MIKROTIK

SETTING HOTSPOT MIKROTIK TERCEPAT AND MUDAH

2010-09-02T12:24:00.004+08:00

Beberapa langkah untuk membangun sebuah system hotspot dan user manager :

INSTAL MIKROTIK

NAMAKAN INTERACE
PEMBERIAN IP
SETTING IP GATEWAY
SETTING DNS
SETTING NAT
BUAT IP POOL
SETTING RADIUS SERVER
SETTING HOTSPOT
SETTING USERMANAGER

Cara Memisahkan Browse, Download, Upload, Dan Game

2010-08-30T16:42:00.003+08:00

Settingan ini Berjalan Pada Mikrotik RB750 OS ver.4.5 Dan percobaan Ini dilakukan pada mikrotik PC dengan Mikrotik Versi V2.9.27

Siapkan Perangkat PC dan Instal Mikrotik V2.9.27

Lan Card 1 menuju ISP dalam settingan ini menggunakan Speedy "Jaringan Speedy"
Lan Card 2 Menuju Jaringan Local dengan nama "Jaringan Local"
Setting IP untuk Lan 1 (Baca Tutorial Instal Mikrotik)
setting IP untuk Lan 2 (disini IP : 192.168.0.0/24

Settingan Yang akan Dilakukan :

GAME Poin Blank
Game Poker
BROWSING
UPLOAD
LIMIT DOWNLOAD
QUEUE

Tahapan atau teknik setting seperti berikut :

Settingan Untuk GAME Poin Blank

contoh buat Point Blank, game lain sesuaikan aja port/ip nya

Untuk Perintah Dibawah buatkan Pada bagian IP-Firewall-Mangle

-------------------------------------------------------------------------------------------------
chain=game action=mark-connection new-connection-mark=Game passthrough=yes protocol=tcp dst-address=203.89.146.0/23 dst-port=39190 comment=”Point Blank”
-------------------------------------------------------------------------------------------------
chain=game action=mark-connection new-connection-mark=Game passthrough=yes protocol=udp dst-address=203.89.146.0/23 dst-port=40000-40010
-------------------------------------------------------------------------------------------------
chain=game action=mark-packet new-packet-mark=Game_pkt passthrough=no connection-mark=Game
-------------------------------------------------------------------------------------------------
chain=prerouting action=jump jump-target=game
-------------------------------------------------------------------------------------------------

Settingan Untuk GAME Poker

Untuk Perintah Dibawah buatkan Pada bagian IP-Firewall-Mangle

-------------------------------------------------------------------------------------------------
chain=forward action=mark-connection new-connection-mark=Poker_con passthrough=yes protocol=tcp dst-address-list=LOAD POKER comment=”POKER”
-------------------------------------------------------------------------------------------------
chain=forward action=mark-connection new-connection-mark=Poker_con passthrough=yes protocol=tcp content=statics.poker.static.zynga.com
-------------------------------------------------------------------------------------------------
chain=forward action=mark-packet new-packet-mark=Poker passthrough=no connection-mark=Poker_con
-------------------------------------------------------------------------------------------------

BROWSING

-------------------------------------------------------------------------------------------------
chain=forward action=mark-connection new-connection-mark=http passthrough=yes protocol=tcp in-interface=WAN out-interface=Lan packet-mark=!Game_pkt connection-mark=!Game connection-bytes=0-262146 comment=”BROWSE”
-------------------------------------------------------------------------------------------------
chain=forward action=mark-packet new-packet-mark=http_pkt passthrough=no protocol=tcp connection-mark=http
-------------------------------------------------------------------------------------------------
chain=forward action=mark-packet new-packet-mark=http_pkt passthrough=no protocol=tcp connection-mark=http
-------------------------------------------------------------------------------------------------

UPLOAD

-------------------------------------------------------------------------------------------------
chain=prerouting action=mark-packet new-packet-mark=Upload passthrough=no protocol=tcp src-address=192.168.0.0/24 in-interface=Lan packet-mark=!icmp_pkt comment=”UPLOAD”
-------------------------------------------------------------------------------------------------

LIMIT DOWNLOAD

-------------------------------------------------------------------------------------------------
chain=forward action=mark-connection new-connection-mark=Download passthrough=yes protocol=tcp in-interface=WAN out-interface=Lan packet-mark=!Game_pkt connection-mark=!Poker_con connection bytes=262146-4294967295 comment=”LIMIT DOWNLOAD”
-------------------------------------------------------------------------------------------------
chain=forward action=mark-packet new-packet-mark=Download_pkt passthrough=no packet-mark=!Game_pk> connection-mark=Download
-------------------------------------------------------------------------------------------------

QUEUE

Queue Type
-------------------------------------------------------------------------------------------------
name=”Download” kind=pcq pcq-rate=256000 pcq-limit=50 pcq-classifier=dst-address pcq-total-limit=2000

name=”Http” kind=pcq pcq-rate=1M pcq-limit=50 pcq-classifier=dst-address pcq-total-limit=2000

name=”Game” kind=pcq pcq-rate=0 pcq-limit=50 pcq-classifier=src-address,dst-address,src-port,dst-port pcq-total-limit=2000

name=”Upload” kind=pcq pcq-rate=0 pcq-limit=50 pcq-classifier=src-address pcq-total-limit=2000
-------------------------------------------------------------------------------------------------

Queue Tree
-------------------------------------------------------------------------------------------------
name=”Main Browse” parent=Lan limit-at=0 priority=8 max-limit=1M burst-limit=0 burst-threshold=0 burst-time=0s

name=”Browse” parent=Main Browse packet-mark=http_pkt limit-at=0 queue=Http priority=8 max-limit=1M burst-limit=0 burst-threshold=0 burst-time=0s

name=”Game” parent=global-total packet-mark=Game_pkt limit-at=0 queue=Game priority=1 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s

name=”Poker” parent=global-out packet-mark=Poker limit-at=0 queue=Game priority=3 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s

name=”Download” parent=global-out packet-mark=Download_pkt limit-at=0 queue=Download priority=8 max-limit=256k burst-limit=0 burst-threshold=0 burst-time=0s

name=”Main Upload” parent=global-in limit-at=0 priority=8 max-limit=256k burst-limit=0 burst-threshold=0 burst-time=0s

name=”Upload” parent=Main Upload packet-mark=Upload limit-at=0 queue=Upload priority=8 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
-------------------------------------------------------------------------------------------------

Setting Mikrotik Dengan Line Speedy (Versi Mr. A)

2010-08-29T09:40:00.003+08:00

Skema Jaringan dan IP Address yang akan dibuat: Oleh Mr. A :

SPEEDY (Internet) –> Modem ADSL (IP modem=192.168.1.1) –> (IP ether1=192.168.1.2) Mikrotik Routeros (IP ether2=10.0.0.30) –> LAN (IP LAN=10.0.0.1 s/d 10.0.0.29)

IP Address LAN, kita gunakan network 10.0.0.0/27 (transfer data =27 bit untuk maks 30 IP Address/komputer).

Untuk Mikrotik RouterOS, kita perlu dua (2) ethernet card. Satu (ether1 – 192.168.1.2/24) untuk sambungan ke Modem ADSL dan satu lagi (ether2 – 10.0.0.30/27) untuk sambungan ke LAN/switch.

Untuk Modem ADSL, IP kita set 192.168.1.1/24.

Pastikan Anda sebelum mengetikkan apapun, telah berada pada root menu dengan mengetikkan “/”

1. Set IP untuk masing² ethernet card:

ip address add address=192.168.1.2/24 interface=ether1
ip address add address=10.0.0.30/27 interface=ether2

Untuk menampilkan hasil perintah di atas ketikkan perintah berikut:
ip address print

Kemudian lakukan testing dengan mencoba nge-ping ke gateway atau ke komputer yg ada pada LAN. Jika hasilnya sukses, maka konfigurasi IP Anda sudah benar
ping 192.168.1.1
ping 10.0.0.30

2. Menambahkan Routing

ip route add gateway=192.168.1.1 (IP Gateway adalag IP modem)

3. Setting DNS

ip dns set primary-dns=203.130.193.74 allow-remote-requests=yes
ip dns set secondary-dns=202.134.0.155 allow-remote-requests=yes

Karena koneksi menggunakan Speedy dari Telkom, maka DNS yg kita gunakan DNS Telkom. Silahkan sesuaikan dengan DNS Telkom masing tempat Anda berada.

Setelah itu coba Anda lakukan ping ke yahoo.com misalnya:
ping yahoo.com
Jika hasilnya sukses, maka settingan DNS sudah benar

4. Source NAT (Network Address Translation) / Masquerading.

Agar semua komputer yg ada di LAN bisa terhubung ke internet juga, maka Anda perlu menambahkan NAT (Masquerade) pada Mikrotik.

ip firewall nat add chain=srcnat action=masquerade out-interface=ether1

Sekarang coba lakukan ping ke yahoo.com dari komputer yang ada di LAN
ping yahoo.com
Jika hasilnya sukses, maka setting masquerade sudah benar

5. DHCP (DynamicHost Configuration Protocol)

Supaya praktis, kita gunakan saja DHCP Server. Agar setiap ada klien yang ingin konek, dia ga perlu setting IP secara manual. Tinggal obtain aja dari DHCP Server, beres dah. Untungnya Mikrotik ini juga ada fitur DHCP Servernya. Jadi ya ga ada masalah… OK! Langkah2nya sbb:

Buat IP Address Pool

ip pool add name=dhcp-pool ranges=10.0.0.1-10.0.0.29

Menambahkan DHCP Network

ip dhcp-server network add address=10.0.0.0/27 gateway=10.0.0.30 dns-server=203.130.193.74,202.134.0.155

Menambahkan Server DHCP
ip dhcp-server add name=DHCP_LAN disabled=no interface=ether2 address-pool=dhcp-pool

Sekarang coba lakukan testing dari komputer klien, untuk me-request IP Address dari Server DHCP. Jika sukses, maka sekali lagi, settingannya sudah OK.

