MTCNA Lab Guide INTRA 1st Edition - Id.en PDF

Foreword
Praise Alhamdulillah, Allah SWT author on his blessing and rahmat- delegated so that in the end the author can develop
and complete this book titled "MTCNA LAB GUIDE".
Through this book, I want to say thank you to my mentor: Denny Darmawan. For the support and motivation so that I
can complete the work of this book. And I also air-Thanks a lot to Parents and my family who have taught me since birth
to bigger now, my Teachers who have rendered during school and also told my friend. If there are suggestions,
criticisms, comments and reviews about this book please contact me via [email protected]
WWW.INTRA.ID 1
table of contents
Cover ................................................. .................................................. .................................................. ..0
Foreword................................................ .................................................. ...................................... 1
Basic Configure RouterOS ............................................... .................................................. ...................... 4
Interface Configuration ................................................ .................................................. ......................... 4
Changing Interface ................................................ .................................................. ......................... 4
Adding IP Address ............................................... .................................................. ................. 4
Adding Gateway ................................................ .................................................. ................... 5
Adding DNS Server ............................................... .................................................. ................ 5
NAT configuration ................................................ .................................................. ................................. 6
Changing System Identity MikroTik .............................................. .................................................. .... 7
User management in MikroTik .............................................. .................................................. ............. 7
NTP Client ................................................ .................................................. .......................................... 8
Backup & Restore ............................................... .................................................. ............................... 9
Soft Reset Configure ............................................... .................................................. ........................ 10
Hard Reset Configure ............................................... .................................................. ....................... 10
Netinstall ................................................. .................................................. ........................................ 11
DHCP ................................................. .................................................. .................................................. 12
DHCP Server ................................................ .................................................. .................................... 12
IP Pool ................................................ .................................................. ............................................. 14
DHCP Client ................................................ .................................................. ..................................... 16
DHCP Relay ................................................ .................................................. ...................................... 17
Firewall ................................................. .................................................. ............................................... 20
Using NAT firewall Masquerade .............................................. ........................................... 20
Masquerade NAT Firewall Port Specific ............................................. ............................................. 22
Input Filter Firewall & Forward ............................................. .................................................. .......... 23
Firewall Chain Input ............................................... .................................................. ......................... 23
Firewall Forward ................................................ .................................................. ............................. 26
Firewall Forward Block Website by IP Address ........................................... ..................... 27
Firewall Forward Block Website Content Based ............................................ ......................... 28
Address List ................................................ .................................................. ..................................... 29
Firewall Mangle ................................................ .................................................. ............................... 32
Connection Mark ................................................ .................................................. ............................ 32
Packet Mark ................................................ .................................................. .................................... 35
Quality of Service ............................................... .................................................. ................................. 39
WWW.INTRA.ID 2
Bandwidth Management ................................................ .................................................. .................. 39
Simple Queue ................................................ .................................................. .................................. 40
Simple Queue with Burst .............................................. .................................................. ............. 43
Simple Queue with PCQ .............................................. .................................................. ............... 44
Queue Tree ................................................ .................................................. ..................................... 47
BRIDGING ................................................. .................................................. ........................................... 52
Ethernet Over IP (EoIP) ............................................ .................................................. ....................... 55
Tunneling ................................................. .................................................. ........................................... 59
PPPoE SERVER ................................................ .................................................. ................................. 59
PPPoE Client ................................................ .................................................. .................................... 63
PPTP Server ................................................ .................................................. ..................................... 67
PPTP Client ................................................ .................................................. ...................................... 71
Routing Protocol ................................................ .................................................. ................................. 75
Static Routing ................................................ .................................................. .................................. 75
OSPF ................................................. .................................................. ............................................... 77
Configuring Basic OSPF Single Area ............................................. .................................................. ... 78
Basic Configuration OSPF Area Multi ............................................. .................................................. .... 81
Writer biography ................................................ .................................................. ................................... 86
WWW.INTRA.ID 3
Basic Configure RouterOS
configuration Interface
[ Admin @ MikroTik ]> interface print

Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU MAX-L2MTU
0 R ether1 ether 1500
Changing Interface
[ Admin @ MikroTik ]> interface sets 0 name = Modem [ admin @
MikroTik ]> interface sets one name = Client [ admin @ MikroTik ]>
interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU MAX-L2MTU
0 R Modem ether 1500
1 R Client ether 1500
Adding IP Address
[ Admin @ MikroTik ]> ip address add address = 192.168.254.1 / 24 interface = Modem [ admin @ MikroTik
]> ip address add address = 192.168.1.1 / 24 interface = Client [ admin @ MikroTik ]> ip address print Flags:
X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE

0 192.168.254.1/24 192.168.254.0 Modem
1 192.168.1.1/24 192.168.1.0 client
To delete an IP address using syntax bias remove.
[ Admin @ MikroTik ]> ip address remove 0 [ admin @

MikroTik ]> ip address print Flags: X - disabled, I -
invalid, D - dynamic
0 192.168.1.1/24 192.168.1.0 Client
WWW.INTRA.ID 4
adding Gateway
We proceed Router Configuration her to connect with the internet connection, now we will configure the
Gateway. Gateway serves as a "gateway" between the router with an internet connection, which later we are
content with this Gateway IP Address ISP (typically, the first ISP using IP Host, example 192.168.100.1) and
dst-address (destination address / destination address) of its use IP 0.0.0.0/0 because we are going to
connect to the router with an internet connection. We skip to the step configuration.
[ Admin @ MikroTik ]> ip route add dst-address = 0.0.0.0 / 0 Gateway = 192.168.254.1
After that, we check that we created earlier gateways using the command: ip route print We can see on the
left there is a symbol US which means Active Static
[ Admin @ MikroTik ]> ip route print

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, R - rip, b - BGP, o - OSPF, m - mme, B - blackhole, U -
unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 AS 0.0.0.0/0 192.168.254.1 1
1 ADC 192.168.137.0/24 192.168.137.2 ether1 0
2 ADC 192.168.254.0/24 192.168.254.2 ether1 0
Adding DNS Server

After adding a default gateway, now we will add a DNS Server. Now, we go directly to its configuration steps:
Here I will use the DNS of an ISP (same as last gateway, ie
192.168.254.1).
[ Admin @ MikroTik ]> set dns servers ip = 192.168.254.1 allow-remote-requests = yes
(Allow Remote Requests here serves to make Router as a DNS server for the client. And so, the
client does not need to use the dns from ISP again. Client please use the IP interface router
connected to the Client (ether2). Because later Client will be directed towards the DNS Server
Router MikroTik )
We're done set the IP Address, Gateway, its DNS server. Means now, the router can be connected to the
Internet network. To perform the test,
WWW.INTRA.ID 5
Let's do a ping google.com in the router. If the reply, it means that the router has been connected to the
Internet network.
[ Admin @ MikroTik ]> ping google.com HOST

SIZE TTL TIME STATUS
74.125.24.102 56 45 30ms
74.125.24.102 56 45 24ms
74.125.24.102 56 45 34ms
74.125.24.102 56 45 26ms
74.125.24.102 56 45 27ms
74.125.24.102 56 45 24ms
74.125.24.102 56 45 23ms
sent = 7 received packet-loss = 7 = 0% min-rtt = 23ms avg max-rtt = 26ms-34ms rtt =
Once the router is connected to the internet, now we will do the configuration PC to PC clients also get
internet connection from the router using NAT feature.
NAT configuration
Now, we will configure the PC Client that can connect to the Internet through a router MikroTik. We will use
NAT feature. NAT itself serves to change the private IP addresses into public IP addresses. And Masquerade
itself serves to "disguise" IP Address client and replace it with the IP address of the router. So, when the
client PC to browse the Internet, the web server will not know the IP of the client,
[ Admin @ MikroTik ]> ip firewall nat add chain = srcnat out-interface = ether1 action = masquerade [ admin @ MikroTik ]>
ip nat firewall print Flags: X - disabled, I - invalid, D - dynamic
0 chain = srcnat action = masquerade out-interface = ether1
Now, we'll change to Static IP Client, and use the first IP network with IP ether2 (192.168.1.1/24).
After that, we became a client IP address instead of using the static IP address of the network with the IP
Address ether2 (192.168.1.1/24) means we are content with the IP 192.168.1.2/24
PC1> 192.168.1.2 255.255.255.0 ip 192.168.1.1 Checking for

duplicate address ...
PC1: 192.168.1.2 255.255.255.0 gateway 192.168.1.1
WWW.INTRA.ID 6
After changing the IP address of his client, should the client has successfully connected to the Internet
network. Let us test by doing browsing or try ping
google.com through the CMD on the PC client. If the reply, it means success.
PC1> ping 8.8.8.8

84 bytes from 8.8.8.8 icmp_seq = 1 ttl = 56 time = 60 456 ms 84 bytes from
8.8.8.8 icmp_seq = 2 ttl = 56 time = 94 580 ms 84 bytes from 8.8.8.8 icmp_seq
= 3 ttl = 56 time = 194 734 ms
Changing System Identity MikroTik

Routerboard after you connect to the internet, now we will change the Identity / name of routerboard us. We
can see in the Terminal routerboard identity when you type text commands (CLI), which is [ admin @ MikroTik
]> I give you the bottom line, that is the identity of the router, the default named "MikroTik". While
"Admin" is the user that we use on the proxy router, we will discuss later. We could change the identity of the
system by:
[ Admin @ MikroTik ]> system identity set name = RT-Center [ admin @
RT-Center ]>
User management in MikroTik

After last we change the identity of the MikroTik router, we can also add / remove users who can access the
router. In the default configuration, MikroTik has only one user, namely admin and do not have a password.
Users on MikroTik itself has Group or access rights that can be done by the User. Among them:
• full = Users with full access rights can perform all MikroTik router configuration. And can add /
remove users.
• Write = Users with write access rights can only configuration (write), and can not add /
remove users who no
• Read = Read user with access rights can only see the MikroTik Router configuration only. Can not
perform any configuration.
WWW.INTRA.ID 7
To add a new user, in the following manner:
[ Admin @ RT-Center ]> user add name = Andri group = write password = admin address = 192.168.1.2 [ admin @ RT-Center ]>
user print Flags: X - disabled
# NAME GROUP ADDRESS
0 ;;; The default system user

admin full
1 andri write 192.168.1.2/32
To delete user bias using the following methods:
[ Admin @ RT-Center ]> user remove 1 [ admin

@ RT-Center ]> user print Flags: X - disabled
# NAME GROUP ADDRESS
0 ;;; The default system user

admin full
NTP Client
Once the user set, now we go into discussion NTP. Timing on the MikroTik Router is very important if you
configure the router MikroTik to work at a certain time (eg blocking certain sites in clock hours). NTP client
settings do not have to do this if you install / use RouterOS on a PC. Because PCs have cmos battery to save
time. Now, we begin to move its configuration.
Before that, we MikroTik Router should be connected to the Internet and find out the IP of its NTP server.
Indonesia's own time, there are multiple servers that can be used, namely:
0.id.pool.ntp.org = 203.160.128.59
1.id.pool.ntp.org = 119.2.43.91
We could use one (primary) or 2 (Primary & Secondary) For text commands (CLI) is as follows:
[ Admin @ RT-Center ]> system ntp client set enabled = yes primary-ntp = 203.160.128.59
WWW.INTRA.ID 8
After setting the NTP Client, we now set the Time Zone. Time zones depending on where you live, pm (Asia /
Jakarta), WIT (Asia / Jayapura), WITA (Asia / Makassar). Or we can also use features auto detect Reviewed
MikroTik Router to automatically detect the time zone where you live, if you do not know the time zone where
you live. Can be done with the command
[ Admin @ RT-Center ]> system clock set time-zone-name = Asia / Jakarta
To check, we can use the command:
[ Admin @ RT-Center ]> system clock print

time: 19:25:19 date: jul /
09/2017 time-zone-name: Asia /
Jakarta gmt-offset: +07: 00
The timing has been completed. Now, during the Router is connected to the NTP server, then the time will no
longer return to the default time even though the router in
reboot.
Backup & Restore

After last we perform a variety of configurations, now we are going to do
backup configuration we've configured earlier, and then restore if sewaktuwaktu we need her. So, already
know right intention of Backup & Restore?
The Backup function to store the results of the configuration, and restore it its opposite, namely to restore the
configuration that has been in backup.
We can do the backup configuration on MikroTik Router. The syntax is:
[ Admin @ RT-Center ]> system backup save name = temp_andri Saving

Configuration backup system configuration saved
If you perform a restore through text commands can be done with the command:
[ Admin @ RT-Center ]> load backup system name = temp_andri.backup Restore and
reboot? [y / N]: y
Restoring system configuration

System configuration restored, rebooting now
WWW.INTRA.ID 9
Soft Reset Configure
After backup and restore the configuration, if you want to reset the router to the factory default
configuration,
[ Admin @ RT-Center ]> system reset-configuration Dangerous!

Reset anyway? [y / N]: y
system configuration will be reset
Hard Reset Configure

The purpose of Hard Reset, we reset the configuration on the router through
hardware Her itself, not through software or command. We are direct to the tracks.
1. First, you look at Routerboard then you find the reset button. Usually there beside the power chord or in
addition to Ethernet slot. (Buttons are small, usually hidden. So it must use a pen or a stick to push it)
2. Make sure routerboard is turned off, and no cables connected ..
3. Press the button resetting, while routerboard with adapter cable plugs.
4. While pressing the button, look at the LED light / her ACT blinks, wait for the LED (ACT) it until it stops
blinking and die. Keep pressing the button resetting, until the Ethernet LED light turns on then turns off
5. Once the Ethernet lights off, unplug its power adapter MikroTik.
6. Then, restart the router. So, going back routerboard configuration default router IP itself even turned into
0.0.0.0
WWW.INTRA.ID 10
netinstall
Now we are going to re-install Routerboard with NetInstall. This is useful if for example netinstall forget the
password, or router fails to boot. Before that, we are prepared right before the appliance tool:
1. Routerboard will reinstall,

2. Software NetInstall (can be downloaded at www.MikroTik.com/download )
3. Combined RouterOS Package (download according to the type of his router. Here is my example here
I use the router type SMIPS)
4. Straight-throught UTP cable,
5. PC or Laptop. Now,
if the appliance has been prepared, just to the step
configuration. :
1. Setting IP PC / Laptop into a Static IP 192.168.88.2 suppose, then connect the router to the PC using UTP
cable at port 1
2. Open its NetInstall Software, click netbooting then tick Boot Server enabled
after that in part Client IP Address, IP fill Routerboard after that, click OK
3. Click the button Browse, then find where you store all the files RouterOS package earlier (.npk)
4. Turn off routerboard (unplug the power adapter), and then reset routerboard (Hard Reset) by pressing the
reset button on routerboard, hold the reset button. Sambal is pressed, we turn again routerboard (power plug
adapter)
5. It will be detected MAC address of the router. Then release the button resetting
6. Click the MAC Addressnya, and then select the package that will be installed (select All alone), afterwards, click Install
7. Once the install is complete, click Reboot button. Installation is complete.
WWW.INTRA.ID 11
DHCP
DHCP or Dynamic Host Control Protocol serves to provide IP Address, DNS, Gateway automatically from the
server to the client. In this chapter we will discuss the configuration steps DHCP Server, DHCP Client, and
some management DHCP Server the MikroTik router.
In MikroTik itself, we can make the router into a DHCP server to the client, and can also be a MikroTik Router
DHCP Client and ask IP, DNS, Gateway from your ISP or from another router which is connected via a
network Ethernet or Wireless.
DHCP servers are usually used by providers hot spot. While DHCP Client in the MikroTik router you can use
if you lazy configure the router to the Internet network (ISP) or if you do not know the IP address of the ISP
router.
DHCP Server
Now we will configure the DHCP Server on MikroTik. To be clear, we can see the topology picture below
Can we see the picture above, MikroTik Router acts as a DHCP Server for PC Client connected to the router
via an interface ether2
WWW.INTRA.ID 12
Now we go straight to its configuration steps:
[ Admin @ MikroTik ]> ip dhcp-server setup Select

interface to run a DHCP server on
dhcp server interface: ether2 Select network

for DHCP addresses
dhcp address space: 192.168.1.0/24 Select

gateway for the given network
dhcp gateway for the network: 192.168.1.1 Select pool of ip addresses

given out by the DHCP server
addresses to give out: Select DNS servers

192.168.1.2-192.168.1.254
dns servers: 8.8.8.8

Select lease time
lease time: 3d
After that, we check using the following command:
[ Admin @ MikroTik ]> ip dhcp-server print detail Flags: X -

disabled, I - invalid
0 name = "dhcp1" interface = ether2 lease-time = 3d address-pool = dhcp_pool1 bootp-
support = static authoritative = after-2sec-delay
To test DHCP Server above, now we try to change the IP Address Dynamic Client becomes.
PC1> dhcp ip
DORA 192.168.1.254/24 GW IP 192.168.1.1
Can we see the picture above, already have IP DHCP Client from the server (router)
To check the Client PC anywhere that get IP from the DHCP Client, can use the command dhcp-server ip
lease print
[ Admin @ MikroTik ]> dhcp-server ip lease print Flags: X - disabled,

