Advanced Mikrotik Training
User Manager (MTCUME) Certified Mikrotik Training - Advanced Class (MTCUME) Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
Schedule - Module Sesi 1 Hari 1 Hari 2 Hari 3 Hari 4
00-2
Sesi 2
Basic Config, PPTP & PPPoE L2TP & IPSEC
Sesi 3
Sesi 4
BCP Bridging & MLPP HOTSPOT
RADIUS / USER MANAGER LAB
Mikrotik Indonesia http://www.mikrotik.co.id
TEST
21-Sep-14
Schedule ¢ ¢ ¢ ¢ ¢ ¢ ¢
00-3
Sessi 1 Coffee Break Sessi 2 Lunch Sessi 3 Coffee Break Sessi 4
08.30 – 10.15 10.15 – 10.30 10.30 - 12.15 12.15 – 13.15 13.15 – 15.00 15.00 – 15.15 15.15 - 17.00
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
New Training Scheme 2009 ¢
¢
00-4
Basic / Essential Training ¢ MikroTik Certified Network Associate (MTCNA) Advanced Training ¢ Certified Wireless Engineer (MTCWE) ¢ Certified Routing Engineer (MTCRE) ¢ Certified Traffic Control Engineer (MTCTCE) ¢ Certified User Managing Engineer (MTCUME) ¢ Certified Inter Networking Engineer (MTCINE)
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Certification Test ¢ ¢ ¢ ¢ ¢
¢
00-5
Diadakan oleh Mikrotik.com secara online Dilakukan pada sesi terakhir Jumlah soal : 25 Waktu: 60 menit Nilai minimal kelulusan : 60%, Trainer : 75% Yang mendapatkan nilai 50% hingga 59% berkesempatan mengambil “second chance” Yang lulus akan mendapatkan sertifikat yang diakui secara internasional
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
License for training program materials and certification test questions All content of written materials, specifically questions, answers and diagrams of the certification tests questions are the proprietary and confidential property of Mikrotikls SIA. They may not be copied, reproduced, modified, published, uploaded, posted, transmitted, or distributed in anyway without prior written permission of Mikrotikls SIA. You are expressly prohibited from disclosing, publishing, reproducing, or transmitting any tests and any related information including, without limitation, questions, answers, worksheets, computations, drawings, diagrams, length or number of test segments or questions, or any communication, including oral communication, regarding or related to the tests (known collectively as “Proprietary Information”), in whole or in part, in any form or by any means, oral or written, electronic or mechanical, for any purpose. A disclosure of Proprietary Information by any means in violation of this license undermines the integrity and security of the MikroTik training programs
Violation of Test Questions license may lead to a temporary or permanent ban on future MikroTik certification tests and the cancellation of previously earned MikroTik certifications. 00-6
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Trainers ¢
Novan Chris l l l l
¢
Pujo Dewobroto l l l
00-7
MTCNA (2006), Certified Trainer (2008) MTCWE (2008), MTCRE (2008) MTCTCE (2011), MTCUME (2012) MTCINE (2012) MTCNA (2009), MTCTCE (2009) MTCWE (2010), MTCRE (2011) MTCUME (2012), Certified Trainer (2011) Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Perkenalkan ¢
Perkenalkanlah : l l l l
00-8
Nama Anda Tempat bekerja Kota / domisili Apa yang Anda kerjakan sehari-hari dan fiturfitur apa yang ada di Mikrotik yang Anda gunakan
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Let’s Get Started !
[email protected] Diijinkan menggunakan sebagian atau seluruh materi pada modul ini, baik berupa ide, foto, tulisan, konfigurasi, diagram, selama untuk kepentingan pengajaran, dan memberikan kredit dan link ke www.mikrotik.co.id
Basic Config, PPTP & PPPoE Certified Mikrotik Training - Advanced Class (MTCUME) Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
Outline ¢ ¢ ¢
¢
¢ 01-11
Basic Config VPN Overview PPTP ¢ PPTP Server ¢ PPTP Client PPPoE ¢ PPPoE Client ¢ PPPoE Server PPPoE Large Network Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Basic Config - Topology Internet
WLAN1 10.10.10.1/24
WLAN1 10.10.10.X/24
ETHER1 192.168.1.1/24
ETHER1 192.168.2.1/24
ETHER1 192.168.X.1/24
ETHERNET PORT 192.168.1.2/24
ETHERNET PORT 192.168.2.2/24
ETHERNET PORT 192.168.X.2/24
MEJA 1 04-12
WLAN1 10.10.10.2/24
MEJA 2 Mikrotik Indonesia http://www.mikrotik.co.id
MEJA X 21-Sep-14
IP Configuration Lab-1 adalah sebuah simulasi konfigurasi dasar sebuah Router Mikrotik yang akan digunakan di jaringan local seperti Warnet, Office, Kampus atau bahkan di RT/RW-NET
¢
X = nomor peserta ¢
04-13
Routerboard Setting l WAN IP : 10.10.10.x/24 l Gateway : 10.10.10.100 l LAN IP : 192.168.x.1/24 l DNS : 10.100.100.1 l Src-NAT and DNS Server Laptop Setting l IP Address : 192.168.x.2/24 l Gateway : 192.168.x.1 l DNS : 192.168.x.1
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Laptop Config Konfigurasi ip-address statik pada laptop.
04-14
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
First Setup ¢
¢
¢
04-15
Hubungkan port ethernet Laptop dengan ether1 pada Routerboard. Pastikan ethernet port di laptop memiliki IP statik. Jalankan program winbox.exe, klik pada tombol [...] untuk melihat router.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
First Setup ¢
¢
Terdapat “default-configuration” pada RouterBoard keluaran terbaru Biasanya, pada RouterBoard dengan 5 port ethernet atau lebih terdapat config : l
l
l
¢
04-16
Ether2-ether5 dan wireless (jika ada) dikonfigurasi mode switch dengan ip 192.168.88.1/24 Interface wireless (jika ada) menerapkan authentication (WPA/ WPA2) Ether1 tidak dapat diremote, gunakan port ether lain.
Jika tidak dibutuhkan bisa dihapus pada saat awal remote Router atau dengan perintah : /system reset-configuration no-defaults=yes Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-1] System Identity ¢
¢ ¢
04-17
Supaya tidak membingungkan, ubahlah nama router Anda. Format: xx-NamaAnda Contoh: 30-Pujo-Dewobroto
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-2] Wireless Config Aktifkan Interface Wireless – Wlan1
04-18
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-2] Wireless Config (opt)
Ubah Wireless Security Profile “default” (optional)
04-19
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-3] IP Address Config
04-20
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-4] Default Gateway
04-21
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-5] DNS Config
Allow Remote Requests – Mengaktifkan fungsi router Mikrotik sebagai DNS server sederhana sehingga bisa meresponse request DNS dari Client
04-22
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-6] Src-NAT Config
04-23
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-7] NTP
04-24
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
System - Clock
04-25
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-8] Backup Config
¢
Melakukan backup seluruh konfigurasi Router , termasuk username dan password untuk login Winbox
¢
File hasil backup dapat dilihat di menu file dan didownload via FTP
¢
File backup tidak dapat di-edit !
04-26
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Backup from CLI Jika ingin menentukan nama file backup, bisa melakukan backup melalui “terminal / console”
04-27
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Overview ¢
¢ ¢
¢
¢
01-28
Seiring perkembangan jaman, pertukaran data antar lokasi yang berjauhan dilakukan menggunakan jaringan internet. Internet = UNSECURE !! VPN atau Virtual Private Networking merupakan suatu metode untuk melakukan autentikasi pada perangkat yang akan berkomunikasi dan membuatkan jalur khusus (tunnel) secara virtual diatas jalur yang sudah ada (secure link). Untuk meningkatkan keamanan, VPN bisa ditambahkan enkripsi pada pertukaran datanya. PPTP & PPPoE adalah contoh interface untuk implementasi VPN.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPTP ¢
¢
PPTP sebenarnya merupakan pengembangan dari protocol yang sudah ada yaitu PPP. Fitur PPTP (derivative dari PPP): l Compression : Van Jazobson compression l Authentication : PAP, CHAP, MSCHAP l Encrpytion : MPPE l
l
01-29
Data Delivery : Multi protocol bisa dilewatkan (TCP/IP, IPX, NetBEUI dsb) Client Addressing
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPTP ¢
¢
¢ ¢
¢
01-30
Sebelum tunnel terbentuk, antara client dan server akan membuat session TCP yang disebut “Control Connection”. Control Connection ini akan bertanggung jawab terhadap pembentukan, manajemen dan pemutusan sesi. Control Connection ini menggunakan protocol TCP port 1723. Jika Control Connection sudah terbentuk, selanjutnya dibuat tunnel menggunakan protocol GRE. Semua paket data dari traffic yang sudah diencapsulasi dalam segment PPP akan dipertukarkan melalui tunnel ini. Secara sederhananya, PPTP akan membungkus packet data kedalam paket PPP dan kemudian paket PPP ini yang akan dibungkus menggunakan IP protocol 47 (GRE).