6. Bandwidth Control

Agar semua komputer klien pada LAN tidak saling berebut bandwidth, maka perlu dilakukan yg namanya bandwidth management atau bandwidth control

Model yg saya gunakan adalah queue trees. Untuk lebih jelas apa itu, silahkan merujuk ke situsnya Mikrotik. (http://mikrotik.co.id)
Kondisinya seperti ini:
Koneksi Speedy sekarang ini katanya speednya sampai 1Mbps/128kbps (Download/Upload). Untuk itu setingan bandwidth management nya bisa kita set sbb berikut:

Tandai semua paket yg asalnya dari LAN

ip firewall mangle add src-address=10.0.0.0/27 action=mark-connection
ip firewall mangle add connection-mark=Clients-con action=mark-packet new-packet-mark=Clients chain=prerouting new-connection-mark=Clients-con chain=prerouting

Menambahkan rule yg akan membatasi kecepatan download dan upload

queue tree add name=Clients-Download parent=ether2 packet-mark=Clients limit-at=0 max-limit=0
queue tree add name=Clients-Upload parent=ether1 packet-mark=Clients limit-at=0 max-limit=0

Nilai download dan upload kita set “0″ (nol) dengan tujuan agar bandwidth yang kita dapatkan tidak terbatasi. Karena pada saat-saat tertentu speed speedy bisa mencapai 1,5Mbps. Jadi kalo kita set maks=1mbps maka speed yang kita dapatkan hanya mentok 1mbps saja. rugikan :-D

Sekarang coba lakukan test download dari beberapa klien, mestinya sekarang tiap2 klien akan berbagi bandwidthnya. Jika jumlah klien yg online tidak sampai 10, maka sisa bandwidth yang nganggur itu akan dibagikan kepada klien yg online.

7. Graphing

Mikrotik ini juga dilengkapi dengan fungsi monitoring traffic layaknya MRTG biasa. Jadi kita bisa melihat berapa banyak paket yg dilewatkan pada PC Mikrotik kita.
tool graphing set store-every=5min

Berikutnya yang akan kita monitor adalah paket² yg lewat semua interface yg ada di PC Mikrotik kita.
tool graphing interface add-interface=all store-on-disk=yes

Sekarang coba arahkan browser anda ke IP Router Mikrotik (IP ether2 yang ke LAN)
http://10.0.0.30/graphs/
Nanti akan ada pilihan interface apa aja yg ada di router Anda. Coba klik salah satu, maka Anda akan bisa melihat grafik dari paket2 yg lewat pada interface tersebut.

Sampai disini kita telah selesai melakukan setting mikrotik dasar untuk koneksi speedy

Setting Firewall Filter Mikrotik

2010-08-29T09:17:00.005+08:00

Langkah pertama yaitu ketikan atau copykan perintah dibawah ini dan letakan paa bagian
terminal mikrotik.
----------------------------------------------------------------------------------------------------------------------------------------
/ ip firewall filter
----------------------------------------------------------------------------------------------------------------------------------------

Setelah melakukan langkah diatas,lakukan langkahberikutnya yaitu copykan perintah dibawah ini dan langsung masukan dalam terminal mikrotik.

----------------------------------------------------------------------------------------------------------------------------------------

add chain=input connection-state=invalid action=drop comment="Drop Invalid
connections" disabled=no

add chain=input src-address=!192.168.0.0/27 protocol=tcp src-port=1024-65535
dst-port=8080 action=drop comment="Block to Proxy" disabled=no

add chain=input protocol=udp dst-port=12667 action=drop comment="Trinoo"
disabled=no

add chain=input protocol=udp dst-port=27665 action=drop comment="Trinoo"
disabled=no

add chain=input protocol=udp dst-port=31335 action=drop comment="Trinoo"
disabled=no

add chain=input protocol=udp dst-port=27444 action=drop comment="Trinoo"
disabled=no

add chain=input protocol=udp dst-port=34555 action=drop comment="Trinoo"
disabled=no

add chain=input protocol=udp dst-port=35555 action=drop comment="Trinoo"
disabled=no

add chain=input protocol=tcp dst-port=27444 action=drop comment="Trinoo"
disabled=no

add chain=input protocol=tcp dst-port=27665 action=drop comment="Trinoo"
disabled=no

add chain=input protocol=tcp dst-port=31335 action=drop comment="Trinoo"
disabled=no

add chain=input protocol=tcp dst-port=31846 action=drop comment="Trinoo"
disabled=no

add chain=input protocol=tcp dst-port=34555 action=drop comment="Trinoo"
disabled=no

add chain=input protocol=tcp dst-port=35555 action=drop comment="Trinoo"
disabled=no

add chain=input connection-state=established action=accept comment="Allow
Established connections" disabled=no

add chain=input protocol=udp action=accept comment="Allow UDP" disabled=no

add chain=input protocol=icmp action=accept comment="Allow ICMP" disabled=no

add chain=input src-address=192.168.0.0/27 action=accept comment="Allow access
to router from known network" disabled=no

add chain=input action=drop comment="Drop anything else" disabled=no

add chain=forward protocol=tcp connection-state=invalid action=drop
comment="drop invalid connections" disabled=no

add chain=forward connection-state=established action=accept comment="allow
already established connections" disabled=no

add chain=forward connection-state=related action=accept comment="allow
related connections" disabled=no

add chain=forward src-address=0.0.0.0/8 action=drop comment="" disabled=no

add chain=forward dst-address=0.0.0.0/8 action=drop comment="" disabled=no

add chain=forward src-address=127.0.0.0/8 action=drop comment="" disabled=no

add chain=forward dst-address=127.0.0.0/8 action=drop comment="" disabled=no

add chain=forward src-address=224.0.0.0/3 action=drop comment="" disabled=no

add chain=forward dst-address=224.0.0.0/3 action=drop comment="" disabled=no

add chain=forward protocol=tcp action=jump jump-target=tcp comment=""
disabled=no

add chain=forward protocol=udp action=jump jump-target=udp comment=""
disabled=no

add chain=forward protocol=icmp action=jump jump-target=icmp comment=""
disabled=no

add chain=tcp protocol=tcp dst-port=69 action=drop comment="deny TFTP"
disabled=no

add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC
portmapper" disabled=no

add chain=tcp protocol=tcp dst-port=135 action=drop comment="deny RPC
portmapper" disabled=no

add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="deny NBT"
disabled=no

add chain=tcp protocol=tcp dst-port=445 action=drop comment="deny cifs"
disabled=no

add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS"
disabled=no

add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny
NetBus" disabled=no

add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus"
disabled=no

add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny
BackOriffice" disabled=no

add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP"
disabled=no

add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP"
disabled=no

add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC
portmapper" disabled=no

add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC
portmapper" disabled=no

add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT"
disabled=no

add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS"
disabled=no

add chain=udp protocol=udp dst-port=3133 action=drop comment="deny
BackOriffice" disabled=no

add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list
address-list="port scanners" address-list-timeout=2w comment="Port
scanners to list " disabled=no

add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
action=add-src-to-address-list address-list="port scanners"

address-list-timeout=2w comment="NMAP FIN Stealth scan" disabled=no

add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list

address-list="port scanners" address-list-timeout=2w comment="SYN/FIN
scan" disabled=no

add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list
address-list="port scanners" address-list-timeout=2w comment="SYN/RST
scan" disabled=no

add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack

action=add-src-to-address-list address-list="port scanners"

address-list-timeout=2w comment="FIN/PSH/URG scan" disabled=no

add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="ALL/ALL scan" disabled=no

add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="NMAP NULL scan" disabled=no

add chain=input src-address-list="port scanners" action=drop comment="dropping
port scanners" disabled=no

add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="drop
invalid connections" disabled=no

add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="allow
established connections" disabled=no

add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="allow
already established connections" disabled=no

add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="allow
source quench" disabled=no

add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="allow
echo request" disabled=no

add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="allow
time exceed" disabled=no

add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="allow
parameter bad" disabled=no

add chain=icmp action=drop comment="deny all other types" disabled=no

add chain=tcp protocol=tcp dst-port=25 action=reject
reject-with=icmp-network-unreachable comment="Smtp" disabled=no

add chain=tcp protocol=udp dst-port=25 action=reject
reject-with=icmp-network-unreachable comment="Smtp" disabled=no

add chain=tcp protocol=tcp dst-port=110 action=reject
reject-with=icmp-network-unreachable comment="Smtp" disabled=no

add chain=tcp protocol=udp dst-port=110 action=reject
reject-with=icmp-network-unreachable comment="Smtp" disabled=no

add chain=tcp protocol=udp dst-port=110 action=reject
reject-with=icmp-network-unreachable comment="Smtp" disabled=no

-----------------------------------------------------------------------------------------------------------------

Fitur Mikrotik RouterOS

2010-08-29T02:06:00.003+08:00

Penanganan Protokol TCP/IP:

Firewall and NAT - stateful packet filtering; Peer-to-Peer protocol filtering; source and destination NAT; classification by source MAC, IP addresses, ports, protocols, protocol options, interfaces, internal marks, content, matching frequency
Routing - Static routing; Equal cost multi-path routing; Policy based routing (classification by source and destination addresses and/or by firewall mark); RIP v1 / v2, OSPF v2, BGP v4
Data Rate Management - per IP / protocol / subnet / port / firewall mark; HTB, PCQ, RED, SFQ, byte limited queue, packet limited queue; hierarchical limitation, CIR, MIR, contention ratios, dynamic client rate equalizing (PCQ)
HotSpot - HotSpot Gateway with RADIUS authentication/accounting; data rate limitation; traffic quota; real-time status information; walled-garden; customized HTML login pages; iPass support; SSL secure authentication
Point-to-Point tunneling protocols - PPTP, PPPoE and L2TP Access Concentrators and clients; PAP, CHAP, MSCHAPv1 and MSCHAPv2 authentication protocols; RADIUS authentication and accounting; MPPE encryption; compression for PPPoE; data rate limitation; PPPoE dial on demand
Simple tunnels - IPIP tunnels, EoIP (Ethernet over IP)
IPsec - IP security AH and ESP protocols; Diffie-Hellman groups 1,2,5; MD5 and SHA1 hashing algorithms; DES, 3DES, AES-128, AES-192, AES-256 encryption algorithms; Perfect Forwarding Secresy (PFS) groups 1,2,5
Web proxy - FTP, HTTP and HTTPS caching proxy server; transparent HTTP caching proxy; SOCKS protocol support; support for caching on a separate drive; access control lists; caching lists; parent proxy support
Caching DNS client - name resolving for local use; Dynamic DNS Client; local DNS cache with static entries
DHCP - DHCP server per interface; DHCP relay; DHCP client; multiple DHCP networks; static and dynamic DHCP leases
Universal Client - Transparent address translation not depending on the client's setup
VRRP - VRRP protocol for high availability
UPnP - Universal Plug-and-Play support
NTP - Network Time Protocol server and client; synchronization with GPS system
Monitoring/Accounting - IP traffic accounting, firewall actions logging
SNMP - read-only access
M3P - MikroTik Packet Packer Protocol for Wireless links and Ethernet
MNDP - MikroTik Neighbor Discovery Protocol; also supports Cisco Discovery Protocol (CDP)
Tools - ping; traceroute; bandwidth test; ping flood; telnet; SSH; packet sniffer

Layer 2 connectivity

Wireless - IEEE802.11a/b/g wireless client and Access Point; Wireless Distribution System (WDS) support; virtual AP; 40 and 104 bit WEP; access control list; authentication on RADIUS server; roaming (for wireless client); Access Point bridging
Bridge - spanning tree protocol; multiple bridge interfaces; bridge firewalling
VLAN - IEEE802.1q Virtual LAN support on Ethernet and WLAN links; multiple VLANs; VLAN bridging
Synchronous - V.35, V.24, E1/T1, X.21, DS3 (T3) media types; sync-PPP, Cisco HDLC, Frame Relay line protocols; ANSI-617d (ANDI or annex D) and Q933a (CCITT or annex A) Frame Relay LMI types
Asynchronous - serial PPP dial-in / dial-out; PAP, CHAP, MSCHAPv1 and MSCHAPv2 authentication protocols; RADIUS authentication and accounting; onboard serial ports; modem pool with up to 128 ports; dial on demand
ISDN - ISDN dial-in / dial-out; PAP, CHAP, MSCHAPv1 and MSCHAPv2 authentication protocols; RADIUS authentication and accounting; 128K bundle support; Cisco HDLC, x75i, x75ui, x75bui line protocols; dial on demand
SDSL - Single-line DSL support; line termination and network termination modes

Hardware requirements

CPU and motherboard - advanced 4th generation (core frequency 100MHz or more), 5th generation (Intel Pentium, Cyrix 6X86, AMD K5 or comparable) or newer uniprocessor Intel IA-32 (i386) compatible (multiple processors are not supported)
RAM - minimum 48 MB, maximum 1 GB; 64 MB or more recommended
Hard Drive/Flash - standard ATA interface controller and drive (SCSI and USB controllers and drives are not supported; RAID controllers that require additional drivers are not supported) with minimum of 64 MB space

Hardware needed for installation time only

Depending on installation method chosen the router must have the following hardware:

Floppy-based installation - standard AT floppy controller and 3.5'' disk drive connected as the first floppy disk drive (A); AT, PS/2 or USB keyboard; VGA-compatible video controller card and monitor
CD-based installation - standard ATA/ATAPI interface controller and CD drive supporting "El Torito" bootable CDs (you might need also to check if the router's BIOS supports booting from this type of media); AT, PS/2 or USB keyboard; VGA-compatible video controller card and monitor
Floppy-based network installation - standard AT floppy controller and 3.5'' disk drive connected as the first floppy disk drive (A); PCI Ethernet network interface card supported by MikroTik RouterOS (see the Device Driver List for the list)
Full network-based installation - PCI Ethernet network interface card supported by MikroTik RouterOS (see the Device Driver List for the list) with PXE or EtherBoot extension booting ROM (you might need also to check if the router's BIOS supports booting from network)

Configuration possibilities

RouterOS provides powerful command-line configuration interface. You can also manage the router through WinBox - the easy-to-use remote configuration GUI for Windows -, which provides all the benefits of the command-line interface, without the actual "command-line", which may scare novice users. Major features:

Clean and consistent user interface
Runtime configuration and monitoring
Multiple connections
User policies
Action history, undo/redo actions
safe mode operation
Scripts can be scheduled for executing at certain times, periodically, or on events. All command-line commands are supported in scripts

When router is not configured, there are only two ways to configure it:

Local terminal console - AT, PS/2 or USB keyboard and VGA-compatible video controller card with monitor
Serial console - First RS232 asynchronous serial port (usually, onboard port marked as COM1), which is by default set to 9600bit/s, 8 data bits, 1 stop bit, no parity

After the router is configured, it may be managed through the following interfaces:

Local teminal console - AT, PS/2 or USB keyboard and VGA-compatible video controller card with monitor
Serial console - any (you may choose any one; the first, also known as COM1, is used by default) RS232 asynchronous serial port, which is by default set to 9600bit/s, 8 data bits, 1 stop bit, no parity
Telnet - telnet server is running on 23 TCP port by default
SSH - SSH (secure shell) server is running on 22 TCP port by default (available only if security package is installed)
MAC Telnet - MikroTik MAC Telnet potocol server is by default enabled on all Ethernet-like interfaces
Winbox - Winbox is a RouterOS remote administration GUI for Windows, that use 3986 TCP port (or 3987 if security package is installed)

BGP-Peer, Memisahkan Routing dan Bandwidth Management

2010-08-29T01:37:00.005+08:00

Dalam artikel ini, akan dibahas cara untuk melakukan BGP-Peer ke BGP Router Mikrotik Indonesia untuk melakukan pemisahan gateway untuk koneksi internet internasional dan OpenIXP (NICE). Setelah pemisahan koneksi ini dilakukan, selanjutnya akan dibuat queue untuk tiap klien, yang bisa membatasi penggunaan untuk bandwidth internasional dan OpenIXP (NICE).

Beberapa asumsi yang akan dipakai untuk kasus kali ini adalah :

Router memiliki 3 buah interface, yang masing-masing terhubung ke gateway internasional, gateway OpenIXP (NICE), dan ke network klien.
Untuk koneksi ke OpenIXP (NICE), router milik Anda harus memiliki IP publik.
Untuk klien, akan menggunakan IP private, sehingga akan dilakukan NAT (network address translation)
Mikrotik RouterOS Anda menggunakan versi 2.9.39 atau yang lebih baru, dan mengaktifkan paket routing-test

Jika Anda menghadapi kondisi yang tidak sesuai dengan parameter di atas, harus dilakukan penyesuaian.

PENGATURAN DASAR

Diagram network dan konfigurasi IP Address yang digunakan pada contoh ini adalah seperti gambar berikut ini.

Untuk mempermudah pemberian contoh, kami mengupdate nama masing-masing interface sesuai dengan tugasnya masing-masing.

[admin@MikroTik] > /in pr
Flags: X - disabled, D - dynamic, R - running
#    NAME            TYPE   RX-RATE  TX-RATE  MTU
0  R ether1-intl     ether  0        0        1500
1  R ether2-iix      ether  0        0        1500
2  R ether3-client   ether  0        0        1500

Konfigurasi IP Address sesuai dengan contoh berikut ini. Sesuaikanlah dengan IP Address yang Anda gunakan. Dalam contoh ini, IP Address yang terhubung ke OpenIXP (NICE) menggunakan IP 202.65.113.130/29, terpasang pada interface ether2-iix dan gatewaynya adalah 202.65.113.129. Sedangkan untuk koneksi ke internasional menggunakan IP Address 69.1.1.2/30 pada interface ether1-intl, dengan gateway 69.1.1.1.

Untuk klien, akan menggunakan blok IP 192.168.1.0/24, dan IP Address 192.168.1.1 difungsikan sebagai gateway dan dipasang pada ether3-client. Klien dapat menggunakan IP Address 192.168.1-2 hingga 192.168.1.254 dengan subnet mask 255.255.255.0.

Jangan lupa melakukan konfigurasi DNS server pada router, dan mengaktifkan fitur "allow remote request".

Karena klien menggunakan IP private, maka kita harus melakukan fungsi src-nat untuk kedua jalur gateway.

[admin@MikroTik] > /ip fi nat pr
Flags: X - disabled, I - invalid, D - dynamic
0   chain=srcnat out-interface=ether1-intl action=masquerade
1   chain=srcnat out-interface=ether2-iix action=masquerade

CEK: Pastikan semua konfigurasi telah berfungsi baik. Buatlah default route pada router secara bergantian ke IP gateway OpenIXP (NICE) dan internasional. Lakukanlah ping (baik dari router maupun dari klien) ke luar network Anda secara bergantian.

PENGATURAN BGP-PEER

Pertama-tama, pastikan bahwa Anda menggunakan gateway internasional Anda sebagai default route, dalam contoh ini adalah 69.1.1.1. Kemudian Anda perlu membuat sebuah static route ke mesin BGP Mikrotik Indonesia, yaitu IP 202.65.120.250.

