PPP-Client AHA

Berikut capturenya…

 

Install Webiopi – Raspberry Pi

Installation

WebIOPi is developed and tested on Raspbian. You only need Python, either 2.7 or 3.2. Download, then extract and install WebIOPi. The setup script will automatically download and install required dependencies using apt-get. You may have to manually install GCC and Python development headers if you are not using Raspbian.

Update note: Stop your existing WebIOPi service, then process with the setup. Your configuration will be kept but others files will be override.

See downloads page to get latest package, and adapt x.y.z with the version you download.

$ tar xvzf WebIOPi-x.y.z.tar.gz
$ cd WebIOPi-x.y.z
$ sudo ./setup.sh

Setup may take a moment.

Running WebIOPi

Finally, use webiopi command :

$ sudo webiopi [-h] [-c config] [-l log] [-s script] [-d] [port]

    Options:
      -h, --help           Display this help
      -c, --config  file   Load config from file
      -l, --log     file   Log to file
      -s, --script  file   Load script from file
      -d, --debug          Enable DEBUG

    Arguments:
      port                 Port to bind the HTTP Server

For instance, to start with verbose output and the default config file :

$ sudo webiopi -d -c /etc/webiopi/config

You’re done, and ready to enjoy WebIOPi ! But the server and GPIO state will be lost when you’ll stop the script (CTRL-C) or close the terminal.

Running WebIOPi (Daemon)

You can also start/stop the background service, the configuration will be loaded from /etc/webiopi/config.

$ sudo /etc/init.d/webiopi start

$ sudo /etc/init.d/webiopi stop

Auto start at boot

To setup your system to start webiopi at boot :

$ sudo update-rc.d webiopi defaults

To remove webiopi start from boot :

$ sudo update-rc.d webiopi remove

Access WebIOPi over local network

If your Raspberry Pi is connected to your network, you can open a browser to http://raspberrypi:8000/ with any device of your network. Replace raspberrypi by its IP.

Default user is “webiopi” and password is “raspberry”

By choosing the GPIO Header link on the main page, you will be able to control GPIO using a web UI which looks like the board header.

• Click/Tap the OUT/IN button to change GPIO direction.
• Click/Tap pins to change the GPIO output state.

Access WebIOPi over Internet

Thanks to Weaved IoT Kit, it’s easy to access your Raspberry from anywhere in a secure fashion.

Register on the Weaved developper portal

Go to https://developer.weaved.com/portal/ and follow instruction to create an account.

Download Weaved for Raspberry Pi

Copy and paste the command line below into a terminal window or SSH client connected to your Raspberry Pi, then hit the Enter key.

wget https://github.com/weaved/installer/raw/master/binaries/weaved-nixinstaller_1.2.5.bin

Install Weaved

Make the installer executable:

chmod +x weaved-nixinstaller_1.2.5.bin

Launch the installer:

./weaved-nixinstaller_1.2.5.bin

Enter the e-mail address and password for your Weaved account.

When asked, choose WebIOPi during the install process. then enter an alias, or nickname for your device.

Note: If you run the installation more than once, you’ll get this question.

Support of multiple services is not fully tested in 1.2.5. We recommend that you answer ‘y’ here to remove the previous installation before proceeding.

Test your setup

To test the connection to your Raspberry Pi from your browser, go to the device list, find the line with your Raspberry Pi’s alias, and click on “Connect”. Your device’s internet address will be shown in the area blurred below.

Sumber : http://code.google.com/p/webiopi/wiki/INSTALL

 

NAT (Port Forwarding RouterOS)

Ada kalanya server yang ada di jaringan kita perlu bisa diakses dari jaringan publik. Misalnya karena ada karyawan yang bersifat mobile dan harus bisa mengakses data yang ada di server tersebut. Yang kita butuhkan adalah IP publik. Ip publik statis lebih direkomandasikan. Kita bisa saja langsung memasang ip publik ke server kita, maka server tersebut sudah bisa diakses dari internet. Masalahnya adalah bagaimana jika kita hanya memiliki satu ip publik, bagaimana dengan komputer lain yang juga harus terkoneksi dengan internet. Bagaimana juga dengan management keamanan untuk traffic yang menuju ke Server tersebut ?.

Pada mikrotik, kebutuhan tersebut bisa diatasi dengan cara port forwading menggunakan fitur NAT. Agar bandiwidth bisa di manage dan firewall filtering bisa dilakukan, kita tempatkan server dibawah router mikrotik. Artinya, server berada di jaringan lokal, contoh topologi :

Agar Server bisa diakses dari internet, set fowarding di router mikrotik dengan fitur firewall NAT. Fowarding ini akan membalokkan traffic yang menuju ke IP publik yang terpasang di router menuju ke IP lokal server. Dengan begitu, seolah-olah client dari internet berkomunikasi dengan server meminjam IP public router mikrotik. Langkah pembuatan rule, masuk ke menu IP –> Firewall –> klik tab “NAT”, tambahkan rule baru dengan menekan tombol “add” atau tanda “+” berwarna merah.

Sekedar tips, jika tidak yakin dengan port dan protokol yang digunakan oleh server, bisa di kosongkan terlebih dahulu. Dengan begitu, semua traffic akan difoward ke server. Jika NAT sudah berhasil, baru kemudian kita tentukan protokol dan port yang harus di foward ke server. Dengan konfigurasi diatas, rule fowarding sudah selesai. Akan tetapi jika kita memiliki lebih dari satu ip public, kita butuh satu rule lagi. Rule yang difungsikan untuk mengarahkan traffic respon dari server ke jalur yang sama dengan traffic request. Misal request masih dari IP Public A, maka respon dari server juga harus keluar dari IP Public A. Jika ternyata traffic respon keluar dari IP Public B, maka traffic tersebut tidak dikenali oleh cilent yang mencoba mengakses server. Rule yang harus dibuat seperti berikut :

Rule NAT untuk fowarding sudah selesai, jika kita memiliki lebih dari satu server sedangkan kita hanya memiliki satu IP public, kita bisa foward berdasarkan port. Misal untuk server A dapat diakses melalui port 5678, kemudian server B melalui port 8910. Dengan logika tersebut, ketika router menerima koneksi dari port 5678, maka koneksi tadi akan diteruskan ke Server A, begitu juga ketika router menerima koneksi dari port 8910, maka akan diteruskan ke server B. Sekarang coba akses server dari jaringan internet menggunakan ip public yang terpasang di mikrotik.