R - radius, D - dynamic, B - blocked
# ADDRESS MAC-ADDRESS HOST-NAME SERVER-LIMIT RATE STATUS
0 D 192.168.1.254 00: 50: 79: 66: 68: 00 PC11 dhcp1 bound
WWW.INTRA.ID 13
IP Pool
IP Pool is a collection of IP addresses will be given to the Client. So, in addition to manually configure the
DHCP IP, we can also use IP features Pool. Later this IP Pool feature can be used in the DHCP server
configuration or configurations PPP Secret on PPPoE and PPTP discussion. Before configuring IP Pool right,
we see the first image below topology
Seen in the picture above, there is a 1 router with two local networks. We see in the router 1, there are two
networks are connected, one through the interface ether2 the IP network and the first 13.13.13.0/24 her again
through ether3 IP network
14.14.14.0/24. Here we will configure the right IP Pool for both the network. Here I will give the name pool1 for
ether2 and pool2 for ether3.
For configuration steps through text commands (CLI) is as follows:
Sebagai contoh, disini saya akan memberikan 4 IP Address untuk PC Client. Berarti, perintahnya adalah
sebagai berikut
[admin@MikroTik] > ip pool add name=pool1 range=13.13.13.2-13.13.13.5 [admin@MikroTik]

> ip pool add name=pool1 range=14.14.14.2-14.14.14.5
WWW.INTRA.ID 14
Setelah IP Pool kita buat, sekarang kita akan coba mengimplementasi kan IP Pool kepada konfigurasi DHCP
Server. Tetapi, sebelum kita lakukan konfigurasi DHCP Server, kita harus mengatur DHCP Server Network
nya terlebih dahulu, karena router 2 memiliki dua network yang terhubung ( ether2 dan ether3). Untuk langkah
konfigurasi nya adalah sebagai berikut :
Untuk network ether2

[admin@MikroTik] > ip dhcp-server network add address=13.13.13.0/24 dns-server=13.13.13.1 gateway=13.13.13.1
Untuk network ether3

[admin@MikroTik] > ip dhcp-server network add address=14.14.14.0/24 dns-server=14.14.14.1 gateway=14.14.14.1
Setelah kita melakukan konfigurasi dhcp-server network diatas, barulah sekarang kita melakukan konfigurasi
DHCP Server pada router2. Untuk konfigurasi DHCP Server nya adalah sebagai berikut :
Untuk network 1 ( ether2)
[admin@MikroTik] > ip dhcp-server add name=net1 address-pool=pool1 interface=ether2 leasetime=00:30:00

disabled=no
Untuk network 2 ( ether3)
[admin@MikroTik] > ip dhcp-server add name=net2 address-pool=pool2 interface=ether3 leasetime=00:30:00

disabled=no
Sekarang, kita ubah IP Address dari PC Client menjadi Dynamic (automatis)

PC1> ip dhcp
DORA IP 13.13.13.5/24 GW 13.13.13.1
Konfigurasi DHCP Server kita sudah selesai. Untuk memonitoring siapa saja yang telah menggunakan IP
Pool, bisa menggunakan perintah text (CLI) sebagai berikut :
[admin@MikroTik] > ip pool print POOL

ADDRESS OWNER INFO
pool1 13.13.13.5 DHCP 00:50:79:66:68:00
WWW.INTRA.ID 15
DHCP Client
Sekarang kita masuk ke pembahasan DHCP Client. Jadi nantinya kita akan meminta
IP,DNS,Gateway secara otomatis dari DHCP Server (ISP). Jika kalian menerapkan DHCP Client, maka
nantinya kalian tidak dapat melakukan konfigurasi IP Address
ether1 secara manual. Dan nantinya ether1 menggunakan IP Address, DNS, Gateway dari DHCP Server.
Untuk langkah konfigurasi nya adalah sebagai berikut :
Disini kita akan meminta DHCP dari ISP (DHCP Server), berarti interface nya kita pilih yang menyambung
dengan koneksi internet, yaitu wlan1. Perintah Text (CLI) nya adalah sebagai berikut :
[admin@MikroTik] > ip dhcp-client add interface=ether1 disabled=no
setelah itu kita cek menggunakan ip dhcp-client print . Jika berhasil, maka status nya adalah bound.
[admin@MikroTik] > ip dhcp-client print Flags: X -

# INTERFACE USE-PEER-DNS ADD-DEFAULT-ROUTE STATUS ADDRESS
0 ether1 yes yes bound 11.11.11.254/24
Setelah itu, kita cek apakah sudah mendapatkan IP, DNS, Gateway dari ISP. Perintah text nya adalah
sebagai berikut :
[admin@MikroTik] > ip address print Flags: X -

disabled, I - invalid, D - dynamic
0 D 11.11.11.254/24 11.11.11.0 ether1
WWW.INTRA.ID 16
[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U -
0 ADS 0.0.0.0/0 11.11.11.1 1

1 ADC 11.11.11.0/24 11.11.11.254 ether1 0
[admin@MikroTik] > ip dns print

servers:
dynamic-servers: 8.8.8.8
allow-remote-requests: no
max-udp-packet-size: 4096
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 8KiB
Seperti kita lihat diatas, maka ether1 akan mendapatkan IP, DNS, Gateway Dinamik (D) dari ISP. Gateway
ADS yang berarti Active Dynamic Static
DHCP Relay
DHCP Relay berfungsi sebagai Proxy untuk menerima request permintaan IP Address dari PC Client (DHCP
Request) dan nanti akan meneruskan DHCP Request tersebut kepada DHCP Server. Jadi nantinya DHCP
Server hanya terpusat pada 1 router saja, tanpa harus kita konfigurasi kan DHCP Server kepada router 1 per
1. Agar lebih jelas, kita bisa lihat topologi dibawah ini :
WWW.INTRA.ID 17
Seperti kita lihat diatas, terdapat 2 router MikroTik tersambung melalui interface ether1. Router 1 nantinya
akan berperan sebagai DHCP Server, lalu Router 2 akan menjadi DHCP Relay. Router 1 nantinya akan
menjadi DHCP Server untuk semua jaringan local yang terhubung dengan router 2, in this case yaitu
13.13.13.0/24 dan
14.14.14.0/24. Kita langsung saja ke langkah konfigurasi DHCP Server dan DHCP Relay
Pertama, kita akan konfigurasi kan dulu IP Pool pada Router 1 untuk masing masing network yang akan di
berikan DHCP Server. (13.13.13.0/24 , 14.14.14.0/24)
Untuk ether2 ( 13.13.13.0/24) disini saya hanya akan memberikan 4 range IP Address, yaitu
13.13.13.2-13.13.13.5 dengan nama ether2. Maka perintah nya adalah sebagai berikut :
[admin@MikroTik] > ip pool add name=ether2 range=13.13.13.2-13.13.13.5
Untuk ether3 ( 14.14.14.0/24) saya akan melakukan konfigurasi yang sama. 4 range IP Address, dengan
nama ether3. Maka perintah text nya adalah sebagai berikut
[admin@MikroTik] > ip pool add name=ether3 range=14.14.14.2-14.14.14.5
Setelah kita lakukan konfigurasi IP Pool, sekarang kita lakukan konfigurasi Network DHCP Server. Kita akan
lakukan konfigurasi seperti berikut
Untuk ether2
[admin@MikroTik] > ip dhcp-server network add address=13.13.13.0/24 gateway=13.13.13.1
dns-server=13.13.13.1,10.10.10.1 ntp-server=10.10.10.1
untuk ether3
[admin@MikroTik] > ip dhcp-server network add address=14.14.14.0/24 gateway=14.14.14.1

dns-server=14.14.14.1,10.10.10.1 ntp-server=10.10.10.1
Setelah kita konfigurasi IP Pool dan Network DHCP Server pada router 1, sekarang kita akan lakukan
konfigurasi DHCP Server nya. Untuk konfigurasi DHCP Server sendiri caranya sama seperti sebelumnya.
Hanya saja, sekarang kita akan menambahkan perintah text Relay yang berisikan IP Address interface
ether2 dan ether3 dari router2 yaitu 13.13.13.1 untuk ether2 dan 14.14.14.1 untuk ether3. Perintah nya
adalah sebagai berikut :
WWW.INTRA.ID 18
[admin@MikroTik] > ip dhcp-server add name=ether2 interface=ether2 address-pool=ether2 relay=13.13.13.1
lease-time=00:03:00 disabled=no
[admin@MikroTik] > ip dhcp-server add name=ether3 interface=ether2 address-pool=ether3 relay=14.14.14.1
lease-time=00:30:00 disabled=no
Setelah itu kita cek menggunakan perintah berikut :
[admin@MikroTik] > ip dhcp-server print Flags: X -

# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0 ether2 ether2 13.13.13.1 ether2 3m
1 ether3 ether2 14.14.14.1 ether3 30m
Konfigurasi pada router 1 sudah selesai, sekarang kita akan melakukan konfigurasi
DHCP Relay pada router2. Untuk melakukan konfigurasi nya sendiri bisa melalui perintah text (CLI),
perintahnya adalah sebagai berikut
[admin@MikroTik] > ip dhcp-relay add name=relay1 interface=ether2 dhcp-server=10.10.10.1

local-address=13.13.13.1 disabled=no
[admin@MikroTik] > ip dhcp-relay add name=relay1 interface=ether3 dhcp-server=10.10.10.1
local-address=14.14.14.1 disabled=no
WWW.INTRA.ID 19
Firewall
Firewall adalah system pengaman (keamanan) yang memeriksa paket data yang keluar dan yang masuk.
Dengan Firewall, kita bisa melindungi jaringan kita (local) dari serangan jaringan luar. Misalkan, melindungi
jaringan LAN kita dari internet.
Firewall bisa digunakan untuk memblokir sebuah situs yang akan diakses oleh suatu client. Misalkan situs
Pornografi, atau situs-situs perjudian. Firewall ini sangat berguna jika kalian mempunyai warnet. Agar client
tidak sembarangan membuka situs-situs terlarang, apalagi yang membuka masih anak kecil.
Untuk mengetahui contoh cara kerja Firewall, kita bisa lihat Topologi sederhana dibawah ini
Kita langsung saja ke pembahasan pertama, yaitu Firewall NAT
Firewall NAT Menggunakan Masquerade

Maksud dari judul diatas adalah membatasi IP Address (client) yang hanya boleh terkoneksi dengan jaringan
Internet melalui Router MikroTik. Cara ini hampir sama seperti yang dibahas sebelumnya (konfigurasi NAT)
hanya saja, disini Source Address nya kita isi dengan IP client yang boleh menggunakan koneksi internet.
Untuk langkah konfigurasi menggunakan perintah berikut :
Sekarang, kita akan coba buat rule hanya IP yang mempunyai network 13.13.13.0/24 yang bisa terkoneksi
dengan jaringan Internet. Perintah Text (CLI) nya
[admin@MikroTik] > ip firewall nat add chain=srcnat src-address=13.13.13.0/24 outinterface=ether1

action=masquerade
WWW.INTRA.ID 20
Setelah dibuat, kita cek dengan perintah ip firewall nat print
[admin@MikroTik] > ip firewall nat print Flags: X -

0 chain=srcnat action=masquerade src-address=13.13.13.0/24 out-interface=ether1
Setelah rule diatas dibuat, jadi hanya PC Client dengan IP Network 13.13.13.0/24 saja yang hanya bisa
terkoneksi dengan Jaringan Internet melalui Router MikroTik
Sekarang kita coba membuat rule, jadi hanya IP Client 13.13.13.1-13.13.13.10 saja yang bisa terkoneksi
dengan Internet. Tetapi sebelum itu, kita harus menghapus Rule firewall yang sebelumnya. Karena
MikroTik membaca Rule dari atas kebawah, jadi kalau rule yang sebelumnya (13.13.13.0/24) masih ada,
maka PC Client yang mempunyai IP dengan network tersebut (13.13.13.1-13.13.13.254) masih bisa
menggunakan internet, jadinya firewall yang kita buat akan sia-sia. Untuk menghapus rule firewall nya, bisa
gunakan perintah text sebagai berikut
[admin@MikroTik] > ip firewall nat remove 0

[admin@MikroTik] > ip firewall nat print Flags: X -
Bisa kita lihat diatas, Firewall Rules nya sudah kosong (tidak ada). Sekarang, kita lanjut buat firewall rules
nya.
[admin@MikroTik] > ip firewall nat add chain=srcnat src-address=13.13.13.1-13.13.13.10 outinterface=ether1

action=masquerade [admin@MikroTik] > ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade src-address=13.13.13.1-13.13.13.10 out-interface=ether1
Bisa kita lihat diatas, firewall rule sudah kita buat. Sekarang, untuk melakukan pengujian pada rule yang kita
buat tadi, Kita ganti IP Address PC Client selain IP
13.13.13.1-13.13.13.10. Sebagai contoh disini saya akan menggunakan IP Address
13.13.13.11
PC1> ip 13.13.13.11 255.255.255.0 13.13.13.1 Checking
for duplicate address...
PC1 : 13.13.13.11 255.255.255.0 gateway 13.13.13.1
PC1> save
Saving startup configuration to startup.vpc
. done
WWW.INTRA.ID 21
Setelah itu, kita coba ping google.com dengan PC tersebut. Maka hasilnya akan RTO karena tidak terhubung
dengan jaringan internet
Jika RTO, berarti rule yang kita buat sudah selesai. Jadi, hanya client yang mempunyai IP
13.13.13.1-13.13.13.10 saja yang bisa terhubung dengan koneksi internet
Firewall NAT Masquerade Port Tertentu

Masih di materi masquerade, sekarang kita akan melakukan masquerade pada port tertentu. Konfigurasinya
hampir sama, hanya saja nanti kita akan mengisi bagian protocol dan dst-port. Misalnya, jika kalian ingin
membatasi client hanya bisa melakukan browsing, berarti kalian isi HTTP (port 80) dan HTTPS (port 443) di
dstport dan pilih protocol nya tcp. Sekarang, langsung saja kita coba praktekan. Disini, saya akan membatasi
client hanya bisa browsing website yang menerapkan HTTPS. Berarti client tersebut tidak bisa browsing
website dengan HTTP. Sebelumnya, kita hapus dulu rules yang sebelumnya, atau bisa juga diedit (melalui
Winbox).
[admin@MikroTik] > ip firewall nat add chain=srcnat src-address=13.13.13.1-13.13.13.10 outinterface=ether1

protocol=tcp dst-port=443 action=masquerade [admin@MikroTik] > ip firewall nat print Flags: X - disabled, I - invalid,
D - dynamic
0 chain=srcnat action=masquerade protocol=tcp src-address=13.13.13.1-13.13.13.10 out-

interface=ether1 dst-port=443
Setelah itu, untuk melakukan pengujian kita coba melakukan browsing menuju web yang menggunakan
protocol https, misalnya youtube. Dan test browsing menuju web yang menggunakan protocol http, misalnya intra.id
Bisa kita lihat gambar yang dibawah ini. Youtube berhasil terbuka, sedangkan intra.id tidak terbuka sama
sekali.
WWW.INTRA.ID 22
Agar client juga bisa browsing web yang menggunakan protocol http, dibagian dstport kita tambahkan port
http, yaitu 80. rule seperti dibawah ini.
[admin@MikroTik] > ip firewall nat set 0 dst-port=80,443
Bisa kita lihat dibawah, sekarang web http (intra.id) nya bisa terbuka
Jika konfigurasi nya sudah dilakukan, maka sekarang PC Client hanya bisa browsing dan download melalui
web dengan protocol port HTTP dan HTTPS. Tidak bisa menggunakan Yahoo Mesenger dan sebagainya
karena port nya berbeda. Untuk menambahkan portnya, langkahnya sama seperti langkah konfigurasi diatas.
Firewall Filter Input & Forward