Lalu periksalah apakah Anda bisa melakukan ping ke 202.65.120.250. Periksalah juga dengan traceroute dari router, apakah jalur pencapaian ke IP 202.65.120.250 telah melalui jalur koneksi yang diperuntukkan bagi trafik OpenIXP (NICE), dan bukan melalui jalur internasional.

Kemudian, Anda harus mendaftarkan IP Address Anda di website Mikrotik Indonesia untuk mengaktifkan layanan BGP-Peer ini.

Aktivasi bisa dilakukan di halaman ini. IP Address yang bisa Anda daftarkan hanyalah IP Address yang bisa di-ping dari mesin kami, dan juga harus sudah diadvertise di OIXP. Aturan selengkapnya mengenai penggunaan layanan ini bisa dibaca di halaman ini. Setelah Anda mendaftarkan IP Address Anda, jika semua syarat sudah terpenuhi, Anda akan diinformasikan bahwa aktivasi layanan BGP-Peer Anda sudah sukses. Selanjutnya Anda bisa melihat status layanan BGP Anda di halaman ini.

BGP Router Mikrotik Indonesia akan menggunakan IP Address 202.65.120.250 dan AS Number 64888, dan Router Anda akan menjadi BGP Peer dengan menggunakan AS Number 64666.

Berikutnya adalah langkah-langkah yang harus Anda lakukan pada router Anda. Pertama-tama Anda harus membuat beberapa prefix-list untuk BGP ini. Untuk prefix yang akan Anda terima, untuk alasan keamanan dan hematnya agregasi routing, maka Anda perlu melakukan setting untuk menerima hanya prefix 8 hingga 24. Prefix 0 sampai 7, dan 25 sampai 32 akan Anda blok. Prefix ini kita berinama prefix-in. Untuk prefix-in yang accept, harap diperhatikan bahwa Anda perlu menentukan gateway untuk informasi routing ini, yaitu IP gateway OpenIXP (NICE) Anda. Dalam contoh ini adalah 202.65.113.129. Gantilah IP ini sesuai dengan gateway OpenIXP (NICE) Anda.

Sedangkan karena sifat BGP-Peer ini hanya Anda menerima informasi routing saja, di mana Anda tidak dapat melakukan advertisement, maka harus dilakukan blok untuk semua prefix yang dikirimkan, dan kita beri nama prefix-out.

Berikut ini adalah konfigurasi prefix list yang telah dibuat.

Tahap selanjutnya adalah konfigurasi BGP instance. Yang perlu di-set di sini hanyalah AS Number Anda, pada kasus ini kita menggunakan AS Number private, yaitu 64666.

Dan langkah terakhir pada konfigurasi BGP ini adalah konfigurasi peer. AS Number BGP Router Mikrotik Indonesia adalah 64888 dan IP Addressnya adalah 202.65.120.250. Karena kita sulit menentukan berapa hop jarak BGP Router Mikrotik Indonesia dengan Router Anda, maka kita melakukan konfigurasi TTL menjadi 255. Jangan lupa mengatur rule prefix-in dan prefix-out sesuai dengan prefix yang telah kita buat sebelumnya.

Setelah langkah ini, seharusnya BGP Router Mikrotik sudah dapat terkoneksi dengan Router Anda. Koneksi ini ditandai dengan status peer yang menjadi "established" dan akan dicantumkan pula jumlah informasi routing yang diterima. Anda juga bisa mengecek status peer ini dari sisi BGP Router Mikrotik Indonesia dengan melihat pada halaman ini.

Cek pula pada bagian IP Route, seharusnya sudah diterima ribuan informasi routing, dan pastikan bahwa gatewaynya sesuai dengan gateway OpenIXP (NICE) Anda, dan berada pada interface yang benar, dalam contoh ini adalah "ether2-iix".

Jika semua sudah berjalan, pastikan bahwa penggunaan 2 buah gateway ini sudah sukses dengan cara melakukan tracerute dari router ataupun dari laptop ke beberapa IP Address baik yang berada di internasional maupun yang berada di jaringan OpenIXP (NICE).

C:>tracert www.yahoo.com

Tracing route to www.yahoo-ht2.akadns.net
[209.131.36.158]
over a maximum of 30 hops:

1    <1 ms    <1 ms    <1 ms  192.168.1.1
2     1 ms    <1 ms    <1 ms  69.1.1.1
3   222 ms   223 ms   223 ms  157.130.195.13
4   222 ms   289 ms   222 ms  152.63.54.118
5   226 ms   242 ms  ^C

C:>tracert www.cbn.net.id

Tracing route to web.cbn.net.id [210.210.145.202]
over a maximum of 30 hops:

 1    <1 ms    <1 ms    <1 ms  192.168.1.1
 2     1 ms    <1 ms     1 ms  202.65.113.129
 3    11 ms    12 ms   127 ms  218.100.27.218
 4    21 ms    41 ms    21 ms  218.100.27.165
 5    22 ms    24 ms  ^C

PENGATURAN BANDWIDTH MANAGEMENT

Setelah semua routing dan BGP Peer berjalan dengan baik, yang perlu kita lakukan sekarang adalah mengkonfigurasi bandwidth management. Untuk contoh ini kita akan menggunakan mangle dan queue tree.

Karena network klien menggunakan IP private, maka kita perlu melakukan connection tracking pada mangle. Pastikan bahwa Anda telah mengaktifkan connection tracking pada router Anda.

Untuk masing-masing trafik, lokal dan internasional, kita membuat sebuah rule mangle connection. Dari connection mark tersebut kemudian kita membuat packet-mark untuk masing-masing trafik.

[admin@MikroTik] > /ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0   chain=forward out-interface=ether1-intl
    src-address=192.168.1.2 action=mark-connection
    new-connection-mark=conn-intl
    passthrough=yes

1   chain=forward out-interface=ether2-iix
    src-address=192.168.1.2 action=mark-connection
    new-connection-mark=conn-nice
    passthrough=yes

2   chain=forward connection-mark=conn-intl
    action=mark-packet
    new-packet-mark=packet-intl passthrough=yes

3   chain=forward connection-mark=conn-nice
    action=mark-packet new-packet-mark=packet-nice
    passthrough=yes

Untuk setiap klien, Anda harus membuat rule seperti di atas, sesuai dengan IP Address yang digunakan oleh klien.

Langkah berikutnya adalah membuat queue tree rule. Kita akan membutuhkan 4 buah rule, untuk membedakan upstream / downstream untuk koneksi internasional dan lokal.

[admin@MikroTik] > queue tree print
Flags: X - disabled, I - invalid
0   name="intl-down" parent=ether3-client
    packet-mark=packet-intl limit-at=0
    queue=default priority=8 max-limit=128000
    burst-limit=0 burst-threshold=0 burst-time=0s

1   name="intl-up" parent=ether1-intl
    packet-mark=packet-intl limit-at=0
    queue=default priority=8 max-limit=32000
    burst-limit=0 burst-threshold=0 burst-time=0s

2   name="nice-up" parent=ether2-iix
    packet-mark=packet-nice limit-at=0
    queue=default priority=8 max-limit=256000
    burst-limit=0 burst-threshold=0 burst-time=0s

3   name="nice-down" parent=ether3-client
    packet-mark=packet-nice limit-at=0
    queue=default priority=8 max-limit=1024000
    burst-limit=0 burst-threshold=0 burst-time=0s

Besarnya limit-at / max-limit dan burst bisa Anda sesuaikan dengan layanan yang dibeli oleh klien.

Teknik Pengggunaan Wireless

2010-08-29T01:33:00.004+08:00

Di manakah sebaiknya saya menempatkan Base Station?

Base station biasanya diletakkan di tempat yang tinggi, yang memungkinkan dapat terjangkau dari pelanggan. Bisa berupa rooftop dari gedung tinggi, ataupun tower.

Perangkat apa saja yang dibutuhkan di Base Station?

Pada dasarnya, perangkat wireless di base station di bagi dua, yaitu perangkat point to point sebagai backhaul, dan perangkat lainnya untuk melayani pelanggan. Perangkat backhaul tidak dibutuhkan jika Anda memiliki akses internet ke BTS via kabel ataupun media lain. Untuk access pointnya sendiri, biasanya menggunakan antenna yang dapat melayani area yang cukup lebar. Bisa berupa omnidirectional antenna, ataupun antenna sectoral. Omnidirectional antenna dapat menjangkau 360 derajat, sedangkan antenna sectoral hanya dapat menjangkau 90 hingga 120 derajat, sehingga dibutuhkan 3 hingga 4 antenna, termasuk juga access pointnya.

Berapa client yang dapat terkoneksi ke base station?

Secara teori, perangkat wireless Mikrotik dapat melayani 2007 client. Namun, bagaimanapun juga, performance nya tergantung pada kehandalan sistem dan kondisi sekitar. Jumlah ini sangat regantung pada penggunaan setiap client, dan berapa jumlah komputer yang terkoneksi di belakang sebuah AP Client. Jumlah yang pernah dicapai pada penggunaan normal adalah 100 client.

Berapakah jarak terjauh antara BTS dan lokasi client?

Jarak terjauh akan tergantung pada daya antena, loss pada kabel antenna, kekuatan pancar radio, sensifitas radio, dan tingkat inteferensi dari radio lain yang menggunakan frekuensi yang sama.
Dengan frekuensi 2,4 GHz, biasanya jarak terjauh yang bisa dicapai adalah 12 kilometer, sedangkan dengan frekuensi 5 GHz, dengan menggunakan antenna solid disc 30db, bisa dicapai jarak 28 km. Lebar bandwidth yang bisa dicapai adalah sekitar 10 mbps dengan uji coba bandwidth test.

Dapatkah saya menggunakan amplifier untuk memperjauh jangkauan ?

