[ mikrotik how-to ] Mikrotik Dengan 2 ISP ( non fail over )

Kasus ini terjadi di kantor saya dimana didalam LAN terdapat berbagai macam client, antara lain Internal ( staff perusahaan ) dan Management ( kelompok managemen ).

Walaupun berada dalam satu jaringan fisik, namun mereka berada pada sub net yang berbeda :

Internal = 192.168.0.0/24

Management = 192.168.1.0/24

Sekarang timbul permasalahan saat pihak management meminta akses Internet dari ISP yang berbeda dengan kapasitas yang berbeda pula. Sebelumnya adalah menggunakan satu ISP saja. Penggabungan Dua ISP ini tidak menggunakan metode FAIL OVER.

Akhirnya saya putuskan untuk memasang tambahan 1 LAN Card pada router menjadi 3 LAN Card dari sebelumnya hanya 2 LAN Card saja :

eth1 = xx.xx.xx.xx/xx ( ISP 1 )

eth2 = 192.168.0.0/24 ( LAN Internel )

eth2 = 192.168.1.0/24 ( LAN Management )

eth3 = yy.yy.yy.yy/yy ( ISP 2 )

keterangan.

eth2 di set duplicate IP untuk menggabung jaringan LAN pada jaringan fisik yang sama.

Setting Dua ISP pada mikrotik saya temukan pada blog Jauh Dimata dengan sedikit modifikasi penyesuaian. Source asli dapat dilihat di sini.

Berikut langkah – langkah setting :

1. Set IP pada eth1 ( ISP 1 )

/ip address add address=xx.xx.xx.xx/xx interface=eth1

2. Set IP pada eth2 ( LAN Internal )

/ip address add address=192.168.0.1/24 interface=eth2

3. Set IP pada eth2 ( LAN Management )

/ip address add address=192.168.1.1/24 interface=eth2

4. Set IP pada eth3 ( ISP 2 )

/ip address add address=yy.yy.yy.yy/yy interface=eth3

5. Setting Gateway Utama ( gateway dari ISP 1 )

/ip route add gateway=xxx.xxx.xxx.xxx/xx routing-mark=LB-RM check-gateway=ping

6. Setting Gateway Kedua ( gateway dari ISP 2 )

/ip route add gateway=yyy.yyy.yyy.yyy/yy

7. Memberi tanda pada routing dari LAN Internal ( 192.168.0.0/24 ) agar menggunakan Gateway Utama

/ip firewall mangle add chain=prerouting src-address=192.168.0.0/24 action=mark-routing new-routing-mark=LB-RM

8. Setting Masquerade pada eth2 untuk jaringan LAN Internal agar jalur Internet via ISP 1 di eth1

/ip firewall nat add chain=srcnat out-interface=ether1 src-address=192.168.0.0/24 action=masquerade

9. Setting Masquerade pada eth2 untuk jaringan LAN Management agar jalur Internet via ISP 2 di eth3

chain=srcnat out-interface=ether3 src-address=192.168.1.0/24 action=masquerade

Saat saya coba teknik ini, internet berjalan normal di kedua subnet, begitu juga dengan check ip public yang berjalan pada masing – masing sub net saat akses internet sudah sesuai.

IP ISP 1 = xx.xx.xx.xx pada subnet LAN Internal

IP ISP 2 = yy.yy.yy.yy pada subnet LAN Management

Untuk mengetahui IP Public yang kita gunakan saat melakukan akses pada Internet seperti uji coba diatas, anda dapat menggunakan Tool What My IP Is

Saya sendiri belum yakin akan benar atau salahnya teknik ini, tapi setidak – tidaknya akses internet berjalan normal dan sesuai dengan keiginan kami.

Untuk sesepuh senior, mohon pencerahan. CMIIW

[ mikrotik ] Mikrotik + Transparent Proxy Terpisah + Web Filtering

Pekerjaan saya yang tertunda selama ini adalah membangun sebuah Proxy Server terpisah dari Mikrotik yang sudah dilengkapi dengan Web Filtering.

Untuk Proxy Server yang terpisah saya kali ini menggunakan Red Hat Linux sebagai operating system dan Squid sebagai aplikasi proxy serta Dansguardian sebagai aplikasi Web Filtering

Kesulitan saya selama ini adalah membuat agar semua akses web browsing via port 80 agar terfilter terlebih dahulu pada Proxy Server.

Beberapa kali saya mencoba menggunakan fitur Web Proxy Mikrotik lalu saya parent kan dengan Proxy Server yang saya bangun terpisah. Kegagalannya adalah selain mikrotik menjadi tambah berat, kesalahan setting Access Control List yang membuat Mikrotik dapat digunakan sebagai proxy dari user diluar jaringan, sudah barang tentu hal ini dapat membuat bandwidth terkuras.

Akhirnya saya berkeinginan agar user dalam jaringan hanya menggunakan proxy diluar fasilitas yang tersedia di Mikrotik. Proxy server ini saya sejajarkan dengan ip user sehingga menggunakan ip local.