Firewall Filter ini berfungsi menyaring ( filter) paket data yang masuk dan keluar dari jaringan dalam (local)
atau dari jaringan luar (internet). Jadi, nantinya router akan menyaring data apa saja yang boleh masuk atau
keluar. Firewall filter sendiri mempunyai 3 mode ( chain) yaitu :
• Forward = Filter ini berfungsi untuk menangani paket data yang melewati router
• Input = Filter ini berfungsi untuk menangani paket data yang masuk ke router
• Output = Filter ini berfungsi untuk menangani paket data yang keluar dari router Disini saya hanya
akan membahas filter Input dan Forward.
Firewall Chain Input

firewall input ini berfungsi untuk menangani paket data yang masuk ke dalam router, seperti melakukan
konfigurasi pada router (seperti menambah IP address, dsb) maupun ping dari jaringan luar (internet) dan
jaringan local. Di MikroTik sendiri, port untuk konfigurasi seperti WinBox (8291), Telnet (23) itu terbuka.
Maksudnya, bisa di akses oleh siapa saja yang terkoneksi dengan router MikroTik tersebut. Nah, bahaya kan
kalau misalkan ada yang mengkonfigurasi router kita sembarangan? Disinilah
WWW.INTRA.ID 23
contoh fungsi firewall input. Jadi nantinya kita bisa membatasi siapa saja yang bisa mengkonfigurasi
routerboard.
Agar lebih paham, Kita bisa lihat cara kerja dari Firewall Input pada gambar dibawah ini
Sekarang kita akan melakukan percobaan drop semua paket data yang masuk ke router. Langsung ke
langkah konfigurasi nya. perintahnya adalah sebagai berikut :
[admin@MikroTik] > ip firewall filter add chain=input action=drop
Sekarang untuk melakukan percobaan, lakukan ping dari pc client menuju router.
Bisa kita lihat gambar diatas, hasilnya akan RTO karena semua data yang masuk kedalam router akan di
drop.
Cara diatas hanya untuk percobaan saja dan bertujuan untuk mengerti cara kerja dari firewall input.
Sekarang, kita akan coba membatasi siapa saja yang dapat mengakses port
konfigurasi pada router MikroTik dari jaringan local (ether2). Disini saya akan coba membuat rule, jadi hanya
PC Admin (dengan IP 13.13.13.2) yang bisa melakukan konfigurasi pada router MikroTik. Selain dari PC
admin (contoh 13.13.13.3) tidak akan bisa melakukan konfigurasi pada router. Port konfigurasi pada MikroTik
: Winbox (8291) , Telnet (23) , SSH (22) , WebFig (80), ftp (20 & 21)
WWW.INTRA.ID 24
[admin@MikroTik] > ip firewall filter add chain=input src-address=13.13.13.2 in-interface=ether2 action=accept
[admin@MikroTik] > ip firewall filter print Flags: X -

0 chain=input action=accept src-address=13.13.13.2 in-interface=ether2
Sekarang, kita akan membuat action drop nya. Perintah text nya adalah
[admin@MikroTik] > ip firewall filter add chain=input in-interface=ether2 protocol=tcp

dstport=8291,23,22,80,20,21 action=drop [admin@MikroTik] > ip firewall filter print Flags: X - disabled, I - invalid,
D - dynamic
1 chain=input action=drop protocol=tcp in-interface=ether2 dst-port=8291,23,22,80,20,21
Setelah itu, coba kalian buka melalui IP selain dari 13.13.13.2, maka akan di drop.
Dengan rule diatas, kita telah mengamankan konfigurasi router dari PC Client yang lain. Sekarang,
bagaimana cara mengamankan port yang terbuka dari jaringan luar (internet)? Caranya sama, tetapi pada
bagian in-interface , kita isi dengan interface
yang menuju ke Internet, yaitu ether1.
Karena MikroTik membaca Rule dari atas baru ke bawah, maka kita buat dulu rule
dengan IP Address yang diperbolehkan mengakses router. Disini saya akan membuat IP Address 13.13.13.2
bisa mengakses port konfigurasi pada router. Maka perintah text (CLI) nya adalah sebagai berikut :
[admin@MikroTik] > ip firewall filter add chain=input src-address=13.13.13.2 in-interface=ether1 action=accept
Setelah itu, kita buat lagi rule yang kedua, yaitu rule drop perintahnya adalah :
[admin@MikroTik] > ip firewall filter add chain=input in-interface=ether1 protocol=tcp

dstport=8291,23,22,80,20,21 action=drop
Untuk mengecek rule yang tadi telah kita buat, perintah text nya adalah :

1 chain=input action=drop protocol=tcp in-interface=ether1 dst-port=8291,23,22,80,20,21
WWW.INTRA.ID 25
Sekarang, berarti hanya PC dengan IP 13.13.13.2/24 saja yang bisa mengakses router melalui jaringan luar
(internet)
Firewall Forward
Firewall Forward ini berfungsi untuk menangani paket data yang melewati (melintasi) router, baik dari
jaringan local atau jaringan luar. Firewall Forward juga mengatur boleh / tidak nya suatu paket menuju
jaringan internet atau jaringan local, jadi firewall forward ini bisa kita pakai untuk memblokir website yang
akan di akses client. Menggunakan firewall forward hampir sama dengan menggunakan srcnat yang kita
sudah bahas sebelumnya. Hanya saja, jika menggunakan srcnat, srcnat akan melakukan perubahan IP
Address pada pengirim data. Tetapi, jika pada firewall forward, firewall forward hanya akan mengirim data dari
si pengirim tanpa melakukan perubahan IP Address.
Untuk mengerti cara kerja firewall forward, kita akan melakukan percobaan blok akses internet pada client ( Drop).
Langsung ke langkah konfigurasi nya, yaitu :
[admin@MikroTik] > ip firewall filter add chain=forward action=drop

[admin@MikroTik] > ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0
chain=forward action=drop
Setelah itu, kita test dengan cara ping dari pc client menuju internet, maka hasilnya akan RTO karena akses
forward nya sudah kita drop. Rule diatas hanya untuk
WWW.INTRA.ID 26
percobaan saja, agar mengerti cara kerja dari firewall forward. Sebelum ke langkah selanjutnya, kita hapus
dulu rule firewall forward drop ini.
Setelah itu, kita akan coba untuk blokir situs yang akan diakses client menggunakan firewall forward
(berdasarkan IP)
Firewall Forward Blokir Website berdasarkan IP Address

Setelah kita melakukan percobaan Firewall Forward, sekarang kita coba memblokir situs dengan firewall
forward. Disini kita akan memblokir website tersebut berdasarkan
IP Address nya. Jadi, sebelum memblokir website tersebut, kita harus mengetahui IP Address dari website
tersebut. Caranya, kita bisa menggunakan perintah nslookup di CMD atau CLI. Sebelum menggunakan
nslookup, pastikan dulu pc sudah terhubung akses internet. Disini saya akan mencoba memblokir situs web
kompas.com, berarti perintahnya adalah sebagai berikut : nslookup kompas.com
Bisa kita lihat diatas, kompas.com mempunyai 2 IP yang berbeda. Berarti kita harus membuat 2 rule dengan
2 IP tujuan ( dst-address) yang berbeda untuk memblokir situs kompas.com tersebut. Langsung saja ke
langkah konfigurasi nya :
Jika melalui perintah text (CLI), maka perintahnya :

[admin@MikroTik] > ip firewall filter add chain=forward dst-address=202.146.4.100 action=drop [admin@MikroTik] > ip
firewall filter add chain=forward dst-address=202.61.113.35 action=drop [admin@MikroTik] > ip firewall filter print Flags:
X - disabled, I - invalid, D - dynamic
0 chain=forward action=drop dst-address=202.146.4.100
1 chain=forward action=drop dst-address=202.61.113.35
Rule sudah dibuat, sekarang kita coba buka kompas.com atau lakukan ping, maka website tersebut tidak
akan terbuka dan akan loading terus menerus.
WWW.INTRA.ID 27
Kita sudah berhasil memblokir website kompas. Tetapi dengan cara ini, mungkin sedikit repot karena harus
mengetahui IP address dari website tersebut. Ada cara yang mungkin lebih efisien, yaitu memblokir situs
berdasarkan content website.
Firewall Forward Blokir Website Berdasarkan Konten

Sekarang kita akan mencoba memblokir situs berdasarkan konten nya. Menggunakan fitur konten ini juga
bisa untuk memblokir download suatu ekstensi file (contoh .3gp) agar user tidak sembarangan download
yang bukan-bukan. Sekarang langsung ke langkah konfigurasi :
Disini, saya akan coba membuat 2 rule untuk memblokir content porn dan juga ekstensi . 3gp Untuk perintah
CLI berikut syntaksnya :
[admin@MikroTik] > ip firewall filter add chain=forward content=porn action=drop [admin@MikroTik] >
ip firewall filter add chain=forward content=.3gp action=drop [admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic 0 chain=forward action=drop content=porn
1 chain=forward action=drop content=.3gp
Rule diatas sudah dibuat. Berarti, siapa saja yang terkoneksi (termasuk admin) dengan router, maka tidak
akan bisa mengakses website yang mengandung content “porn” dan “.3gp”.
Disini juga kita bisa menambahkan src-address nya. Jadi, hanya IP tertentu saja yang tidak boleh
mengakses website yang mempunyai content tersebut. Disini saya akan coba menambahkan src-address , jadi
hanya IP Admin saja yang bisa mengakses web yang berisi konten tersebut. Langkah konfigurasinya adalah
sebagai berikut :
WWW.INTRA.ID 28
Disini saya contohkan IP Address yang dimiliki admin adalah 13.13.13.2/24 . Jadi sisanya adalah IP Address
client (13.13.13.3-13.13.13.254) yang akan kita masukkan ke src-address :
[admin@MikroTik] > ip firewall filter add chain=forward src-address=13.13.13.2 action=accept [admin@MikroTik] > ip
firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 chain=forward action=drop content=porn
2 chain=forward
Setelah action=accept
itu, kita pindahkan src-address=13.13.13.2
rule yang tadi kita buat menjadi urutan paling atas dengan menggunakan perintah
ip firewall move 2 0
[admin@MikroTik] > ip firewall filter move 2 0

0 chain=forward action=accept src-address=13.13.13.2
1 chain=forward action=drop content=porn
Sekarang, coba kita test mengakses website yang mempuyai content tersebut menggunakan PC dengan IP
(13.13.13.2) maka akan berhasil. Sekarang, coba kita buka website dengan konten tersebut menggunakan
PC selain dari IP 13.13.13.2 , maka akan gagal.
Address List
Address List adalah suatu fitur di MikroTik yang berfungsi untuk menandakan IP Address tertentu menjadi
sebuah Nama. Misalkan disini saya akan membuat 2 Address List dengan IP Address 13.13.13.2 dan akan
saya namai “ IP admin” dan untuk IP Address 13.13.13.0/24 saya namai “ IP Client”. Langkah konfigurasinya
adalah sebagai berikut :
[admin@MikroTik] > ip firewall address-list add address=13.13.13.2 list="IP Admin" [admin@MikroTik] > ip
firewall address-list add address=13.13.13.0/24 list="IP Client" [admin@MikroTik] > ip firewall address-list
print Flags: X - disabled, D - dynamic
# LIST ADDRESS
0 IP Admin 13.13.13.2
1 IP Client 13.13.13.0/24
WWW.INTRA.ID 29
Kita sudah buat Address List nya, sekarang kita akan coba menggunakan Address List nya. Misalkan disini
kita akan buat pc admin mendapatkan semua akses internet, sedangkan PC client hanya bisa browsing dan
tidak bisa mendownload file ber ekstensi . iso . Maka perintah textnya adalah sebagai berikut :
[admin@MikroTik] > ip firewall filter add chain=forward src-address-list="IP Admin" action=accept [admin@MikroTik] > ip
firewall filter add chain=forward src-address-list="IP Client" action=drop [admin@MikroTik] > ip firewall filter print Flags: X -
0 chain=forward action=accept src-address-list=IP Admin
1 chain=forward action=drop src-address-list=IP Client
Kita bisa lihat diatas, di bagian src-address kita tidak perlu lagi masukkan IP Address dari pc admin,
melainkan kita hanya perlu masukkan nama Address List nya saja. Address List juga bisa digunakan untuk
memblokir website. Caranya sama seperti tadi, kita buat dulu Address List dari website yang ingin kita blok.
Cara lengkapnya bisa lihat dibawah ini :
Misalkan, kita akan blokir website kompas.com menggunakan Address List. Pertama kita cek dulu IP
Address kompas.com menggunakan nslookup.
Bisa kita lihat diatas, kalau kompas.com mempunyai 2 IP address. Jadi, kita harus membuat 2 Address List
kompas dengan nama yang sama. untuk perintah text, perintah nya adalah
[admin@MikroTik] > ip firewall address-list add address=202.146.4.100 list="IP Kompas" [admin@MikroTik] > ip
firewall address-list add address=202.61.113.35 list="IP Kompas" [admin@MikroTik] > ip firewall address-list
print Flags: X - disabled, D - dynamic
# LIST ADDRESS
0 IP Admin 13.13.13.2
1 IP Client 13.13.13.0/24
2 IP Kompas 202.146.4.100
3 IP Kompas 202.61.113.35
WWW.INTRA.ID 30
Setelah kita buat address list nya, sekarang kita buat rule perintah drop nya. Perintah text nya adalah
[admin@MikroTik] > ip firewall filter add chain=forward dst-address="IP Kompas" action=drop
Jika ada firewall rule yang sebelumnya, kita pindahkan dulu rule yang kita buat ke urutan atas
sekarang, coba kalian buka kompas.com, maka website tersebut tidak akan terbuka dan hanya loading terus
menerus karena sudah kita drop.
Untuk mengganti IP Address dari Address List tadi yang kita buat, bisa dilakukan dengan perintah text : ip
firewall address-list set [no index address list] address=[ip pengganti] untuk contoh, disini saya akan
mengganti IP Admin dengan nomor index (urutan) 0 dengan IP 13.13.13.3. berarti perintah text nya adalah
[admin@MikroTik] > ip firewall address-list set 0 address=13.13.13.3

[admin@MikroTik] > ip firewall address-list print Flags: X - disabled, D - dynamic
# LIST ADDRESS
0 IP Admin 13.13.13.3
1 IP Client 13.13.13.0/24
IP address telah diganti. Jadi, misalkan sewaktu-waktu pc admin mengganti IP addressnya, kita hanya
tinggal merubahnya di Address List, tidak perlu
mengkonfigurasi ulang rule firewall nya.
Address List juga bisa digunakan untuk menambahkan IP Address dari computer yang mencoba melakukan ping
kepada router. Perintah text nya adalah :

[admin@MikroTik] > ip firewall filter add chain=input in-interface=ether2 protocol=icmp
action=add-src-to-address-list address-list="tukang ngeping"
Sekarang, coba kalian ping menggunakan user client, setelah itu kita cek Address List nya ( ip address-list
print) maka, IP Address yang ngeping ke router kalian akan di tambahkan dengan nama tukang ngeping.
WWW.INTRA.ID 31
Firewall Mangle
Firewall Mangle fungsinya untuk memberi tanda (mark) pada paket data dan koneksi tertentu. Tujuan nya
sendiri adalah agar paket data lebih mudah dikenali. Dengan menggunakan Firewall Mangle (Marking) pada
Router MikroTik ini, akan memudahkan dalam mengelola sebuah paket data. Misalnya, menerapkan marking
pada firewall filter, NAT, Routing. Fitur Mangle ini hanya bisa digunakan pada router MikroTik itu sendiri dan
tidak dapat digunakam oleh router lain. Karena marking
tersebut akan dilepas pada saat paket data akan keluar / meninggalkan router.
Di dalam Firewall Mangle ini, ada 3 jenis Marking yang bisa kita gunakan, yaitu
1. Connection Mark (Penandaan pada Koneksi)

2. Packet Mark (Penandaan pada paket data)
3. Routing Mark (Penandaan pada Routing)
Kita langsung saja pada pembahasan marking yang pertama, yaitu Connection Mark
Connection Mark
Connection Mark ini berfungsi untuk menandai sebuah Koneksi. Connection Mark bisa digunakan untuk
memberikan tanda atau marking pada paket pertama yang dikeluarkan oleh Client ataupun Paket Response
yang pertama dikeluarkan oleh Web Server
Bisa kita lihat gambar diatas, Client melakukan Request HTTP terhadap suatu Web Server. Terlihat pada
gambar diatas, Request dari Client tersebut memiliki 3 paket, pada connection mark ini yang ditandai adalah
paket yang pertama keluar dari Client, untuk paket ke dua dan ke tiga tidak ditandai. Begitu juga pada paket
Response dari Web Server, paket yang pertama keluar dari Web Server tersebut yang akan ditandai.
WWW.INTRA.ID 32
Kita akan melakukan Connection Marking pada interface ether2 yang melakukan aktifitas browsing HTTP.
Perintah text nya adalah sebagai berikut
[admin@MikroTik] > ip firewall mangle add chain=prerouting src-address=13.13.13.2 protocol=tcp

dst-port=80 in-interface=ether2 action=mark-connection new-connection mark=browsing
[admin@MikroTik] > ip firewall mangle print Flags: X -

0 chain=prerouting action=mark-connection new-connection-mark=browsing
passthrough=yes protocol=tcp src-address=13.13.13.2 in-interface=ether2 dst-port=80
Kita juga bisa melakukan marking sesuai dengan content yang diakses user. Misalnya, melakukan connection
marking pada content file berekstensi . rar. Untuk melakukan konfigurasi nya hampir sama seperti
sebelumnya. Hanya saja, disini kita akan menambahkan perintah content. Langsung saja ke langkah
konfigurasi nya :
[admin@MikroTik] > ip firewall mangle add chain=prerouting src-address=13.13.13.2 protocol=tcp

port=80 content=.rar action=mark-connection new-connectionmark=download_rar
[admin@MikroTik] > ip firewall mangle print detail Flags: X -