Hairpin NAT

Kemudian kira – kira bisa tidak server diakses dari jaringan Lokal menggunakan ip public di mikrotik tadi ?. Jawabannya adalah tidak bisa. Kenapa ?

Pada saat diakses dari internet, misal client memiliki IP Public 2.2.2.2, aliran trafficnya akan seperti berikut :

Dari aliran data diatas, ketika Server diakses dari internet data bisa dikirim dengan baik oleh router.

Tetapi lain hal, jika diakses dari jaringan Lokal, misal client memiliki IP Address 192.168.88.2, maka aliran data akan menjadi seperti berikut :

Yang terjadi adalah server langsung mengirim traffic respon langsung ke client tanpa melewati router, karena source address ada dan dikenali di jaringan Server (masih dalam 1 segmen IP). Traffic respon yang dikirim dari server akan ditolak oleh client, karena sebelumnya client me-request ke router mikrotik terlebih dahulu, bukan langsung ke Server. Client hanya mau menerima respon dari ip yang sebelumnya dituju, yakni 202.123.123.123. Nah solusinya adalah dengan menambahkan Rule NAT untuk traffic dari Lokal menuju Server.

Rule NAT diatas akan mengubah source ip address yang sebelumnya adalah ip komputer client, digantikan dengan ip router Mikrotik ketika data diteruskan dari router Mikrotik ke server. Maka server akan mengirimkan data respon ke router Mikrotik, bukan langsung ke komputer clinet. Dengan rule nat baru tersebut, maka aliran data akan menjadi seperti berikut :

Dengan begitu, client dari jaringan lokal bisa mengakses ke Server dengan IP Public yang terpasang di router Mikrotik. Konfigurasi diatas disebut dengan Hairpin NAT.

Sumber : www.mikrotik.co.id

 

Dial-Up ADSL Modem (PPPoE)

Cukup banyak provider yang menyediakan layanan Broadband/ADSL yang bisa menjadi pilihan saat ini disertai dengan beragam pilihan kemudahan dan promo-promo yang ditawarkan tentu menarik. Akan tetapi disini kami tidak akan membahas harga, apalagi promo yang ditawarkan,tapi lebih pada pengelolaan jaringan yang menggunakan layanan Broadband/ADSL. Biasanya, provider memasang sebuah Modem di sisi client, agar client tersebut bisa menerima service internet yang diberikan. Service yang biasa digunakan salah satunya adalah PPPoE, dimana modem tersebut difungsikan sebagai PPPoE Client. Topologi sederhana yang biasa digunakan adalah Internet -> ADSL Modem -> Hub/Switch -> Client.

Biasanya administrator jaringan kemudian menambahkan Router antara modem ADSL dan Client, misalnya router Mikrotik. Hal ini dilakukan karena pada umumnya perangkat ADSL Modem sederhana tidak memiliki fungsi yang cukup lengkap untuk melakukan manajemen jaringan. Dengan menambahkan router, maka topologi yang akan kita bangun menjadi seperti berikut.

Sebenarnya ada dua pilihan untuk mengkoneksikan jaringan kita ke internet via ADSL Modem. Pertama, kita bisa dial ke provider dengan menggunakan modem bawaan, sehingga ip public terpsang pada modem. Atau alternatif kedua, kita bisa dial PPPoE langsung dari Router Mikrotik. Sehingga IP Public akan terpasang di Mikrotik. Pilihan kedua ini bisa mempermudah ketika kita akan melakukan remote Router dari Internet, atau juga menerapkan rule lain.  Misalnya ketika menerapkan port forwarding (dst-nat) atau juga loadbalance.

Kita akan coba case study dengan menggunakan opsi yang kedua, yaitu dial PPPoE dari Mikrotik langsung. Kita juga akan coba gunakan topologi pada gambar kedua dimana menggunakan dua koneksi ADSL. Pertama, setting Modem ADSL pada mode bridge. Cara setting berbeda tergantung dari merk dan type Modem.

Setelah modem di setting dengan mode bridge, buat interface PPPoE client di Mikrotik dengan cara menekan tombol + di menu Interface. pada parameter interface, pilih interface ethernet yang menuju ke modem.

Selanjutnya di tab Dial Out, isikan parameter username dan password sesuai informasi yang diberikan oleh provider. Informasi username dan password tiap provider tentu saja berbeda. Jika sudah selesai, klik OK, maka interface PPoE client akan terbentuk dan router otomatis akan mencoba melakukan dial melalui interface PPPoE. Jika setting sudah benar dan PPPoE terkoneksi dengan baik, status PPoE Client di mikrotik akan berubah menjadi “Connected”, atau flag interface menjadi “R” atau Running.

Ulangi langkah sesuai gambar tersebut untuk line ADSL yang lain, sehingga ada dua interface pppoe-client, karena di case study ini kita mencoba menggunakan dua line ADSL.

Kemudian tambahkan default gateway untuk Router agar router bisa terkoneksi ke internet. Karena kita menggunakan dua line ADSL, kita gunakan metode ECMP Load Balance, salah satu metode load balance yang cukup sederhana. Cara untuk melakukan ECMP Load Balance adalah dengan menambahkan dua gateway dalam satu rule routing.

Setelah selesai membuat rule routing, selanjutnya kita perlu setting DNS Router  mengarah ke DNS provider. Informasi ini tentu harus Anda tanyakan ke provider, atau menggunakan open DNS.

