Kamis, 04 Februari 2016

Tugas UPK Paket2 & Paket3



Memblokirakses internet firewall mikrotikpada jam tertentu (Paket2)

Membatasi koneksi internet di kantor terutama pada jam kerja kantor dapat dilakukan dengan menggunakan Mikrotik. Ada beberapa cara yang dapat digunakan untuk membatasi koneksi internet di Kantor dengan Mikrotik. Disini saya akan coba share Cara Membatasi Internet Jam Kantor dengan Mikrotik yang pernah saya pasang di kantor. Topologi nya seperti ini :



Sistem yang saya buat yaitu dengan membatasi akses ke situs-situs sosial media, porno, video streaming, dll pada saat jam kerja (08.00 - 12.00 & 13.30 - 16.00). Untuk detail nya sebagai berikut :

Membatasi akses :
Jam kerja pagi (08.00 – 12.00)

Membuka akses :
Jam istirahat (12.00 – 13.30)

Membatasi akses :
Jam kerja siang (13.30 – 16.00)

Membuka akses :
Jam luar kerja (16.00 – 08.00)
Pembatasan ini dimaksudkan agar karyawan dapat memanfaatkan waktu nya pada saat jam kerja untuk mengerjakan pekerjaan nya bukan untuk hal yang lain.  

Untuk membangun sistem ini, saya menggunakan beberapa tools di Mikroik dan juga bantuan dari DNS external yaitu OpenDNS dan Nawala. Disini saya menggunakan perangkat Mikrotik RB 951Ui-2Hnd yang memiliki port USB sehingga bisa menggunakan modem USB sebagai jalur internet cadangan (untuk failover).
Secara umum konfigurasi yang dilakukan adalah sebagai berikut :

1. Mengatur konfigurasi IP Address untuk jaringan Wi-Fi dan LAN pada mikrotik.
2. Menambahkan konfigurasi NTP (Network Time Protocol) Server untuk sinkronisasi waktu supaya mikrotik dapat berkerja tepat waktu. Ini sangat penting supaya script dapat dieksekusi tepat waktu.  Untuk konfigurasi NTP nya bisa lihat di gambar berikut atau bisa baca di artikel ini : Apa itu NTP? Setting NTP Client di Mikrotik



3. Konfigurasi jaringan internet di Mikrotik. Pastikan koneksi internet sudah jalan di Mikrotik. Untuk memastikannya silakan ping ke Google.com
4. Setting interface wireless mikrotik untuk share koneksi internet melalui Wi-Fi.

5. Menambahkan konfigurasi DNS Server dari OpenDNS dan Nawala sebagai filter dan memblokir konten berbahaya. Tutrorial nya silakan baca disini :Cara Mudah Memblokir Situs-situs Dewasa dengan DNS di Mikrotik



6. OpenDNS dapat digunakan untuk memfilter situs berbahaya dan memblokir akses ke situs tertentu sepeti social media, video streaming, dan lain - lain. Sementara untuk DNS Nawala hanya memblokir akses ke situs berbahaya.
7. OpenDNS digunakan saat jam kerja. DNS Nawala digunakan diluar jam kerja. Pengaturan nya menggunakan Script & Scheduller. Seting inilah yang akan dibahas pada artikel ini.

8. Mengaktifkan fitur Web Proxy untuk mempercepat koneksi internet (cache) dan memonitor konten yang diakses client. Silakan baca tutorial nya disini : Cara Membuat Transparent Proxy Mikrotik
9. Menambahkan konfigurasi firewall mikrotik untuk keamanan. Ada beberapa konfigurasi firewall yang saya gunakan :






10. Menambahkan konfigurasi fail over, untuk menambah jalur akses internet cadangan (backup) menggunakan modem USB dan mengaktifkannya saat koneksi jalur utama mati. Silakan lihat tutorialnya disini :
Tutorial Failover 2 Koneksi Internet di Mikrotik

Oke, kembali ke point nomor 7 di atas, disini saya akan bahas Script & Scheduller nya. Silakan simak step-by-step nya berikut ini :

11. Yang pertama, kita akan membuat Script dulu. Pada Winbox, masuk ke System --> Scripts. Ada beberapa Script yang akan kita buat seperti gambar berikut :



12. Untuk Script back2main dan failover digunakan untuk konfigurasi failover menggunakan jalur cadangan modem USB. Silakan lihat point nomor 10 di atas.

13. Script pertama yang kita buat yaitu script jam kerja. Script ini akan memberikan perintah ke Mikrotik untuk mengganti setingan DNS ke IP DNS nya OpenDNS, kemudian melakukan flush cache DNS. Script nya sebagai beriku (masukkan ke kolom Source)

/ip dns set servers=208.67.220.220,208.67.222.222
/ip dns cache flush


14. Script selanjutnya digunakan untuk mengganti IP DNS ke Nawala.

/ipdnssetservers=180.131.144.144,180.131.145.145
/ip dns cache flush


15. Hari libur yaitu Sabtu dan Minggu koneksi internet tidak dibatasi, tetapi masih menggunakan DNS Nawala. Caranya dengan mematikan penjadwalan (Scheduler) yang nanti akan kita buat.