1 chain=prerouting action=mark-connection new-connection-mark=download_rar

passthrough=yes protocol=tcp src-address=13.13.13.2 port=80 content=.rar
Kita juga perlu memperhatikan perintah passtrough, jika passtrough pada rule pertama (0) adalah no , maka
marking pada paket data tidak akan dilanjutkan pada rule selanjutnya. Jika passtrough=yes marking akan
dilanjutkan pada rule selanjutnya. Agar lebih jelas, kita akan coba melakukan download file berekstensi rar.
WWW.INTRA.ID 33
IDM membuat 8 Koneksi pada saat mendownload file diatas
Jika passtrough pada rule pertama adalah no
Jika passtrough pada rule pertama adalah yes
Bisa kita lihat perbandingan diatas, rule ke 2 akan “menangkap” 8 paket (melakukan connection mark) pada
saat client mendownload file rar jika parameter passtrough adalah yes. Berbeda jika pada rule pertama
perintah passtrough nya adalah no.
Jika kita lihat pada gambar diatas, kita melakukan test download menggunakan Internet Download Manager.
Jika kita mendownload menggunakan IDM ini, nantinya download manager tersebut akan membuat
beberapa koneksi seperti seperti gambar dibawah ini.
WWW.INTRA.ID 34
Jika salah satu koneksi tersebut telah selesai mendownload, maka IDM akan membuat koneksi baru, dan
pada Counter Packet connection mark juga akan bertambah sesuai dengan koneksi yang dibuat oleh
download manager
Packet Mark
Setelah kita membahas tentang Connection Mark, sekarang kita akan ke pembahasan selanjutnya, yaitu Packet
Mark. Packet Mark sendiri berfungsi untuk melakukan
marking pada paket data. Jika tadi Connection Mark hanya melakukan Marking pada paket yang pertama
keluar dari Router, maka Packet Mark berfungsi untuk menandai paket paket selanjutnya. Agar lebih jelas,
bisa lihat gambar dibawah ini :
Bisa kita lihat gambar diatas, Client melakukan Request HTTP kepada Web Server. Pada Request Client
tersebut, Client mengirimkan 3 paket data ( Traffic Upload). Paket pertama, ditandai atau di marking menggunakan
Connection Mark, lalu paket selanjutnya ditandai / di marking menggunakan Packet Mark. Lalu Web Server
meresponse dengan mengirim 3 paket data ( Traffic Download) pada client. Pada gambar diatas, kita akan
melakukan 3 konfigurasi Firewall Mangle, yaitu Connection Mark, Packet Mark untuk Traffic Upload dan Packet
Mark untuk Traffic Download.
Sekarang, kita akan mencoba melakukan konfigurasi Marking pada topologi dibawah ini
Bisa lihat gambar diatas, Router mempunyai 1 Client melalui Interface ether2 lalu Router terhubung dengan
internet melalui interface wlan1. Disini kita akan melakukan
Marking pada Traffic Upload dan Download yang dilakukan oleh Client.
WWW.INTRA.ID 35
Untuk langkah pertama, kita akan lakukan konfigurasi Connection Mark untuk komputer Client dengan IP
Network 13.13.13.0/24 yang terhubung melalui interface
ether2. Konfigurasinya adalah sebagai berikut :
[admin@MikroTik] > ip firewall mangle add chain=prerouting src-address=13.13.13.0/24 ininterface=ether2

action=mark-connection new-connection-mark=koneksi_client passthrough=yes
Setelah melakukan konfigurasi Connection Mark, sekarang kita lakukan konfigurasi
Packet Mark untuk Traffic Upload. Yang perlu diperhatikan pada konfigurasi ini adalah perintah text mark-connection
kita isi dengan menggunakan connection mark yang tadi kita buat, yaitu koneksi_client. Lalu pada bagian in-interface
kita isi dengan ether2
karena PC Client terhubung melalui interface ether2, jadi traffic upload akan masuk melalui interface tersebut.
Dan perintah passthrough kita isi dengan no agar packet mark tidak dilanjutkan kepada rule selanjutnya
[admin@MikroTik] > ip firewall mangle add chain=prerouting in-interface=ether2 connectionmark=koneksi_client

action=mark-packet new-packet-mark=upload_client passthrough=no
Setelah selesai konfigurasi Packet Mark untuk Traffic Upload, Sekarang kita lakukan konfigurasi Packet Mark
untuk Traffic Download. Untuk konfigurasi nya hampir sama dengan membuat rule Packet Mark untuk Traffic
Upload, hanya saja disini kita akan menggunakan in-interface wlan1 karena nantinya paket data download
akan masuk melalui interface wlan1.
[admin@MikroTik] > ip firewall mangle add chain=prerouting in-interface=wlan1 connectionmark=koneksi_client

action=mark-packet new-packet-mark=download_client passthrough=no [admin@MikroTik] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic

1 chain=prerouting action=mark-connection new-connection-mark=download_rar

passthrough=yes protocol=tcp src-address=13.13.13.2 port=80 content=.rar
2 chain=prerouting action=mark-connection new-connection-mark=koneksi_client

passthrough=yes src-address=13.13.13.0/24 in-interface=ether2
. 3 chain=prerouting action=mark-packet new-packet-mark=upload_client passthrough=no in-

interface=ether2 connection-mark=koneksi_client
4 chain=prerouting action=mark-packet new-packet-mark=download_client passthrough=no

in-interface=wlan1 connection-mark=koneksi_client
WWW.INTRA.ID 36
Konfigurasi Marking diatas sudah selesai. Sekarang, bagaimana cara untuk melakukan marking pada PC
Client 1 per 1? Agar lebih jelas, kita lihat gambar topologi dibawah ini
Untuk melakukan marking pada topologi diatas, kita hanya perlu melakukan konfigurasi marking 1 per 1
untuk client tersebut. Langsung saja kita mulai konfigurasi marking untuk client dengan IP 13.13.13.2
Jika melalui perintah text, maka perintahnya adalah sebagai berikut.
Konfigurasi Connection Mark Client 1
[admin@MikroTik] > ip firewall mangle add chain=prerouting src-address=13.13.13.2 ininterface=ether2

action=mark-connection new-connection-mark=koneksi_client1 passthrough=yes
Konfigurasi Packet Mark traffic upload Client 1
[admin@MikroTik] > ip firewall mangle add chain=prerouting in-interface=ether2 connectionmark=koneksi_client1

action=mark-packet new-packet-mark=upload_client1 passthrough=no
Konfigurasi Packet Mark Traffic Download Client 1
[admin@MikroTik] > ip firewall mangle add chain=prerouting in-interface=wlan1 connectionmark=koneksi_client1

action=mark-packet new-packet-mark=download_client1 passthrough=no
Setelah itu, Kita cek menggunakan perintah ip firewall mangle print detail
Sekarang kita akan mengkonfigurasi marking untuk client 2 (13.13.13.3) Konfigurasi Connection
Mark Client 2

action=mark-connection new-connection-mark=koneksi_client2 passthrough=yes
WWW.INTRA.ID 37
Konfigurasi Packet Mark Traffic Upload Client 2
[admin@MikroTik] > ip firewall mangle add chain=prerouting in-interface=ether2 connectionmark=koneksi_client2

action=mark-packet new-packet-mark=upload_client2 passthrough=no
Konfigurasi Packet Mark Traffic Download Client 2
[admin@MikroTik] > ip firewall mangle add chain=prerouting in-interface=wlan1 connectionmark=koneksi_client2

action=mark-packet new-packet-mark=download_client2 passthrough=no
Setelah itu, kita cek semua rule firewall mangle yang telah kita buat dengan menggunakan perintah ip
firewall mangle print detail
WWW.INTRA.ID 38
Quality of Service
Bandwidth Manajemen
Quality of Service ini adalah Kualitas dari Jaringan kita, Misalnya melakukan manajemen Bandwidth yang
merata pada setiap PC Client, Kecepatan yang akan didapat oleh Setiap Client, dan sebagainya yang
berhubungan dengan Kualitas Jaringan. Sebagai contoh dari Quality of Service Bandwidth Manajemen kita
bisa lihat gambar topologi dibawah ini
Pada Mikrotik sendiri, penerapan Bandwith manajemen bisa menggunakan fitur
Queue. Queue sendiri terbagi 2, yaitu Simple Queue & Queue Tree. Yang pertama saya bahas disini adalah Simple
Queue. Pada saat menerapkan Queue pada jaringan, akan ada 2 jenis Rate, yaitu MIR dan CIR.
• MIR (Maximum Information Rate) adalah Bandwidth Maksimal yang akan di dapatkan oleh Client
ketika jaringan sedang tidak sibuk (tidak digunakan User Lain)
• CIR (Committed Information Rate) adalah Bandwidth yang akan di dapatkan saat kondisi jaringan
(traffic) penuh / sibuk. Tetapi, tidak akan mendapatkan Bandwidth dibawah CIR.
WWW.INTRA.ID 39
Simple Queue
Melakukan manajemen bandwidth dengan Simple Queue adalah cara paling sederhana. Pada simple queue
kita bisa melimit Bandwidth berdasarkan IP Address Client. Baik itu bandwidth Download ataupun Upload. Untuk
pembahasan pertama, saya akan mencoba melakukan limit bandwidth seperti pada gambar topologi
dibawah ini
Bisa kita lihat gambar diatas, ISP memberikan Bandwidth terhadap Router MikroTik untuk Download dan
Upload sebesar 2M/2M. Bisa kita lihat juga pada gambar diatas Router MikroTik mempunyai 1 buah PC
Client yang terhubung melalui interface ether2
dengan IP Address 13.13.13.5. Disini kita akan melakukan konfigurasi limit bandwidth terhadap PC Client
tersebut, melimit bandwidth Download dan Upload nya menjadi maksimal 1Mbps. Loh, ngapain di limit jadi 1
mbps? Yang 1 mbps nya lagi mubazir dong nggak kepake? Sisa dari bandwidth yang diberikan ISP akan kita
buat menjadi bandwidth cadangan. Bisa terpakai pada Burst atau yang lain nya. Sekarang, kita langsung
saja menuju langkah konfigurasinya melalui perintah text :
[admin@MikroTik] > queue simple add name=client target=13.13.13.5 max-limit=1M/1M [admin@MikroTik] >
queue simple print Flags: X - disabled, I - invalid, D - dynamic
0 name="client" target-addresses=13.13.13.5/32 interface=all parent=none packet-marks="" direction=both
priority=8 queue=default-small/default-small limit-at=0/0 max-limit=1M/1M burst-limit=0/0 burst-threshold=0/0

burst-time=0s/0s total-queue=default-small
Konfigurasi diatas sudah selesai. Maka, sekarang user dengan IP 13.13.13.5 hanya akan dapat bandwidth
download/upload sebesar 1Mbps. Kita bisa menggunakan Speedtest atau tool Torch MikroTik untuk
melakukan pengujian.
WWW.INTRA.ID 40
Sekarang, kita akan mencoba melakukan pembagian Bandwidth pada 4 user client. Disini kita akan
memanfaatkan fitur parent dan child. Jadi, nantinya setiap child akan menginduk dan meminta jatah
bandwidth terhadap bandwidth parent.
Ketika jaringan penuh, semua pc client akan mendapatkan bandwidth CIR. Agar lebih jelas, lihat gambar
dibawah ini :
Ketika jaringan penuh :
Ketika jaringan sedang sepi, yang memakai jaringan hanya 1 PC Client, maka PC Client tersebut akan
mendapatkan bandwidth MIR.
Ketika jaringan hanya 1 yang memakai
Teknik ini biasa disebut juga dengan teknik Bandwidth type Hirarki.
Sekarang kita langsung saja ke langkah konfigurasi nya.
Sebelum itu, lebih baik kita hapus dulu rule yang sebelumnya dengan menggunakan perintah berikut :
[admin@MikroTik] > queue simple remove 0

[admin@MikroTik] > queue simple print Flags: X -
WWW.INTRA.ID 41
Pertama, kita akan membuat queue simple yang akan digunakan sebagai induk atau
parent terlebih dahulu. Kita akan membuat limit bandwidth maksimal (MIR) 1Mbps, baik download maupun
upload untuk semua PC Client. Perintah text (CLI) nya adalah sebagai berikut :
[admin@MikroTik] > queue simple add name=induk target-addresses=13.13.13.0/24 maxlimit=1M/1M
Sekarang, kita lakukan konfigurasi CIR dan MIR untuk 4 user client. Perintah text nya hampir sama seperti
sebelumnya, hanya saja disini kita menambahkan perintah
parent yang nantinya ajan diisi dengan nama queue parent yang kita buat sebelumnya. Perintah text nya
adalah sebagai berikut
[admin@MikroTik] > queue simple add name=Client1 target-addresses=13.13.13.2 maxlimit=1M/1M

limit-at=256k/256k parent=induk
bagian max-limit adalah MIR, limit-at adalah CIR. Sekarang, kita buat perintah konfigurasi untuk client yang
lain nya.

limit-at=256k/256k parent=induk [admin@MikroTik] > queue simple print Flags: X - disabled, I - invalid, D -
dynamic
0 name="induk" target-addresses=13.13.13.0/24 interface=all parent=none packet-marks=""

direction=both priority=8 queue=default-small/default-small limit-at=0/0 max-limit=1M/1M burst-limit=0/0
burst-threshold=0/0 burst-time=0s/0s total-queue=default-small
1 name="Client1" target-addresses=13.13.13.2/32 interface=all parent=induk packet-

marks="" direction=both priority=8 queue=default-small/default-small limit-at=256k/256k max-limit=1M/1M
burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s totalqueue=default-small


burst limit=0/0 burst-threshold=0/0 burst-time=0s/0s totalqueue=default-small
WWW.INTRA.ID 42
marks="" direction=both priority=8 queue=default-small/default-small limit-at=256k/256k max- limit=1M/1M
Jika sudah dikonfgurasi, maka, jika hanya 1 user yang menggunakan jaringan, nantinya user1 akan
mendapatkan bandwidth full 1Mbps. Ketika jaringan sibuk, 4 client tersebut menggunakan jaringan maka
semuanya akan mendapatkan kecepatan minimum (CIR).
Simple Queue dengan Burst

Masih berkaitan dengan Simple Queue, tetapi kita sekarang akan memakai Fitur Mikrotik yang bernama
Burst. Burst atau Bahasa indonesianya lonjakan, berfungsi memungkinkan Client mendapat Rate yang lebih
besar dari rate MIR (maksimal) selama waktu tertentu. Jadinya, client akan mendapatkan bandwidth yang
melebihi maksimum di awal awal. Di dalam menggunakan Burst, ada beberapa istilah, yaitu :
• Burst Limit adalah nilai Bandwidth / Kecepatan maksimal yang akan diterima oleh Client saat Burst
di jalankan. Nilai Burst limit ini harus lebih besar dari Max Limit Bandwidth (tanpa Burst) yang telah
ditentukan
• Burst Time adalah waktu untuk menghitung data rate, bukan lama nya waktu burst dijalankan
• Burst Threshold adalah nilai rata rata yang menentukan kapan Burst harus dijalankan dan kapan
harus Dihentikan. Harus diperhatikan, jadi jika aliran data rata-rata di bawah burst threshold, maka, burst
akan aktif dan bandwidth akan mengikuti Burst Limit. Setelah itu, router akan menghitung setiap detik Burst
Time terakhir dijalankan, jika aliran data rata rata melebihi atau sama seperti Burst Threshold, maka Burst
akan berhenti, dan bandwidth kembali mengikuti Max limit. Dibawah ini adalah rumus untuk menghitung
lama nya setiap User mendapatkan Burst
• Lama burst = (Burst Threshold / Burst Limit) * Burst Time Kita langsung
masuk ke langkah konfigurasi nya : Disini kita akan mencoba konfigurasi Sebagai
Berikut
• Max Limit = 1Mbits (Upload&Download)
• Burst-threshold = 512 kbps
• Burst Limit = 2Mbps
WWW.INTRA.ID 43
• Burst Time = 12s
Sekarang, kita akan coba hitung lamanya Burst akan dijalankan
• (512/2048) * 12 = 3 detik
Sudah dapat, sekarang kita langsung menuju langkah konfigurasi nya. Sebagai contoh, disini saya akan
menambahkan Burst limit sebesar 2M/2M terhadap PC Client router MikroTik yang memiliki IP Address
13.13.13.2. maka perintah text nya adalah sebagai berikut
[admin@MikroTik] > queue simple add name=user target-addresses=13.13.13.2 max-limit=1M/1M limit-at=256k/256k

burst-threshold=512k/512k burst-limit=2M/2M burst-time=12s/12s [admin@MikroTik] > queue simple print Flags: X -
0 name="user" target-addresses=13.13.13.2/32 interface=all parent=none packet-marks=""

direction=both priority=8 queue=default-small/default-small limit-at=256k/256k maxlimit=1M/1M
burst-limit=2M/2M burst-threshold=512k/512k burst-time=12s/12s totalqueue=default-small
Setelah itu coba kita test menggunakan Bandwidth Mikrotik test
Jika aliran data rata-rata dibawah Burst Threshold, Maka, selama 3 detik, client tersebut akan mendapatkan
Bandwidth maximal dari Burst, setelah itu akan kembali normal sesuai dengan Queue yang kita buat
Simple Queue dengan PCQ

