Kamis, 19 Desember 2013

Konfigurasi VPN PPTP pada Mikrotik


Virtual Private Network (VPN)

VPN dalah sebuah jaringan komputer dimana koneksi antar perangkatnya (node) memanfaatkan jaringan public sehingga yang diperlukan hanyalah koneksi internet di masing-masing site.

Ketika mengimplementasikan VPN, interkoneksi antar node akan memiliki jalur virtual khusus di atas jaringan public yang sifatnya independen. Metode ini biasanya digunakan untuk membuat komunikasi yang bersifat secure, seperti system ticketing online dengan database server terpusat.

Point to Point Tunnel Protocol (PPTP)

Salah satu service yang biasa digunakan untuk membangun sebuah jaringan VPN adalah Point to Point Tunnel Protocol (PPTP). Sebuah koneksi PPTP terdiri dari Server dan Client.

Mikrotik RouterOS bisa difungsikan baik sebagai server maupun client atau bahkan diaktifkan keduanya bersama dalam satu mesin yang sama. Feature ini sudah termasuk dalam package PPP sehingga anda perlu cek di menu system package apakah paket tersebut sudah ada di router atau belum. Fungsi PPTP Client juga sudah ada di hampir semua OS, sehingga kita bisa menggunakan Laptop/PC sebagai PPTP Client.

Biasanya PPTP ini digunakan untuk jaringan yang sudah melewati multihop router (Routed Network). Jika anda ingin menggunakan PPTP pastikan di Router anda tidak ada rule yang melakukan blocking terhadap protocol TCP 1723 dan IP Protocol 47/GRE karena service PPTP menggunakan protocol tersebut.

Topologi

Pada artikel ini akan dicontohkan apabila kita akan menghubungkan jaringan dengan menerapkan VPN dengan PPTP. Untuk topologi nya bisa dilihat pada gambar di bawah.
Router Office A dan Router Office B terhubung ke internet via ether 1 dan PC pada masing-masing jaringan lokal terhubung ke Ether 2. Remote client juga sudah terhubung ke internet.

Kita akan melakukan konfigurasi agar Router A dan jaringan LAN A bisa diakses dari Router B dan jaringan LAN B serta Remote Client. Langkah-langkah setting PPTP dengan Winbox sebagai berikut:

Konfigurasi PPTP Server

Berdasar topologi di atas, yang menjadi pusat dari link PPTP (konsentrator) adalah Router Office A , maka kita harus melakukan setting PPTP Server pada router tersebut.

Enable PPTP Server

Langkah pertama yang harus dilakukan adalah mengaktifkan PPTP server. Masuk pada menu PPP->Interface->PPTP Server . Gunakan profile "Default-encryption" agar jalur VPN terenkripsi.
  

Secret

Pada tahap ini, kita bisa menentukan username dan password untuk proses autentikasi Client yang akan terkoneksi ke PPTP server. Penggunaan huruf besar dan kecil akan berpengaruh.

-Local Address adalah alamat IP yang akan terpasang pada router itu sendiri (Router A / PPTP Server) setelah link PPTP terbentuk

-Remote Address adalah alamat IP yang akan diberikan ke Client setelah link PPTP terbentuk.

Contoh konfigurasi sebagai berikut. Arahkan agar menggunakan profile "Default-Encryption"


  

Sampai disini, konfigurasi Router A (PPTP Server) sudah selesai, sekarang kita lakukan konfigurasi di sisi client.

Client Router Office B

Langkah-langkah untuk melakukan konfigurasi Client PPTP pada Router Mikrotik adalah sebagai berikut :

Tambahkan interface baru PPTP Client, lakukan dial ke IP Public Router A (PPTP server) dan masukkan username dan password sesuai pengaturan secret PPTP Server.

  

Catatan : IP 10.10.10.100 adalah permisalan ip public dari server, Untuk implementasi sebenarnya sesuaikan dengan ip public yang Anda miliki.

Setelah koneksi PPTP terbentuk, akan muncul IP Address baru di kedua Router dengan flag “D” yang menempel di interface pptp sesuai dengan pengaturan Secret pada PPTP server

Sampai disini koneksi VPN antar router sudah terbentuk, akan tetapi antar jaringan lokal belum bisa saling berkomunikasi. Agar antar jaringan local bisa saling berkomunikasi, kita perlu menambahkan routing static dengan konfigurasi

- dst-address : jaringan local Router lawan

- gateway : IP PPTP Tunnel pada kedua router.

 
Penambahan static route di Router A 


Penambahan static route di router B

Remote Client

Client PPTP tidak harus menggunakan Router. Seperti pada topologi jaringan di atas, ada sebuah Remote Client (Laptop) yang akan melakukan koneksi VPN ke Router A.