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPTP Concept INTERNET
x.x.x.x
y.y.y.y
src : X.X.X.X dst : Y.Y.Y.Y IP HEADER
GRE HEADER
PPP HEADER
ENCRYPTED PAYLOAD PAYLOAD
a.a.a.a 01-31
b.b.b.b Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPTP Header Byte 1
Byte 2 Length
Byte 3
Byte 4
PPTP Message Type Magic Cookie
Control Message Type
Reserved 0
Protocol Version
Reserved 1
Framing Capabilities Bearer Capabilities Maximum Channel
Firmware Revision
1500 – 20 (IP Header) – 28 (PPTP Header) – 2 (Checksum) = 1450
01-32
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPTP Client
01-33
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPTP Client Parameter-parameter yang bisa ditentukan pada saat pembuatan interface pptp client meliputi : l Connect To : Alamat IP / domain dari server VPN l l l
l
l
l
01-34
User : username ke VPN Password : password Dial On Demand : VPN akan aktif otomatis apabila ada trafik yang akan melalui interface ini Add Default route : Menambahkan interface PPTP sebagai default gateway l Default route distance : Opsi priority untuk default route PPTP Profile : Opsi Profile default yang digunakan di PPTP (menggunakan enkripsi atau tidak) Keepalive Timeout : Interval maintener koneksi PPTP Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-1] PPTP Client New York VPN Server 1 172.16.1.100
Jakarta VPN Server 2 172.17.1.100
Internet Tegal Meja2 10.10.10.2
Yogyakarta Meja1 10.10.10.1
192.168.1.2/24 01-35
Mikrotik Indonesia http://www.mikrotik.co.id
192.168.2.2/24 21-Sep-14
[LAB-1] PPTP Client ¢
¢
¢ ¢ ¢
01-36
Buat VPN client untuk pptp1 ke router NewYork, dan pptp2 ke Jakarta : l Untuk username pptp1 = pptp1-X (X = nomer meja) l Untuk username pptp2 = pptp2-X (X = nomer meja) l Password kedua vpn = test Setting router untuk koneksi internet via pptp-1 dan untuk koneksi network lokal teman sebelah via pptp-2 Matikan default gateway ke 10.10.10.100 Aktifkan nat masquerade untuk pptp1 Buat Backup :) Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-1] PPTP Client
01-37
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-1] PPTP Client
Khusus untuk VPN, kita bisa menggunakan interface sebagai gatewaynya 01-38
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPTP Server ¢
¢
Menu PPP interface ini akan berisi interface-interface VPN server ataupun VPN client. Interface PPTP Server bisa dicreate dengan menggunakan 2 metode : l
l
¢
Static Interface : Interface dibuat secara manual (berdasarkan username client).
Static Interface bisa digunakan apabila membutuhkan service berdasarkan parameter interface. ¢
01-39
Dynamic Interface : Interface ini akan muncul secara otomatis apabila client melakukan login (jika belum ada static interface yang dibuat).
misal parameter in-interface / out-interface pada firewall, bisa juga digunakan untuk memonitor trafik keseluruhan session per client.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPTP Server
01-40
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPTP Server Parameter dalam penentuan PPTP server : ¢ ¢
¢
¢
MTU (Maximum Transmission Unit) : Besar paket yang bisa dikirimkan setelah dikurangi header (untuk PPTP 30 byte) MRU (Maximum Receive Unit) : Besar paket yang bisa diterima setelah dikurangi header MRRU (Multilink Maximum Received Reconstructed Unit) : Besar paket yang bisa diterima untuk multilink PPP (detail pada materi BCP)
¢
Keepalive Timeout : Interval maintener koneksi PPTP
¢
Default Profile : penggunaan default group untuk client VPN
¢
01-41
Enabled : aktif / non-aktif
Authentication : metode pertukaran informasi username dan passwordnya
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPP Profile ¢
¢
¢
01-42
PPP profile digunakan untuk mengelompokkan / melakukan grouping pada user VPN, sehingga masing-masing group bisa memiliki parameter yang berbeda. Parameter yang sering digunakan meliputi : l
Local & Remote Address
l
Incoming & Outgoing filter
l
Encryption, Compression, Rate Limit
l
Share user / Only one?
l
Session & Idle Timeout
Profile ini juga bisa digunakan untuk user-user yang diautentikasi menggunakan RADIUS.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPP Profile
01-43
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPP Profile
01-44
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPP Profile ¢
Local Address : IP yang akan terpasang disisi router
¢
Remote Address : IP yang akan terpasang disisi client l
¢
Bisa menggunakan IP Pool jika clientnya banyak
Use Encryption : Apakah akan menggunakan Enkripsi MPPE (jika required berarti server dan client harus sama-sama diset)
¢
Use Compression : Apakah akan dilakukan compresi paket datanya
¢
Only One : Hanya 1 perangkat per username
¢
Session Timeout : maximal waktu dalam sekali session / login
¢
¢
Idle Time-out : Koneksi akan diputus jika tidak ada trafik dalam waktu yang ditentukan Rate limit : limitasi / queue otomatis per client l
01-45
Format : rx-rate[/tx-rate] [rx-burst-rate[/tx-burst-rate] [rx-burstthreshold[/tx-burst-threshold] [rx-burst-time[/tx-burst-time] [priority] [rx-rate-min[/tx-rate-min]]]] Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPP Secret ¢
¢
¢
¢
¢
01-46
Merupakan database lokal penyimpanan informasi username dan password dari client. PPP secret ini hanya bisa digunakan untuk semua service VPN yang masih berada dalam 1 mesin. Jika local address dan remote address pada PPP secret diisikan maka parameter pada setting PPP profile akan diabaikan. Di PPP secret bisa juga mengaktifkan accounting dan authentication menggunakan RADIUS server. Apabila informasi username di local secret tidak ada, maka router akan melakukan pengecekan ke RADIUS server
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPP Secret
01-47
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPP Secret ¢
Name : Username
¢
Password : Password l
¢
¢
Service : Jika diset BUKAN ANY , berarti hanya untuk 1 service yang dipilih Caller id : Pembatasan IP / MAC dari user tertentu yang boleh login
¢
Profile : penggunaan group dari /ppp profile
¢
Routes : Akan dipasangkan routing ke network client l
01-48
Kedua parameter diatas case – sensitive !!
Format : dst-address gateway metric
¢
Limit Byte In : Maximum quota upload client
¢
Limit Byte Out : Maximum quota download client Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPP Active Connection
¢
¢
Merupakan tabel informasi session client VPN yang sedang terhubung pada router kita secara realtime Kita bisa memutus sebuah session dengan menekan tombol remove (-)
¢
Flag L : username berasal dari PPP Secret
¢
Flag R : username berasal dari RADIUS
01-49
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-2] PPTP Server
Yogyakarta Meja1 10.10.10.1
Internet
192.168.1.2/24 01-50
Tegal Meja2 10.10.10.2
192.168.2.2/24
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-2] PPTP Server ¢ ¢
¢
¢
Aktifkan PPTP server di salah satu router, dan router lainnya berfungsi sebagai PPTP client Berikan limitasi untuk VPN client sebesar 128k upload dan 256k download serta qouta sebesar 10MB Gunakan parameter Route pada PPP Profile untuk membuat routing ke network VPN Client.
¢
Aktifkan dial on demand disisi client
¢
Cek ping dan traceroute ke masing-masing network lokal
¢
01-51
Disable interface pptp2 dari [LAB-1]
Cek maximum besar paket yang bisa lewat tanpa terdefragrament
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Quiz! • Apa perbedaan antara Incoming Filter dan Outgoing Filter pada PPP Profile.? • /ppp profile add name=test remote-address=pool_1 outgoingfilter=drop /ppp secret add name=user remote-address=192.168.1.1 profile=test Pertanyaan : • IP manakah yang akan didapatkan oleh Client? • Pada saat aktif, Client tidak dapat akses karena sudah di filter dengan action=drop (Benar/Salah)?