Sekarang, kita lanjut ke pembahasan selanjutnya yaitu Simple Queue dengan PCQ.
Apa itu PCQ? PCQ adalah Per Connection Queue yang berfungsi membagi bandwidth secara merata
kepada client yang aktif dengan membuat beberapa Sub Stream. PCQ Sendiri biasanya digunakan pada
jaringan yang mempuyai Client sangat banyak, agar kita tidak perlu melakukan konfigurasi bandwidth 1 per 1
pada Client tersebut, meskipun Client nya bertambah atau pun berkurang Untuk Cara kerja dari PCQ simple
nya begini. Misalnya saya mempunyai 10 PC dengan Bandwidth 10Mbps. masing masing PC akan mendapat
jatah Bandwidth minimal 1Mbps, jadi kalau hanya 1 PC yang menggunakan Koneksi, PC tersebut
mendapatkan bandwidth 10mbps. Kalau 2 PC yang menggunakan koneksi, PCQ membuat 1 Sub Stream lagi
maka max bandwidth nya dibagi dua jadi masing masing PC mendapatkan 5mbps, dan seterusnya. di dalam
PCQ sendiri ada yang istilah pcqrate, yang befungsi untuk memberikan seberapa besar Bandwidth maksimal
yang
WWW.INTRA.ID 44
akan di berikan kepada suatu PC Client jika keadaan jaringan sedang tidak sibuk. Sebagai contoh, Misalnya
kita mengisi pcq-rate=0, maka, jika hanya 1 PC yang menggunakan jaringan, PC tersebut akan mendapatkan
Bandwidth maksimal sesuai dengan konfigurasi Queue yang kita buat (seperti contoh cara kerja PCQ diatas).
misalnya pcq-rate nya saya isi dengan 256k , maka akan seperti dibawah ini :
Meskipun hanya 2 user saja yang memakai Jaringan, kedua User tersebut hanya akan mendapatkan
bandwidth sebesar 256k. Berbeda jika kita menggunakan pcq-rate=0
yang akan membagi-bagi MIR sesuai dengan User yang memakai jaringan tersebut. Sekarang, kita
lanjutkan ke langkah Konfigurasinya.
WWW.INTRA.ID 45
Pertama-tama, kita akan membuat dulu PCQ nya. PCQ Upload =src-address ,PCQ Download =dst-address. Disini
kita akan membuat pcq dengan rate=0 Jika melalui perintah text (CLI) maka, perintahnya adalah sebagai
berikut :
[admin@MikroTik] > queue type add name="PCQ-Download" kind=pcq pcq-rate=0 pcqclassifier=dst-address
[admin@MikroTik] > queue type add name="PCQ-Upload" kind=pcq pcq-rate=0 pcqclassifier=dst-address
[admin@MikroTik] > queue type print Flags: * -

default
0 * name="default" kind=pfifo pfifo-limit=50
1 * name="ethernet-default" kind=pfifo pfifo-limit=50
2 * name="wireless-default" kind=sfq sfq-perturb=5 sfq-allot=1514
3 * name="synchronous-default" kind=red red-limit=60 red-min-threshold=10 red-max-

threshold=50 red-burst=20
red-avg-packet=1000
4 * name="hotspot-default" kind=sfq sfq-perturb=5 sfq-allot=1514
5 name="PCQ-Download" kind=pcq pcq-rate=0 pcq-limit=50 pcq-classifier=dst-address pcq

total-limit=2000
pcq-burst-rate=0 pcq-burst-threshold=0 pcq-burst-time=10s pcq-src-address-mask=32
pcq-dst-address-mask=32 pcq-src-address6-mask=128 pcq-dst-address6-mask=128
6 name="PCQ-Upload" kind=pcq pcq-rate=0 pcq-limit=50 pcq-classifier=dst-address pcq-total-

limit=2000
pcq-burst-rate=0 pcq-burst-threshold=0 pcq-burst-time=10s pcq-src-address-mask=32
pcq-dst-address-mask=32 pcq-src-address6-mask=128 pcq-dst-address6-mask=128
7 * name="only-hardware-queue" kind=none
8 * name="multi-queue-ethernet-default" kind=mq-pfifo mq-pfifo-limit=50
9 * name="default-small" kind=pfifo pfifo-limit=10
WWW.INTRA.ID 46
Bisa kita lihat gambar diatas, PCQ nya sudah berhasil dibuat. Sekarang, kita akan membuat rule simple
queue. Jika melalui perintah text adalah :
[admin@MikroTik] > queue simple add name=pcqtest target-addresses=13.13.13.0/24 maxlimit=1M/1M

queue=PCQ-Upload/PCQ-Download [admin@MikroTik] > queue simple print Flags: X - disabled, I - invalid, D -
dynamic
0 name="pcqtest" target-addresses=13.13.13.0/24 interface=all parent=none packet-marks=""

direction=both priority=8 queue=PCQ-Upload/PCQ-Download limit-at=0/0 maxlimit=1M/1M burst-limit=0/0
burst-threshold=0/0 burst-time=0s/0s total-queue=defaultsmall
Rule Simple Queue dengan PCQ diatas sudah berhasil dibuat, Sekarang untuk melakukan pengujian, coba
kita test menggunakan 1 PC (Client). Maka, PC tersebut akan mendapat kan bandwidth yang full (1Mbps).
Jika kita menggunakan 2 PC, maka bandwidth tersebut akan di bagi dua (512kbps)
Queue Tree
Sekarang, kita masuk ke materi Queue Tree. Bedanya Queue Tree dan Queue Simple yang kita bahas
sebelumnya, Queue Tree bersifat satu arah atau one way, jadi hanya bisa digunakan pada 1 jenis traffic. Jadi,
jika kita melakukan konfigurasi bandwidth download menggunakan Queue Tree, maka konfigurasi tersebut
tidak bisa digunakan oleh traffic upload. Jika kalian ingin menggunakan Queue Tree untuk melakukan
konfigurasi limit Bandwidth Upload dan Download, maka kalian harus membuat 2 konfigurasi Queue Tree
nya.
Dalam menggunakan Queue Tree, nantinya kita juga akan melibatkan Firewall Mangle. Karena Queue Tree
nantinya menggunakan Packet Mark. Hal ini yang membuat konfigurasi Queue Tree terlihat lebih rumit daripada
Simple Queue. Pemilihan Interface parent juga membuat Queue Tree menjadi lebih rumit. Sekarang, kita
akan melakukan Konfigurasi Dasar Queue Tree pada gambar topologi dibawah ini :
WWW.INTRA.ID 47
Bisa kita lihat gambar diatas, MikroTik mendapatkan Bandwidth maksimal dari ISP baik itu Download
maupun Upload sebesar 2Mbps. Kita juga bisa lihat pada gambar diatas, Router MikroTik memiliki 1 PC
Client yang memiliki IP Address 13.13.13.2 dan terhubung melalui Interface ether2. Kita akan melakukan limit
Bandwidth terhadap PC tersebut, maks download 1M dan maks upload 1M menggunakan Queue Tree.
Sekarang, kita langsung saja menuju langkah konfigurasi nya
Pertama, kita akan lakukan konfigurasi Firewall Mangle nya terlebih dahulu. Prinsip
top-to-bottom masih berlaku dalam Firewall Mangle, jadi, Kita akan melakukan konfigurasi Connection Mark nya
terlebih dahulu setelah itu Mark Packet nya. Perintah text nya adalah sebagai berikut :

action=mark-connection new-connection-mark=koneksi_client passthrough=yes [admin@MikroTik] > ip firewall mangle
add chain=prerouting connection-mark=koneksi_client action=mark-packet new-packet-mark=paket_client
passthrough=no [admin@MikroTik] > ip firewall mangle print Flags: X - disabled, I - invalid, D - dynamic

passthrough=yes src-address=13.13.13.2 in-interface=ether2
1 chain=prerouting action=mark-packet new-packet-mark=paket_client passthrough=no

connection-mark=koneksi_client
Konfigurasi Firewall Mangle telah selesai, sekarang kita lakukan konfigurasi Queue Tree nya. Yang pertama,
kita akan lakukan konfigurasi untuk bandwidth Upload sete
Setelah itu, kita lakukan konfigurasi untuk bandwidth download. Perintah text nya adalah sebagai berikut :
[admin@MikroTik] > queue tree add name=upload parent=wlan1 packet-mark=paket_client max-limit=1M
[admin@MikroTik] > queue tree add name=download parent=ether2 packet-mark=paket_client max-limit=1M
[admin@MikroTik] > queue tree print Flags: X -

0 name="upload" parent=wlan1 packet-mark=paket_client limit-at=0 queue=default
priority=8 max-limit=1M burst-limit=0 burst-threshold=0 burst-time=0s
1 name="download" parent=ether2 packet-mark=paket_client limit-at=0 queue=default

priority=8 max-limit=1M burst-limit=0 burst-threshold=0 burst-time=0s
WWW.INTRA.ID 48
Keterangan
• parent=wlan1, pada perintah text ini, kita isi dengan interface router yang digunakan untuk
terhubung dengan internet / ISP
• packet-mark, pada bagian ini, kita isi dengan nama konfigurasi packet mark
yang kita buat sebelumnya
Sekarang, untuk melakukan pengujian kita gunakan Speedtest atau dapat menggunakan tool Torch bawaan
MikroTik.
Konfigurasi Queue Tree diatas telah selesai. Sekarang, kita akan lakukan konfigurasi Queue Tree tipe Hirarki
pada topologi dibawah ini
Bisa kita lihat gambar topologi diatas, terdapat 2 PC Client pada Router MikroTik yang terhubung melalui
interface ether2. Yang pertama kita konfigurasikan adalah Marking atau Firewall Mangle nya terlebih dahulu.
Untuk langkahnya sendiri sama seperti sebelumnya, hanya saja disini kita tambahkan lagi untuk Client 2.
Agar lebih jelasnya bisa lihat konfigurasi dibawah ini :

action=mark-connection new-connection-mark=koneksi_client passthrough=yes
[admin@MikroTik] > ip firewall mangle add chain=prerouting connection-mark=koneksi_client2 action=mark-packet

new-packet-mark=paket_client2 passthrough=no [admin@MikroTik] > ip firewall mangle print Flags: X - disabled, I -
invalid, D - dynamic

1 chain=prerouting action=mark-packet new-packet-mark=paket_client passthrough=no

connection-mark=koneksi_client

3 chain=prerouting action=mark-packet new-packet-mark=paket_client2 passthrough=no

connection-mark=koneksi_client2
WWW.INTRA.ID 49
Konfigurasi Firewall Mangle sudah selesai, sekarang Kita akan melakukan konfigurasi Queue Tree tipe
Hirarki, berarti yang pertama kita lakukan adalah membuat Rule Queue Parent nya terlebih dahulu, baik itu
untuk bandwidth download dan upload.
Sebaiknya, kita hapus dulu rule queue tree yang sebelumnya kita buat menggunakan perintah text
[admin@MikroTik] > queue tree remove 0,1

[admin@MikroTik] > queue tree print Flags: X -
Kita langsung saja menuju langkah konfigurasi nya melalui perintah text adalah sebagai berikut :
Untuk Download, ingat pada parent kita pilih interface ether2, penghubung antara PC Client dan Router
MikroTik. Untuk Upload, parent kita isi dengan interface penghubung antara Router MikroTik dengan jaringan
internet atau ISP, yaitu wlan1
[admin@MikroTik] > queue tree add name=induk_download parent=ether2 max-limit=1M [admin@MikroTik] >
queue tree add name=induk_upload parent=wlan1 max-limit=1M [admin@MikroTik] > queue tree print Flags: X -
0 name="induk_download" parent=ether2 packet-mark="" limit-at=0 queue=default priority=8

max-limit=1M burst-limit=0 burst-threshold=0 burst-time=0s
1 name="induk_upload" parent=wlan1 packet-mark="" limit-at=0 queue=default priority=8

max-limit=1M burst-limit=0 burst-threshold=0 burst-time=0s
Setelah kita lakukan konfigurasi parent nya, sekarang kita lakukan konfigurasi queue
child nya untuk masing masing client. Pertama, kita buat queue child download nya. Perintah text nya adalah
sebagai berikut
[admin@MikroTik] > queue tree add name=download_client1 parent=induk_download packetmark=paket_client

limit-at=512k max-limit=1M
[admin@MikroTik] > queue tree add name=download_client2 parent=induk_download packetmark=paket_client2
WWW.INTRA.ID 50
Sekarang, kita lakukan konfigurasi untuk queue child upload nya. Perintah text nya adalah sebagai berikut
[admin@MikroTik] > queue tree add name=upload_client1 parent=induk_upload packetmark=paket_client

[admin@MikroTik] > queue tree add name=upload_client2 parent=induk_upload packetmark=paket_client2
limit-at=512k max-limit=1M [admin@MikroTik] > queue tree print Flags: X - disabled, I - invalid
0 name="induk_download" parent=ether2 packet-mark="" limit-at=0 priority=8 max

limit=1M burst-limit=0 burst-threshold=0 burst-time=0s
1 name="induk_upload" parent=ether1 packet-mark="" limit-at=0 priority=8 max-limit=1M

burst-limit=0 burst-threshold=0 burst-time=0s
2 name="download_client1" parent=induk_download packet-mark=paket_client limit-at=512k

queue=default priority=8 max-limit=1M burst-limit=0 burst-threshold=0 burst-time=0s
3 name="download_client2" parent=induk_download packet-mark=paket_client2 limit-at=512k

4 name="upload_client1" parent=induk_upload packet-mark=paket_client limit-at=512k

5 name="upload_client2" parent=induk_upload packet-mark=paket_client2 limit-at=512k

Konfigurasi Queue Tree tipe Hirarki diatas sudah selesai. Sekarang, untuk melakukan pengujian bisa
gunakan Speedtest atau tool Torch MikroTik. Jadi, jika hanya 1 PC yang menggunakan koneksi internet,
maka PC tersebut mendapatkan Bandwidth Full, yaitu 1Mbps. Tetapi, jika kedua PC tersebut menggunakan
koneksi internet, maka akan dibagi 2 bandwidth nya, menjadi 512kbps.
WWW.INTRA.ID 51
BRIDGING
Bridging adalah suatu teknik untuk menggabungkan beberapa interface router menjadi satu segmen
Jaringan. Jika menerapkan teknik bridging ini, nantinya cara kerja router bisa diibaratkan seperti switch. agar
lebih jelas, bisa lihat gambar topologi teknik bridging dibawah ini :
Bisa kita lihat gambar diatas, jika kita menerapkan teknik Bridging, maka semuanya terhubung hanya dengan
1 Network. Jika kita tidak menerapkan teknik bridging ini, seharusnya topologi diatas akan mempunyai 3
network yang berbeda. Hal itu disebabkan karena router melakukan teknik bridging pada interface ether1 dan
ether2.
Jadi, interface ether1 dan ether2 akan memiliki Network yang sama. dan Router akan bekerja seperti switch.
Kita akan lakukan konfigurasi dasar bridging sesuai dengan topologi dibawah ini :
Setelah semuanya terhubung, kita akan membuat interface bridge pada Router MikroTik 1. Untuk
langkah konfigurasi nya adalah sebagai berikut :
[admin@MikroTik1] > interface bridge add name=jembatan1

[admin@MikroTik1] > interface bridge print Flags: X - disabled, R - running
0 R name="jembatan1" mtu=1500 l2mtu=65535 arp=enabled mac-address=00:00:00:00:00:00

protocol-mode=none priority=0x8000 auto-mac=yes admin-mac=00:00:00:00:00:00 maxmessage-age=20s
forward-delay=15s transmit-hold-count=6 ageing-time=5m
WWW.INTRA.ID 52
Setelah interface bridge nya selesai dibuat, sekarang kita masukkan interface ether1
dan ether2 kedalam interface bridge jembatan1. Perintah nya adalah
[admin@MikroTik1] > interface bridge port add interface=ether1 bridge=jembatan1 [admin@MikroTik1] >
interface bridge port add interface=ether2 bridge=jembatan1 [admin@MikroTik1] > interface bridge port
print Flags: X - disabled, I - inactive, D - dynamic
# INTERFACE BRIDGE PRIORITY PATH-COST HORIZON

0 ether1 jembatan1 0x80 10 none
Setelah kita membuat konfigurasi interface bridge pada router MikroTik 1, sekarang kita lakukan
konfigurasi yang sama pada router MikroTik 2
[admin@MikroTik2] > interface bridge port add interface=ether1 bridge=jembatan1 [admin@MikroTik2] >
interface bridge port add interface=ether2 bridge=jembatan1 [admin@MikroTik2] > interface bridge port
print Flags: X - disabled, I - inactive, D - dynamic