/system schedulerdisable 0
/system scheduler disable 1
 



16. Ketika masuk lagi ke hari kerja yakni hari senin, maka aturan nya kembali seperti semula dengan pembatasan internet pada jam kerja. Caranya dengan mengaktifkan kembali scheduler nya.

/system scheduler enable 0
/system scheduler enable 1
 
17. Script yang sudah kita buat sebelumnya akan dijalankan secara otomatis berdasarkan waktu (jam). Pastikan anda membuat scheduler nya urutan nya sama seperti gambar berikut ini; supaya script pada point 15 dan 16 bisa berjalan.



18.  Buat scheduler untuk mengeksekusi script jam kerja (pagi). 
Name : Filter Jam Kerja Pagi
Start Date : Pilih tanggal kapan script akan mulai dieksekusi secara otomatis
Start Time : Jam berapa script akan dieksekusi
Interval : 1 hari
On Event : nama script yang dieksekusi (jam kerja)


19. Buat scheduler lagi untuk jam kerja sore yakni pukul 13.30 (sesuaikan jam nya dengan jam kantor anda). Lihat gambar berikut :



20. Ketika masuk jam istirahat, pegawai dapat mengakses social media, video streaming, dll kecuali web dan konten porno. Caranya dengan mengganti ke DNS Nawala. Buat scheduler pada jam 12.00 dengan script luar jam kerja (LJK).



21.  Ketika masuk jam pulang kerja, maka koneksi akan sama seperti pada jam istirahat. Disini diasumsikan jam pulang kantor pukul 16.00.



22. Pada hari libur (Sabtu & Minggu) script libur akan dieksekusi secara otomatis pada Jum'at malam pukul 23.59 dengan interval waktu 7 hari. Jadi script ini akan dieksekusi seminggu sekali yakni hari Jum'at malam. 
Jadi, Pastikan Start Date nya adalah hari jum'at



23. Pada hari senin koneksi akan kembali dibatasi secara otomatis dengan script senin yang akan dieksekusi pada senin dini hari pukul 00.00. lebih 50 detik dengan interval 7 hari.
Pastikan start date nya hari senin.


Sampai disini konfigurasi script dan scheduler sudah selesai. Jika setingan nya benar seperti di atas maka script nya akan berjalan dengan baik secara otomatis.


Cara MenggantiTampilan Login Hotspot Mikrotik (Paket3)

Cara MenggantiTampilan Login Hotspot Mikrotik - Mungkintemen-temen yang seringmenggunakanmikrotiktidakasinglagidengantampilan login hotspot di mikrotik, tampilan default cenderungmembosankan.Disinikitabisamerubah total tampilannyasepertikitamembuattampilan web. Sebelumkitamemulaimerubahtampilannya, silahkansiapkanaplikasi yang akandigunakan :
  • Editing HTML : Dreamweaver, Notepad ++, dan lain-lain.
  • Editing Gambar : Photoshop, Corel Draw, dan lain-lain.
  • FTP :WinSCP, FilleZilla, dan lain-lain.
Berikutlangkah-lahkanya :
  • Untukmemastikansettingan hotspot kitasudahberjalan, cobamasukke browser danketikkanalamatsembarang, nantiakanmuncultampilansepertidibawahini. Jikabelum, pastikansettingannyasudahbenar, bisalihatCara setting hotspot di mikrotik. 
  • Sebelumkitamasukke file-file login, kitasetidaknyaharustahuterlebihdahulufungsidarimasing-masing file login tersebut, silahkanklikFungsi file login hotspot mikrotik.
  • Setelahkitafahamfungsi-fungsinya, marikitalanjutke TKP. 
  • Masukke menu Files disitubanyak files halaman hotspot terdapat di folder "hotspot".


  • Nhacaramengambil data-data tersebut, gunakanaplikasi FTP yang pertamabisalangsungdari drive kalian, masukkewindows explorerdanmasukkanalamatberikutftp:ipaddressmikrotik, misalftp:192.168.1.1 
  • Login menggunakan user dan password mikrotik :
  • Setelahmasuk, pastikankitasudahmasukke folder hotspot kemudian copy semua file yang adadidalamnya.
  • Cara yang keduabisamenggunakanfilezillaatauWinSCP, disinikitamenggunakanWinSCPbukaaplikasinya, [File Protocol : FTP - Hots name : ipaddressmikrotik - Username : User mikrotik - Password : Password mikrotik - Klik Login].

  • Setelah login akanmuncultampilansepertidibawahini, masukke folder hotspot dan copy semua file yang adadidalamnya.
  • Setelahkita copy isifilenya, kitabisamulai editing script menggunakan notepad++ ataudreamweaver danuploudkembalike router.