01-52
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPPoE ¢
¢
¢
¢
01-53
PPPoE atau Point to Point Protocol over Ethernet merupakan sebuah protocol jaringan pengembangan dari PPP dimana komunikasi datanya dipertukarkan melalui frame ethernet PPPoE ini sering digunakan oleh provider untuk memberikan layanan internet broadband via ethernet, modem DSL, wireless bahkan tunnel (EOIP) PPPoE ini juga bisa digunakan untuk fitur security pada jaringan ethernet non-managed, untuk pemberian IP hanya bagi client yang sudah melakukan authentikasi, meskipun di interface router secara fisik tidak terpasang IP Didalam sebuah interface router bahkan disebuah network, bisa jadi terdapat banyak PPPoE server
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPPoE Ethernet PPPoE
01-54
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPPoE Header Byte 1
Byte 2
PPPoE Header (6 Byte) PPP ID (2 Byte) DST Address (6 Byte) SRC Address (6 Byte)
1500 – 6 (PPPoE Header) – 2 (PPP ID) – 12 (DST & SRC Adress) = 1480
01-55
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPPoE Discovery PADI PADO PADR PADS LCP / ICP PADT
01-56
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPPoE Discovery ¢
¢
¢
¢
¢
¢
01-57
Client akan mengirimkan paket Inititation (PADI) ke Ethernet broadcast ( dst : FF:FF:FF:FF:FF:FF) yang berisi informasi MAC dari Client dan informasi service-name jika ditentukan Ketika server yang memiliki service-name menerima paket PADI, akan mengirimkan paket Offer (PADO) ke client bersangkutan yang memberitahu client ketersediaan service PPPoE Client akan mengirimkan paket Request (PADR) ke server yang menandakan client menerima offer untuk melakukan koneksi PPPoE ke server Server akan mengirimkan paket Session (PADS) ke client yang menandakan session PPP terbentuk antara router <> client LCP / ICP menandakan proses pertukaran informasi username, password dan sebagainya. Jika sudah cocok, maka koneksi PPPoE seutuhnya terbentuk PADT (Termination) bisa dikirimkan dari kedua belah pihak yang menandakan pemutusan koneksi
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-3] PPPoE Client PPPoE Server 10.10.10.100/24
Wireless Network
Meja1 10.10.10.1/24
192.168.1.2/24 01-58
Meja2 10.10.10.2/24
192.168.2.2/24
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-3] PPPoE Client ¢
Buat interface pppoe client di interface wlan1
¢
PPPoE Client parameter : l l l l
01-59
Username = pppoe-x Password = test Interface = wlan1 Add default route = yes
¢
Cek IP yang didapatkan
¢
Tambahkan masquerade untuk out-interface pppoe-x
¢
Traceroute dari perangkat laptop
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-3] PPPoE Client
01-60
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-3] PPPoE Client Di router Mikrotik terdapat tools untuk scanning pppoe server yang tersedia didalam network. Menggunakan tombol PPPoE scan pada menu PPP-Interface :
01-61
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPPoE Server
01-62
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPPoE Server ¢
Service Name : Nama dari service PPPoE server
¢
Interface : Interface untuk mendengarkan request PPPOE dari client
¢
MTU / MRU : Besar paket untuk dikirimkan / diterima setelah dikurangi header
¢
Keepalive Timeout : Interval maintener koneksi PPPoE
¢
Default profile : Penggunaan group untuk client
¢
One Session per host : Hanya 1 MAC address dalam sebuah session / login
¢
Maximal Session : Berapa banyak user active dalam 1 server
¢
Authentication : Metode pengiriman informasi username dan password
01-63
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-4] PPPoE Server
LAN Meja2
Meja1
01-64
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-4] PPPoE Server ¢
Disable interface pptp dari [LAB-2]
¢
Aktifkan PPPoE server di salah satu router
¢
¢
01-65
Gunakan parameter Service pada PPPoE server untuk membedakan koneksi dari Client Dial PPPoE dari Laptop dan Router sebelah menggunakan service name berbeda melalui koneksi wireless
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPPoE over Route Network
192.168.1.0/24
172.16.1.0/24
10.11.12.0/24
172.16.100.1/32
172.16.100.2/32
172.16.100.3/32
01-66
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
PPPoE over Route Network ¢
¢
¢
Paket initiate (PADI) yang berasal dari client hanya bisa terbaca dalam satu broadcast network. Apabila jaringan kita sudah bertambah besar bisa jadi antara client dengan PPPoE server terdapat perangkat router lainnya (misalnya wireless router). Untuk jaringan skala besar kita bisa menggunakan beberapa metode : ¢
¢
01-67
1. Di masing-masing router melakukan bridging antara interface client dengan interface yang mengarah ke PPPoE server → Resiko broadcast !! 2. Di masing-masing router membuat tunnel (EoIP) ke PPPoE server dan kemudian di bridge antara interface client dengan interface tunnel tersebut. Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-5] PPPoE Over EoIP
Route Network
EOIP PPPoE 01-68
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-5] PPPoE Over EoIP ¢
Buat EoIP di kedua router ¢
¢
Meja 1 : ¢
¢ ¢
01-69
Aktifkan PPPoE server di interface bridge dengan service-name meja-x Tambahkan secret untuk koneksi PPPoE dari laptop sebelah
Kedua Meja : ¢
¢
Buat interface bridge dengan anggota bridge-port : ether3 dan EoIP
Lakukan dial dari masing-masing laptop ke PPPoE server yang sudah dibuat, test dengan merubah-rubah service-name
Cek MTU yang bisa dilewatkan untuk PPPoE over EoIP
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Quiz! • Bisakah PPPoE dijalankan di atas koneksi PPTP ? • Kita bisa membuat sebuah username untuk PPPoE dan PPTP pada pengaturan PPP Secret (Benar/Salah)? • Bisakah menjalankan banyak PPPoE Client pada sebuah interface ?
01-70
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
BCP & MLPPP
Certified Mikrotik Training - Advanced Class (MTCUME) Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
Outline ¢ ¢ ¢ ¢ ¢
Bridge Tunnel BCP Concept BCP Implementation PPTP + BCP LAB MLPPP Concept l l
¢
02-72
MLPPP Single Link MLPPP Multi Link
MLPPP Implementation LAB Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Bridge Tunnel
Yogyakarta Meja1 10.10.10.1
Internet
192.168.2.2/24 02-73
Tegal Meja2 10.10.10.2
192.168.2.3/24
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Bridge Tunnel ¢
¢
¢
02-74
Dalam suatu kondisi terkadang dibutuhkan menghubungkan jaringan local dari kedua site (yang terpisah secara geografis) menjadi satu segmen network yang sama. Salah satunya adalah menggunakan metode EoIP yang bisa melakukan full bridging sampai ke layer2 Untuk keamanan, kita juga bisa menjalankan EoIP didalam link VPN (ex, EoIP over PPTP)
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-1] Bridge Tunnel
Yogyakarta Meja1 10.10.10.1
Internet
192.168.2.2/24 02-75
Tegal Meja2 10.10.10.2
192.168.2.3/24
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14 11/27/12
[LAB-1] Bridge Tunnel ¢ ¢
¢
¢
02-76
Aktifkan PPTP ke teman sebelah Aktifkan EoIP dengan local dan remote address berdasar IP PPTP Buat interface bridge dan tambahkan EoIP serta ether2 ke dalam Bridge port Lakukan Test Ping antar laptop
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
BCP (Bridge Control Protocol) ¢
¢
¢
¢
¢
02-77
BCP adalah sebuah mekanisme bridging yang bisa diimplementasikan di protocol PPP ( PPTP,L2TP dan PPPoE ). Dengan mengimplementasikan BCP ini maka memungkinkan untuk melakukan pengiriman frame ethernet ke dalam koneksi PPP. BCP Tidak berhubungan dengan ip address yang digenerate dari ppp Dengan kata lain, proses routing dan bridging pada link PPP ini berjalan sendiri-sendiri secara idependen pada waktu bersamaan. Implementasi BCP ini bisa menjadi alternatif ketika kita tidak bisa menggunakan EoIP + VPN. Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
BCP Requirement ¢
¢
02-78
Supaya BCP ini bisa dilakukan maka pada PPP server dan PPP Client harus sama-sama support BCP. BCP bisa dilakukan di link PPP sesama Mikrotik dan juga link PPP vendor lain asal perangkat vendor lain tersebut juga sudah support protocol standart BCP.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-2] BCP Lab ¢ ¢ ¢ ¢
¢
¢
02-79
Disable interface EoIP dari [LAB-1] Atur di profile PPP untuk menggunakan BCP Bridging Aktifkan PPTP Client dan Server Cek di menu Bridge port jika PPTP sudah terbentuk dan tambahkan ether2 pada bridge Set Laptop menggunakan IP 1 segment dan pasangkan di interface ether2 Lakukan Test Ping antar laptop
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-2] PPP Profile
02-80
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-2] BCP Setup
SERVER SIDE
CLIENT SIDE
02-81
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
MLPPP ¢
¢
¢
02-82
Multi-Link Point to Point Protocol (MP, Multi-Link PPP, MultiPPP or MLPPP) adalah sebuah protocol yang memungkinkan untuk melakukan pemisahan, penggabungan, dan pengurutan data di beberapa Logical Data Link di koneksi PPP tersebut. Ketika kondisinya sudah ada link PPP dan kita ingin menambah besar kapasitas link (MTU) maka kita bisa menggunakan teknik MLPPP ini tanpa harus mengganti atau menambah perangkat. Ketika ada paket besar yang dikirimkan maka akan dipecah secara merata ke beberapa Logical Data Link Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
MLPPP Example
Internet Yogyakarta Meja1 10.10.10.1
Tegal Meja2 10.10.10.2
192.168.2.2/24 02-83
192.168.2.3/24
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
MLPPP Example ¢
¢
¢
02-84
Biasanya ukuran paket yang dikirim melalui link PPP berkurang (terjadi fragmentasi) karena overhead disebabkan PPP Header. MP (Multilink Protocol) dapat digunakan untuk mengirim dan menerima Ethernet full frame melalui link Tunggal (MLPPP over single link) ataupun Multiple (MLPPP over multiple link). Yang dibutuhkan oleh Protokol Multilink adalah menggunakan Opsi tambahan LCP yaitu Multilink Maximum Received Reconstructed Unit (MRRU) Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
MLPPP over Single Link ¢
¢
¢
¢
02-85
Untuk mengaktifkan multi-link PPP over single link Anda harus menentukan MRRU. Jika kedua perangkat mendukung fitur ini maka tidak ada kebutuhan MSS adjustment (dalam mangle firewall). Studi menunjukkan bahwa penyesuaian MRRU lebih efisien di CPU dibandingkan dengan jika menggunakan 2 mangle change MSS per klien. MRRU memungkinkan untuk membagi paket ke beberapa logical link sehingga meningkatkan MTU dan MRU (sampai max 65.535 byte) Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-3] MLPPP Lab
Internet Yogyakarta Meja1 10.10.10.1
Tegal Meja2 10.10.10.2
192.168.2.2/24 02-86
192.168.2.3/24
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-2] MLPPP Over Single Link Atur ulang parameter MRRU pada Server dan Client ¢ Lakukan Test Ping antar laptop packet size 1500 no-fragmented (bisa / tidak) ¢
02-87
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-3] MLPPP Setup SERVER SIDE
CLIENT SIDE
02-88
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
MLPPP over Multiple Link ¢
¢
¢
¢
02-89
MLPPP over Multiple Link memungkinkan untuk membuat agregasi link PPP tunggal diatas beberapa koneksi fisik. Semua link PPP harus berasal dari server dan client yang sama (server harus sudah support MLPPP) dan semua link PPP harus memiliki username dan password yang sama. Untuk konfigurasi MLPPP over Multiple Link hanya perlu membuat klien PPP dan menentukan beberapa interface fisik. Mikrotik RouterOS memiliki dukungan MLPPP client mulai dari versi 3.10 (PPPoE only). Tetapi sampai saat ini belum bisa menjadi server MLPPP over Multiple Link. Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
MLPPP over Multiple Link
DSL1 1Mbps DSL2 1Mbps DSL3 1Mbps
02-90
Aggregate Link 3Mbps
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
MLPPP over Multiple Link
02-91
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Quiz.! ¢
¢
02-92
MLPPP over Multiple Link bisa diterapkan pada PPTP (Benar/Salah)? Kenapa? BCP dapat kita aktifkan selain dari PPP Profile bisa juga dengan menambahkan secara manual pada Bridge Port (Benar/Salah)? Kenapa?