Tambahkan rule src-nat agar client di bawah router bisa akses internet.

Jangan lupa juga pasangkan IP Address pada interface yg menuju ke Client, misalnya 192.168.3.1/24 interface=ether3.  Anda juga bisa memasangkan IP Address pada interface modem dan interface router yg saling terhubung untuk melakukan monitoring.

Sumber : www.mikrotik.co.id

 

Bandwith Management dengan PCQ (QoS)

Simple queue bisa dikatakan sebuah solusi paling mudah dalam melakukan bandwidth management, sebagai admin jaringan kita hanya perlu isikan target address dengan ip komputer client kemudian kita tentukan bandwith yang dialokasikan untuk user tersebut. Permasalahan muncul jika ternyata user yang kita handle merupakan user dengan jumlah yang cukup banyak. Belum lagi jika user tersebut sifatnya dynamic. Mereka bisa konek ataupun disconnect  sesuai kemauan mereka. Akan sangat repot jika kita harus membuat simple queue satu per satu. Salah satu fitur mikrotik yang dapat digunakan untuk mengatasi permasalah ini adalah dengan PCQ,

PCQ merupakan salah satu cara melakukan manajemen bandwidth yang cukup mudah dimana PCQ bekerja dengan sebuah algoritma yang akan membagi bandwidth secara merata ke sejumlah client yang aktif. PCQ ideal diterapkan apabila dalam pengaturan bandwidth kita kesulitan dalam penentuan bandwidth per client.

Misalnya, sebelumnya kita bisa melakukan bandwidth management dengan system HTB dimana jumlah client sedikit, maka masih mudah bagi admin jaringan dalam menentukan parameter limit-at. Tetapi bagaimana jika bandiwdth 1 Mbps namun ingin dibagi rata ke 200-an client. Jika menggunakan model HTB, akan sulit untuk menentukan limit-at . Dengan kondisi seperti ini, akan lebih mudah jika kita serahkan perhitungan management bandwidth ke router, agar Router yang akan membagi bandwidth secara otomatis ke client.

Cara kerja PCQ adalah dengan menambahkan sub-queue, berdasar classifier tertentu. Berikut gambaran cara kerja PCQ dengan parameter PCQ-Rate = 0.

PCQ rate adalah dasar perhitungan Router. Seberapa besar rate-limit yg akan diberikan ke user yg aktif.  Cara setting PCQ sebanarnya cukup mudah. Kita hanya perlu menambahkan Queue Type PCQ, kemudian tentukan nilai classifier dan nilai rate. Untuk management traffic download, centang opsi classifier dst.address. Dan untuk management traffic upload, centang opsi src.address.

Selanjutnya, implementasikan PCQ yang dibuat sebelumnya. Misal dikombinasikan dengan Simple Queue.

Sayangnya, karena semua urusan pembagian bandwidth sama rata dilakukan Router secara otomatis, kita tidak bisa menerapkan Priority ke user tertentu pada saat menggunakan PCQ.

Monitoring PCQ dapat dilihat pada bagian statistic.

Sumber : www.mikrotik.co.id

 

DHCP-Server dan DHCP-Client

Dynamic Host Configuration Protocol (DHCP) merupakan service yang memungkinkan perangkat dapat mendistribusikan/assign IP Address secara otomatis pada host dalam sebuah jaringan. Cara kerjanya, DHCP Server akan memberikan response terhadap request yang dikirimkan oleh DHCP Client.

Selain IP Address, DHCP juga mampu mendistribusikan informasi netmask, Default gateway, Konfigurasi DNS dan NTP Server serta masih banyak lagi custom option (tergantung apakah DHCP client bisa support).

Mikrotik dapat digunakan sebagai DHCP Server maupun DHCP Client atau keduanya secara bersamaan. Sebagai contoh, misalnya kita berlangganan internet dari ISP A. ISP A tidak memberikan informasi IP statik yang harus dipasang pada perangkat kita, melainkan akan memberikan IP secara otomatis melalui proses DHCP.

Mikrotik sebagai DHCP Client

Dalam kasus ini, untuk dapat memperoleh alokasi IP Address dari ISP, yang nantinya dapat digunakan untuk terkoneksi ke internet, kita bisa menggunakan fitur DHCP Client. Langkah-langkah pembuatan DHCP Client dapat dilakukan  pada menu IP -> DHCP Client -> Add.

Untuk pengaktifkan DHCP Client, definisikan parameter interface dengan interface yang terhubung ke DHCP Server, atau dalam kasus ini adalah interface yang terhubung ke ISP.

Karena kita ingin semua traffic ke internet menggunakan jalur koneksi dari ISP, maka Use-Peer-DNS=yes dan Add-Default-Route=yes.

Terdapat beberapa parameter yang bisa disesuaikan dengan kebutuhan jaringan;

• Interface : Pilihlah interface yang sesuai yang terkoneksi ke DHCP Server
• Use-Peer-DNS : Bila kita hendak menggunakan DNS server sesuai dengan informasi DHCP
• Use-Peer-NTP : Bila kita hendak menggunakan informasi pengaturan waktu di router (NTP) sesuai dengan informasi dari DHCP
• Add-Default-Route : Bila kita menginginkan default route kita mengarah sesuai dengan informasi DHCP
• Default-Route-Distance : Menentukan nilai Distance pada rule routing yang dibuat secara otomatis. Akan aktif jika add-default-route=yes

Sampai langkah ini, seharunya Router sudah bisa akses ke internet. Selanjutnya lakukan setting DHCP Server untuk distribusi IP Address ke arah jaringan lokal /LAN.

Mikrotik sebagai DHCP Server 

DHCP Server akan sangat tepat diterapkan jika pada jaringan memiliki user yang sifatnya dinamis. Dengan jumlah dan personil yang tidak tetap dan selalu berubah. Jika pada kasus ini sifat user seperti itu dapat kita temui pada tamu yang berkunjung.