Maka kita perlu membuat Secret baru pada PPTP server untuk autentikasi remote client tersebut.

Secret

username = client2 ; password = 1234 ; Local Address = 10.20.20.1 ; Remote Address = 10.20.20.7

 

Kemudian kita perlu melakukan konfigurasi PPTP Client pada Laptop. Langkah-langkahnya akan berbeda pada tiap OS. Berikut tutorial konfigurasi PPTP Client untuk OS Windows 7.

Konfigurasi PPTP Client Windows 7


Pastikan Laptop anda sudah bisa akses internet. Masuk pada menu Network and Sharing Center, kemudian create koneksi baru dengan memilih Set up new connection or network.
 
Pada tampilan window selanjutnya, pilih Connect to a workplace , lalu klik next.
 
Kemudian, pilih Use My Internet Connection (VPN)
 

Pada langkah berikutnya, kita diminta untuk memasukkan ke IP Address mana kita akan melakukan koneksi. Sesuai topologi , maka kita masukkan IP address public Router A. Destination name adalah parameter untuk memberikan nama pada interface VPN yang sedang dibuat.
 

Selanjutnya masukkan username dan password sesuai pengaturan Secret yang ada di PPTP server. Lalu klik Connect.

  

Akan ada proses autentikasi, tunggu sampai selesai.

 

Jika sudah selesai, di laptop akan muncul interface baru dengan nama VPN Office A dan terpasang IP address yang mengambil dari ip-pool Remote Address sesuai dengan pengaturan profile dan Secret pada PPTP Server.

Sampai disini koneksi VPN dari Laptop ke Router A sudah terbentuk.  Laptop sudah bisa akses ke Router A dan Jaringan LAN A.

Untuk melakukan remote ke Router A tinggal anda masukkan IP addres Router yang terpasang setelah link VPN terbentuk, yaitu IP address 10.20.20.1.

Tips :

    Jalur VPN akan stabil dan lebih mudah dalam konfigurasi apabila sisi server memiliki jalur internet dedicated dan memiliki IP Publik static.
    Transfer file antar site akan mengikuti bandwidth terkecil dari kedua site, jadi pastikan bandwidth upload dan download di kedua sisi site mencukupi
    Untuk perangkat client yang menggunakan OS Windows 7, by default hanya bisa terkoneksi apabila disisi server mengaktifkan encryption

By: Adyatma Yoga K (Mikrotik.co.id)
Aril Enggal's Web Developer

Morbi aliquam fringilla nisl. Pellentesque eleifend condimentum tellus, vel vulputate tortor malesuada sit amet. Aliquam vel vestibulum metus. Aenean ut mi aucto.

Sabtu, 14 Desember 2013

Manajemen Bandwidth Menggunakan Simple Queue


Pada sebuah jaringan yang mempunyai banyak client, diperlukan sebuah mekanisme pengaturan bandwith dengan tujuan mencegah terjadinya monopoli penggunaan bandwidth sehingga semua client bisa mendapatkan jatah bandwidth masing-masing. QOS(Quality of services) atau lebih dikenal dengan Bandwidth management, merupakan metode yang digunakan untuk memenuhi kebutuhan tersebut.
Pada RouterOS Mikrotik penerapan QoS bisa dilakukan dengan fungsi Queue. 


Limitasi Bandwidth Sederhana
Cara paling mudah untuk melakukan queue pada RouterOS adalah dengan menggunakan Simple Queue. Kita bisa melakukan pengaturan bandwidth secara sederhana berdasarkan IP Address client dengan menentukan kecepatan upload dan download maksimum yang bisa dicapai oleh client.
Contoh :
Kita akan melakukan limitasi maksimal upload : 128kbps dan maksimal download : 512kbps terhadap client dengan IP 192.168.10.2 yang terhubung ke Router. Parameter Target Address adalah IP Address dari client yang akan dilimit. Bisa berupa :
  • Single IP (192.168.10.2) 
  • Network IP (192.168.10.0/24) 
  • Beberapa IP (192.168.10.2,192.168.10.13) dengan menekan tombol panah bawah kecil di sebelah kanan kotak isian.
Penentuan kecepatan maksimum client dilakukan pada parameter target upload dan target download max-limit. Bisa dipilih dengan drop down menu atau ditulis manual. Satuan bps (bit per second).
 
Dengan pengaturan tersebut maka Client dengan IP 192.168.10.2 akan mendapatkan kecepatan maksimum Upload 128kbps dan Download 256kbps dalam keadaan apapun selama bandwidth memang tersedia. 