Setelah semua konfigurasi bridge sudah dibuat, sekarang kita tambahkan IP Address untuk port Ethernet nya.
Sebenarnya, kita bisa saja tidak menambahkan IP Address pada interface Ethernet, karena sekarang router
kita bekerja layaknya switch, dan kita tidak perlu melakukan konfigurasi IP Address pada switch. Tetapi, agar
sesuai dengan topologi yang kita buat tadi, sebaiknya kita tambahkan juga IP Address pada port
Ethernet dan juga PC Client.
Sekarang, kita tambahkan IP Address untuk port Ethernet router 1&2, setelah itu pada PC client router
1 & 2. Router 1
[admin@MikroTik1] > ip address add address=14.14.14.1/24 interface=ether2 [admin@MikroTik1]

> ip address print Flags: X - disabled, I - invalid, D - dynamic
0 14.14.14.1/24 14.14.14.0 ether2
WWW.INTRA.ID 53
Router 2
[admin@MikroTik2] > ip address add address=14.14.14.2/24 interface=ether2 [admin@MikroTik2]

> ip address print Flags: X - disabled, I - invalid, D - dynamic
0 14.14.14.2/24 14.14.14.0 ether2
Setelah kita tambahkan IP Address, sekarang untuk melakukan pengujian, kita lakukan ping dari PC
Client 1 menuju Router 2 dan sebaliknya.
WWW.INTRA.ID 54
Bisa kita lihat gambar diatas, baik PC Client maupun Router melakukan Reply atau merespon ping yang
dilakukan, yang berarti konfigurasi diatas telah berhasil
Ethernet Over IP (EoIP)

EoIP atau Ethernet over IP adalah salah satu fitur MikroTik yang memungkinkan menggunakan teknik bridging
pada router yang terpisah jauh / berbeda jaringan internet. Sebagai contoh, disini kita akan melakukan teknik bridge
pada router yang berbeda ISP nya. Agar lebih Jelas, bisa dilihat gambar topologi dibawah ini :
Bisa kita lihat gambar topologi diatas, kedua router tersebut menggunakan 2 ISP yang berbeda. Jadi, EoIP ini
nantinya akan membuat Tunnel / Terowongan yang melewati jaringan internet untuk menghubungkan kedua
router yang mempunyai jaringan internet berbeda. Sebelum kita melakukan konfigurasi EoIP, pastikan router
1 dan 2 telah diberi IP Address, DNS, Gateway, NAT, dan sudah terhubung jaringan internet dengan baik.
Setelah kedua Router tersebut terkoneksi dengan jaringan internet, sekarang kita akan membuat interface EoIP
nya pada Router 1. Untuk langkah konfigurasi nya seperti dibawah ini
WWW.INTRA.ID 55
[admin@MikroTik1] > interface eoip add name="router1-ke-router2"
remoteaddress=192.168.100.7 tunnel-id=1 [admin@MikroTik1] > interface eoip
[admin@MikroTik1] > interface eoip print Flags: X - disabled, R - running
0 R name="router1-ke-router2" mtu=1500 l2mtu=65535 mac-address=FE:D1:B2:A8:97:98 arp=enabled
local-address=0.0.0.0 remote-address=192.168.100.7 tunnel-id=1
Keterangan :
• Remote-Address = IP address dari Router lawan yang menyambung dengan internet (IP Address ether1
atau wlan1)
• Tunnel-ID = Nomor (ID) tunnel yang kita akan buat. Router 1 dan Router 2 harus memiliki Tunnel ID
yang sama nantinya. Jika sudah membuat interface EoIP nya, sekarang kita akan membuat interface
bridge untuk router1. Untuk langkah konfigurasi nya adalah sebagai berikut Jika melalui perintah
text (CLI)


Setelah membuat interface bridge, sekarang kita akan masukkan interface EoIP yang telah kita buat dan
interface ether2 kedalam interface bridge. Perintah text nya adalah sebagai berikut :
[admin@MikroTik1] > interface bridge port add interface=router1-ke-router2 bridge=jembatan1 [admin@MikroTik1] >
interface bridge port add interface=ether2 bridge=jembatan1 [admin@MikroTik1] > interface bridge port print Flags: X -
disabled, I - inactive, D - dynamic

1 router1-ke-router2 jembatan1 0x80 10 none
Setelah konfigurasi diatas, kita lakukan konfigurasi IP Address pada PC Client. IP Address harus 1
network
WWW.INTRA.ID 56
Setelah kita melakukan konfigurasi Interface EoIP dan Bridge pada router1 , sekarang kita akan melakukan
konfigurasi yang sama pada Router2. Langkahnya sama seperti sebelumnya. Hanya saja, di bagian Remote-Address
kita masukkan IP address dari Router1. Untuk lebih jelasnya, lihat konfigurasi dibawah ini.
[admin@MikroTik2] > interface eoip add name="router2-ke-router1"

remoteaddress=192.168.100.2 tunnel-id=1 [admin@MikroTik2] > interface eoip print Flags: X -
disabled, R - running
0 R name="router2-ke-router1" mtu=1500 l2mtu=65535 mac-address=FE:97:00:5E:0F:73

arp=enabled local-address=0.0.0.0 remote-address=192.168.100.2 tunnel-id=1
Sekarang kita akan membuat interface bridge untuk router2. Langkah konfigurasi nya sama seperti
router1.


Setelah membuat interface bridge, sekarang kita akan memasukkan interface EoIP
dan ether2 kedalam interface bridge. Perintah nya adalah sebagai berikut :
WWW.INTRA.ID 57
[admin@MikroTik2] > interface bridge port add interface=router2-ke-router1 bridge=jembatan1 [admin@MikroTik2] >
interface bridge port add interface=ether2 bridge=jembatan1 [admin@MikroTik2] > interface bridge port print Flags: X -
disabled, I - inactive, D - dynamic

0 router2-ke-router1 jembatan1 0x80 10 none
Setelah itu, lakukan konfigurasi IP Address pada PC Client router 2.
Untuk melakukan test, kita coba lakukan ping antar PC Client atau PC Client menuju Router. Maka hasilnya
akan reply.
WWW.INTRA.ID 58
Tunneling
Tunneling adalah teknik menghubungkan Jaringan local dengan jaringan public (internet) agar bisa saling
terhubung / berkomunikasi melalui sebuah “terowongan” atau tunnel.
PPPoE SERVER
PPPoE atau Point to Point Protocol over Ethernet adalah pengembangan dari PPP (Point to Point Protocol). PPP
sendiri adalah Protocol Point to Point yang digunakan untuk menghubungkan langsung antara perangkat
satu dengan perangkat lain nya. PPP diterapkan pada serial Modem, agar modem tersebut terhubung
langsung atau
face-to-face dengan ISP. Sebagai contoh dari Point to Point, kita bisa lihat gambar topologi sederhana pada
gambar dibawah ini.
Bisa kita lihat gambar diatas, PC Client dan Router terhubung melalui sebuah switch. Tetapi, dengan teknik Point
to Point ini, nantinya PC Client seolah olah terhubung langsung dengan Router, atau istilahnya face-to-face dengan
router. Jika kita menerapkan Point to Point antar Client dan Router, maka nantinya setiap Client yang
terhubung dengan Router harus memiliki Autentikasi terlebih dahulu. Jadi, jika Client ingin saling
berkomunikasi antar Client lain nya, harus melalui Router terlebih dahulu karena Client langsung
berhubungan dengan Router. Bedanya PPP dan PPPoE sendiri ada di bagian penggunaan atau penerapan
nya. Pada PPP digunakan pada jaringan yang menggunakan serial modem, Jika PPPoE
digunakan pada jaringan Ethernet.
WWW.INTRA.ID 59
Kita akan melakukan konfigurasi PPPoE seperti gambar diatas, dimana router MikroTik akan menjadi PPPoE
server, terhubung dengan koneksi internet melalui
Access Point (wlan1), dan terkoneksi dengan PC Client melalui interface ether2. Untuk langkah konfigurasi
nya, bisa lihat seperti dibawah ini Pertama, kita akan membuat dulu IP Pool untuk remote-address atau IP
yang akan diberikan kepada Client nantinya. Untuk membuat IP Pool, perintah text (CLI) nya adalah sebagai
berikut :
Sebagai contoh, disini saya akan membuat IP Pool dengan nama ppoe dan hanya mempunyai 5 range
address, dimulai dari 13.13.13.5-13.13.13.10
[admin@MikroTik] > ip pool add name=ppoe range=13.13.13.5-13.13.13.10 [admin@MikroTik]

> ip pool print
# NAME RANGES
0 ppoe 13.13.13.5-13.13.13.10
Setelah kita membuat IP Pool, sekarang kita akan menambahkan profile PPP.
Langkah konfigurasi nya adalah sebagai berikut :
[admin@MikroTik] > ppp profile add name=ppoe local-address=13.13.13.1 remote-address=ppoe [admin@MikroTik] >
ppp profile print Flags: * - default
0 * name="default" remote-ipv6-prefix-pool=none use-ipv6=yes use-mpls=default use-

compression=default use-vj-compression=default use-encryption=default only-one=default change-tcp-mss=yes
1 name="ppoe" local-address=13.13.13.1 remote-address=ppoe remote-ipv6-prefix-pool=none

use-ipv6=yes use-mpls=default use-compression=default use-vj-compression=default useencryption=default
only-one=default change-tcp-mss=default
Keterangan :
2 * name="default-encryption" remote-ipv6-prefix-pool=none use-ipv6=yes use-mpls=default
use-compression=default use-vj-compression=default use-encryption=yes only-one=default change-tcp-mss=yes
Local-address = IP Address dari interface ether2 ( interface PPPoE server)
Remote-Address = IP address yang akan diberikan kepada client. Kita masukkan dengan IP Pool yang
sudah kita buat sebelumnya.
WWW.INTRA.ID 60
Setelah mengatur PPP Profile, sekarang kita akan membuat PPP Secret. PPP Secret
ini adalah username dan password yang nantinya akan digunakn oleh PPPoE Client.
Untuk membuat PPP secret, perintah text nya adalah sebagai berikut
[admin@MikroTik] > ppp secret add name=andri password=andri123 service=pppoe profile=ppoe [admin@MikroTik] > ppp
secret print Flags: X - disabled
# NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-ADDRESS
0 andri pppoe andri123 ppoe
Pada bagian service kita isi dengan pppoe, karena ppp secret tersebut nantinya hanya akan digunakan untuk service
pppoe. Agar ppp secret tersebut bisa digunakan untuk semua service, bisa kita isi dengan perintah any.
Setelah membuat PPP Secret, sekarang kita akan menambahkan PPPoE Server nya.
[admin@MikroTik] > interface pppoe-server server add service-name=ppoe interface=ether2

one-session-per-host=yes default-profile=ppoe disabled=no [admin@MikroTik] > interface pppoe-server server print
Flags: X - disabled
0 service-name="ppoe" interface=ether2 max-mtu=1480 max-mru=1480 mrru=disabled

authentication=pap,chap,mschap1,mschap2 keepalive-timeout=10 one-session-per host=yes
max-sessions=0 default-profile=ppoe
pada bagian interface kita isi dengan ether2, karena PPPoE Client terhubung melalui interface ether2
Konfigurasi pada PPPoE Server telah selesai. Sekarag, kita akan lakukan konfigurasi atau pengujian pada PPPoE
Client yang mempunyai OS Windows Langkah Pengujian PPPoE pada Client yang mempunyai OS Windows
adalah sebagai berikut
1. Buka Network Sharing and Center lalu klik Set up a new Connection or
Network
WWW.INTRA.ID 61
2. Setelah itu, kita pilih Connect to the Internet, lalu pilih Broadband
(PPPoE)
3. Setelah itu, akan ada form Username dan Password. Isi Username dan
Password dengan akun PPP Secret yang telah kita buat sebelumnya. Jika sudah, klik Connect
4. Setelah selesai, akan ada Broadband Connection pada Network sharing
and Center. Itu berarti, konfigurasi PPPoE Server kita telah berhasil
Untuk melakukan monitoring pada Client yang terhubung dengan PPPoE server,
bisa menggunakan perintah berikut :
[admin@MikroTik] > ppp active print Flags: R -

radius
# NAME SERVICE CALLER-ID ADDRESS UPTIME ENCODING
0 andri pppoe 08:62:66:B5:F8:55 13.13.13.5 2m54s
WWW.INTRA.ID 62
PPPoE Client
Setelah tadi kita menjelaskan tentang cara membuat router MikroTik menjadi PPPoE server bagi PC Client,
sekarang kita akan membahas bagaimana cara membuat router MikroTik berperan menjadi PPPoE client. Agar
lebih jelas, coba kita lihat gambar topologi dibawah ini
Bisa kita lihat gambar diatas, yang berperan menjadi PPPoE server adalah Router Utama. Sesuai dengan
gambar topologi diatas, kita akan menggunakan media Kabel sebagai penghubung antara PPPoE server dan
PPPoE client. Hal yang pertama kita lakukan adalah melakukan konfigurasi pada Router Utama atau PPPoE
Server.
Untuk melakukan konfigurasi Router Utama sebagai PPPoE Server, pertama, kita akan membuat PPP Secret
terlebih dahulu yang nantinya akan digunakan oleh router 1 atau PPPoE Client. Sebagai contoh, disini kita
akan membuat PPP Secret dengan Username router1, remote-address gunakan IP address dari ether3 Router
1, yaitu
12.12.12.2 dan local-address menggunakan IP ether3 dari Router utama, yaitu
12.12.12.1. Maka perintah text (CLI) nya adalah sebagai berikut :
[admin@RUtama] > ppp secret add name=client password=router1 service=pppoe localaddress=12.12.12.1

remote-address=12.12.12.2 [admin@MikroTik] > ppp secret print Flags: X - disabled
# NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-ADDRESS
0 client pppoe router1 default 12.12.12.2
Setelah kita melakukan konfigurasi PPP Secret untuk Router1, sekarang kita lakukan konfigurasi PPPoE
server pada Router Utama. Untuk melakukan konfigurasi PPPoE Server, langkah konfigurasinya sama seperti
pada pembahasan sebelumnya. Disini saya akan melakukan konfigurasi PPPoE Server dengan nama server dan
interface nya adalah ether3, karena Router Utama dan Router 1 terhubung melalui Interface
ether3. Maka perintah text (CLI) nya adalah sebagai berikut
WWW.INTRA.ID 63
[admin@RUtama] > interface pppoe-server server add service-name=server interface=ether3
one-session-per-host=yes disabled=no
[admin@RUtama] > interface pppoe-server server print Flags: X -
disabled
0 service-name="server" interface=ether3 max-mtu=1480 max-mru=1480 mrru=disabled
authentication=pap,chap,mschap1,mschap2 keepalive-timeout=10 one-session-per host=yes max-sessions=0
default-profile=default
Setelah kita melakukan konfigurasi PPPoE Server pada Router Utama, sekarang kita akan lakukan
konfigurasi PPPoE Client pada Router 1. Untuk melakukan konfigurasi
PPPoE Client pada Router 2 bisa dilakukan dengan cara dibawah ini : Untuk melakukan konfigurasi PPPoE
Client pada Router 1, nantinya kita akan menggunakan PPP Secret client yang kita telah buat pada Router
Utama sebelumnya. Untuk langkah konfigurasi menggunakan perintah text (CLI) perintahnya adalah sebagai
berikut :
[admin@MikroTik1] > interface pppoe-client add service-name=server user=client password=router1

interface=ether3 add-default-route=yes use-peer-dns=yes disabled=no [admin@MikroTik1] > interface
pppoe-client print Flags: X - disabled, R - running
0 R name="pppoe-out1" max-mtu=1480 max-mru=1480 mrru=disabled interface=ether3

user="client" password="router1" profile=default service-name="server" ac-name="" adddefault-route=yes
dial-on-demand=no use-peer-dns=yes allow=pap,chap,mschap1,mschap2
Keterangan :
• service-name pada Router 1 harus sama dengan service-name pada Router Utama, yaitu server
• perintah add-default-route berfungsi untuk menambahkan gateway default bagi router1
Bisa kita lihat gambar diatas, dibagian sebelah kiri pada daftar PPPoE Client, akan ada symbol R yang berarti
Running ( berjalan) yang artinya PPPoE Client dan PPPoE Server telah terhubung
Setelah kita melakukan konfigurasi diatas, berarti koneksi PPPoE client dan PPPoE server MikroTik telah
berhasil dilakukan. Setelah itu, kita lakukan pengecekan IP Address pada Router 1, dengan menggunakan
perintah :
WWW.INTRA.ID 64
[admin@MikroTik1] > ip address print Flags: X -
0 14.14.14.1/24 14.14.14.0 ether2

1 12.12.12.2/24 12.12.12.0 ether3
2 D 12.12.12.2/32 12.12.12.1 pppoe-out1
Bisa kita lihat gambar diatas, Router 1 mendapatkan IP Address dari PPPoE Server
atau Router Utama dan memiliki symbol D yang berarti Dynamic
Sekarang, kita cek apakah Router 1 telah mendapatkan gateway default dari Router Utama menggunakan
perintah :
[admin@MikroTik1] > ip route print