Konfigurasi DHCP Server dapat dilakukan pada menu IP -> DHCP Server -> Klik DHCP Setup

Dengan menekan tombol DHCP Setup, wizard DHCP akan menuntun kita untuk melakukan setting dengan menampilkan kotak-kotak dialog pada setiap langkah nya.

Langkah pertam, kita diminta untuk menentukan di interface mana DHCP Server akan aktif. Pada kasus ini DHCP Server diaktifkan pada ether3. Selanjutnya Klik Next

Sebelumnya pada ether3 sudah dipasang IP Address 192.168.4.0/24. Maka pada langkah kedua, penentuan DHCP Address Space akan otomatis mengambil segment IP yang sama. Jika interface sebelumnya belum terdapat IP, bisa ditentukan manual pada langkah ini.

Selanjutnya,  kita diminta menentukan IP Address yang akan digunakan sebagai default-gateway oleh DHCP Client nantinya. Secara otomatis wizard akan menggunakan IP Address yang terpasang pada interface ether3.

Tentukan IP Address yang akan di-distribusikan ke Client. Secara otomatis wizard akan mengisikan host ip pada segment yang telah digunakan. Pada contoh ini, IP 192.168.4.1 tidak masuk dalam Addresses To Give Out, sebab IP tersebut sudah digunakan sebagai gateway dan tidak akan di-distribusikan ke Client.

Kita harus menentukan juga, nantinya DHCP Client akan melakukan rquest DNS ke server mana. Secara otomatis wizard akan mengambil informasi setting DNS yang telah dilakukan pada menu /ip dns . Tetapi bisa juga jika kita ingin menentukan request DNS Client ke server tertentu.

Langkah terakhir kita diminta untuk menentukan Lease-Time, yaitu berapa lama waktu sebuah IP Address akan dipinjamkan ke Client. Untuk menghindari penuh / kehabisan IP, setting Lease-Time jangan terlalu lama, misalkan 1 hari saja.

Sampai langkah ini, jika di klik Next akan tertampil pesan yang menyatakan bahwa setting DHCP telah selesai.

Untuk melakukan percobaan, hubungkan PC ke ether3 kemudian ubah pengaturan IP PC pada posisi “obtain an IP address automatically” .

Seharusnya Laptop akan mendapatkan assign IP otomatis dari Router. Perhatikan expired time, seharusnya sama dengan parameter Lease-Time yang sudah ditentukan pada DHCP Server.

DHCP Leases

Daftar perangkat yang sudah diberikan IP secara otomatis akan ada pada /ip dhcp-server leases.

Secara default, ip address yang akan diberikan ke client diurutkan dari belakang (192.168.4.254). Akan tetapi, kita juga bisa melakukan pengaturan agar sebuah IP hanya akan dipinjamkan ke Client tertentu. Misalnya, jika Client-A melakukan request DHCP, maka Server akan selalu memberikan IP 192.168.4.254.

Konsep tersebut dapat diterapkan dengan menggunakan Static Leases. Ide dasarnya adalah melakukan reservasi sebuah IP Address untuk sebuah MAC Address tertentu. Ada 2 cara konfigurasi yang bisa dilakukan.

Pertama, dengan melihat dari daftar perangkat yang ada pada tab Leases. Jika dilakukan dengan cara ini client harus sudah mendapat IP Address dahulu.

Cara kedua dengan menambahkan secara manual pada tab Leases.

Selain dapat digunakan untuk reservasi IP Address, Static Leases juga bisa digunakan untuk menentukan :

• Lease-Time yang berbeda untuk tiap MAC Address (Client)
• Limitasi bandwidth (rate-limit) , jika ditentukan maka rule simpe queue akan secara otomatis muncul ketika client mendapat assign IP dari server.
• Melakukan blocking MAC Address tertentu agar tidak bisa mendapat pinjaman IP, dengan opsi “Block-Access=yes”.

Jadi, selain dapat mendistribusikan IP secara otomatis, dengan DHCP Server juga dapat melakukan manajemen terhadap DHCP Client dengan menggunakan Static Leases.

Sumber : www.mikrotik.co.id

 

Load Balance Menggunakan ECMP (QoS)

Dengan banyaknyak metode load balance, kadang kita bingung ingin menggunakan metode yang mana. Terlebih lagi banyak metode yang hanya dengan melihat konfigurasinya saja, kita dibuat pusing. Kali ini kita akan coba tips load balance yang cukup mudah dalam hal konfigurasi dan sangat menarik untuk dicoba. Load balance dengan metode ECMP, yang merupakan improvisasi dari metode round robin load balance.  Load balance sendiri merupakan teknik untuk menggabungkan koneksi internet lebih dari satu, contoh topologi :

Kita coba bahas load balance dengan 2 koneksi internet. Setting awal sama seperti kita setting router agar router dan client dibawah router bisa terkoneksi ke internet. Karena ada dua koneksi internet, maka akan ada 2 rule NAT masquerade.

Setelah konfigurasi standart koneksi ke internet selesai, selanjutnya kita bisa mulai setting Load balance ECMP. Caranya cukup mudah, tinggal tambahkan rule default gateway dengan dst-address = 0.0.0.0 dan gateway=ISP-A,ISPB

ECMP merupakan “persistent per-connection load balancing” atau “per-src-dst-address combination load balancing“. Begitu salah satu gateway unreachable atau terputus, check-gateway akan menonaktifkan gateway tersebut dan menggunakan gateway yang masih aktif, sehingga kita bisa mendapatkan effect failover.

Jika kita memiliki line/koneksi internet yang berbeda kecepatan bandwidth, kita bisa membuat perbandingan untuk membagi beban. Misalkan kita punya bandiwdth 2 MBps dan 8 Mbps. Jika kita buat perbandingan, akan menjadi 1:4.