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
L2TP & IPSec
Certified Mikrotik Training - Advanced Class (MTCUME) Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
Outline ¢ ¢
L2TP vs PPTP L2TP Configuration (similar like PPTP) l l
¢ ¢ ¢
03-94
Client Server
IPSec L2TP + IPSec Configuration Example
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
L2TP vs PPTP – PPTP Spec ¢
¢
Point-to-Point Tunneling Protocol (PPTP), dikembangkan oleh konsorsium Microsoft dengan perusahan IT lainnya. PPTP Bertugas membuatkan sebuah network tunnel dan menggunakan MPPE (Microsoft Point to Point Encryption) sebagai enkripsinya. l
l
l
l l
03-95
Low Overhead, paling ringan diantara metode VPN lainnya Menggunakan protokol TCP port 1723 untuk kontrol dan protokol GRE untuk pertukaran datanya Authentikasi berdasarkan PPP menggunakan PAP, CHAP, MS-CHAP v1/2 Support enkripsi menggunakan MPPE 128bit Kompabilitas dengan banyak OS Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
L2TP vs PPTP – L2TP Spec ¢
¢
¢
03-96
Layer 2 Tunneling Protocol (L2TP) dikembangkan oleh Cisco dan Microsoft dengan menggabungkan fitur dari PPTP dengan protokol Layer 2 Forwarding (L2F) milik Cisco. L2TP supports pada jaringan non-TCP/IP (Contoh: Frame Relay, ATM and SONET). L2TP tidak memiliki mekanisme enkripsi, biasanya menggunakan protocol enkripsi lain.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
L2TP vs PPTP – L2TP Spec (2) ¢
¢
¢
03-97
Bekerja menggunakan protokol UDP port 1701 untuk link establishment dan pertukaran datanya bisa menggunakan protokol UDP di port yang sama atau bahkan berbeda Authentikasi PPP menggunakan PAP, CHAP, MSCHAP v1/2 Metode enkripsi yang umum digunakan menggunakan IPSec
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
L2TP vs PPTP – Conclusion (1) + PPTP mudah diimplementasikan. + PPTP menggunakan TCP, sehingga reliable dan mampu retransmit packet yang rusak / hilang. + PPTP sudah disupport berbagai macam OS. – PPTP tidak terlalu aman karena masih menggunakan MPPE. – Data encryption baru dilakukan setelah PPP connection selesai diproses. – PPTP connections membutuhkan Authentikasi di userlevel. 03-98
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
L2TP vs PPTP – Conclusion (2) + L2TP/IPSec encryption dilakukan sebelum proses PPP connection dan bisa menggunakan metode AES ataupun DES. + L2TP/IPSec menggunakan mekanisme authentication yang lebih kuat yaitu menggunakan computer-level authentication memanfaatkan SSL certificates ditambah user-level authentication yaitu PPP Protocol authentication. + L2TP menggunakan UDP sehingga pengiriman paketnya lebih cepat. Sayangnya tidak reliable karena tidak ada mekanisme pengiriman ulang paket yang hilang/rusak. – L2TP/IPSec membutuhkan konfigurasi yang agak rumit dibandingkan metode VPN lainnya. – L2TP/IPSec biasanya membutuhkan resource CPU yang besar karena proses enkripsi yang kompleks. 03-99
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
L2TP Configuration - Client
03-100
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
L2TP Configuration - Server
03-101
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
L2TP Security ¢
¢
03-102
L2TP juga bisa menggunakan MPPE 128Bit sama seperti yang digunakan pada PPTP. Karena MPPE saat ini dirasa kurang aman, maka L2TP dikembangkan untuk bisa digabungkan dengan protocol security yang lain yaitu IPSec.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
IPSec ¢
¢
03-103
Protocol IPSec (IP Security) merupakan sekumpulan protokol saling bekerjasama dan berjalan diatas IP layer, yang memungkinkan 2 host atau lebih berkomunikasi secara aman dengan mengauntentikasi dan mengenkripsi setiap paket IP dalam sesi komunikasi tersebut. Protokol IPSec meliputi : l Authentication Header (AH), berfungsi untuk mengautentikasi sebagian atau seluruh isi dari paket yang dipertukarkan l Encapsulated Security Payload (ESP), berfungsi untuk mengautentikasi dan melindungi isi dari paket data dengan cara mengenkripsinya l IPSec Key Exchange (IKE), berfungsi dalam proses generate, distribusi dan penyimpanan key yang dibutuhkan sebelum AH ataupun ESP dapat digunakan Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
IPSec (2) Algoritma yang bisa digunakan pada IPSec di RouterOS o Authentikasi AH : • MD5 • SHA1 o Authentikasi ESP : • MD5 • SHA1
03-104
o Enkripsi ESP • DES • 3DES • AES • Blowfish • Twofish • Camellia
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
IPSec (3) ¢
Dalam operasionalnya IPSec tersusun atas dua fase, yang meliputi : l
Phase 1, masing-masing peer saling setuju menggunakan algoritma yang sama untuk parameter-parameter berikut pada saat pertama terhubung : • • • •
l
Authentication method DH Group Encryption algorithm Exchange mode
Phase 2, setiap peer membuat SA (Security Association) yang akan digunakan untuk pertukaran data dengan parameter-parameter yang sama, meliputi : • IPSec protocol • Tunnel / Transport Mode • Authentication method
03-105
• Hash algorithm • NAT-T • DPD & Lifetime
• PFS (DH) Group • Lifetime
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
IPSec Mode SECURED
Tunnel Mode / LAN-to-LAN / Site-to-Site IPSec Digunakan untuk membuat link secure antar router dengan membentuk sebuah tunnel dan komunikasi antar LAN melalui link tunnel tersebut 03-106
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
IPSec Mode SECURED
Transport Mode / Remote Access Client IPSec Digunakan untuk membuat link secure antar host atau host ke router
03-107
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
IPSec ¢
¢
¢
03-108
Setiap trafik akan dilakukan dua fase : l Encryption l Decryption Pada perangkat yang menggunakan IPSec, kedua sisi akan memiliki peran atau posisi yang berbeda : l Initiator – Sebagai sisi yang menentukan encryption policy (metode autentikasi dan enkripsi yang ada di tawarkan - Proposal). l Responder – Perangkat yang menjadi posisi ini akan menyesuaikan metode autentikasi dan enkripsi supaya komunikasi yang terenkripsi dapat dijalankan. Selama Perangkat Responder tidak dapat menyamakan metode enkripsi dan autentikasi yang ditawarkan oleh router Initiator maka komunikasi akan di drop.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
IPSec Encryption ¢
¢
¢
03-109
Setelah paket terkena proses src-nat di chain postrouting, paket data akan di hadapkan pada pilihan akan dienkripsi atau tidak berdasarkan database policy (SPD) dari Ipsec Policy Database). SPD memiliki dua bagian : l Packet Matching – daftar dari src/dst address, protocol dan port (TCP dan UDP) dari traffic yang akan dienkripsi. l Action – Jika rule dengan type data mengalami kecocokan maka : • Accept – paket akan diteruskan tanpa ada proses enkripsi • Drop – paket akan di drop • Encrypt – paket data akan dilakukan proses Enkripsi Database policy (SPD) bisa berupa kombinasi dari implementasi security yaitu dari beberapa metode enkripsi seperti key, algoritma.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
IPSec Decryption ¢
¢
¢
¢
03-110
Jika paket yang terkena enkripsi diterima oleh router host (setelah filter Input), maka router akan mencocokkan metode enkripsi dari paket untuk melakukan proses dekripsi. Jika metode tidak ditemukan maka paket akan di drop tetapi jika ditemukan maka paket akan didekripsi. Jika proses dekripsi berjalan lancar paket akan kembali dimasukkan melewati prerouting dan routing table untuk kembali didistribusikan ketujuan yang asli. Sedikit catatan dimana paket berada sebelum chain forward dan input paket akan dihadapkan lagi ke SPD dan dicocokkkan kembali jika masih memerlukan enkripsi maka paket akan di drop. Proses ini disebut Incoming Policy Check.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
IPSec – Packet Flow
03-111
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-1] IPSec Tunnel Mode
10.10.10.30
Internet
192.168.30.0/24
03-112
Mikrotik Indonesia http://www.mikrotik.co.id
10.10.10.31
192.168.31.0/24
21-Sep-14
Peers (1)
03-113
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Peers (2) ¢
¢ ¢
Menu peers ini berisi konfigurasi yang akan digunakan untuk proses Phase1 Address : Menunjukkan IP dari router / host lawannya Auth-Method : l
Pre-Shared-Key : menggunakan metode password
l
RSA-signature : menggunakan sertifikat RSA
l
RSA-key : menggunakan key RSA
l
l
¢
03-114
Pre-Shared-Key-Xauth : PSK biasa ditambahkan dengan username password RSA-Signature-Hybrid : menggunakan sertifikat RSA serta username password
Passive : Sebagai Initiator atau Responder Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Remote Peer
Berguna untuk melihat informasi / statistik peer-peer yang sudah berhasil membuat koneksi untuk phase1.