Metode Pembagian Bandwidth Share 
Selain digunakan untuk melakukan manajemen bandwidth fix seperti pada contoh sebelumnya, kita juga bisa memanfaatkan Simple Queue untuk melakukan pengaturan bandwidth share dengan menerapkan Limitasi Bertingkat. Konsep Limitasi Bertingkat  bisa anda baca pada artikelMendalami HTB pada QOS RouterOS Mikrotik 
Contoh : 
Kita akan melakukan pengaturan bandwidth sebesar 512kbps untuk digunakan 3 client.
Konsep: 
  1. Dalam keadaan semua client melakukan akses, maka masing-masing client akan mendapat bandwidth minimal 128kbps.
  2. Jika hanya ada 1 Client yang melakukan akses, maka client tersebut bisa mendapatkan bandwidth hingga 512kbps.
  3. Jika terdapat beberapa Client (tidak semua client) melakukan akses, maka bandwidth yang tersedia akan dibagi rata ke sejumlah client yg aktif.
Topologi Jaringan 
Router kita tidak tahu berapa total bandwidth real yang kita miliki, maka kita harus definisikan pada langkah pertama. Pendefinisian ini bisa dilakukan dengan melakukan setting Queue Parent. Besar bandwidth yang kita miliki bisa diisikan pada parameter Target Upload Max-Limit danTarget Download Max-Limit. 

Langkah selanjutnya kita akan menentukan limitasi per client dengan melakukan setting child-queue. 
Pada child-queue kita tentukan target-address dengan mengisikan IP address masing-masing client. Terapkan Limit-at (CIR) : 128kbps danMax-Limit (MIR) : 512kbps. Arahkan ke Parent Total Bandwidth yang kita buat sebelumnya.

Ulangi untuk memberikan limitasi pada client yang lain, sesuaikan Target-Address. 

 
Selanjutnya lakukan pengetesan dengan melakukan download di sisi client.
Pada gambar berikut menunjukkan perbedaan kondisi penggunaan bandwidth client setelah dilakukan limitasi bertingkat 
Kondisi 1 
Kondisi 1 menunjukkan ketika hanya 1 client saja yg menggunakan bandwidth, maka Client tersebut bisa mendapat hingga Max-Limit. 

Perhitungan : Pertama Router akan memenuhi Limit-at Client yaitu 128kbps. Bandwitdh yang tersedia masih sisa 512kbps-128kbps=384kbps. Karena client yang lain tidak aktif maka 384kbps yang tersisa akan diberikan lagi ke Client1 sehingga mendapat 128kbps+384kbps =512kbps atau sama dengan max-limit. 
Kondisi 2 
Kondisi 2 menggambarkan ketika hanya 2 client yang menggunakan bandwidth. 
Perhitungan : Pertama router akan memberikan limit-at semua client terlebih dahulu. Akumulasi Limit-at untuk 2 client = 128kbps x 2 =256kbps . Bandwidth total masih tersisa 256kbps. Sisa diberikan kemana.? Akan dibagi rata ke kedua Client.
Sehingga tiap client mendapat Limit-at + (sisa bandwidth / 2) = 128kbps+128kbps =256kbps 
Kondisi 3 
Kondisi 3 menunjukkan apabila semua client menggunakan bandwidth.
Perhitungan: Pertama Router akan memenuhi Limit-at tiap client lebih dulu, sehingga bandwidth yang digunakan 128kbps x 3 = 384kbps. Bandwidth total masih tersisa 128kbps. Sisa bandwidth akan dibagikan ke ketiga client secara merata sehingga tiap client mendapat 128kbps + (128kbps/3) = 170kbps.
Pada Limitasi bertingkat ini juga bisa diterapkan Priority untuk client. Nilai priority queue adalah 1-8 dimana terendah 8 dan tertinggi 1.
Contoh : 
Client 1 adalah VVIP user, maka bisa diberikan Priority 1 (tertinggi).
 

Jika kita menerapkan priority perhitungan pembagian bandwidth hampir sama dengan sebelumnya. Hanya saja setelah limit-at semua client terpenuhi, Router akan melihat priority client. Router akan mencoba memenuhi Max-Limit client priority tertinggi dengan bandwidth yang masih tersedia. 