Dengan adanya lebih dari satu gateway, terkadang membuat masalah baru pada router, ke gateway mana router akan terkoneksi. Kasusnya adalah ketika ada paket masuk ke router (incoming) yang berasal dari luar (Internet), trafik respons dari router (outgoing) akan terkena loadbalance juga. Sehingga paket respon untuk request yang diterima dari interface WAN 1, bisa jadi dikirim melalui interface WAN 2. Untuk menghindari hal tersebut, kita perlu membuat aturan routing agar koneksi outgoing router tetap melalui interface yang sama dengan interface trafik incomingnya.

/ip firewall mangle add chain=input in-interface=ether1-ISP-A action=mark-connection new-connection-mark=ISP-A_conn add chain=input in-interface=ether2-ISP-B action=mark-connection new-connection-mark=ISP-B_conn add chain=output connection-mark=ISP-A_conn action=mark-routing new-routing-mark=ke_ISP-A add chain=output connection-mark=ISP-B_conn action=mark-routing new-routing-mark=ke_ISP-B /ip route add dst-address=0.0.0.0/0 gateway=10.0.0.1 routing-mark=ke_ISP-A add dst-address=0.0.0.0/0 gateway=172.16.0.1 routing-mark=ke_ISP-B

Permasalahan yang serng timbul adalah ketika kita melakukan setting dengan DNS salah satu ISP, maka ketika ISP tersebut down, koneksi DNS ke ISP kedua tidak berjalan. Untuk mengatasi hal tersebut, kita bisa gunakan open DNS, misal DNS Google 8.8.8.8.

Sumber : www.mikrotik.co.id

 

Mengamankan Jaringan Dengan ARP (Security)

Pernahkah anda menerapkan konsep pengelompokan kebijakan Client pada jaringan lokal berdasarkan IP Address.? Misalnya, anda buat limitasi bandwidth yang berbeda antara Group IP Manajemen dengan Group IP Karyawan pada sebuah kantor. Anda berikan bandwidth yang besar untuk Group Manajemen, sedangkan untuk Karyawan anda berikan kecil.

Penerapan konsep tersebut akan efektif ketika pemakaian IP Address sesuai. Akan tetapi bagaimana jika Karyawan mengganti IP PC mereka menjadi IP yang seharusnya digunakan oleh Manajemen.? Maka Karyawan akan mendapatkan bandwidth yang besar sesuai limitasi untuk group Manajemen.

Kita bisa menerapkan sebuah konsep, ketika client mengubah IP Address pada PC, Router tidak akan memberikan response terhadap request client tersebut sehingga client malah tidak bisa melakukan akses ke jaringan lain (internet) .

Kita bisa memanfaatkan ARP untuk menerapkan konsep tersebut.

Sebuah router memiliki tabel ARP yang berisi entri ARP. Entri ARP terdiri dari alamat IP dan alamat hardware (MAC Address) yang sesuai . Pada Router Mikrotik tabel ARP bisa dilihat pada menu /ip arp

By default, entri ARP ini akan ditambahkan secara otomatis oleh interface Router ketika ada perangkat yang terkoneksi pada interface tersebut (dynamic ARP).
Akan tetapi, untuk meningkatkan keamanan jaringan, kita bisa menambahkan entri ARP ini secara manual (Static ARP).

Selanjutnya ubah setting pada interface lokal menjadi arp=reply only.

Pada kondisi ini, interface Router hanya akan meresponse request client dengan kombinasi IP Address dan MAC Address yang sesuai dengan tabel ARP, tanpa menambahkan entri ARP secara otomatis.

Karyawan tidak lagi bisa menggunakan IP Address Manajer. Saat karyawan mengubah IP Adress kombinasi yang terbentuk tidak sesuai dengan ARP Tabel.

Konsep ini bisa juga digunakan untuk mencegah IP Address lain yang tidak dikehendaki menggunakan akses jaringan kita.

Sumber : www.mikrotik.co.id

 

Simple Port Knocking (Security)

Port Knocking adalah metode yang dilakukan untuk membuka akses ke port tertentu yang telah diblock oleh Firewall pada perangkat jaringan dengan cara mengirimkan paket atau koneksi tertentu. Koneksi bisa berupa protocol TCP, UDP maupuan ICMP

Jika koneksi yang dikirimkan oleh host tersebut sudah sesuai dengan rule knocking yang diterapkan, maka secara dinamis firewall akan memberikan akses ke port yang sudah diblock.

Dengan cara ini, perangkat jaringan seperti Router akan lebih aman, sebab admin jaringan bisa melakukan blocking terhadap port-port yang rentan terhadap serangan seperti Winbox (tcp 8291), SSH (tcp 22), Telnet (tcp 23) atau webfig (tcp 80). Jika dilakukan port scanning port-port tersebut terlihat tertutup.

Dari sisi admin jaringan tetap bisa melakukan konfigurasi dan monitoring akan tetapi dengan langkah-langkah khusus (knocking) agar bisa diijinkan oleh firewall untuk akses port Winbox, SSH,dsb.

Address-List

Untuk dapat menerapkan metode port knocking sederhana, kita bisa memanfaatkan Address-List pada Router. Fitur Address-List dapat digunakan untuk melakukan pengelompokan / grouping IP Address yang selanjutnya group IP tersebut dapat digunakan pada fitur lain seperti Firewall Filter, NAT atau Mangle.

Address-List dapat ditambahkan secara manual ataupun secara dynamic. Penambahan secara manual dapat dilakukan pada menu IP -> Firewall -> Address List

Tentukan nama group serta IP Address yang akan dimasukkan pada group tersebut.

Disamping itu Address-List dapat juga ditambahkan secara dynamic, dimana biasa diterapkan jika IP yang akan dimasukkan ke dalam group Address List belum diketahui sebelumnya atau memang sifat nya berubah-ubah.

Dalam contoh setting Simple Port Knocking inilah, akan digunakan dynamic Address-List tersebut.