03-115
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Policies (1)
Pada menu policy kita akan menentukan sekuriti yang akan kita terapkan untuk paket-paket data sesuai proposal (Phase 2)
03-116
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Policies (2) ¢
¢ ¢
¢
03-117
Action : Action yang akan diterapkan jika parameter pada matcher sesuai l None : Paket hanya diteruskan l Encrypt : Paket akan dirubah sesuai protocol l Discard : Paket akan didrop Tunnel : Transport / Tunnel Mode SA Src/Dst Address : Jika menggunakan tunnel mode, maka menunjuk ke IP yang akan digunakan untuk tunnel Proposal : kumpulan algoritma yang akan digunakan untuk SA
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
NAT Bypass
Jika kita menggunakan SRCNAT untuk trafik yang keluar via WAN, maka pada saat trafik diterima di sisi lawan, paket akan didrop src-address tidak sesuai policy. Untuk mengatasinya kita harus membypass NAT untuk trafik yang akan melalui Tunnel IPSec
03-118
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Installed SA
Tabel ini berisi informasi mengenai SA yang sudah terpasang Setiap melakukan perubahan konfigurasi IPSec, disarankan untuk menghapus SA yang sudah ada 03-119
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-1] L2TP Tunnel Mode Untuk pengetestan, silahkan ping dari laptop yang menjadi client dari IPSec Responder, dan kemudian test ping dari dari laptop yang menjadi client dari IPSec Initiator
03-120
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
L2TP/IPSec
Internet
192.168.30.0/24 03-121
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
L2TP/IPSec ¢
¢
¢
¢
03-122
L2TP over IPSec ini merupakan metode secure VPN yang bisa kita gunakan untuk mobile network. Mayoritas OS desktop sudah support untuk metode ini, bahkan mobile OS pun seperti Android juga sudah mendukungnya Ada keterbatasan jika client dibawah router yang mengaktifkan NAT, maka dalam 1 network tersebut hanya bisa 1 client saja Mulai v6.16, RouterOS terdapat option “Use IPSec” untuk memudahkan kita membuat koneksi L2TP/IPSec
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
L2TP/IPSec Server
Gunakan POOL IP jika akan menggunakan sistem shared user
03-123
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-2]L2TP/IPSec Client
03-124
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-2]L2TP/IPSec Client
03-125
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-2]L2TP/IPSec Client
03-126
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
L2TP/IPSec & Nat Traversal
Internet 222.0.0.2
10.10.10.0/24 03-127
111.0.0.1 L2TP/IPSec Server
Kondisi tertentu dibutuhkan koneksi L2TP/IPSec dibelakang NAT
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
L2TP/IPSec & Nat Transversal
Patikan NAT Transvesal sudah diaktifkan
03-128
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
HOTSPOT
Certified Mikrotik Training - Advanced Class (MTCUME) Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
HotSpot ¢
¢
¢
¢
04-130
Hotspot System digunakan untuk memberikan layanan akses jaringan (Internet/Intranet) di Public Area dengan media kabel maupun wireless. Hotspot menggunakan Autentikasi untuk menjaga Jaringan tetap dapat dijaga walaupun bersifat public. Proses Autentikasi menggunakan protocol HTTP/ HTTPS yang bisa dilakukan oleh semua web-browser. Hotspot System ini merupakan gabungan atau kombinasi dari beberapa fungsi dan fitur RouterOS menjadi sebuah system yang sering disebut 'Plug-nPlay' Access.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
HotSpot Network - Example Wireless Network
Internet
Hotspot Gateway •
•
Wired Network
Hotspot System bisa digunakan pada berbagai interface jaringan, seperti Wireless, Kabel bahkan di virtual interface seperti VAP, VLAN, tunnel dan sebagainya. Jaringan Hotspot bersifat Bridge Network
04-131
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
How does it work ? ¢
¢
¢
¢
User mencoba membuka halaman web. Authentication Check dilakukan oleh router pada Hotspot System. Jika belum ter-autentikasi, router akan mengalihkan ke halaman login. User memasukkan informasi login.
04-132
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
How does it work ? ¢
¢
Jika informasi login sudah tepat, router akan : l Mengautentikasi client di hotspot system. l Membuka halaman web yang diminta sebelumnya. l Membuka popup halaman status. User dapat menggunakan akses jaringan.
04-133
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
HotSpot features ¢ ¢
¢
¢ ¢ ¢ 04-134
Autentikasi User Perhitungan l Waktu akses l Data dikirim atau diterima Limitasi Data l Berdasarkan data rate (kecepatan akses) l Berdasarkan jumlah data Limitasi Akses User berdasarkan waktu Support RADIUS Bypass! Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
HotSpot setup wizard ¢
¢
¢
¢
04-135
RouterOS sudah menyediakan Wizard untuk melakukan setup Hotspot System. Wizard ini berupa menu interaktif yang terdiri dari beberapa pertanyaan mengenai parameter setting hotspot. Wizard bisa dipanggil atau dieksekusi menggunakan peritah “/ip hotspot setup” Jika anda mengalami kegagalan dalam konfigurasi hotspot direkomendasikan reset kembali router dan konfigurasi ulang dari awal.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
HotSpot Setup Wizard ¢
Pada Langkah awal Tentukan interface mana yang akan digunakan untuk menjalankan Hotspot System: hotspot interface: (ex: ether1,wlan1,bridge1,vlan1)
¢
Tentukan Alamat IP untuk Interface Hotspot : Local address of hotspot network: (ex: 10.5.50.1/24)
¢
Opsi Hotspot Network akan NAT atau Routing : masquerade hotspot network: yes
¢
Tentukan IP-Pool untuk jaringan Hotspot : address pool of hotspot network: 10.5.50.2-10.5.50.254
¢
Menggunaan SSL-certificate jika ingin menggunakan Login-By HTTPS : select certificate: none
04-136
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
HotSpot Setup Wizard ¢
Jika diperlukan SMTP server khusus untuk Server hotspot bisa ditentukan, sehingga Server bisa mengirimkan email (misal email notifikasi). Konfigurasi SMTP server : Ip address of smtp server: 0.0.0.0
¢
Konfigurasi DNS server yang akan digunakan oleh user Hotspot : dns servers: 10.100.100.1
¢
Konfigurasi DNS-name dari router Hotspot, Hal ini digunakan jika Router memiliki DNS-Name yang valid (FQDN), Jika tidak ada biarkan kosong. dns name: hotspot.websiteku.com
¢
Langkah terakhir dari wizard adalah pembuatan sebuah user hotspot : name of local hotspot user: admin password for the user: 12345
04-137
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
HotSpot Setup Wizard (Step 1)
04-138
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
HotSpot Setup Wizard (Step 2-5)
04-139
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
HotSpot setup wizard (step 5-8)
04-140
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
HotSpot Server
04-141
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
HotSpot Server ¢
¢
¢
¢
04-142
Didalam sebuah router bisa dibangun banyak hotspot server, dengan catatan dalam 1 interface hanya bisa untuk 1 hotspot server Di menu ini kita bisa mengaktifkan One to One Nat / universal client Kita bisa mengatur untuk timeout user yang belum melakukan login sehingga IP bisa dialokasikan ke user yang lain Selain itu kita juga bisa membatasi jumlah MAC sama yang melakukan request akses. Hal ini berguna untuk mencegah DHCP starvation Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
HotSpot Server Profiles
04-143
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
HotSpot Server profiles ¢
¢
¢
Hotspot Server Profile digunakan untuk menyimpan konfigurasi-konfigurasi umum dari beberapa hotspot server. Profile ini digunakan untuk grouping beberapa hotspot server dalam satu router. Parameter yang bisa kita gunakan untuk memodifikasi hotspot server kita antara lain : l l l l
04-144
Pengaturan proxy transparent Pengaturan halaman HTML Metode Autentikasi Pengaturan RADIUS Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Authentication Method
¢ 7 Metode autentikasi yang bebeda pada server profile. 04-145
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Hotspot Authentication Methods ¢
¢
¢ ¢
¢
¢
¢
04-146
HTTP-PAP - metode autentikasi yang paling sederhana, yaitu menampilkan halaman login dan mengirimkan info login berupa plain text. HTTP-CHAP - metode standard yang mengintegrasikan proses CHAP pada proses login. HTTPS – menggunakan Enkripsi Protocol SSL untuk Autentikasi. HTTP Cookie - setelah user berhasil login data cookie akan dikirimkan ke web-browser dan juga disimpan oleh router di 'Active HTTP cookie list' yang akan digunakan untuk autentikasi login selanjutnya. MAC Address - metode ini akan mengautentikasi user mulai dari user tersebut muncul di 'host-list', dan menggunakan MAC address dari client sebagai username dan password. Trial - User tidak memerlukan autentikasi pada periode waktu yang sudah ditentukan. MAC Cookie – User yang sudah login akan diingat MAC, dan saat user akan akses kembali cukup dilihat mac addressnya
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
AAA Hotspot
¢ Hotspot dengan integrasi RADIUS server (usermanager) 04-147
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
HotSpot User Profiles ¢
¢
¢
¢
¢
04-148
Hotspot User Profile digunakan untuk menyimpan konfigurasikonfigurasi umum dari User-User hotspot / Authorization. Profile ini digunakan untuk grouping beberapa User dalam sebuah aturan yang sama. Pada User Profile, mampu melakukan assign pool-ip tertentu ke group user untuk proses one to one nat. Parameter Timeout juga bisa diaktifkan untuk melogout otomatis user jika lupa log out. Limitasi data rate dan lama sesi juga bisa ditentukan di UserProfile Kita bisa memasangkan custom script yang akan dieksekusi setelah user login ataupun logout
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
User Profiles
04-149
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
User Profiles Address List : IP user akan ditambakan ke dalam firewall addresslist sesuai list yang ditentukan Incoming Filter : Nama chain baru untuk trafik yang berasal dari IP user (trafik upload) Outgoing Filter : Nama chain baru untuk trafik yang menuju IP user (trafik download) Incoming Packet Mark : Nama packet-mark untuk trafik yang berasal dari IP user (trafik upload) Outgoing Packet Mark : Nama packet-mark untuk trafik yang menuju IP user (trafik download) Kelima parameter ini bisa kita gunakan untuk melakukan filtering dan qos yang lebih custom dan kompleks 04-150
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Advertisement ¢
¢
¢
04-151
Advertisement bisa kita gunakan untuk menampilkan popup halaman web (misal : iklan) di web-browser para user yang sudah terautentikasi. Halaman Advertisement dimunculkan berdasarkan periode waktu yang sudah ditentukan, dan akses akan dihentikan jika pop-up halaman advertisement diblock (pop-up blocker aktif), dan akan disambungkan kembali jika halaman Advertisement sudah dimunculkan. Advertisement hanya bisa dilakukan jika option transparent proxy pada user profile di set
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Advertisement ¢
04-152
Jika sudah waktunya untuk memunculkan advertisement, server akan memanggil halaman status dan meriderect halaman status tersebut ke halaman web iklan yang sudah ditentukan.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-1] Hotspot Config ¢ ¢
Aktifkan Hotspot gateway pada interface ether3 Buat profile yang berbeda-beda untuk user nantinya l
l
l
¢
04-153
Trial : • Advertisement • Share bandwidth upload / download : 128k/256k • Configure Uptime : 10 minute + Uptime reset : 1week VIP • Dedicated bandwidth upload / download 512k/512k Reguler • Block some protocol (ex : no PING) • Share bandwidth upload / download : 512k/512k
Lakukan Backup ! Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-1] Profile
04-154
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-1] Profile (2)
04-155
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-1] Hotspot Config
04-156
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
04-157
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-1] Hotspot Config
04-158
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
04-159
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
04-160
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
04-161
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
04-162
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
04-163
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
HotSpot User ¢
¢
¢
¢
04-164
Halaman dimana parameter username, password dan profile dari user disimpan. Beberapa limitasi juga bisa ditentukan di halaman user seperti uptime-limit dan bytes-in/bytes-out. Jika limitasi sudah tercapai maka user tersebut akan expired dan tidak dapat digunakan lagi. IP yang spesifik juga bisa ditentukan di halaman ini sehingga user akan mendapat ip yang sama. User bisa dibatasi pada MAC-address tertentu.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
HotSpot Users
04-165
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
User Limitation ¢ Limit Uptime batas waktu user dapat menggunakan akses ke Hotspot Network. ¢ Limit-bytes-in, Limitbytes-out dan Limitbytes-total batas quota trasfer data yang bisa dilakukan oleh user.