Secara teknis, bisa. Namun, perhatikan regulasi yang berlaku. Penggunaan amplifier dapat digunakan untuk mengkompensasikan loss yang terjadi akibat penggunaan kabel antenna yang panjang.

Apakah antara BTS dan client harus benar-benar bebas halangan (Line of sight) ?

Ya. Kondisi line of sight mutlak dibutuhkan. Juga perhatikan freznel zone yang dibutuhkan.

Apakah yang dimaksud dengan fresnel zone?

Freznel Zone adalah area di sekitar garis lurus antar alat yang digunakan untuk rambatan gelombang. Area ini juga harus bebas dari gangguan, atau kekuatan signal akan menurun. Sebagai contoh, pada link berjarak 16 km, dengan frekuensi 5,8 GHz, besarnya lingkaran freznel zone di tengah-tengah kedua alat adalah lingkaran dengan radius 8,7 meter, dan 13,6 meter untuk frekuensi 2,4 GHz.

Dapatkah saya melakukan bridge saat menggunakan produk wireless Mikrotik?

Ya. Jika Anda menggunakan Access Point Mikrotik dan client merk lainnya, yang perlu Anda lakukan adalah memasukkan interface wlan pada mikrotik ke interface bridge, demikian juga dengan ethernetnya. Sedangkan bila menggunakan wireless client Mikrotik, Anda bisa melakukan bridge dengan menggunakan teknik EoIP atau menggunakan WDS Wireless. Simak manual penggunaan untuk lebih jelasnya.

Cara Setting Abacus Pada PC dan Mikrotik

2010-08-29T00:50:00.007+08:00

Setting Abacus Pada PC

MEMBUAT KONEKSI VPN

Klik START → CONTROL PANEL → NETWORK AND DIAL UP CONNECTION / NETWORK CONNECTION → pilih CREATE NEW CONNECTION Klik NEXT → pilih CONNECT TO THE NETWORK AT MY NETWORK

I.DETAIL MEMBUAT KONEKSI VPN

Klik START → CONTROL PANEL → NETWORK AND DIAL UP CONNECTION / NETWORK CONNECTION → pilih CREATE NEW CONNECTION
Klik NEXT → pilih CONNECT TO THE NETWORK AT MY NETWORK PLACE
Klik NEXT → pilih VIRTUAL PRIVATE NETWORKING
Tulis COMPANY NAME dengan AbacusVPN
Klik NEXT → tulis HOSTNAME dengan IP ADDRESS = 202.152.13.207
Klik NEXT → pilih Anyone’s Use
Klik NEXT → checklist (v) pada kotak ADD A SHORTCUT kemudian klik FINISH

II. SETTING KONEKSI

Gunakan username dan password sementara di bawah ini. Jika sudah berhasil melakukan koneksi abacus vpn, hubungi Teknikal Abacus untuk mendapatkan username dan password sendiri

USERNAME : admin

PASSWORD : admin

checklist (v) pada kotak save user name and password

Kemudian klik Properties

Pada tab SECURITY → klik ADVANCED (CUSTOM SETTINGS) → klik SETTINGS
Pada DATA ENCRYPTION pilih OPTIONAL ENCRYPTION. Pada bagian ALLOW THESE PROTOCOLS checklist (v) PAP, CHAP, MS-CHAP v 2 (kolom 1, 3, dan 5), selain kolom tersebut hilangkan tanda checklist (v), kemudian OK
Klik tab NETWORKING, kemudian double click pada INTERNET PROTOCOL (TCP/IP), lalu klik ADVANCED, setelah itu hilangkan tanda checklist (v) yang ada pada USE DEFAULT GATEWAY ON REMOTE NETWORK.
Klik OK sampai tampilan Login (Username & Password) muncul pada layar
Kemudian klik CONNECT sampai gambar komputer muncul di sudut kanan monitor atau muncul balloon : "AbacusVPN is now connected"
Sekarang anda sudah dapat melakukan reservasi pada sistem Domestik Arga.

Perlu diketahui apabila menggunakan firewall, protokol TCP 1723 dan protocol 47 (GRE) harus dibuka. Hubungi Administrator firewall anda untuk membuka protocol tersebut.
Jika masih mengalami kesulitan dalam membuat konfigurasi Abacus VPN, silahkan hubungi Unit Technical Support Abacus Indonesia 021-27535399 ext 3171-3178 atau melalui e-mail technical@abacus-ind.co.idThis e-mail address is being protected from spambots, you need JavaScript enabled to view it .

------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------

Setting Abacus Pada Mikrotik :

/ ip ipsec policy
add src-address=[your ip address]/32:any dst-address=10.10.1.0/24:any
protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes
sa-src-address=[ip router] sa-dst-address=203.130.231.5
proposal=abacus manual-sa=none dont-fragment=clear disabled=no

/ ip ipsec peer
add address=203.130.231.5/32:0 secret="[secret key nya di sini]"
generate-policy=yes
exchange-mode=main send-initial-contact=yes proposal-check=obey
hash-algorithm=md5 enc-algorithm=des dh-group=modp768 lifetime=1d
lifebytes=0 disabled=no

/ ip ipsec proposal
add name="abacus" auth-algorithms=md5 enc-algorithms=des lifetime=1d
lifebytes=0 pfs-group=none disabled=no

Setting Mikrotik Wireless Bridge

2010-08-29T00:31:00.003+08:00

Sering kali, kita ingin menggunakan Mikrotik Wireless untuk solusi point to point dengan mode jaringan bridge (bukan routing). Namun, Mikrotik RouterOS sendiri didesain bekerja dengan sangat baik pada mode routing. Kita perlu melakukan beberapa hal supaya link wireless kita bisa bekerja untuk mode bridge.

Mode bridge memungkinkan network yang satu tergabung dengan network di sisi satunya secara transparan, tanpa perlu melalui routing, sehingga mesin yang ada di network yang satu bisa memiliki IP Address yang berada dalam 1 subnet yang sama dengan sisi lainnya.

Namun, jika jaringan wireless kita sudah cukup besar, mode bridge ini akan membuat traffic wireless meningkat, mengingat akan ada banyak traffic broadcast dari network yang satu ke network lainnya. Untuk jaringan yang sudah cukup besar, saya menyarankan penggunaan mode routing.

Berikut ini adalah diagram network yang akan kita set.

Konfigurasi Pada Access Point

1. Buatlah sebuah interface bridge yang baru, berilah nama bridge1

2. Masukkan ethernet ke dalam interface bridge

3. Masukkan IP Address pada interface bridge1

4. Selanjutnya adalah setting wireless interface.

Kliklah pada menu Wireless (1),
Pilihlah tab interface (2)
Lalu double click pada nama interface wireless yang akan digunakan (3).
Pilihlah mode AP-bridge (4),
Tentukanlah ssid (5),
Band 2.4GHz-B/G (6),
Frekuensi yang akan digunakan (7).
Jangan lupa mengaktifkan default authenticated (8)
Dan default forward (9).
Lalu aktifkankanlah interface wireless (10)
Dan klik OK (11).

5. Berikutnya adalah konfigurasi WDS pada wireless interface yang digunakan. Bukalah kembali konfigurasi wireless seperti langkah di atas,

pilihlah tab WDS (1).
Tentukanlah WDS Mode dynamic (2)
dan pilihlah bridge interface untuk WDS ini (3).
Lalu tekan tombol OK.

6. Langkah selanjutnya adalah menambahkan virtual interface WDS. Tambahkan interface WDS baru seperti pada gambar, lalu pilihlah interface wireless yang kita gunakan untuk WDS ini. Lalu tekan OK.

7. Jika WDS telah ditambahkan, maka akan tampak interface WDS baru seperti pada gambar di bawah.

Konfigurasi pada Wireless Station

Konfigurasi pada wireless station hampir sama dengan langkah-langkah di atas, kecuali pada langkah memasukkan IP Address dan konfigurasi wirelessnya. Pada konfigurasi station, mode yang digunakan adalah station-wds, frekuensi tidak perlu ditentukan, namun harus menentukan scan-list di mana frekuensi pada access point masuk dalam scan list ini. Misalnya pada access point kita menentukan frekuensi 2412, maka tuliskanlah scan-list 2400-2500.

Pengecekan link

Jika link wireless yang kita buat sudah bekerja dengan baik, maka pada menu wireless, akan muncul status R (lihat gambar di bawah).

Selain itu, mac-address dari wireless yang terkoneksi juga bisa dilihat pada jendela registration (lihat gambar di bawah).

Konfigurasi keamanan jaringan wireless

Pada Mikrotik, cara paling mudah untuk menjaga keamanan jaringan adalah dengan mendaftarkan mac-address wireless pasangan pada access list. Hal ini harus dilakukan pada sisi access point maupun pada sisi client. Jika penginputan access-list telah dilakukan, maka matikanlah fitur default authenticated pada wireless, maka wireless lain yang mac addressnya tidak terdaftar tidak akan bisa terkoneksi ke jaringan kita.

Jika kita menginginkan fitur keamanan yang lebih baik, kita juga bisa menggunakan enkripsi baik WEP maupun WPA.

Queue dengan SRC-NAT dan WEB-PROXY

2010-08-29T00:14:00.003+08:00

Pada penggunaan queue (bandwidth limiter), penentuan CHAIN pada MENGLE sangat menentukan jalannya sebuah rule. Jika kita memasang SRC-NAT dan WEB-PROXY pada mesin yang sama, sering kali agak sulit untuk membuat rule QUEUE yang sempurna.

Penjelasan detail mengenai pemilihan CHAIN, dapat dilihat pada manual Mikrotik di sini.

Percobaan yang dilakukan menggunakan sebuah PC dengan Mikrotik RouterOS versi 2.9.28. Pada mesin tersebut, digunakan 2 buah interface, satu untuk gateway yang dinamai PUBLIC dan satu lagi untuk jaringan lokal yang dinamai LAN.