Konsep

Contoh kasus port knocking yang akan dibahas kali ini adalah bagaimana host dapat melakukan Winbox (tcp 8291) ke Router hanya jika host tersebut sudah melakukan knock ICMP (ping) terlebih dahulu.

Cara kerja nya yaitu dengan memasukkan IP Address Host yang mengirimkan paket ICMP (ping) ke Router ke dalam sebuah Address-List secara otomatis. Setelahnya, hanya IP yang sudah terdaftar pada Address-List yang bisa akses Winbox ke Router.

Konfigurasi

Untuk melakukan grouping IP secara otomatis kita bisa menggunakan fitur Firewall Filter. Pertama, lakukan konfigurasi matcher Firewall. Spesifikan hanya traffic ping (icmp) ke Router yang akan ditangkap

Setelah itu, gunakan action=add-src-to-address-list untuk memasukkan IP Address user yang melakukan ping ke Router ke dalam sebuah group.

Nama group dapat didefinisikan pada parameter Address List. Jika menghendaki IP tersebut tidak selamanya ada di dalam daftar group, maka bisa definisikan parameter Timeout.

Sampai langkah ini, jika ada host yang melakukan ping ke Router maka ip user tersebut akan dimasukkan ke dalam Address-List dengan nama=ping.

Perbedaan Address-List yang ditambahkan secara otomatis terletak pada flag “D” di depan nya. Karena sebelumnya TimeOut ditentukan maka IP Address tersebut akan dihapus otomatis dari daftar pada saat TimeOut habis.

Langkah selanjutnya yang harus dilakukan adalah membuat rule Firewall Filter untuk melakukan blocking akses Winbox ke Router dari sumber (src-address) selain dari IP Address yang sudah masuk dalam Address-List.

Tentu saja tidak hanya Winbox saja yang bisa kita definisikan pada matcher, tetapi bisa juga Telnet ,SSH,FTP dan webfig agar lebih aman.

Selanjutnya spesifikan src-address dari paket data yang akan ditangkap. Untuk kasus ini kita bisa menggunakan nama address-list yang sebelumnya ditambahkan secara otomatis.

Karena yang akan kita tangkap adalah traffic data dari selain IP yang sudah terdaftar maka kita bisa menggunakan logika NOT (!).

Langkah terakhir adalah penentuan action. Untuk tujuan blocking gunakan action=drop.

Jika dilihat keseluruhan rule Firewall Filter yang dibuat menjadi seperti berikut

Pengetesan

Setelah semua langkah selesai, lakukan pengetesan dengan akses winbox ke Router tanpa melakukan ping terlebih dahulu, maka akses akan diblock

Akan tetapi jika lakukan ping terlebih dahulu, baru akses winbox ke Router, maka akses winbox akan sukses dilakukan.

Pada artikel ini, port knocking akan berlaku pada semua interface Router, karena tidak ada rule untuk menspesifikan in-interface. Untuk implementasi di lapangan bisa sesuaikan dengan kebutuhan.

Sumber : www.mikrotik.co.id

 

TCP/IP (Part-3): IP-Address

IP address adalah sebuah sistem pengalamatan unik setiap host yang terkoneksi ke jaringan berbasis TCP/IP. IP address bisa dianalogikan seperti sebuah alamat rumah. Ketika sebuah datagram dikirim, informasi alamat inilah yang menjadi acuan datagram agar bisa sampai ke device yang dituju. IP Address terbagi dalam 2 versi, IPv4 dan IPv6. Sebuah IP address versi 4 atau IPv4 terbentuk dari 32 binary bits. Dari 32 binary bits tersebut terbagi lagi menjadi 4 octet (1 octet = 8 bits). Nilai tiap oktet diatara 0 sampai 255 dalam format desimal, atau 00000000 – 11111111 dalam formal binary. Setiap octet dikonversi menjadi desimal dan dipisahkan oleh tanda titik (dot). Sehingga format akhir IP address biasanya berupa angka desimal yang dipisahkan dengan tanda titik, contohnya 172.16.254.1.

Jika pada sebuah octet semua angka biner bernilai satu, maka nilai desimal dalam octet tersebut adalah 255. Cara konversi dari biner ke desimal, adalah dengan memperhatikan nilai bits. Jika dilihat dari posisi bits, bits paling kanan memiliki nilai 2 ⁰. Dan nilai pangkat ditambahkan untuk angka biner sebelah kirinya menjadi 2 ¹. Terus dilanjutkan sampai bits paling kiri.

Kita coba jabarkan IP address 172.16.254.1. Seperti yang telah kita pelajari sebelumnya bahwa satu IP address terbentuk dari 32 bits, maka detailnya akan menjadi seperti dibawah ini :

Jika Anda benar – benar ingin memahami konsep IP address, disarankan untuk memiliki pengetahuan dasar mengenai angka biner dan desimal, baik operasi perhitungan maupun konversi dari biner ke desimal atau sebaliknya.

Sistem komunikasi

Berdasarkan bagaimana perangkat saling berkomunikasi, terbagi menjadi beberapa jenis, yakni sebagai berikut:

• Unicast, merupakan komunikasi antar sebuah host atau point-to-point. Contoh : HTTP
• Broadcast, merupakan metode komunikasi dari sebuah host ke semua host yang masih dalam satu jaringan. Alamat broadcast digunakan dalam komunikasi one-to-everyone. Contoh : ARP Ethernet.
• Multicast, merupakan metode komunikasi dari sebuah host ke banyak host yang bergabung dalam group multicast yang sama. Alamat multicast digunakan dalam komunikasi one-to-many. Contoh : Video Streaming.
• Anycast, merupakan metode komunikasi dari sebuah host ke host atau kelompok host lain yang diset memiliki IP sama. Contoh : 6to4 relay.