04-166
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-2] User Limitation ¢
¢ ¢
¢
04-167
Buat username masing-masing profile yang sudah kita buat l VIP • Lock hanya bisa dari laptop kita • Quota unlimited l Reguler • Limit uptime : 1h • Quota download : 10MB, upload : 5MB Test kedua username dan trial user anda Amati perubahan firewall filter, mangle dan counter queue dari lab1 Backup for next lab :)
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
04-168
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-2] User Limitation
04-169
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Quiz.! ¢
¢
¢
04-170
Apa beda fungsi Address Pool pada Hotspot Server dan User Profile? Apa yang terjadi jika kita set parameter Shareduser=100 ? Apa fungsi tombol Reset HTML pada pengaturan Hotspot Server?
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Bypass! - IP bindings ¢
¢
¢
04-171
One-to-one NAT bisa dikonfigurasi secara static berdasarkan : l Original IP Host l Original MAC Address Bypass host terhadap Hotspot Authentication bisa dilakukan menggunakan IP-Bindings. Block Akses dari host tertentu (Berdasarkan Original MAC-address atau Original IP-Address) juga bisa dilakukan menggunakan IP-Bindings.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
HotSpot IP bindings
04-172
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Bypass - WalledGarden ¢
¢
¢
04-173
WalledGarden adalah sebuah system yang memungkinkan untuk user yang belum terautentikasi menggunakan (Bypass!) beberapa resource jaringan tertentu tetapi tetap memerlukan autentikasi jika ingin menggunakan resource yang lain. IP-WalledGarden hampir sama seperti WalledGarden tetapi mampu melakukan bypass terhadap resource yang lebih spesifik pada protocol dan port tertentu. Biasanya digunakan untuk melakukan bypass terhadap server local yang tidak memerlukan autentikasi.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
HTTP-level WalledGarden
04-174
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
IP-WalledGarden
04-175
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-3] Bypass Lab ¢ ¢ ¢ ¢ ¢
04-176
Lakukan bypass untuk akses ke website mikrotik Lakukan bypass untuk trafik winbox Lakukan bypass untuk trafik ping dari PC tertentu Lakukan bypass semua akses untuk PC tertentu Lakukan backup router anda :)
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Hotspot - Active ¢
Tabel active digunakan untuk memonitoring client yang sedang aktif / terautentikasi di hotspot server kita secara realtime.
logout user secara manual
Flag (optional) : R : Data user berasal dari Radius B : User di Block karena proses advertisement
04-177
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Hotspot - Host ¢
04-178
Tabel host digunakan untuk memonitoring semua perangkat yang terhubung dengan hotspot server baik yang sudah login ataupun belum
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Hotspot - Host Flag yang tersedia didalam tabel Host : ¢ S : User sudah ditentukan IP nya didalam IP binding ¢ H : User menggunakan IP DHCP ¢ D : User menggunakan IP statik ¢ A : User sudah melakukan login / Autentikasi ¢ P : User di bypass pada IP binding ¢
04-179
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Hotspot – SNMP Monitoring Menampilkan informasi active user di aplikasi monitoring seperti The Dude ¢ Bisa memilih parameter apa saja yang nanti akan ditampilkan. ¢ Untuk menampilkan parameter tertentu pada SNMP Client, adalah dengan menggunaan OID (object identifiers) ¢
04-180
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Hotspot – SNMP Monitoring
04-181
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Hotspot Customization ¢
¢
¢
04-182
Antar muka / tampilan Hotspot server pada Mikrotik tersusun dari berbagai macam file html, yang memungkinkan untuk kita lakukan customisasi tampilan. Penyimpanan file HTML berada di internal storage router dan bisa diakses di menu “FILES” Jika di router ada banyak hotspot server, masingmasing hotspot server tersebut bisa kita atur menggunakan file / direktori hotspot yang berbeda-beda
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Hotspot Customization Untuk upload / download file html tersebut kita bisa menggunakan FTP client (ex : filezilla) ataupun drag-n-drop langsung ke komputer (windows only !) ¢ Apabila terjadi kesalahan konfigurasi file html, kita bisa tekan tombol “Reset HTML” pada menu ip hotspot server l /ip hotspot reset-html ¢
04-183
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
04-184
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
HTML Customization ¢
Ada beberapa halaman html yang berinteraksi langsung dengan user antara lain : l
Redirect.html : membelokkan user ke halaman lain
l
Login.html : halaman tempat user memasukkan username password
l
l l
l
l
04-185
md5.js : file javascript untuk mengacak password (jika menggunakan metode autentikasi http-chap) alogin.html : halaman yang ditampilan setelah user melakukan login status.html : halaman yang menampilkan infomasi statistik penggunaan client saat itu juga logout.html : halaman yang menampilkan informasi statistik penggunaan terakhir client setelah melakukan logout error.html : halaman yang digunakan menampilkan pesan error jika terjadi sebuah kesalahan
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Hotspot Dynamic Rule ¢
¢
04-186
Hotspot gateway pada Mikrotik bisa terbentuk dari kerjasama berbagai fungsi yang ada di router meliputi : l Firewall filter l Firewall nat l Firewall mangle l DHCP server + IP Pool l Proxy Server l DNS Server l Queue Dari semua rule tersebut akan dibuatkan secara otomatis pada saat kita melakukan SETUP hotspot
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Filter Dynamic Rule FORWARD From-client !auth
To-client !auth Static rule Static rule Static rule INPUT From client From !client with TCP dst-port 64872-64875 drop Static rule Static rule Static rule 04-187
HS-UNAUTH Walled Garden IP Protocol tcp reject with tcp reset All packet reject with net prohibited HS-UNAUTH-TO Walled Garden IP All packet reject with icmp host prohibited HS-INPUT All trafic UDP dst-port 64872 accept TCP dst-port 64872-64875 accept
All trafic !auth PRE-HS-INPUT Static Rule Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
NAT Dynamic Rule HOTSPOT
DST-NAT From-client
All traffic
Static NAT
UDP dst-port 53 redirect 64872 PRE-HOTSPOT
Static Rule HS-UNAUTH
TCP dst-port 53 redirect 64872 TCP dst-port 80 to local redirect 64873 TCP dst-port 443 to local redirect 64875
Walled Garden IP TCP dst-port 80 redirect 64874
TCP !auth
TCP dst-port 3128 redirect 64874
TCP auth HS-AUTH
TCP dst-port 8080 redirect 64874 TCP dst-port 443 redirect 64875
TCP HTTP redirect 64874
TCP dst-port 25
TCP dst-port 25
SRC-NAT
HS-SMTP
Src IP hotspot masquerade Static rule 04-188
All trafic from interface hotspot dst-nat to smtp server (server profile)
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
RADIUS Certified Mikrotik Training - Advanced Class (MTCUME) Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
Outline ¢ ¢ ¢ ¢ ¢ ¢ ¢ ¢ ¢ 05-190
AAA RADIUS Protocol RADIUS & NAS (Network Access Server) Radius Communication Radius Packet Radius Component Radius Implementation Radius Client Radius Incoming Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
AAA – Security Implementation ¢
¢
Adalah sebuah konsep security yang diimplementasikan ke dalam sebuah jaringan komputer. AAA ini terdiri dari 3 basis prosedur : l l l
¢
05-191
Authorization Authentication Accounting
Konsep dan prosedur AAA diterapkan di Protocol RADIUS. Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
AAA - Authentication ¢
¢
Adalah Prosedur AAA yang mengatur Verifikasi atau validitas dari user. Berbagai aspek dari user bisa digunakan untuk menentukan user tersebut adalah user yang valid. l l l l
05-192
ID’s (KTP,NIK dll) Username + Password Physical Token Biometric Measure (Fingerprint, Retina Scanner) Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Authentication Challenge Auth : True
INTERNET
✔ Auth : User + Password
Auth : False
RADIUS 05-193
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
AAA - Authorization ¢
¢
Adalah Prosedur AAA yang mengatur apa saja yang user bisa lakukan ke dalam system tersebut, setelah berhasil dan melewati proses Authentication. Pada dasarnya adalah privilege user : l l l l
05-194
Internet Access Control Data Access Control Restrictions Type Of Service Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Authorization Decision Auth : True
✔
Internet Access
INTERNET
Auth :
✔ Auth : True
User + Password No Internet Access
RADIUS 05-195
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
AAA - Accounting ¢
¢
Adalah Prosedur AAA yang melakukan pencatatan terhadap apa saja yang dilakukan User. User Accounting : l l l l
¢
05-196
Traffic Time Session Log
Biasanya digunakan untuk management atau billing. Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Accounting Database Auth : True
✔
Internet Access
INTERNET
Auth :
✔
User + Password
Auth : True
No Internet Access
RADIUS User 1 : 21 min User 2 : 17 min …
05-197
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
RADIUS Protocol ¢
¢
Protocol Radius adalah sebuah protocol yang mengatur mekanisme implementasi konsep AAA dari berbagai NAS (Network Access Server) ke dalam server yang terpusat. Memungkinkan untuk menggunakan hanya 1 database untuk menyimpan data : l l l
¢
05-198
Authentication (username, password) Athorization (profile, user restriction) Accounting (session, log) dari berbagai service yang diberikan oleh NAS.