Adapun kesulitan saya selama ini adalah melakukan redirect request dari user ke mikrotik melalui port 80 menuju proxy server. Saya beruntung membaca blog http://cangkirkopi.wordpress.com yang mengajarkan saya teknik redirect port 80 ke ip tertentu.

Adapun detailnya sbb :

Mikrotik : 192.168.0.1

Internet : eth1

Lan : eth2

Proxy  : 192.168.0.254

port : 3128

———–

di asumsikan bahwa transparent proxy sudah berjalan normal pada Proxy Server

1. Table NAT ( IP > Firewall > NAT )

dst-nat, src-address = !192.168.0.254 protocol=tcp dst-port=80 in-interface=ether2 action=dstnat to-addresses=192.168.0.254 to-port=3128

src-nat, src-address=192.168.0.0/24 out-interface=ether2 action=srcnat to-addresses=192.168.0.1 to-port=0-65535

2. Table Filter Rules

chain=forward src-address=192.168.0.0/24 dst-address=192.168.0.254 dst-port=3128 in-interface=ether2 out-interface=ether1 action=accept

dengan script ini akhirnya transparent proxy tanpa menggunakan fitur proxy Mikrotik dapat berjalan dengan sempurna.

Ulasan pengalaman setting Dansguradian sebagai web filtering akan saya lanjutkan pada tulisan berikutnya.

Trims buat kelnix atas tutorialnya, untuk para senior mohon pencerahan.

What are the different operating modes in airPointPRO series?

The airPoint-PRO can operate in four different Modes, namely

• Access Point – In this mode the airPoint-PRO is operating as a normal 802.11b compliant Access Point. Client Info and Client Auth Tabs of simpleMonitor will be enabled in this Mode.
• Client Bridge – In this mode the airPoint-PRO is operating as ethernet client, and you can associate it with Access Point on the LAN. SiteSurvey and Link Status Tabs of simpleMonitor will be enabled on this Mode. This Ethernet Client supports the multiple PCs.
• Wireless Bridge – In this mode airPoint-PRO can bridge 2 or more LANs wirelessly. This Mode support 2 sub modes as,

1. 1. Point to Point – This mode lets one airPoint-PRO talk to another airPoint-PRO wirelessly linking two Ethernet LANs behind together.
   2. Point to MultiPoint – This mode lets multiple airPoint-PRO linking multiple Ethernet LANs.

• Wireless Repeater – In this Mode airPoint-PRO radio takes turn to act as a Client to associate with the upstream Access Point (airPoint/PRO is recommended for compatibility) and then switch to the normal Access Point mode to service local wireless clients. This capability allows for reaching subscribers in the hard to reach areas. Client Info, Client Auth and Link Status Tabs of simpleMonitor will be enabled on this mode.
  

What is Repeater mode in airPointPro series and is it recommended to use?

Definition:
A repeater is an access point that extends the radio range of the infrastructure or to overcome an obstacle that blocks radio communication. A repeater is not physically attached to the wired LAN, but communicates through radio to another access point which is primary Access Point connected to the wired LAN. Wireless clients associating to the repeater AP will thus be able to be located farther from the wired LAN.

The repeater forwards traffic between wireless users and the wired LAN by sending packets to either another repeater or to an access point connected to the wired LAN. When you configure an access point as a repeater, the access point’s Ethernet port does not forward traffic.

Effective throughput is cut in half once for each hop away from the parent Access Point. Because each repeater must receive and then re-transmit each packet on the same channel, throughput is cut in half for each repeater you add to the chain.

What are our advise on using Repeater mode:
1. Use Repeater mode only for link extension where there is obstacle that prevent normal RF communication where line of sight is not possible. It is not used to increase RF coverage for more wireless clients.

2. Please make sure the repeater access point associates to the access point with which it has the best connectivity. Setting up a static, specific association between a repeater and a primary access point is a must to improves wireless link stability. Take note the Wireless clients may not be able to establish a radio link to the access point if the repeater access point does not have a valid link or establish stable link to a primary access point.

3. Do not set up a chain of several repeater access points as any uplink failure can cause the entire downlink to fail, and the throughput for client devices at the end of the repeater chain will be quite low.

4. Another aspect when using Repeater mode may cause Hidden Node issue. Packet loss and retransimission are common symptoms when it occurs.

An alternative solution to using Repeater mode would be using two Radios approach, one in Access Point and another in Client Bridge mode connected back to back using Ethernet connection. There would not be any degrade in throughput, instead it has better wireless link performance and stability. Our new product, XO2, which has two Radios in a single device which can function as true Repeater  providing carrier class solution.

Terjemahannya nyusul ya… lagi buka – buka kamus

[mikrotik] Proxy Mikrotik Rawan dibobol

Proxy pada mikrotik yang saya kelola dibobol orang, ini pengalaman pribadi saya setelah melakukan setting proxy tranparent pada mikrotik.

Setidak – tidaknya ini adalah ungkapan pribadi saya dengan tidak mengurangi rasa hormat kepada pembuat Mikrotik, sebuah router yang cukup tangguh dan mudah untuk di-management.

Pengalaman ini berawal dari keinginan saya melakukan proteksi akses internet di kantor ke situs – situs porno. Saya memulai dengan membuat sebuah proxy server pada mesin terpisah menggunakan Red Hat Linux dan Squid plus Dansguardian.