Pada awal mula design network, diperkirakan konektivitas end-to-end terjadi pada seluruh host yang terkoneksi ke internet. Dan menjadi tugas IP address untuk menjadi sebuah alamat unik yang menjadi identitas sebuah host. Akan tetapi pada perkembangannya, tidak semua host butuh terkoneksi dengan dunia internet. Misalnya jaringan sebuah perusahaan yang hanya ingin masing – masing host cukup bisa berkomunikasi dengan host yang masih satu perusahaan, dan tidak perlu berkomunikasi dengan internet. Dengan adanya kasus seperti ini, maka IP address dibagi menjadi beberapa kelompok.

IP Public dan IP Private

IP Public
Public IP Address merupakan IP Address yang dapat diakses di jaringan internet. IP Public juga dikenal sebagai globally routable unicast IP address. Ketika sebuah perangkat memiliki IP public dan terkoneksi ke jaringan internet, maka perangkat tadi bisa diakses darimanapun melalui jaringan internet juga. Akan tetapi kita tidak bisa memasang sembarang IP public di sebuah device. Ada aturan mengenai alokasi IP public. Kita bisa mendapatkan Public IP Address dari pinjaman ISP atau alokasi dari APNIC/IDNIC (www.idnic.net).

IP Private
Pada arsitektur IP address, Private IP Address adalah IP Address yang diperuntukkan untuk jaringan lokal. IP private tidak boleh ada di jaringan internet dan tidak dapat diakses di jaringan internet.  Pada implementasi di jaringan real, biasanya jaringan lokal menggunakan IP Private, kemudian ditambahkan sebuah router yang menjembatani jaringan lokal yang menggunakan IP private dengan jaringan publik yang menggunakan IP Public. Untuk cakupan IP Private, Anda bisa lihat tabel IP Private di pembahasan mengenai CIDR.
IP Khusus

Selain IP Private dan IP Public, ada beberapa IP khusus lain. IP ini sudah memiliki tujuan penggunaan khusus yang sudah disepakati secara international, sehingga tidak dapat digunakan untuk pengalamatan sebuah host.

Kelas IP
Pada awal mula design IP address, IP address dibagi dalam beberapa kelas. Kelas IP dibedakan berdasarkan jumlah bits network ID. Masing masing kelas memiliki jumlah netowrk yang berbeda, dan jumlah host di tiap network yang berbeda pula. Pembagian ip address berdasarkan kelas ini sudah mulai ditinggalkan digantikan dengan sistem CIDR. Akan tetapi, ada baiknya kita coba lihat sejarah kelas IP address ini.

Kelas A
IP address kelas A biasa digunakan untuk jaringan dengan skala besar. Bits pertama di dalam IP address kelas A selalu diset dengan nilai 0 (nol). Bits kedua sampai bits ke delapan merupakan sebuah network identifier. 24 bit sisanya (atau tiga oktet terakhir) merepresentasikan host identifier. Dengan jumlah host identifier sampai 24 bits, artinya kelas A memiliki 16,777,214 host.

Kelas B
Kelas B biasa digunakan untuk jaringan skala menengah hingga skala besar. Dua bit pertama di dalam oktet pertama alamat IP kelas B biasanya berupa bilangan biner 10. 14 bit berikutnya merupakan network identifier. Sisa 16 bit merepresentasikan host identifier. Ip address kelas B memiliki 65,534 host.

Kelas C
Digunakan untuk jaringan berskala kecil. Tiga bit pertama bernilai biner 110. Kemudian 21 bit selanjutnya merupakan network identifier. Dan 8 bit sisanya merepresentasikan host identifier. Dengan begitu IP address kelas C memiliki 254 host untuk setiap network-nya.

Kelas D merupakan alokasi IP address yang disediakan hanya untuk alamat-alamat IP multicast, dan Kelas E merupakan IP alamat yang bersifat “eksperimental” atau percobaan dan dicadangkan untuk digunakan pada masa depan.

Kelas D

Kelas E

Akan tetapi pada perkembangannya, alokasi kelas IP address dengan metode ini dirasa sudah tidak cocok dan sekarang kita beralih menggunakan metode Classless Inter-Domain Routing (CIDR)

Subnet Mask
Subnet Mask merupakan nilai yang dibentuk dari angka biner 32 bits. sama seperti IP  address. Dari angka biner 32 bits ini, juga dipisahkan dengan tanda dot pada setiap octet. Fungsi dari subnet mask ini adalah membedakan network id dan host id. pada gambar kelas IP, kita bisa melihat alokasi nilai bits pada masing – masing identifier. Didalam subnet mask semua bit yang dialokasikan untuk network id diwakili oleh angka biner 1 sedangkan semua bit alokasi host id akan diwakili oleh angka biner 0. Selain membedakan identifier, subnet mask juga digunakan untuk menentukan letak suatu host, apakah di jaringan yang masih dalam satu segmen, atau sudah berbeda segmen.

Network Address dan Broadcast Address
Dalam sebuah alokasi IP address, ada 3 jenis IP.

• Host address, IP address yang dapat dipasang ke sebuah perangkat jaringan seperti komputer atau router agar dapat saling interkoneksi. Host IP ini sifatnya unik, dalam artian dalam sebuah network tidak boleh ada host IP yang sama.
• Network address,  IP address yang mereprentasikan alamat sebuah network. Semua host dalam satu network memiliki network address yang sama. Network address merupakan IP pertama dalam sebuah subnet IP
• Broadcast address, jenis IP address yang digunakan untuk mengirim data ke semua host yang masih berada dalam satu network. Broadcast address adalah ip terakhir dalam sebuah subnet IP.