[admin@instaler] > in pr
Flags: X - disabled, D - dynamic, R - running 
 #    NAME       TYPE    RX-RATE    TX-RATE    MTU  
 0  R public     ether   0          0          1500 
 1  R lan        wlan    0          0          1500

Dan berikut ini adalah IP Address yang digunakan. Subnet 192.168.0.0/24 adalah subnet gateway untuk mesin ini.

[admin@instaler] > ip ad pr
Flags: X - disabled, I - invalid, D - dynamic 
 #  ADDRESS           NETWORK      BROADCAST      INTERFACE
 0  192.168.0.217/24  192.168.0.0  192.168.0.255  public   
 1  172.21.1.1/24     172.21.1.0   172.21.1.255   lan

Fitur web-proxy dengan transparan juga diaktifkan.

 [admin@instaler] > ip web-proxy pr
                enabled: yes
            src-address: 0.0.0.0
                   port: 3128
               hostname: "proxy"
      transparent-proxy: yes
           parent-proxy: 0.0.0.0:0
    cache-administrator: "webmaster"
        max-object-size: 4096KiB
            cache-drive: system
         max-cache-size: none
     max-ram-cache-size: unlimited
                 status: running
     reserved-for-cache: 0KiB
 reserved-for-ram-cache: 154624KiB

Fungsi MASQUERADE diaktifkan, juga satu buah rule REDIRECTING untuk membelokkan traffic HTTP menuju ke WEB-PROXY

[admin@instaler] ip firewall nat> pr
Flags: X - disabled, I - invalid, D - dynamic 
 0   chain=srcnat out-interface=public 
     src-address=172.21.1.0/24 action=masquerade 
 1   chain=dstnat in-interface=lan src-address=172.21.1.0/24 
     protocol=tcp dst-port=80 action=redirect to-ports=3128

Berikut ini adalah langkah terpenting dalam proses ini, yaitu pembuatan MANGLE.

Kita akan membutuhkan 2 buah PACKET-MARK. Satu untuk paket data upstream, yang pada contoh ini kita sebut test-up. Dan satu lagi untuk paket data downstream, yang pada contoh ini kita sebut test-down.

Untuk paket data upstream, proses pembuatan manglenya cukup sederhana. Kita bisa langsung melakukannya dengan 1 buah rule, cukup dengan menggunakan parameter SRC-ADDRESS dan IN-INTERFACE. Di sini kita menggunakan chain prerouting. Paket data untuk upstream ini kita namai test-up.

Namun, untuk paket data downstream, kita membutuhkan beberapa buah rule. Karena kita menggunakan translasi IP/masquerade, kita membutuhkan Connection Mark. Pada contoh ini, kita namai test-conn.

Kemudian, kita harus membuat juga 2 buah rule. Rule yang pertama, untuk paket data downstream non HTTP yang langsung dari internet (tidak melewati proxy). Kita menggunakan chain forward, karena data mengalir melalui router.

Rule yang kedua, untuk paket data yang berasal dari WEB-PROXY. Kita menggunakan chain output, karena arus data berasal dari aplikasi internal di dalam router ke mesin di luar router.

Paket data untuk downstream pada kedua rule ini kita namai test-down.

Jangan lupa, parameter passthrough hanya diaktifkan untuk connection mark saja.

[admin@instaler] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; UP TRAFFIC
     chain=prerouting in-interface=lan 
     src-address=172.21.1.0/24 action=mark-packet 
     new-packet-mark=test-up passthrough=no 

 1   ;;; CONN-MARK
     chain=forward src-address=172.21.1.0/24 
     action=mark-connection 
     new-connection-mark=test-conn passthrough=yes 

 2   ;;; DOWN-DIRECT CONNECTION
     chain=forward in-interface=public 
     connection-mark=test-conn action=mark-packet 
     new-packet-mark=test-down passthrough=no 

 3   ;;; DOWN-VIA PROXY
     chain=output out-interface=lan 
     dst-address=172.21.1.0/24 action=mark-packet 
     new-packet-mark=test-down passthrough=no

Untuk tahap terakhir, tinggal mengkonfigurasi queue. Di sini kita menggunakan queue tree. Satu buah rule untuk data dowstream, dan satu lagi untuk upstream. Yang penting di sini, adalah pemilihan parent. Untuk downstream, kita menggunakan parent lan, sesuai dengan interface yang mengarah ke jaringan lokal, dan untuk upstream, kita menggunakan parent global-in.

[admin@instaler] > queue tree pr
Flags: X - disabled, I - invalid 
 0   name="downstream" parent=lan packet-mark=test-down 
     limit-at=32000 queue=default priority=8 
     max-limit=32000 burst-limit=0 
     burst-threshold=0 burst-time=0s 

 1   name="upstream" parent=global-in 
     packet-mark=test-up limit-at=32000 
     queue=default priority=8 
     max-limit=32000 burst-limit=0 
     burst-threshold=0 burst-time=0s

Variasi lainnya, untuk bandwidth management, dimungkinkan juga kita menggunakan tipe queue PCQ, yang bisa secara otomatis membagi trafik per client.

Simple Queue, Memisah Bandwidth Lokal dan Internasional

2010-08-28T23:30:00.004+08:00

Selama mengelola Mikrotik Indonesia, banyak sekali muncul pertanyaan bagaimana cara melakukan pemisahan queue untuk trafik internet internasional dan trafik ke internet Indonesia (OpenIXP dan IIX). Di internet sebetulnya sudah ada beberapa website yang menampilkan cara pemisahan ini, tapi kami akan coba menampilkan kembali sesederhana mungkin supaya mudah diikuti.

Pada artikel ini, kami mengasumsikan bahwa:

Router Mikrotik melakukan Masquerading / src-nat untuk client. Client menggunakan IP privat.
Gateway yang digunakan hanya satu, baik untuk trafik internasional maupun IIX.
Anda bisa menggunakan web-proxy internal ataupun tanpa web-proxy. Jika Anda menggunakan web-proxy, maka ada beberapa tambahan rule yang perlu dilakukan. Perhatikan bagian NAT dan MANGLE pada contoh di bawah ini.

Jika ada parameter di atas yang berbeda dengan kondisi Anda di lapangan, maka konfigurasi yang ada di artikel ini harus Anda modifikasi sesuai dengan konfigurasi network Anda.

Pengaturan Dasar

Berikut ini adalah diagram network dan asumsi IP Address yang akan digunakan dalam contoh ini.

Untuk mempermudah pemberian contoh, kami mengupdate nama masing-masing interface sesuai dengan tugasnya masing-masing.

[admin@MikroTik] > /interface pr
Flags: X - disabled, D - dynamic, R - running
#    NAME            TYPE   RX-RATE  TX-RATE  MTU
0  R ether-public     ether  0        0       1500
1  R ether-local      ether  0        0       1500

Untuk klien, akan menggunakan blok IP 192.168.0.0/24, dan IP Address 192.168.0.1 difungsikan sebagai gateway dan dipasang pada router, interface ether-local. Klien dapat menggunakan IP Address 192.168.0-2 hingga 192.168.0.254 dengan subnet mask 255.255.255.0.

[admin@MikroTik] > /ip ad pr
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS         NETWORK     BROADCAST     INTERFACE
0 202.0.0.1/24    202.0.0.0   202.0.0.255   ether-public  
1 192.168.0.1/24  192.168.0.0 192.168.0.255 ether-local

Jangan lupa melakukan konfigurasi DNS server pada router, dan mengaktifkan fitur "allow remote request".

Karena klien menggunakan IP private, maka kita harus melakukan fungsi src-nat seperti contoh berikut.

[admin@MikroTik] > /ip fi nat pr
Flags: X - disabled, I - invalid, D - dynamic
0   chain=srcnat out-interface=ether-public
    action=masquerade

Jika Anda menggunakan web-proxy transparan, Anda perlu menambahkan rule nat redirect, seperti terlihat pada contoh di bawah ini (rule tambahan yang tercetak tebal).

[admin@MikroTik] > /ip fi nat pr
Flags: X - disabled, I - invalid, D - dynamic
0  chain=srcnat out-interface=ether-public
  action=masquerade
1  chain=dstnat in-interface=ether-local protocol=tcp
  dst-port=80 action=redirect to-ports=8080

Jangan lupa mengaktifkan fitur web-proxy, dan men-set port layanan web-proxynya, dan disesuaikan dengan port redirect pada contoh di atas.

CEK: Pastikan semua konfigurasi telah berfungsi baik. Lakukanlah ping (baik dari router maupun dari klien) ke luar network Anda secara bergantian.

Pengaturan IP Address List

Mulai Mikrotik RouterOS versi 2.9, dikenal dengan fitur yang disebut IP Address List. Fitur ini adalah pengelompokan IP Address tertentu dan setiap IP Address tersebut bisa kita namai. Kelompok ini bisa digunakan sebagai parameter dalam mangle, firewall filter, nat, ataupun queue.

Mikrotik Indonesia telah menyediakan daftar IP Address yang diadvertise di OpenIXP dan IIX, yang bisa didownload dengan bebas di URL: http://www.mikrotik.co.id/getfile.php?nf=nice.rsc

File nice.rsc ini dibuat secara otomatis di server Mikrotik Indonesia setiap jam, dan merupakan data yang telah dioptimalkan untuk menghilangkan duplikasi entri dan tumpang tindih subnet. Saat ini jumlah baris pada script tersebut berkisar 7000 baris.

Contoh isi file nice.rsc :

# Script created by: Valens Riyadi @ www.mikrotik.co.id
# Generated at 26 April 2007 05:30:02 WIB ... 431 lines
/ip firewall address-list
add list=nice address="1.2.3.4"
rem [find list=nice]
add list=nice address="125.162.0.0/16"
add list=nice address="125.163.0.0/16"
add list=nice address="152.118.0.0/16"
add list=nice address="125.160.0.0/16"
add list=nice address="125.161.0.0/16"
add list=nice address="125.164.0.0/16"
.
.
dst...