Data Radius diencapsulasi ke dalam UDP Datagram Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
RADIUS Benefit ¢
¢ ¢
¢
05-199
Management user dan security menjadi lebih mudah karena sudah terpusat di sebuah server. Tidak memerlukan management user di NAS. Management yang sudah terpusat bisa menghemat biaya. Radius bisa dikombinasikan dengan berbagai Access Method (Hotspot, PPTP, PPPoE, Wireless, DHCP dll) Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
NAS – Network Access Server ¢
¢
05-200
NAS adalah sebuah perangkat yang memiliki dua interkoneksi (terletak diantara jaringan yang terproteksi dan jaringan user yang tidak terproteksi). NAS ini adalah sebuah perangkat perantara di mana user harus terkoneksi dengan perangkat NAS tersebut secara langsung dan harus melewati proses / mekanisme AAA supaya bisa menggunakan resource jaringan yang dibutuhkan oleh user. Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
RADIUS & NAS Auth : True
✔
NAS Equipment
Internet Access
INTERNET
Auth :
✔
User + Password
Auth : True
No Internet Access Radius Server – AAA Mechanism
05-201
Mikrotik Indonesia http://www.mikrotik.co.id
RADIUS User 1 : 21 min User 2 : 17 min … 21-Sep-14
RADIUS - Comunication
USER
RADIUS
Link Establishment
Link Establishment
User, Password
AAA Mechanism Acknowledgement
05-202
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
RADIUS Packet ¢ ¢ ¢ ¢ ¢ ¢ ¢ ¢
05-203
ACCESS-REQUEST (1) ACCESS-RESPONSE (2) ACCESS-REJECT (3) ACCESS-CHALLENGE (11) ACCOUNTING-REQUEST (4) ACCOUNTING-RESPONSE (5) STATUS-SERVER (12) STATUS-CLIENT (13)
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
RADIUS Packet - Detail CODE
ID
Length
Authenticator
AV (Payload) RADIUS DATA PACKET ¢ ¢
¢ ¢
05-204
Code : as above ID (Identifier) : Untuk penghubungan otomatis antara request dan reply. Length : Valid Range 20 – 4096 Authenticator : untuk menyembunyikan password (MD5), Request menggunakan random Number / Response menggunakan Authenticator Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
RADIUS Packet – Detail Example RADIUS Request - Access CODE (1)
ID (q)
Length (Header + Payload)
Authenticator (Request) (Random)
Attributes : User, NAS-IP, (MD5)Password, CHAP PWD
RADIUS Response – Access Accept CODE (2)
ID (q)
Authenticator (Response) = MD5 Length (Header + Payload) (Code + ID + req.Authenticator + Attibute and Secret)
Attributes : (All optional) Services Authorized (varies) 05-205
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
RADIUS Packet – Detail Example RADIUS Response – Access Reject Authenticator (Response) = MD5 CODE ID(q per Length (Code + ID + req.Authenticator + (3) transmission) (Header + Payload) Attibute and Secret) Attributes : (optional)
05-206
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
RADIUS - Component ¢
Client / Server Model l
¢ ¢ ¢ ¢ ¢
UDP Based Hop by Hop Security (Secret) Stateless Uses MD5 for Password Hiding A-V Pairs (Attribute Value for various Vendor) l
05-207
NAS (Client) ßà Radius Server
MIKROTIK,CISCO, Windows Server, Samba etc
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
RADIUS – Implementator (Server) ¢ ¢ ¢ ¢ ¢ ¢ ¢
05-208
Livingston FreeRADIUS Cistron Radiator Alepo Juniper: Steel Belt. Mikrotik User Manager
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Radius Client ¢
¢
Mikrotik RouterOS sudah support sebagai Radius Client. Konfigurasinya ada di menu “Radius”. Service RouterOS yang bisa disupport dengan Radius adalah : l l l l l
05-209
RouterOS Login (Winbox, Telnet, SSH, Webfig, FTP) Hotspot PPP (PPTP,L2TP,PPPoE,OVPN dll) DHCP Leases Wireless Access List
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
05-210
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
RADIUS Client - Hotspot INTERNET Auth : User + Password
RADIUS User, Password, Profile, Limit, Accounting 05-211
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Radius Client – Hotspot Config
05-212
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
RADIUS Client – DHCP Server
INTERNET Auth : MACAddress
RADIUS DHCP - Static Lease
05-213
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Radius Client – DHCP Server
05-214
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
RADIUS Client – Wireless ACL
INTERNET
RADIUS Wireless – Access List, Security 05-215
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Radius Client – Wireless Config
05-216
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
RADIUS - Implementation User, Password
INTERNET
User, Password
PPP Secret
RADIUS 05-217
Mikrotik Indonesia http://www.mikrotik.co.id
LAN 21-Sep-14
Radius Client – VPN Server
05-218
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Radius Incoming ¢
¢
¢
05-219
Adalah Fitur yang memungkinkan sebuah Radius Server mengirimkan pesan-pesan penolakan yang dikirim ke Radius Client. Pesan penolakan ini memperpanjang perintah RADIUS protokol, yang memungkinkan untuk mengakhiri SESI yang telah terhubung dari server RADIUS. Untuk itu Pesan DM (Disconnect Message) akan digunakan, menyebabkan sesi user segera diakhiri. Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
05-220
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Radius Incoming Tips&Trik ! ¢
Pesan DM akan hanya berlaku pada service yang menggunakan sesi (Session): l l
¢
¢
05-221
HOTSPOT VPN (PPTP,PPPoE,L2TP dll)
Port Radius Incoming yang disupport oleh User Manager adalah port 1700 Aktifkan CoA pada UserManager
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Radius Dictionary ¢
¢
¢
05-222
Radius Dictionary merupakan sebuah file yang berisi kumpulan attribute / parameter yang akan digunakan Radius server untuk parsing dan merespon request dari Radius client. Pada aplikasi radius server (ex: Freeradius) biasanya sudah terdapat default dictionary. Tetapi banyak perangkat radius client (vendor) memiliki attribute sendiri. Termasuk Mikrotik, memiliki attribute spesifik tersendiri, yang harus kita tambahkan di dictionary yang sudah ada. Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Mikrotik Dictionary ¢
Attribute spesifik Mikrotik meliputi : • • • • • • • • • • • •
Mikrotik-Recv-Limit Mikrotik-Xmit-Limit Mikrotik-Group Mikrotik-Wireless-Forward Mikrotik-Wireless-Skip-Dot1x Mikrotik-Wireless-Enc-Algo Mikrotik-Wireless-Enc-Key Mikrotik-Rate-Limit Mikrotik-Realm Mikrotik-Host-IP Mikrotik-Mark-Id Mikrotik-Advertise-URL
• • • • • • • • • • • •
Mikrotik-Advertise-Interval Mikrotik-Recv-Limit-Gigawords Mikrotik-Xmit-Limit-Gigawords Mikrotik-Wireless-PSK Mikrotik-Total-Limit Mikrotik-Total-Limit-Gigawords Mikrotik-Address-List Mikrotik-Wireless-MPKey Mikrotik-Wireless-Comment Mikrotik-Delegated-IPv6-Pool Mikrotik_Wireless_Minsignal Mikrotik_Wireless_Maxsignal
http://wiki.mikrotik.com/wiki/ Manual:RADIUS_Client#Supported_RADIUS_Attributes 05-223
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Quiz ! ¢
¢
05-224
OVPN (Open VPN) Authentication bisa menggunakan Radius (Ya/Tidak) Radius Incoming bisa digunakan untuk memutus koneksi client wireless yang Access List Pada sebuah AP wireless tersebut menggunakan Radius Authorization ? (Ya/Tidak)
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Mikrotik User Manager Certified Mikrotik Training - Advanced Class (MTCUME) Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
Outline ¢ ¢ ¢
Mikrotik UserManager UserManager Installation UserManager Main Components l l l l l l
¢
06-226
Customers Routers Users Profile Session Report
UserManager Example Config Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Mikrotik UserManager ¢
¢
¢
UserManager adalah sebuah Radius Server yang dikembangkan oleh Mikrotik untuk memperkaya fungsi dari Mikrotik RouterOS. Adalah Software Add-on berbentuk paket (*.npk) tambahan yang tidak termasuk dalam Paket basic RouterOS. RoS v.3/4/5/6 Supported l
06-227
Versi UserManager Harus sama dengan versi RoS !
