jalan .