Proses pengambilan file nice.rsc bisa dilakukan langsung dari terminal di RouterOS dengan perintah:

/tool fetch address=ixp.mikrotik.co.id src-path=/download/nice.rsc;

Kemudian, import-lah file tersebut.

[admin@MikroTik] > import nice.rsc

Opening script file nice.rsc
Script file loaded and executed successfully

Pastikan bahwa proses import telah berlangsung dengan sukses, dengan mengecek Address-List pada Menu IP - Firewall

Proses upload ini dapat juga dilakukan secara otomatis jika Anda memiliki pengetahuan scripting. Misalnya Anda membuat shell script pada Linux untuk melakukan download secara otomatis dan mengupload file secara otomatis setiap pk 06.00 pagi. Kemudian Anda tinggal membuat scheduler pada router untuk melakukan import file.

Jika Anda menggunakan RouterOS versi 3.x, proses update juga dapat dilakukan secara otomatis.

Perintah yang perlu dibuat adalah :

/system sched add comment=”update-nice” disabled=no interval=1d name=”update-nice-rsc” on-event=”:if ([:len [/file find name=nice.rsc]] > 0) do={/file remove nice.rsc }; /tool fetch address=ixp.mikrotik.co.id src-path=/download/nice.rsc;/import nice.rsc” start-date=jan/01/1970 start-time=00:06:00

Hati-hati! : Setelah copy paste, pastikan hasil copy paste sama persis. Proses copy paste kadang-kadang menghilangkan beberapa karakter tertentu.

Pengaturan Mangle

Langkah selanjutnya adalah membuat mangle. Kita perlu membuat 1 buah connection mark dan 2 buah packet mark, masing-masing untuk trafik internasional dan lokal.

[admin@MikroTik] > /ip firewall mangle pr
Flags: X - disabled, I - invalid, D - dynamic

0 chain=prerouting in-interface=ether-local
 dst-address-list=nice
 action=mark-connection new-connection-mark=conn-iix
 passthrough=yes

1 chain=prerouting connection-mark=conn-iix
 action=mark-packet new-packet-mark=packet-iix
 passthrough=no

2 chain=prerouting action=mark-packet
 new-packet-mark=packet-intl passthrough=no

Untuk rule #0, pastikanlah bahwa Anda memilih interface yang mengarah ke client. Untuk chain, kita menggunakan prerouting, dan untuk kedua packet-mark, kita menggunakan passthrough=no.

Jika Anda menggunakan web-proxy internal dan melakukan redirecting trafic, maka Anda membuat 2 buah rule tambahan seperti contoh di bawah ini (rule tambahan yang tercetak tebal).

[admin@MikroTik] > /ip firewall mangle pr
Flags: X - disabled, I - invalid, D - dynamic

0 chain=prerouting in-interface=ether-local
 dst-address-list=nice
 action=mark-connection new-connection-mark=conn-iix
 passthrough=yes

1 chain=prerouting connection-mark=conn-iix
 action=mark-packet new-packet-mark=packet-iix
 passthrough=no

2 chain=output connection-mark=conn-iix
 action=mark-packet new-packet-mark=packet-iix
 passthrough=no

3 chain=prerouting action=mark-packet
 new-packet-mark=packet-intl passthrough=no

4 chain=output action=mark-packet
 new-packet-mark=packet-intl passthrough=no

Pengaturan Simple Queue

Untuk setiap client, kita harus membuat 2 buah rule simple queue.

Pada contoh berikut ini, kita akan melakukan limitasi untuk IP client 192.168.0.2/32, dan kita akan memberikan limitasi iix (up/down) sebesar 64k/256k, dan untuk internasional sebesar (up/down) 32k/128k.

[admin@MikroTik]> /queue simple pr
Flags: X - disabled, I - invalid, D - dynamic
0 name="client02-iix" target-addresses=192.168.0.2/32
 dst-address=0.0.0.0/0 interface=all parent=none
 packet-marks=packet-iix direction=both priority=8
 queue=default-small/default-small limit-at=0/0
 max-limit=64000/256000 total-queue=default-small

1 name="client02-intl" target-addresses=192.168.0.2/32
 dst-address=0.0.0.0/0 interface=all parent=none
 packet-marks=packet-intl direction=both priority=8
 queue=default-small/default-small limit-at=0/0
 max-limit=32000/128000 total-queue=default-small

Pengecekan Akhir

Setelah selesai, lakukanlah pengecekan dengan melakukan akses ke situs lokal maupun ke situs internasional, dan perhatikanlah counter baik pada firewall mangle maupun pada simple queue.

Anda juga dapat mengembangkan queue type menggunakan pcq sehingga trafik pada setiap client dapat tersebar secara merata.

Load Balance menggunakan Metode PCC

2010-08-28T22:39:00.008+08:00

Load balance pada mikrotik adalah teknik untuk mendistribusikan beban trafik pada dua atau lebih jalur koneksi secara seimbang, agar trafik dapat berjalan optimal, memaksimalkan throughput, memperkecil waktu tanggap dan menghindari overload pada salah satu jalur koneksi. Selama ini banyak dari kita yang beranggapan salah, bahwa dengan menggunakan loadbalance dua jalur koneksi , maka besar bandwidth yang akan kita dapatkan menjadi dua kali lipat dari bandwidth sebelum menggunakan loadbalance (akumulasi dari kedua bandwidth tersebut).

Hal ini perlu kita perjelas dahulu, bahwa loadbalance tidak akan menambah besar bandwidth yang kita peroleh, tetapi hanya bertugas untuk membagi trafik dari kedua bandwidth tersebut agar dapat terpakai secara seimbang.

Dengan artikel ini, kita akan membuktikan bahwa dalam penggunaan loadbalancing tidak seperti rumus matematika 512 + 256 = 768, akan tetapi 512 + 256 = 512 + 256, atau 512 + 256 = 256 + 256 + 256. Pada artikel ini kami menggunakan RB433UAH dengan kondisi sebagai berikut :

Ether1 dan Ether2 terhubung pada ISP yang berbeda dengan besar bandwdith yang berbeda. ISP1 sebesar 512kbps dan ISP2 sebesar 256kbps.
Kita akan menggunakan web-proxy internal dan menggunakan openDNS.
Mikrotik RouterOS anda menggunakan versi 4.5 karena fitur PCC mulai dikenal pada versi 3.24.

Jika pada kondisi diatas berbeda dengan kondisi jaringan ditempat anda, maka konfigurasi yang akan kita jabarkan disini harus anda sesuaikan dengan konfigurasi untuk jaringan ditempat anda.

Konfigurasi Dasar

Berikut ini adalah Topologi Jaringan dan IP address yang akan kita gunakan

/ip address add address=192.168.101.2/30 interface=ether1 add address=192.168.102.2/30 interface=ether2 add address=10.10.10.1/24 interface=wlan2 /ip dns set allow-remote-requests=yes primary-dns=208.67.222.222 secondary-dns=208.67.220.220

Untuk koneksi client, kita menggunakan koneksi wireless pada wlan2 dengan range IP client 10.10.10.2 s/d 10.10.10.254 netmask 255.255.255.0, dimana IP 10.10.10.1 yang dipasangkan pada wlan2 berfungsi sebagai gateway dan dns server dari client. Jika anda menggunakan DNS dari salah satu isp anda, maka akan ada tambahan mangle yang akan kami berikan tanda tebal Setelah pengkonfigurasian IP dan DNS sudah benar, kita harus memasangkan default route ke masing-masing IP gateway ISP kita agar router meneruskan semua trafik yang tidak terhubung padanya ke gateway tersebut. Disini kita menggunakan fitur check-gateway berguna jika salah satu gateway kita putus, maka koneksi akan dibelokkan ke gateway lainnya.

-------------------------------------------------------------------------------------------------
/ip route add dst-address=0.0.0.0/0 gateway=192.168.101.1 distance=1 check-gateway=ping add dst-address=0.0.0.0/0 gateway=192.168.102.1 distance=2 check-gateway=ping
-------------------------------------------------------------------------------------------------

Untuk pengaturan Access Point sehingga PC client dapat terhubung dengan wireless kita, kita menggunakan perintah

-------------------------------------------------------------------------------------------------
/interface wireless set wlan2 mode=ap-bridge band=2.4ghz-b/g ssid=Mikrotik disabled=no
-------------------------------------------------------------------------------------------------
Agar pc client dapat melakukan koneksi ke internet, kita juga harus merubah IP privat client ke IP publik yang ada di interface publik kita yaitu ether1 dan ether2.

-------------------------------------------------------------------------------------------------
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 add action=masquerade chain=srcnat out-interface=ether2
-------------------------------------------------------------------------------------------------

Sampai langkah ini, router dan pc client sudah dapat melakukan koneksi internet. Lakukan ping baik dari router ataupun pc client ke internet. Jika belum berhasil, cek sekali lagi konfigurasi anda.

Webproxy Internal
Pada routerboard tertentu, seperti RB450G, RB433AH, RB433UAH, RB800 dan RB1100 mempunyai expansion slot (USB, MicroSD, CompactFlash) untuk storage tambahan.