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager Features ¢ ¢
Web Interface Configuration Supported Service: l l l l l
¢ ¢ ¢ ¢ ¢ ¢
06-228
Hotspot VPN DHCP Wireless ROS Login
Backup / restore Database Report & Voucher Generator ROS External Disk storage Radius Incoming Supported (v.4/5/6) Customize LOGO & Template Payment Gateway (Paypal & Authorize.net) Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager Installation (1) ¢
Hardware : l l l
¢
06-229
32 MB RAM (Minimum) 2MB on hard drive (more recommended) x86 architecture / All RouterBOARDs
UserManager Package :
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager Installation (2) ¢
RouterOS license; l l l l l l
06-230
Level 0 – 0 active sessions Level 1 – 0 active sessions Level 3 – 10 active sessions Level 4 – 20 active sessions Level 5 – 50 active sessions Level 6 – Unlimited
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager Installation (3) ¢
Upload package to the router, pastikan menggunakan versi yang sama !
Drag Drop (Windows), FTP, SCP
RoS v6.0rc2 06-231
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager Installation (3) ¢
Check the Installation : Console (CLI) :
¢
Web Interface : http://ip-router/userman
¢
06-232
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager First Access ¢ ¢
¢
06-233
Default Username : admin Password: Customer adalah kumpulan administrator dari UserManager. UserManager tidak berhubungan dengan User di Internal Router.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager First Access
06-234
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager Customers
¢ ¢
06-235
Permission “Owner” adalah level paling tinggi. Hanya boleh ada 1 Customer dengan permission “Owner” dalam UserManager Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Customers Permissions
06-236
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Customers (1)
¢
¢
¢
¢
¢
¢
Login & Password : Untuk menggunakan web interface Parent : Customers yang memiliki level hirarki di atasnya. Permission : limitasi kemampuan customers
Public ID : Identifikasi Customer Untuk digunakan pada user sign-up. Public Host : IP Public / website yang valid dari UserManager. Backup Allowed : Boleh melakukan backup database
06-237
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Customers (2)
¢ ¢
Own Access : Boleh membuat Data sendiri Parent Access : Boleh menggunakan data dari parent
06-238
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Customers (3)
¢
¢ ¢
Private Information : Informasi Tambahan dari Customers Signup Options : Boleh mengaktifkan halaman SignUp Format : Menentukan Mata uang dan Time Zone
06-239
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager - Router
¢
06-240
dfsf
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Router = NAS ¢
¢ ¢ ¢
¢ ¢
UserManager Router = Radius NAS (Network Access Server) Name : Identitas Router Owner : Identitas Customer IP Address : IP address dari router yang akan menggunakan UserManager Shared Secret : Key Password Radius Incoming – hanya untuk router/NAS yang sudah support Radius Incoming l
l
06-241
Use CoA – jika Router support CoA (Mikrotik sudah support) CoA Port – Mikrotik support dengan port 1700 Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager Profile
06-242
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager Profile - Limitation
06-243
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager – Users (1)
06-244
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager – Users (2) ¢
¢ ¢
Username & Password : Informasi login untuk akses user Owner : Identitas Customers Constrain - Batasan untuk user l l
¢
06-245
IP address – user menggunakan ip address tertentu Shared User – limit jumlah multi-login
Wireless – limitasi khusus untuk access-list wireless
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager – Users (3) ¢
¢
06-246
Private Information – Informasi tambahan untuk profil user. Assign Profile – Profile yang digunakan ketika user tersebut login
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager – Users (add Batch)
UserManager mampu membuat multiple user dengan sekali perintah. 06-247
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager – Generate Voucher
06-248
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager – Generate Voucher
06-249
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager Session UserManager Session adalah database history dari session user yang sudah digunakan
06-250
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager Settings
06-251
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Settings - Logo
Untuk mengubah Logo upload logo anda di directory “umfiles” 06-252
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Settings – Template Voucher
06-253
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager Reports
06-254
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Generated Report
06-255
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager Maintenance
06-256
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Quiz ! ¢
¢
06-257
Bagaimana mengatasi kondisi lupa username dan password untuk login di UserManager ? Sebuah Router mengaktifkan Service VPN dan juga Hotspot, Apakah bisa hanya menggunakan 1 UserManager sebagai Server Autentikasinya Untuk kedua service tersebut ?
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-1] UserManager + Hotspot INTERNET
Auth :
HOTSPOT SERVER
User + Password
RADIUS User, Password, Profile, Limit, Accounting 06-258
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-1] Example Config (1) ¢
Siapkan Radius Client dan UserManager untuk digunakan di Network Hotspot Anda yang sudah dibuat sebelumnya : l l
l l
06-259
Konfigurasi Hotspot supaya menggunakan Radius. Konfigurasi Radius Client aktifkan service Hotspot dan gunakan ip 127.0.0.1 untuk radius server. Install UserManager ke dalam Router Anda. Buat dan Gunakan Customer Baru yang memiliki hak akses Full.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Config Hotspot Using Radius
06-260
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Config Radius Client for Hotspot
06-261
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
New Customer
06-262
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Login using New Customer
06-263
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
New Router
06-264
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
06-265
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
New Profile
06-266
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Assign Limitation to Profile
06-267
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Add New User
06-268
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Check Hotspot Server
06-269
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Quiz ! ¢
¢
¢
06-270
Ketika menggunakan UserManager, user yang ada di Local Router Hotspot apakah bisa digunakan ? Jika User Local di Router Hotspot bisa digunakan, Mana yang akan digunakan jika kebetulan username nya sama ? Ketika menggunakan UserManager, User Profile yang ada di Local Router Hotspot apakah bisa digunakan ? Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
UserManager Disconnecting Client
06-271
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
User Page ¢
Web Interface : l l
06-272
http://ip-router/user http://ip-router/userman/user
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
User Page maintenance
06-273
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
[LAB-2]DHCP&VPN Radius ¢
¢
Buat DCHP server di ether5 dan tentukan IP yang akan didapatkan oleh client menggunakan usermanager Buat VPN (pptp) server dan tentukan kebijakan ke user menggunakan userman l
l
06-274
Maximum rate upload 128kbps download 512k dengan kuota 10MB Jika sudah mencapai 10MB, rate menjadi upload 32k download 128k
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Advanced Mikrotik Training
User Manager (LAB Session) Certified Mikrotik Training - Advanced Class (MTCUME) Organized by: Citraweb Nusa Infomedia (Mikrotik Certified Training Partner)
KONSEP ¢
¢
¢
99-276
Lab Praktek ini dibuat berkelompok, dengan memanfaatkan 4 router dan 4 Peserta. Tiap kelompok membuat konfigurasi beberapa router sehingga lengkap menjadi sebuah sistem kerja ISP yang sudah mengimplementasikan Materi User Manager. Konfigurasi routing & bridging secara tepat supaya semua client bisa saling terkoneksi.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Network Topology R1
Ether 2
R2
Internet Wlan1
Ether 3
Ether 2
SSID: training
Bridge LAN
LAN
Ether 1 ¢
HOTSPOT
LAN 99-277
R4 Office 2
R3 Ether 3
Wlan1
Ether 1
Ether 3 Office 1
Mobile Client
Ether 3
PPPoE
Keterangan : l R1 – Router Backbone l R2 – Router UserManager l R3 – Router Office Local l R4 – Router Office Luar
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
R1 - Router Backbone 172.2Y.1.1/24
R2
Ether 2
Internet
R1
Mobile Client Wlan1
SSID: training
10.10.10.X/24
Ether 3 172.2Y.1.2/24 Vlan 1
Ether 3 172.2Y.2.1/24
¢
Ether 2
172.2Y.2.2/24
Office 1 R3 ¢
99-278
Authentication L2TP/ IPSec dan PPTP/BCP/ MLPPP menggunakan UserManager di R2
¢
¢
¢
R1 terkoneksi ke SSID Training dan INTERNET R1 memiliki L2TP/IPSec server untuk mobile client R1 memiliki PPTP/BCP/ MLPPP server untuk R4 (office 2) R1 memiliki VLAN untuk bridge dengan LAN di R3
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
R2 – Router UserManager 172.2Y.1.1/24
Ether 2
R2 Ether 3
172.2Y.1.2/24
R1
¢
¢
Office 1
R2 Berfungsi sebagai UserMananger R2 menyediakan authentication untuk : l l l l
¢
99-279
PPPoE server di R4 Hotspot server di R3 L2TP/IPSec server di R1 PPTP/BCP server di R1
Koneksi R2 ke R1,R3 dan R4 adalah routing.
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
R3 – Router Office 1
R4
R1
Office 2 Bridge LAN
Ether 3 Vlan 1
Office 1
172.2Y.2.1/24
R3 Ether 3
LAN
¢ ¢
Ether 1 ¢
HOTSPOT 10.Y.1.0/24
LAN 99-280
192.168.Y.0/24
172.2Y.2.2/24
Ether 2
Ether 1
R3 sebagai Router Office Memiliki Hotspot, autentikasi menggunakan UserManager di R2 Memanfaatkan VLAN untuk bridge antar local LAN (Office 1) dengan remote LAN (Office 2) di R4
Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
R4 – Router Office 2 R4
Internet SSID: training
10.10.10.X/24
Wlan1
Ether 1
Bridge LAN 192.168.Y.0/24 R3
¢ ¢
¢
LAN 99-281
Ether 3
PPPoE
LAN
Ether 1
Office 2
10.Y.2.0/24
R4 adalah sebagai Router Office 2 R4 memberikan Service PPPoE, Autentikasi memanfaatkan UserManager di R2 R4 terkoneksi PPTP/BCP/MLPPP dengan R1 supaya bisa melakukan bridge Local LAN dengan R3 Mikrotik Indonesia http://www.mikrotik.co.id
21-Sep-14
Selamat Mengerjakan !
[email protected] Diijinkan menggunakan sebagian atau seluruh materi pada modul ini, baik berupa ide, foto, tulisan, konfigurasi, diagram, selama untuk kepentingan pengajaran, dan memberikan kredit dan link ke www.mikrotik.co.id