Pada mulanya proxy server ini berjalan normal. Namun sayangnya karena dia berada sejajar dengan pc user dan menggunakan ip local, mengharuskan saya melakukan setting manual pada browser masing – masing user.

Lama kelamaan mulai lah nampak user – user yang nakal, mereka browsing ke situs porno dengan men-disable proxy pada browser mereka.

Kuping saya jadi cukup panas diomelin bos yang mengangkap basah user sedang melakukan akses ke situs sex.

Setelah baca – baca tutorial, saya putuskan untuk meng-aktifkan fitur proxy pada mikrotik lalu saya parent ke proxy yang terpisah tadi. Cuma dari awal saya sudah bingung mencari – cari tutorial setting ACL pada proxy mikrotik.

Sepertinya  Mikrotik tidak menyediakan fitur setting acl proxy… CMIIW :d

Modal nekat, saya jalankan skema yang tadi. Satu jam pertama  semua berjalan normal, kemudian dua sampai tiga jam berikutnya mulai tampak keanehan pada down stream lalu diikuti pada upstream. Bandwidth terkuras habis.

Setelah membaca log pada proxy mesin terpisah, saya gagal menemukan keanehan yang terjadi. Wajar saja menurut saya, karena semua akses  yang mengarah ke proxy berasal dari mikrotik. Saya mencoba mencari – cari log di mikrotik, gagal juga.

Dengan sangat menyesal saya matikan fitur proxy pada mikrotik, walau  traffic kembali normal tapi kuping tetap panas di omelin bos. Sampai saat ini saya masih mencari teknik yang lebih baik untuk melakukan filtering access di jaringan di kantor

Next Page →

• Recently Written

  • Custom Theme WP. 3.0.x
  • Membuat Menu Search Seperti Facebook
  • Blokir Konten Web dengan Teknik Squid + Dansguardian
  • Daftar Situs Yang Di Blok Pemerintah 2010
  • Prosesor Intel Core i3, i5, dan i7
  • Tips Design Fast Loading Site
  • Thanks to Blogger DoFollowisme
  • Be Carefull Kawan
  • Tips Memilih VGA Card
  • Keunggulan Android OS

• Categories

  • Asides
  • Featured
  • Komunias Service
  • Komunitas Bisnis
  • Komunitas Blogger
  • Komunitas Design
  • Komunitas Fotografi
  • Komunitas Google
    • Komunitas Google Goggles
  • Komunitas Grafis
  • Komunitas Hardware
  • Komunitas Kami News
  • Komunitas Linux
  • Komunitas Mikrotik
  • Komunitas Mikrotik
  • Komunitas Mobile
  • Komunitas Networking
  • Komunitas Notebook
  • Komunitas Penerbangan
  • Komunitas Pertanian
  • Komunitas Ponsel
  • Komunitas Programmer
  • Komunitas Software
  • Komunitas Squid
  • Komunitas Squid
  • Komunitas Teknisi
  • Komunitas Troubleshot
  • Komunitas Web
  • Komunitas Windows
  • Uncategorized

• Archives

  • August 2010
  • July 2010
  • June 2010
  • May 2010
  • April 2010
  • March 2010
  • February 2010
  • January 2010
  • December 2009
  • November 2009
  • October 2009
  • September 2009
  • July 2009
  • June 2009
  • May 2009
  • April 2009
  • March 2009
  • February 2009
  • January 2009
  • December 2008
  • November 2008
  • October 2008
  • September 2008
  • August 2008
  • July 2008
  • June 2008
  • May 2008
  • April 2008
  • March 2008
  • February 2008
  • January 2008
  • December 2007
  • November 2007
  • October 2007
  • September 2007

• Admin

  • Register
  • Log in
  • WordPress
  • XHTML

• Ads

  • 

    ↑ Grab this Headline Animator

  • Enter your email address:

    Delivered by FeedBurner

• 
  

• Tags

  3g acer adware alexa alexa.com antivirus apa itu online earning arti online earning backlink bisnis online bisnis parkir domain blog blogger blogger pemula busby Busby SEO Test copy paste do follow dofollow do follow blog g-land g-land bobbys surf camp g-land surf g-land surf camp google google adsense Google Maps google page rank hack hacking inject internet klinik seo Online Earning sedo.com seo social bookmark telkomsel telkomsel flash telkomsel flash unlimited test trojan virus web ziddu search engine

• Recent Comments

  • gayuh on DO FOLLOW Blog Indonesia
  • dedy s on [ klinik mikrotik ] Load Balancing
  • Febio on DO FOLLOW Blog Indonesia
  • tomi on Thanks to Blogger DoFollowisme
  • marawis on Keunggulan Android OS

• Blogroll

  • Bali Visual
  • Busby SEO Test
  • Busby SEO Test
  • Dewa Benny
  • Dexno
  • G-Land
  • Jimmy Kurnia Indradjaya
  • Panak Leak
  • Suggest Ideas
  • Support Forum
  • Themes
  • WordPress Planet
• 
  
  
  
  
  Busby SEO Test