Pada contoh berikut, kita akan menggunakan usb flashdisk yang dipasangkan pada slot USB. Untuk pertama kali pemasangan, storage tambahan ini akan terbaca statusnya invalid di /system store. Agar dapat digunakan sebagai media penyimpan cache, maka storage harus diformat dahulu dan diaktifkan Nantinya kita tinggal mengaktifkan webproxy dan set cache-on-disk=yes untuk menggunakan media storage kita. Jangan lupa untuk membelokkan trafik HTTP (tcp port 80) kedalam webproxy kita.
------------------------------------------------------------------------------------------------- /store disk format-drive usb1
/store add disk=usb1 name=cache-usb type=web-proxy activate cache-usb
/ip proxy set cache-on-disk=yes enabled=yes max-cache-size=200000KiB port=8080

/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 in-interface=wlan2 action=redirect to-ports=8080
-------------------------------------------------------------------------------------------------

Pengaturan Mangle

Pada loadbalancing kali ini kita akan menggunakan fitur yang disebut PCC (Per Connection Classifier).

Dengan PCC kita bisa mengelompokan trafik koneksi yang melalui atau keluar masuk router menjadi beberapa kelompok.
Pengelompokan ini bisa dibedakan berdasarkan src-address, dst-address, src-port dan atau dst-port.
Router akan mengingat-ingat jalur gateway yang dilewati diawal trafik koneksi, sehingga pada paket-paket selanjutnya yang masih berkaitan dengan koneksi awalnya akan dilewatkan pada jalur gateway yang sama juga.

Kelebihan dari PCC ini yang menjawab banyaknya keluhan sering putusnya koneksi pada teknik loadbalancing lainnya sebelum adanya PCC karena perpindahan gateway..

Sebelum membuat mangle loadbalance, untuk mencegah terjadinya loop routing pada trafik, maka semua trafik client yang menuju network yang terhubung langsung dengan router, harus kita bypass dari loadbalancing. Kita bisa membuat daftar IP yang masih dalam satu network router dan memasang mangle pertama kali sebagai berikut
-------------------------------------------------------------------------------------------------
/ip firewall address-list add address=192.168.101.0/30 list=lokal add address=192.168.102.0/30 list=lokal add address=10.10.10.0/24 list=lokal

/ip firewall mangle add action=accept chain=prerouting dst-address-list=lokal in-interface=wlan2 comment=”trafik lokal” add action=accept chain=output dst-address-list=lokal
-------------------------------------------------------------------------------------------------

Pada kasus tertentu, trafik pertama bisa berasal dari Internet, seperti penggunaan remote winbox atau telnet dari internet dan sebagainya, oleh karena itu kita juga memerlukan mark-connection untuk menandai trafik tersebut agar trafik baliknya juga bisa melewati interface dimana trafik itu masuk

-------------------------------------------------------------------------------------------------
/ip firewall mangle add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ether1 new-connection-mark=con-from-isp1 passthrough=yes comment=”trafik dari isp1” add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ether2 new-connection-mark=con-from-isp2 passthrough=yes comment=”trafik dari isp2”
-------------------------------------------------------------------------------------------------
Umumnya, sebuah ISP akan membatasi akses DNS servernya dari IP yang hanya dikenalnya, jadi jika anda menggunakan DNS dari salah satu ISP anda, anda harus menambahkan mangle agar trafik DNS tersebut melalui gateway ISP yang bersangkutan bukan melalui gateway ISP lainnya. Disini kami berikan mangle DNS ISP1 yang melalui gateway ISP1. Jika anda menggunakan publik DNS independent, seperti opendns, anda tidak memerlukan mangle dibawah ini.

-------------------------------------------------------------------------------------------------
/ip firewall mangle add action=mark-connection chain=output comment=dns dst-address=202.65.112.21 dst-port=53 new-connection-mark=dns passthrough=yes protocol=tcp comment=”trafik DNS citra.net.id” add action=mark-connection chain=output dst-address=202.65.112.21 dst-port=53 new-connection-mark=dns passthrough=yes protocol=udp add action=mark-routing chain=output connection-mark=dns new-routing-mark=route-to-isp1 passthrough=no
-------------------------------------------------------------------------------------------------

Karena kita menggunakan webproxy pada router, maka trafik yang perlu kita loadbalance ada 2 jenis:

-------------------------------------------------------------------------------------------------

Yang pertama adalah trafik dari client menuju internet (non HTTP), dan trafik dari webproxy menuju internet. Agar lebih terstruktur dan mudah dalam pembacaannya, kita akan menggunakan custom-chain sebagai berikut :

/ip firewall mangle add action=jump chain=prerouting comment=”lompat ke client-lb” connection-mark=no-mark in-interface=wlan2 jump-target=client-lb add action=jump chain=output comment=”lompat ke lb-proxy” connection-mark=no-mark out-interface=!wlan2 jump-target=lb-proxy

Pada mangle diatas, untuk trafik loadbalance client pastikan parameter in-interface adalah interface yang terhubung dengan client, dan untuk trafik loadbalance webproxy, kita menggunakan chain output dengan parameter out-interface yang bukan terhubung ke interface client. Setelah custom chain untuk loadbalancing dibuat, kita bisa membuat mangle di custom chain tersebut sebagai berikut:
-------------------------------------------------------------------------------------------------
/ip firewall mangle add action=mark-connection chain=client-lb dst-address-type=!local new-connection-mark=to-isp1 passthrough=yes per-connection-classifier=both-addresses:3/0 comment=”awal loadbalancing klien” add action=mark-connection chain=client-lb dst-address-type=!local new-connection-mark=to-isp1 passthrough=yes per-connection-classifier=both-addresses:3/1 add action=mark-connection chain=client-lb dst-address-type=!local new-connection-mark=to-isp2 passthrough=yes per-connection-classifier=both-addresses:3/2 add action=return chain=client-lb comment=”akhir dari loadbalancing”
/ip firewall mangle add action=mark-connection chain=lb-proxy dst-address-type=!local new-connection-mark=con-from-isp1 passthrough=yes per-connection-classifier=both-addresses:3/0 comment=”awal load balancing proxy” add action=mark-connection chain=lb-proxy dst-address-type=!local new-connection-mark=con-from-isp1 passthrough=yes per-connection-classifier=both-addresses:3/1 add action=mark-connection chain=lb-proxy dst-address-type=!local new-connection-mark=con-from-isp2 passthrough=yes per-connection-classifier=both-addresses:3/2 add action=return chain=lb-proxy comment=”akhir dari loadbalancing”

Untuk contoh diatas, pada loadbalancing client dan webproxy menggunakan parameter pemisahan trafik pcc yang sama, yaitu both-address, sehingga router akan mengingat-ingat berdasarkan src-address dan dst-address dari sebuah koneksi. Karena trafik ISP kita yang berbeda (512kbps dan 256kbps), kita membagi beban trafiknya menjadi 3 bagian. 2 bagian pertama akan melewati gateway ISP1, dan 1 bagian terakhir akan melewati gateway ISP2.

Jika masing-masing trafik dari client dan proxy sudah ditandai, langkah berikutnya kita tinggal membuat mangle mark-route yang akan digunakan dalam proses routing nantinya:

-------------------------------------------------------------------------------------------------
/ip firewall mangle add action=jump chain=prerouting comment=”marking route client” connection-mark=!no-mark in-interface=wlan2 jump-target=route-client add action=mark-routing chain=route-client connection-mark=to-isp1 new-routing-mark=route-to-isp1 passthrough=no add action=mark-routing chain=route-client connection-mark=to-isp2 new-routing-mark=route-to-isp2 passthrough=no add action=mark-routing chain=route-client connection-mark=con-from-isp1 new-routing-mark=route-to-isp1 passthrough=no add action=mark-routing chain=route-client connection-mark=con-from-isp2 new-routing-mark=route-to-isp2 passthrough=no add action=return chain=route-client disabled=no

/ip firewall mangle add action=mark-routing chain=output comment=”marking route proxy” connection-mark=con-from-isp1 new-routing-mark=route-to-isp1 out-interface=!wlan2 passthrough=no add action=mark-routing chain=output connection-mark=con-from-isp2 new-routing-mark=route-to-isp2 out-interface=!wlan2 passthrough=no
-------------------------------------------------------------------------------------------------
Pengaturan Routing

Pengaturan mangle diatas tidak akan berguna jika anda belum membuat routing berdasar mark-route yang sudah kita buat. Disini kita juga akan membuat routing backup, sehingga apabila sebuah gateway terputus, maka semua koneksi akan melewati gateway yang masing terhubung

-------------------------------------------------------------------------------------------------
/ip route add check-gateway=ping dst-address=0.0.0.0/0 gateway=192.168.101.1 routing-mark=route-to-isp1 distance=1 add check-gateway=ping dst-address=0.0.0.0/0 gateway=192.168.102.1 routing-mark=route-to-isp1 distance=2 add check-gateway=ping dst-address=0.0.0.0/0 gateway=192.168.102.1 routing-mark=route-to-isp2 distance=1 add check-gateway=ping dst-address=0.0.0.0/0 gateway=192.168.101.1 routing-mark=route-to-isp2 distance=2
-------------------------------------------------------------------------------------------------
Pengujian

Dari hasil pengujian kami, didapatkan sebagai berikut :

Dari gambar terlihat, bahwa hanya dengan melakukan 1 file download (1 koneksi), kita hanya mendapatkan speed 56kBps (448kbps) karena pada saat itu melewati gateway ISP1, sedangkan jika kita mendownload file (membuka koneksi baru) lagi pada web lain, akan mendapatkan 30kBps (240kbps). Dari pengujian ini terlihat dapat disimpulkan bahwa:

512kbps + 256kbps ≠ 768kbps

Catatan :

Loadbalancing menggunakan teknik pcc ini akan berjalan efektif dan mendekati seimbang jika semakin banyak koneksi (dari client) yang terjadi.
Gunakan ISP yang memiliki bandwith FIX bukan Share untuk mendapatkan hasil yang lebih optimal.
Load Balance menggunakan PCC ini bukan selamanya dan sepenuhnya sebuah solusi yang pasti berhasil baik di semua jenis network, karena proses penyeimbangan dari traffic adalah berdasarkan logika probabilitas.