  • Setelahselesai, uploudkembalike router. Caranyamudah, tinggaluploud folder hotspotnyake router, menggunakan FTP bisafilezillaatauWinSCP. 
  • Jika folder berhasil di uploudkemikrotik, langsungkitamenujukesettinganmikrotik, [IP - Hotspot - Server Profiles - Pilih server yang akandigunakansebagai hotspot danganti HTML Directorynyake folder yang kitauploud]

  • Berikutcontohtampilan login yang sudah di modifikasi.

DemikianartikeltentangCara MenggantiTampilan Login Hotspot Mikrotik



Cara Setting Limitasi Bandwidth pada Hotspot Mikrotik :

1. Built-in Limiter 

Setting pada Hotspot Server Profile 
Rate-Limit pada Hotspot Server Profile

Rate Limit yang diset pada hotspot server profile ini, secara otomatis akan membatasi total traffic pada jaringan hotspot. Jika dilihat pada gambar diatas, besarnya rate limit yang diset pada jaringan hotspot adalah sebesar 1m/1m, yang berarti 1Mbps untuk total traffic upload dan 1 Mbps untuk total traffic Download pada jaringan hotspot tersebut . Untuk hasil limitasi bisa anda lihat pada gambar dibawah ini.


Setting pada Hotspot User Profile
Parameter Rate-Limit pada Hotspot User Profile
Rate Limit yang diset pada hotspot user profile ini, akan secara otomatis membatasi total traffic yang bisa dicapai oleh masing-masing client hotspot yang berada pada satu group. Pada gambar dibawah ini, client hotspot yang  terhubung dalam jaringan hotspot, mendapatkan total traffic yang bisa dicapai sebesar 128 kbps untuk download dan 128 kbps untuk upload.


2. Custom Limitation 

Setting pada Hotspot User Profile

Parameter Incoming Packet Mark dan Outgoing Packet Mark didefinisikan untuk melakukan penandaan (marking) traffic dari user didalam group tersebut. Incoming Packet Mark melakukan marking traffic upload dan Outgoing Packet Mark melakukan marking traffic download. 

Setting pada Mangle



  • Firewall mangle akan secara otomatis dan dinamis melakukan marking packet traffic dari client yang masuk di dalam group (profile). 
  • Dynamic Marking dilakukan di chain Hotspot.  
  • Rule Jump dari Built-in Chain ke chain hotspot diperlukan supaya traffic dari user dapat dibaca di firewall.
/ip firewall mangle add chain=prerouting action=jump jump-target=hotspot
/ip firewall mangle add chain=postrouting action=jump jump-target=hotspot
  • ASUMSI : Network yang digunakan adalah network NAT. Mark-Connection harus dibuat berdasarkan mark packet dynamic dari profile atau dari chain hotspot.
/ip firewall mangle add chain=prerouting action=mark-connection new-connection-mark=conn-group1 passthrough=yes packetmark=group1-in
  • Selanjutnya Mark-Packet bisa dibuat supaya bisa diimplementasikan atau dilimit trafficnya. 
/ip firewall mangle add chain=prerouting action=mark-packet newpacket-mark=packet-group1 passthrough=no connectionmark=conn-group1
/ip firewall mangle add chain=postrouting action=mark-packet newpacket-mark=packet-group1 passthrough=no connectionmark=conn-group1
  • Setelah mark packet dari traffic group1 sudah dibuat maka limitasi bandwidth bisa dibuat di Queue. 

Setting pada Queue Tree
/queue tree add name="0-Hotspot1-total-Upload" parent=[interface public/global interface] packet-mark="" max-limit=2M
/queue tree add name="0-Hotspot1-total-Download"parent=[interface hotspot] packet-mark="" max-limit=2M
/queue tree add name="Group1-total-Download" parent=0-Hotspot1-total-Download packet-mark=packet-group1 limit-at=1M maxlimit=2M
/queue tree add name="Group1-total-Upload" parent=0-Hotspot1-total-Upload packet-mark=packet-group1 limit-at=1M max-limit=2M

MembypassAlamatSitusPadaMikrotikTanpa Login
kali ini kita akan melakukan bypass akses kesebuah server yang tidak perlu menggunakan login hotsot pada mikrotik. Bypass bisa dilakukan untuk alamat internet juga. Kasus ini kita memiliki sebuah server lokal yang memiliki kelas/subnet IP yang berbeda. sehingga paket akan melewati router terlebih dahulu dan secara normal perlu login terlebih dahulu untuk mengaksesnya, kita akan melakukan bypass pada alamat server tersebut, sehingga tidak perlu login ketika membuka server tersebut.
Didalam fitur Hotspot pada mikrotik, fitur ini dinamakan dengan Walled Garden. Dengan walled garden ini bisa dilakukan bypass login untuk koneksi HTTP dan HTTPS. Fitur ini sangat memudahkan kita melakukan pengecualian-pengecualian yang mungkin bisa terjadi pada desain dan struktur jaringan yang kita punya, seperti kasus diatas.
Dibawah ini adalah langkah-langkah bagaimana membuat sebuah walled garden:



Demikianlah bagaimana cara untuk membuat server kita atau alamat tertentu diinternet bisa diakses tanpa menggunakan login yang ada pada Fitur Hotspot Mikrotik.



Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)