 

Perhitungan: Client 1 mempunyai priority tertinggi maka router akan mencoba memberikan bandwidth sampai batas Max-Limit yaitu 512kbps. Sedangkan bandwidth yang tersisa hanya 128kbps, maka Client1 mendapat bandwidth sebesar Limit-at + Sisa Bandwidth = 128kbps+128kbps = 256kbps

Konsep pembagian bandwidth ini mirip ketika anda berlangganan internet dengan sistem Bandwidth share.
Limitasi bertingkat juga bisa diterapkan ketika dibutuhkan sebuah pengelompokkan pembagian bandwidth. 
Tampak pada gambar, limitasi Client1 dan Client3 tidak menganggu limitasi Client2 karena sudah berbeda parent. Perhatikan max-limit pada Limitasi Manager dan Limitasi Staff


Bypass Traffic Lokal
Ketika kita melakukan implementasi Simple Queue, dengan hanya berdasarkan target-address, maka Router hanya akan melihat dari mana traffic itu berasal. Sehingga kemanapun tujuan traffic nya (dst-address) tetap akan terkena limitasi. Tidak hanya ke arah internet, akan tetapi ke arah jaringan Lokal lain yang berbeda segment juga akan terkena limitasi.
Contoh :
  • IP LAN 1 : 192.168.10.0/24
  • IP LAN 2 : 192.168.11.0/24
Jika hanya dibuat Simple Queue dengan target-address : 192.168.10.0/24, traffic ke arah 192.168.11.0/24 juga akan terlimit. Agar traffic ke arah jaringan lokal lain tidak terlimit, kita bisa membuat Simple Queue baru dengan mengisikan dst-address serta tentukan Max-Limit sebesar maksimal jalur koneksi, misalnya 100Mbps. Kemudian letakkan rule tersebut pada urutan teratas (no. 0). 
Rule Simple Queue dibaca dari urutan teratas (no. 0) sehingga dengan pengaturan tersebut traffic dari LAN1 ke LAN2 dan sebaliknya maksimum transfer rate sebesar 100Mbps atau setara dengan kecepatan kabel ethernet. \

Referensi: MikrotikIndonesia

Aril Enggal's Web Developer

Morbi aliquam fringilla nisl. Pellentesque eleifend condimentum tellus, vel vulputate tortor malesuada sit amet. Aliquam vel vestibulum metus. Aenean ut mi aucto.

Jumat, 06 Desember 2013

Cara setting radius hospot di mikrotik prakt-08


Dari tugas praktikum WLL, di tugaskan untuk mencarin cara setting radius di mikrotik.
Untuk Lebih jelasnya kita terangkan dalam postingan di bawah.

1. Jika kita ingin membuat Radius Server internal di dalam Mikrotik, maka kita harus mengaktifkan radius servernya terlebih dahulu, kemudian pastikan packageusermanager sudah terdapat dalam routerOS anda.



2. Pastikan anda sudah men centang Use RADIUS pada hotspot server profile.
Klik IP -> Hotspot -> pilih Tab Server Profiles
Klik 2x nama hotspot anda, kemudian pada tab RADIUS beri tanda centang tulisan Use RADIUS. Jika sudah klik OK.

3. Selanjutnya buka Radius dengan cara Klik Menu Radius di winbox kemudian klik tanda plus merah untuk membuat radius.
Isikan data-data sebagai berikut :
Service -> pilih hotspot
Address -> masukan IP address server radius anda, dalam hal ini saya memasukan IP source Internet saya.
Secret -> masukan password terserah kita bebas yang penting sama dengan yang akan kita masukan nanti di user manager
Click Apply


4. Jika semuanya sudah dikonfigurasi, kita bisa langsung membuka user manager melalui web browser dengan mengetikan http://ip-mikrotikanda/userman dalam contoh saya masukan http://192.168.101.114/userman
Akan keluar tampilan seperti dibawah ini
Selanjutnya masukan user : admin dan password dikosongkan saja

pilih router -> add router kemudian masukan data IP dan secret sesuai dengan yang kita masukan radius mikrotik.

pilih user-> add user kemudian masukan user yang ingin anda izinkan untuk mengakses hotspot anda.

pilih customers-> add customers kemudian masukan user yang ingin anda izinkan untuk mengakses usermanager.

5. Untuk memastikan radius server anda sudah berjalan apa belum silakan akses internet dengan memasukan user dan password yang sudah di generate pada lagin page hotspot anda, jika berhasil berarti radius server anda sudah berjalan dengan benar, akan tetapi jika radius server anda belum berjalan dengan baik maka ketika anda menekan tombil login maka akan keluar Radius Server not responding.

Kita juga bisa membuat voucher di menu user yang akan digenerate secara otomatis, bisa menentukan prefix user sendiri agar bisa membedakan antara user yang digenerate sesuai keinginan kita.
Aril Enggal's Web Developer

Morbi aliquam fringilla nisl. Pellentesque eleifend condimentum tellus, vel vulputate tortor malesuada sit amet. Aliquam vel vestibulum metus. Aenean ut mi aucto.