0 ADS 0.0.0.0/0 12.12.12.1 1

1 ADC 12.12.12.0/24 12.12.12.2 ether3 0
2 ADC 12.12.12.1/32 12.12.12.2 pppoe-out1 0
3 ADC 14.14.14.0.0/24 14.14.14.1 ether1 0
Bisa kita lihat gambar diatas, router1 juga telah mendapatkan default gateway dari Router Utama.
Jika kita lihat lagi gambar topologi diatas, pada Router 1 terhubung dengan PC Client melalui interface ether2.
Agar PC client tersebut bisa terhubung dengan jaringan internet melalui Router Utama, kita bisa
menggunakan Firewall NAT Masquerade,
menggunakan teknik Static Routing, atau menambahkan DHCP Server interface
ether2. Jika menggunakan masquerade, kita hanya tinggal membuat rule firewall nat masquerade dengan out-interface
pppoe-out1. Perintah text (CLI) nya adalah sebagai berikut :

[admin@MikroTik1] > ip firewall nat add chain=srcnat out-interface=pppoe action=masquerade [admin@MikroTik1] > ip
firewall nat print Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=pppoe-out1
WWW.INTRA.ID 65
Selain menggunakan teknik masquerade kita juga bisa menggunakan teknik routing static pada Router
Utama. Jika menggunakan teknik routing static, kita akan menggunakan IP interface ether3 pada Router 1
menjadi gateway >dan

[admin@RUtama] IP network
ip route interface ether2 dari gateway=12.12.12.2
add dst-address=14.14.14.0/24 dst-address. Untuk
Router 1 sebagai [admin@RUtama] > perintah text
ip route print
(CLI) nya adalah sebagai berikut (konfigurasikan pada router utama)
0 ADS 0.0.0.0/0 192.168.100.1 0

1 ADC 12.12.12.0/24 12.12.12.2 ether3 0
2 ADC 12.12.12.2/32 12.12.12.1 <pppoe-client> 0
3 A S 14.14.14.0/24 12.12.12.2 1
4 ADC 192.168.100.0/24 192.168.100.14 wlan1 0
Jika kedua cara itu tidak ampuh dan PC Client masih tidak bisa terkoneksi dengan jaringan internet, kita bisa
menambahkan DHCP Server pada Router 1. Untuk langkah konfigurasinya sendiri sama seperti yang
dibahas di bab DHCP. Disini kita akan menggunakan interface ether2. Perintah text (CLI) untuk DHCP server adalah
sebagai berikut :
[admin@MikroTik] > ip dhcp-server setup Select

interface to run DHCP server on
dhcp server interface: ether2 Select network

for DHCP addresses
dhcp address space: 14.14.14.0/24 Select

gateway for given network
gateway for dhcp network: 14.14.14.1

If this is remote network, enter address of DHCP relay
There is no such IP network on selected interface dhcp relay:

14.14.14.1
Select pool of ip addresses given out by DHCP server
addresses to give out: 14.14.14.2-14.14.14.10 Select DNS

servers
dns servers: 12.12.12.1,192.168.100.1 Select

lease time
lease time: 10m
WWW.INTRA.ID 66
Setelah itu, kita lakukan konfigurasi IP Address dari PC Client menjadi Dynamic. Lalu kita lihat detail dari
koneksi ethernet, maka PC Client akan mendapatkan IP Address automatis dari router 1
Konfigurasi diatas sudah selesai, maka seharusnya PC Client sudah dapat terkoneksi dengan jaringan
Internet.
PPTP Server
Dalam menggunakan protocol PPTP ini nantinya akan membentuk suatu VPN ( Virtual Private Network). VPN
sendiri adalah teknik menggabungkan beberapa jaringan local melalui jaringan internet (public)
menggunakan teknik tunneling.
Disini kita akan mencoba konfigurasi PPTP dengan topologi sepeti dibawah ini
Bisa kita lihat topologi diatas, router MikroTik bertindak sebagai VPN Server, lalu ada satu Laptop yang
bertindak sebagai VPN Client.
WWW.INTRA.ID 67
Pada topologi diatas, router MikroTik terhubung dengan 1 PC Client melalui jaringan local ( ether2 dengan IP
network 13.13.13.0/24) PC tersebut memiliki IP Address
13.13.13.2, dan ada sebuah Laptop ( remote host) yang terhubung melalui jaringan Internet dan memiliki IP
Address 192.168.100.7.
Nantinya, Laptop atau PC remote host ini ketika terhubung dengan VPN/PPTP server,
akan memiliki IP address yang satu network dengan PC Client yang terhubung melalui jaringan local
(13.13.13.0/24). Jadi, PC Remote host ini akan mempunyai 2 IP, yaitu
IP Public dan IP Private.
IP Public digunakan untuk terhubung dengan jaringan Internet, sedangkan IP private,
nantinya akan digunakan untuk berkomunikasi dengan PC Client jaringan local (13.13.13.0/24). Jadi, Laptop
atau PC remote host akan tergabung dalam jaringan local 13.13.13.0/24 secara Virtual. Jadi itulah VPN.
Untuk konfigurasi awal, kita akan membuat PPP Secret untuk Laptop atau PC remote host terlebih dahulu.
Untuk langkah konfigurasinya sendiri sama seperti pada pembahasan sebelumnya, tetapi di bagian service kita
isi dengan pptp, karena akun atau PPP Secret ini akan digunakan untuk PPTP bukan PPPoE. Perintah text
nya adalah sebagai berikut :
[admin@RUtama] > ppp secret add name=andri password=asdqwe local-address=13.13.13.1

remote-address=13.13.13.3 service=pptp
Setelah itu, kita akan melakukan konfigurasi PPTP server pada router MikroTik. Jika melalui Perintah text
(CLI) perintahnya adalah
[admin@RUtama] > interface pptp-server server set enabled=yes

[admin@RUtama] > interface pptp-server server print
enabled: yes
max-mtu: 1460
max-mru: 1460
mrru: disabled authentication:
mschap1,mschap2 keepalive-timeout: 30
default-profile: default-encryption
WWW.INTRA.ID 68
Agar Laptop atau PC remote host dapat melakukan ping kepada PC client local, maka kita harus melakukan
konfigurasi ARP terlebih dahulu pada interface ether2. Perintah text (CLI) nya adalah sebagai berikut
[admin@RUtama] > interface ethernet set ether2 arp=proxy-arp

[admin@RUtama] > interface ethernet print Flags: X - disabled, R - running, S -
slave
# NAME MTU MAC-ADDRESS ARP
0 R ether1 1500 00:04:96:BC:9F:00 enabled

1 R ether2 1500 00:04:96:BC:9F:01 proxy-arp
Konfigurasi pada Router atau PPTP Server sudah selesai. Sekarang, kita akan melakukan pengujian
pada PPTP Client yang menggunakan OS Windows Langkah konfigurasi PPTP Client ( OS Windows)
1. Pertama, kita buka Network Sharing and Center di Control Panel
2. Setelah itu klik Setup a new connection or network, lalu pilih Connect to a
Workplace
WWW.INTRA.ID 69
3. Pilih No, create a new connection lalu pilih use my internet connection
(VPN)
4. Lalu isi internet address dengan IP Address Router MikroTik terhubung dengan internet ( wlan1) setelah
itu klik next, maka akan form login username dan password (disini saya menggunakan os windows
10, jadi mungkin akan seditik berbeda)
5. Isi Username dan Password dengan PPP Secret yang telah kita konfigurasi
sebelumnya, lalu klik Connect.
6. PC Remote Host seharusnya telah terhubung dengan PPTP Server lalu akan
ada VPN Connection pada Network sharing and Center.
Konfigurasi PPTP Server diatas sudah selesai. Jadi, setiap PC Remote Host ingin terkoneksi dengan
jaringan Internet, harus melalui Router MikroTik ( VPN / PPTP Server) terlebih dahulu. Meskipun PC Remote
Host tadi mempunyai jaringan internet sendiri. Hal itu dikarenakan PC Remote Host tadi sudah masuk ke
dalam Jaringan Lokal secara Virtual.
WWW.INTRA.ID 70
PPTP Client
Setelah kita melakukan konfigurasi PPTP dengan topologi sebelumnya, yaitu melakukan konfigurasi Router
MikroTik sebagai PPTP Server. Sekarang, bagaimana cara melakukan konfigurasi jika Router MikroTik
menjadi PPTP Client? Untuk lebih jelasnya, kita bisa lihat gambar topologi dibawah ini
Bisa kita lihat gambar diatas, terdapat 2 router MikroTik dengan masing masing PC Client. Router MikroTik 1
bertindak sebagai PPTP Server, lalu Router MikroTik 2 sebagai PPTP Client.
Bisa kita lihat pada topologi diatas, Router 1 akan menggunakan IP Local ( localaddress) 15.15.15.1 dan
nantinya Router 2 akan memiliki IP ( remote-address)
15.15.15.2. IP Address Local tersebut fungsi nya agar router bisa saling terhubung pada saat membuat tunnel.
Untuk langkah konfigurasi yang pertama, kita akan melakukan konfigurasi PPP Secret
pada Router 1 ( PPTP Server) yang nantinya akan digunakan oleh Router 2 ( PPTP Client).
Untuk langkah konfigurasi PPP Secret nya sendiri, sama seperti sebelumnya. Hanya saja, disini kita akan
menambahkan perintah text atau parameter routes agar PC client pada jaringan local bisa saling terhubung
satu sama lain. Untuk gateway nya, kita akan menggunakan IP network dari Interface ether2 pada Router 2
lalu menggunakan
remote-address dari Router 2. Perintah text (CLI) nya adalah sebagai berikut :
WWW.INTRA.ID 71
[admin@RUtama] > ppp secret add name=router2 password=mikrotik2 local-address=15.15.15.1
remote-address=15.15.15.2 routes="14.14.14.0/24 15.15.15.2" service=pptp [admin@RUtama] > ppp secret print detail
Flags: X - disabled
0 name="router2" service=pptp caller-id="" password="mikrotik2" profile=default local-

address=15.15.15.1 remote-address=15.15.15.2 routes="14.14.14.0/24 15.15.15.2" limit-bytesin=0 limit-bytes-out=0
Setelah kita melakukan konfigurasi PPP Secret, sekarang kita lanjutkan dengan mengaktifkan PPTP Server pada
router1. Perintah text nya adalah sebagai berikut
[admin@RUtama] > interface pptp-server server set enabled=yes

[admin@RUtama] > interface pptp-server server print
enabled: yes
max-mtu: 1460
max-mru: 1460
mrru: disabled authentication:
mschap1,mschap2 keepalive-timeout: 30
default-profile: default-encryption
Konfigurasi pada Router 1 atau PPTP Server sudah selesai, sekarang kita lanjutkan dengan melakukan
konfigurasi pada PPTP Client atau Router 2. Pada Router 2, disini kita akan mengaktifkan interface PPTP
Client menggunakan
PPP Secret yang telah kita konfigurasikan sebelumnya. Untuk mengaktifkan PPTP Client pada Router 2
melalui perintah text (CLI), perintah nya adalah sebagai berikut
[admin@MikroTik1] > interface pptp-client add user=router2 password=mikrotik2 connectto=192.168.1.103

disabled=no
[admin@MikroTik1] > interface pptp-client print Flags: X -
disabled, R - running
0 R name="pptp-out1" max-mtu=1460 max-mru=1460 mrru=disabled connect-to=192.168.1.103
user="router2" password="mikrotik2" profile=default-encryption add-default-route=no dialon-demand=no
allow=pap,chap,mschap1,mschap2
Kita bisa lihat gambar diatas, dibagian sebelah kiri ada symbol R yang berarti Running
atau PPTP Client telah berhasil terkoneksi Konfigurasi pada Router 2 atau PPTP
Client sudah selesai.
Sekarang, untuk melakukan pengecekan terhadap PPTP Client yang terhubung dengan PPTP Server melalui
Router 1, bisa menggunakan perintah text sebagai berikut :
WWW.INTRA.ID 72
Bisa kita lihat gambar diatas, terdapat 1 Client yang terhubung dengan PPTP Server,
yaitu Router 2. Artinya, konfigurasi PPTP Server dan PPTP Client telah berhasil. Untuk melakukan
pengecekan Interface yang aktif pada Router 1, bisa menggunakan perintah berikut :
Bisa kita lihat diatas, terdapat interface < pptp-router2> yang aktif pada interface router1. Bisa kita lihat juga
pada sebelah kiri dari interface < pptp-router2> terdapat symbol DR yang berarti Dynamic & Running.
Untuk melakukan pengecekan IP Address dari PPTP Client yang terkoneksi pada Router 1, bisa
menggunakan perintah berikut :
Setelah itu, kita lakukan pengecekan ip route pada Router 1. Perintah nya adalah :
Konfigurasi PPTP Server dan PPTP Client sudah selesai. Sekarang, untuk melakukan pengujian, kita
coba lakukan ping antar router 1 dan router 2.
WWW.INTRA.ID 73
Dari Router 1 ke Router 2
Dari Router 2 ke Router 1
WWW.INTRA.ID 74
Routing Protocol
Routing adalah teknik menghubungkan beberapa jaringan yang memiliki Network yang berbeda. Routing
sendiri sebagian besar di bagi menjadi 2 teknik, yaitu Static dan Dynamic.
Disini kita akan membahas tentang Routing Static. Teknik Routing Static ini sebenarnya sudah kita lakukan
pada pembahasan menghubungkan Routerboard dengan internet. Jika menggunakan teknik routing static,
kita harus mengetahui IP tujuan (dst-address) dan Jalur (gateway) yang akan dilalui. Sebagai contoh, kita
bisa lihat gambar topologi dibawah ini
Bisa kita lihat gambar diatas, Router MikroTik 1 (10.10.10.1) dan PC Client dari MikroTik 2 (192.168.2.10/24)
mempunyai IP Address dan Network yang berbeda. Dan begitu pula sebaliknya. Router MikroTik 2
(10.10.10.2) dan PC Client MikroTik 1 (192.168.1.10/24) mempunyai
IP Address dan Network yang berbeda. Jadi,
bagaimana jika Router MikroTik 1 ingin menuju/berkomunikasi dengan PC Client MikroTik 2 ? Kita akan
membahasnya di Bab ini.
Static Routing
Sekarang, kita akan mencoba teknik routing static dengan topologi masih menggunakan di atas. Tujuan nya,
agar mengerti bagaimana cara kerja dan konfigurasi dari routing static itu sendiri.
Sekarang, kita langsung ke langkah konfigurasi Routing Static dengan topologi diatas. Pertama, kita
tambahkan dulu IP Address Router RT-1 (ether1 & ether2) dan PC IP
WWW.INTRA.ID 75
Address PC client nya(Karena contohnya sudah ada di bab sebelumnya maka tidak saya tampilkan).
Setelah menambahkan IP Address kedua router dan pc tersebut, sekarang kita akan buat IP Route nya agar
kedua router dan pc tersebut saling tersambung. Untuk melakukan pengecekan pada konfigurasi IP Route
dari kedua router tersebut, kita bisa menggunakan perintah text berikut :

0 ADC 10.10.10.0/24 10.10.10.1 ether1 0

1 ADC 192.168.1.0/24 192.168.1.1 ether2 0
Pertama, kita akan konfigurasi IP Route di Router MikroTik 1. Jika Router1 ingin menuju Network
192.168.2.0/24 (dst-address), maka router1 harus melalui Jalur (gateway) 10.10.10.2. Berarti, konfigurasi IP
Route Router MikroTik 1 adalah sebagai berikut
[admin@MikroTik] > ip route add dst-address=192.168.2.0/24 gateway=10.10.10.2
Setelah itu, kita cek menggunakan perintah berikut :

0 ADC 10.10.10.0/24 10.10.10.1 ether1 0

1 ADC 192.168.1.0/24 192.168.1.1 ether2 0
2 A S 192.168.2.0/24 10.10.10.2 1
Bisa kita lihat gambar diatas, maka akan ada symbol A S yang berarti Active Static. Sekarang, kita
konfigurasi kan Router MikroTik 2. Jika Router2 ingin menuju Network
192.168.1.0/24 , maka harus melewati 10.10.10.1 sebagai Jalur (gateway) nya. Untuk langkah konfigurasinya
adalah sebagai berikut .
[admin@MikroTik] > ip route add dst-address=192.168.1.0/24 gateway=10.10.10.1
WWW.INTRA.ID 76
Setelah itu, kita cek menggunakan perintah ip route print

0 ADC 10.10.10.0/24 10.10.10.2 ether1 0

1 A S 192.168.1.0/24 10.10.10.1 1
2 ADC 192.168.2.0/24 192.168.2.1 ether2 0
3 ADC 192.168.88.0/24 192.168.88.1 ether1 0
Konfigurasi nya sudah selesai, maka sekarang jaringan diatas sudah saling terhubung. Untuk mengetest nya,
coba lakukan ping dari PC 1 ke PC 2 dan sebaliknya. Jika berhasil, maka akan reply.
PC1> ping 192.168.2.10