Network address dan broadcast address tidak dapat dipasang dalam sebuah perangkat. Contoh, kita memiliki IP address 192.168.0.1 dengan subnet mask 255.255.255.0 maka untuk mendapatkan nilai network address dan boradcast address, kita bisa membuat perhitungan seperti berikut :

IP address  192.168.0.1             11000000.10101000.00000000 .00000001

Untuk mendapatkan nilai network address, ubah semua bit dalam alokasi host-id menjadi bernilai 0.
Susunan bit awal                        11000000.10101000.00000000 .00000001
Susunan bit network address       11000000.10101000.00000000 .00000000
Dotted-decimal network address  192          168         0               0

Untuk mendapatkan nilai ubah semua bit dalam alokasi host-id menjadi bernilai 1.
Susunan bit awal                          11000000.10101000.00000000.00000001
Susunan bit broadcast address      11000000.10101000.00000000.11111111
Dotted-decimal broadcast address 192          168          0              255

Jadi untuk ip address 192.168.0.1 dengan subnet mask 255.255.255.0, memiliki network address 192.168.0.0 dan broadcast address 192.168.0.255.

Subnetting (VLSM)
Subnetting adalah sebuah mekanisme perhitungan pembagian network menjadi network dengan skala yang lebih kecil, biasa disebut subnet. Subbnetting dilakukan dengan meminjam nilai bits yang dialokasikan pada host id, sehingga memungkinkan penggunaan IP address yang lebih efisien. Subnetting biasa disebut juga Variable Length Subnet Mask (VLSM). Subnetting biasa diterapkan dengan mengubah nilai subnet mask. Contoh kasus misalnya sebuah perusahaan hanya memiliki 60 komputer yang akan terhubung dalam satu jaringan menggunakan IP kelas C dengan subnet mask default 255.255.255.0. Untuk alasan keamanan dan efisisnsi jaringan, maka hanya perlu alokasi IP kurang lebih sejumlah 60 ip address. Disinilah fungsi subnetting dibutuhkan. Berikut cara sederhana untuk melakukan subnetting dengan mengubah nilai subnet mask.

Desimal 255.255.255.0
Biner     1111111.11111111.11111111.00000000

Dari nilai biner diatas, berarti alokasi porsi bits untuk network-id sebanyak 24 bits, dan porsi untuk host-id ada 8 bits. Dengan porsi sebanyak 8 bits, maka maksimal IP address adalah 254. Karena kebutuhan perusahaan tersebut hanya 60 ip address, maka porsi host id akan dikurangi dengan metode subnetting. Pertama kita ubah jumlah IP yang kita butuhkan menjadi angka biner, 60 = 111100.

Kalau kita perhatikan, dengan jumlah kurang lebih 60 ip address, membutuhkan 6 bits nilai biner, maka kita kurangi alokasi bits pada host-id yang sebelumnya 8 bits, menjadi 6 bits. Ingat bahwa di dalam subnet mask, host-id di representasikan dengan angka biner 0.

Subnet awal   1111111.11111111.11111111.00000000  (8 bits host-id)
Subnet baru   1111111.11111111.11111111.11000000 (6 bits host-id)
Decimal         255        255          255          192

Dengan alokasi bits host-id 6 digit, maka kita memiliki alokasi IP address dalam subnet baru tersebut adalah 111111 dalam bilangan biner atau 63 ip address dalam desimal. Dengan adanya network addres dan boardcast address , maka IP yang bisa kita pasang pada device jaringan maksimal adalah 62 ip address, contoh:

Range IP Address :  192.168.0.1 – 192.168.0.62
Netmask : 255.255.255.192
Network : 192.168.0.0
Broadcast : 192.168.0.63

Classless Inter-Domain Routing (CIDR)
Seiring dengan perkembangan dunia jaringan komputer yang cukup pesat, pembagian IP dengan menggunakan kelas A, B, dan C mulai ditinggalkan karena masih menyisakan banyak IP yang tidak digunakan. Selain mengurangi alokasi IP address, dengan cara yang sama dapat digunakan untuk keperluan sebaliknya, yakni menambah alokasi IP address. Contohnya kelas C yang secara teoritis hanya mendukung 254 alamat tiap jaringan, akan tetapi dengan CIDR, dapat menggunakan hingga 32766 alamat IP, yang seharusnya hanya tersedia untuk alamat IP kelas B. CIDR merupakan cara alternatif baru untuk merepresentasikan alamat IP dan subnet IP. CIDR disebut juga Supernetting atau Prefix. Jika kita sebelumnya sudah membahas mengenai IP Private, berikut tabel range IP address yang dilalokasikan sebagai IP Private dengan system CIDR.

Alokasi IP Private dengan system CIDR

CIDR biasanya ditulis dengan tanda “/” setelah IP  address, kemudian diikuti dengan informasi jumlah bits yang dialokasikan sebagai network-id, contoh 192.168.0.0/27. Jika Anda pernah melakukan konfigurasi router Mikrotik, tentu Anda sudah familiar dengan format IP seperti ini. Dari contoh subnet 192.168.0.0/27, maka dari 32 bits IP address, 27 bits dialokasikan untuk network-id,  tersisa 5 bits untuk host-id. Jumlah IP address yang ada dalam subnet tersebut bisa dihitung dengan rumus :

2 ^(32-x)

Dimana “x” adalah nilai CIDR.

Contoh, untuk subnet 192.168.0.0/27 bisa dihitung sebagai berikut :
2 ^(32-27) = 2 ⁽⁵⁾= 32
Nilai 32 adalah total IP address yang ada dalam subnet tersebut. Dikurangi dengan network address dan broadcast address, maka IP yang bisa dipasang pada perangkat jaringan ada 30 ip address.

Range IP Address :  192.168.0.1 – 192.168.0.30
Netmask : 255.255.255.224
Network : 192.168.0.0
Broadcast : 192.168.0.31

Perhitungan IP address sebenarnya tidak harus dilakukan secara manual. Ada banyak alat bantu untuk melakukan perhitungan IP address dan subnetting, misalnya IP Subnet Calculator. Akan tetapi, ada baiknya kita tahu bagaimana konsep IP address, sehingga dalam penerapan di jaringan, kita bisa membuat sebuah jaringan yang benar – benar sehat dan ideal.

Sumber : www.mikrotik.co.id