84 bytes from 192.168.2.10 icmp_seq=1 ttl=62 time=87.535 ms 84 bytes from
192.168.2.10 icmp_seq=2 ttl=62 time=22.807 ms 84 bytes from 192.168.2.10
icmp_seq=3 ttl=62 time=25.312 ms
PC2> ping 192.168.1.10

OSPF
OSPF atau Open Shortest Path First adalah Protocol Routing jenis Link State yang digunakan untuk
menghubungkan berbagai Router yang terdapat dalam satu
Autonomous System. Autonomous System sendiri seperti yang telah dijelaskan pada sub menu sebelumnya
adalah kumpulan beberapa router yang berada dibawah kendali admin dan strategi routing yang sama. Oleh
karena itu OSPF masuk kedalam kategori IGP (Interior Gateway Protocol).
Dalam mengimplementasikan OSPF sendiri, terdapat dua cara, yaitu Single Area OSPF dan Multi Area
OSPF. Penggunaan Multi Area OSPF sendiri biasanya digunakan jika jumlah Router lebih dari 50.
WWW.INTRA.ID 77
Konfigurasi Dasar OSPF Single Area
Kita akan lakukan konfigurasi OSPF single area pada topologi dibawah ini
Bisa kita lihat pada gambar diatas, Router 1 dan Router 2 terhubung melalui interface
ether1 dan masing masing Router mempunyai Client dengan Network 14.14.14.0/24 (R1) dan 12.12.12.0/24
(R2). Karena kita akan melakukan konfigurasi OSPF Single Area, maka kita tidak perlu melakukan
konfigurasi regular area, cukup menggunakan Backbone saja. Untuk Backbone Area sendiri telah tersedia
secara default oleh MikroTik, jadi kita tidak perlu membuatnya terlebih dahulu. Untuk melihat area yang ada
pada router mikrotik, bisa menggunakan perintah text seperti dibawah ini
[admin@MikroTik] > routing ospf area print Flags: X -

disabled, I - invalid, * - default
# NAME AREA-ID TYPE DEFAULT-COST
0 * backbone 0.0.0.0 default
Sekarang, menuju langkah yang pertama, yaitu mengaktifkan OSPF pada interface Router
Untuk mengaktifkan Routing Protocol OSPF pada topologi diatas, kita hanya perlu mengaktifkan Routing
Protocol OSPF pada interface ether1 terhadap kedua Router, tidak perlu diaktifkan pada ether2 karena PC
Client tidak membutuhkan OSPF Packet. Untuk mengaktifkan OSPF, perintah text nya adalah sebagai
berikut :
[admin@RT-1] > routing ospf interface add interface=ether1
Setelah kita mengaktifkan OSPF pada interface ether1, sekarang kita lakukan konfigurasi Router-ID
pada kedua Router.
WWW.INTRA.ID 78
Untuk melakukan konfigurasi Router ID melalui perintah text, perintahnya adalah sebagai berikut
[admin@RT-1] > routing ospf instance set default router-id=13.5.5.5 [admin@RT-1] >
routing ospf instance print Flags: X - disabled, * - default
0 * name="default" router-id=13.5.5.5 distribute-default=never redistribute-connected=no

redistribute-static=no redistribute-rip=no redistribute-bgp=no redistribute-otherospf=no metric-default=1
metric-connected=20 metric-static=20 metric-rip=20 metricbgp=auto metric-other-ospf=auto
in-filter=ospf-in out-filter=ospf-out

redistribute-static=no redistribute-rip=no redistribute-bgp=no redistribute-other-ospf=no metric-default=1
metric-connected=20 metric-static=20 metric-rip=20 metric-bgp=auto metric-other-ospf=auto in-filter=ospf-in
out-filter=ospf-out
Konfigurasi router-id diatas telah selesai. Sekarang, untuk langkah konfigurasi terakhir kita lakukan
konfigurasi Advertise Network.
Untuk melakukan konfigurasi Advertise Network, perintah nya adalah sebagai berikut
[admin@RT-1] > routing ospf network add network=13.13.13.0/24 area=backbone [admin@RT-1] >
routing ospf network add network=14.14.14.0/24 area=backbone [admin@RT-1] > routing ospf network
print Flags: X - disabled, I - invalid
# NETWORK AREA
0 13.13.13.0/24 backbone
1 14.14.14.0/24 backbone
# NETWORK AREA
0 13.13.13.0/24 backbone
1 12.12.12.0/24 backbone
WWW.INTRA.ID 79
Konfigurasi Advertise Network telah selesai. Maka, seharusnya jaringan-jaringan telah mencapai kondisi convergence
dan dapat terhubung satu sama lainnya. Untuk melakukan pengujian, kita bisa lakukan ping antar PC Client
Router 1 dan 2
PC1> ping 12.12.12.2

PC2> ping 14.14.14.2

Bisa kita lihat diatas, hasilnya reply yang berarti kedua jaringan telah mencapai kondisi
convergence dan saling terhubung satu sama lain
Konfigurasi OSPF Single Area pada Topologi diatas telah selesai. Sekarang, coba kita lihat table routing
pada Router 1, maka akan terlihat seperti dibawah ini
[admin@RT-1] > ip route print

0 ADo 12.12.12.0/24 13.13.13.2 110

1 ADC 13.13.13.0/24 13.13.13.1 ether1 0
2 ADC 14.14.14.0/24 14.14.14.1 ether2 0
Bisa kita lihat diatas, pada no index 0 terdapat entry routing dengan symbol ADo,
yang berarti Active, Dynamic, OSPF. Sekarang kita lihat table routing pada router 2

0 ADC 12.12.12.0/24 12.12.12.1 ether2 0

1 ADC 13.13.13.0/24 13.13.13.2 ether1 0
2 ADo 14.14.14.0/24 13.13.13.1 110
Bisa kita lihat juga pada gambar diatas, Router 2 mendapatkan entry routing dynamic dari OSPF
untuk menuju network 14.14.14.0/24.
Kita juga bisa melihat Network yang diketahui oleh Router melalui OSPF. Untuk melihatnya, kita bisa
menggunakan perintah text berikut :
WWW.INTRA.ID 80
[admin@RT-1] > routing ospf route print
# DST-ADDRESS STATE COST GATEWAY INTERFACE
0 12.12.12.0/24 intra-area 20 13.13.13.2 ether1

1 13.13.13.0/24 intra-area 10 0.0.0.0 ether1
2 14.14.14.0/24 intra-area 10 0.0.0.0 ether2
Bisa kita lihat pada OSPF route diatas, terdapat network-network yang dikenal router melalui OSPF.
Terdapat juga nilai cost dari masing masing entry tersebut, dimana nilai cost untuk menuju network
12.12.12.0/24 adalah 20 karena melewati 2 interface. Bisa kita lihat lagi, terdapat parameter STATE yang
berisi intra-area. Maksud dari intraarea tersebut menunjukkan bahwa ketiga Network tersebut berada di area
yang sama, yaitu Backbone Area.
Konfigurasi Dasar OSPF Multi Area

Setelah sebelumnya kita melakukan konfigurasi Dasar OSPF Single Area, sekarang kita akan lakukan
konfigurasi dasar OSPF Multi Area.
Oke, kita langsung saja menuju langkah konfigurasi nya. Pertama, kita akan
mengaktifkan routing protocol OSPF pada interface Router. Untuk langkahnya sendiri hampir sama seperti
Single Area, perbedaan nya disini terletak pada Router 2 dimana kita akan mengaktifkan interface ether1 dan
ether2 karena pada Router 2 kedua interface tersebut terhubung dengan Router OSPF lain nya.
[admin@RT-2] > routing ospf interface add interface=ether1 [admin@RT-2]

> routing ospf interface add interface=ether2
Setelah mengaktifkan interface OSPF, sekarang kita akan menambahkan Router ID
pada setiap Router. Untuk langkah konfigurasi nya sama seperti pada Single Area.
WWW.INTRA.ID 81

out-filter=ospf-out

out-filter=ospf-out

out-filter=ospf-out
Konfigurasi Router ID diatas telah selesai. Sekarang, kita akan melakukan konfigurasi
Regular Area pada Router 2 dan Router 3. Pada Router 1 tidak perlu dilakukan konfigurasi Regular Area
karena Router 1 berada pada Area Backbone.
Kita akan lakukan konfigurasi Regular Area pada Router 2 dan 3 dengan areaid=1.1.1.1. Perintah text
nya adalah sebagai berikut
[admin@RT-2] > routing ospf area add name=reguler area-id=1.1.1.1 [admin@RT-2] >
routing ospf area print Flags: X - disabled, I - invalid, * - default

1 reguler 1.1.1.1 default
[admin@RT-3] > routing ospf area add name=reguler area-id=1.1.1.1 [admin@RT-3] >
routing ospf area print Flags: X - disabled, I - invalid, * - default

1 reguler 1.1.1.1 default
WWW.INTRA.ID 82
Konfigurasi Regular Area diatas telah selesai. Sekarang barulah kita lakukan konfigurasi Advertise Network
Konfigurasi Advertise Network pada Multi Area hampir sama pada Single Area. Dalam melakukan konfigurasi
Advertise Network kita harus memperhatikan parameter area
pada setiap Network nya. Kita langsung saja menuju langkah konfigurasi Pada Router 1, kedua Network
berada pada Area Backbone. Jadi, pada parameter area kedua Network kita isi dengan perintah text area=backbone
# NETWORK AREA
0 13.13.13.0/30 backbone
1 14.14.14.0/24 backbone
Pada Router 2 sedikit berbeda. Network ether1 ( 13.13.13.0/24) pada Router 2 masuk kedalam Area Backbone.
Sedangkan Network ether2 ( 13.13.13.4/30) pada Router 2 masuk kedalam Area Regular. Maka perintah text
nya adalah sebagai berikut
routing ospf network add network=13.13.13.4/30 area=reguler [admin@RT-2] > routing ospf network
# NETWORK AREA
0 13.13.13.0/30 backbone
1 13.13.13.4/30 reguler
Pada Router 3, kedua Network masuk kedalam Area Regular. Perintah text nya adalah sebagai berikut
[admin@RT-3] > routing ospf network add network=13.13.13.4/30 area=reguler [admin@RT-3] >
routing ospf network add network=12.12.12.0/24 area=reguler [admin@RT-3] > routing ospf network
# NETWORK AREA
0 13.13.13.4/30 reguler
1 12.12.12.0/24 reguler
WWW.INTRA.ID 83
Konfigurasi Advertise Network telah selesai. Sekarang, seharusnya jaringan kita telah mencapai
kondisi convergence.
Konfigurasi OSPF Multi Area diatas telah selesai. Sekarang, kita lakukan pengecekan pada
Routing Table dan juga OSPF Route.

0 ADo 12.12.12.0/24 13.13.13.2 110

1 ADC 13.13.13.0/30 13.13.13.1 ether1 0
2 ADo 13.13.13.4/30 13.13.13.2 110
3 ADC 14.14.14.0/24 14.14.14.1 ether2 0

0 ADo 12.12.12.0/24 13.13.13.6 110

1 ADC 13.13.13.0/30 13.13.13.2 ether1 0
2 ADC 13.13.13.4/30 13.13.13.5 ether2 0
3 ADo 14.14.14.0/24 13.13.13.1 110

0 ADC 12.12.12.0/24 12.12.12.1 ether2 0

1 ADo 13.13.13.0/30 13.13.13.5 110
2 ADC 13.13.13.4/30 13.13.13.6 ether1 0
3 ADo 14.14.14.0/24 13.13.13.5 110
Bisa kita lihat pada gambar Routing Table diatas, ketiga router mendapatkan entry routing dynamic dari
OSPF .

0 12.12.12.0/24 inter-area 30 13.13.13.2 ether1

1 13.13.13.0/30 intra-area 10 0.0.0.0 ether1
2 13.13.13.4/30 inter-area 20 13.13.13.2 ether1
3 14.14.14.0/24 intra-area 10 0.0.0.0 ether2
WWW.INTRA.ID 84
0 12.12.12.0/24 intra-area 20 13.13.13.6 ether2

1 13.13.13.0/30 intra-area 10 0.0.0.0 ether1
2 13.13.13.4/30 intra-area 10 0.0.0.0 ether2
3 14.14.14.0/24 intra-area 20 13.13.13.1 ether1

0 12.12.12.0/24 intra-area 10 0.0.0.0 ether2

1 13.13.13.0/30 inter-area 20 13.13.13.5 ether1
2 13.13.13.4/30 intra-area 10 0.0.0.0 ether1
3 14.14.14.0/24 inter-area 30 13.13.13.5 ether1
WWW.INTRA.ID 85
Biografi Penulis
Nama lengkap Mohammad Andri Widiyanto, Lebih akrab
dengan panggilan Andri. Lulusan dari SMK SORE
Tulungagung jurusan TKJ dan saat ini sedang melanjutkan
program studi S1 di kampus Areta Informatics Tangerang.
Kemudian penulis juga aktif sebagai pengajar IT Networking
di INTRA Training Bekasi sekaligus menjabat sebagai COO.
Facebook : www.facebook.com/andri.widiyanto17
Email : [email protected]
Linkedin : https://www.linkedin.com/in/andri-widiyanto/
WWW.INTRA.ID 86

MTCNA Lab Guide INTRA 1st Edition - Id.en PDF

Uploaded by

Copyright:

Available Formats

MTCNA Lab Guide INTRA 1st Edition - Id.en PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

MTCNA Lab Guide INTRA 1st Edition - Id.en PDF

Uploaded by

Copyright:

Available Formats

Foreword

Foreword................................................ .................................................. ...................................... 1

Basic Configure RouterOS ............................................... .................................................. ...................... 4

Interface Configuration ................................................ .................................................. ......................... 4

Changing Interface ................................................ .................................................. ......................... 4

Adding IP Address ............................................... .................................................. ................. 4

Adding Gateway ................................................ .................................................. ................... 5

Adding DNS Server ............................................... .................................................. ................ 5

NAT configuration ................................................ .................................................. ................................. 6

Changing System Identity MikroTik .............................................. .................................................. .... 7

User management in MikroTik .............................................. .................................................. ............. 7

NTP Client ................................................ .................................................. .......................................... 8

Backup & Restore ............................................... .................................................. ............................... 9

Soft Reset Configure ............................................... .................................................. ........................ 10

Hard Reset Configure ............................................... .................................................. ....................... 10

Netinstall ................................................. .................................................. ........................................ 11

DHCP ................................................. .................................................. .................................................. 12

DHCP Server ................................................ .................................................. .................................... 12

IP Pool ................................................ .................................................. ............................................. 14

DHCP Client ................................................ .................................................. ..................................... 16

DHCP Relay ................................................ .................................................. ...................................... 17

Firewall ................................................. .................................................. ............................................... 20

Using NAT firewall Masquerade .............................................. ........................................... 20

Masquerade NAT Firewall Port Specific ............................................. ............................................. 22

Input Filter Firewall & Forward ............................................. .................................................. .......... 23

Firewall Chain Input ............................................... .................................................. ......................... 23

Firewall Forward ................................................ .................................................. ............................. 26

Firewall Forward Block Website by IP Address ........................................... ..................... 27

Firewall Forward Block Website Content Based ............................................ ......................... 28

Address List ................................................ .................................................. ..................................... 29

Firewall Mangle ................................................ .................................................. ............................... 32

Connection Mark ................................................ .................................................. ............................ 32

Packet Mark ................................................ .................................................. .................................... 35

Quality of Service ............................................... .................................................. ................................. 39

Simple Queue ................................................ .................................................. .................................. 40

Simple Queue with Burst .............................................. .................................................. ............. 43

Simple Queue with PCQ .............................................. .................................................. ............... 44

Queue Tree ................................................ .................................................. ..................................... 47

BRIDGING ................................................. .................................................. ........................................... 52

Ethernet Over IP (EoIP) ............................................ .................................................. ....................... 55

Tunneling ................................................. .................................................. ........................................... 59

PPPoE SERVER ................................................ .................................................. ................................. 59

PPPoE Client ................................................ .................................................. .................................... 63

PPTP Server ................................................ .................................................. ..................................... 67

PPTP Client ................................................ .................................................. ...................................... 71

Routing Protocol ................................................ .................................................. ................................. 75

Static Routing ................................................ .................................................. .................................. 75

OSPF ................................................. .................................................. ............................................... 77

Configuring Basic OSPF Single Area ............................................. .................................................. ... 78

Basic Configuration OSPF Area Multi ............................................. .................................................. .... 81

Writer biography ................................................ .................................................. ................................... 86

[ Admin @ MikroTik ]> interface print

# ADDRESS NETWORK INTERFACE

To delete an IP address using syntax bias remove.

[ Admin @ MikroTik ]> ip address remove 0 [ admin @

[ Admin @ MikroTik ]> ip route add dst-address = 0.0.0.0 / 0 Gateway = 192.168.254.1

left there is a symbol US which means Active Static

[ Admin @ MikroTik ]> ip route print

Adding DNS Server