Silahkan di Pelajari Scriptnya..... ini berdasarkan pengalaman Pribadi, Selalu Teliti dalam mengkonfigurasi....
hanya untuk profesional, mengerti alurnya.... IP dan Lain2 sesuaikan dengan keinginan agan
/interface ethernet
set [ find default-name=wlan1 ] name="wlan1 - Wan"
set [ find default-name=ether1 ] name="ether1 - Lan"
/ip firewall layer7-protocol
add name=EXE regexp="\\x4d\\x5a(\\x90\\x03|\\x50\\x02)\\x04"
add name=ZIP regexp="pk\\x03\\x04\\x14"
add name=MP4 regexp="\\x18\\x66\\x74\\x79\\x70"
add name=RAR regexp="Rar\\x21\\x1a\\x07"
add name=youtube regexp="r[0-9]+---[a-z]+-+[a-z0-9-]+\\.googlevideo\\.com"
/queue type
add kind=pcq name=down_pcq pcq-classifier=dst-address pcq-dst-address6-mask=\
64 pcq-src-address6-mask=64
add kind=pcq name=up_pcq pcq-classifier=src-address pcq-dst-address6-mask=64 \
pcq-src-address6-mask=64
/queue tree
add name="Global Traffic" parent=global queue=default
add max-limit=1500k name=Download parent="Global Traffic" queue=default
add max-limit=1500k name=Upload parent="Global Traffic"
add limit-at=512k max-limit=1500k name="1. Game" packet-mark=games_down parent=\
Download priority=1 queue=down_pcq
add limit-at=64k max-limit=1500k name="2. Icmp" packet-mark=icmp_down parent=\
Download priority=1 queue=down_pcq
add limit-at=64k max-limit=1500k name="3. Dns" packet-mark=dns_down parent=\
Download priority=1 queue=down_pcq
add max-limit=1500k name="5. Download Traffic" parent=Download queue=default
add max-limit=1500k name="1. Small Browsing" packet-mark=small_browsing_down \
parent="5. Download Traffic" priority=5 queue=down_pcq
add max-limit=1500k name="2. Heavy Browsing" packet-mark=heavy_browsing_down \
parent="5. Download Traffic" priority=7 queue=down_pcq
add limit-at=512k max-limit=1500k name="4. Remote" packet-mark=remote_down \
parent=Download priority=3 queue=down_pcq
add max-limit=1500k name="3. YouTube" packet-mark=youtube_down parent=\
"5. Download Traffic" priority=7 queue=down_pcq
add max-limit=1500k name="4. Extensi" packet-mark=extensi_down parent=\
"5. Download Traffic" queue=down_pcq
add limit-at=256k max-limit=1500k name="1. game" packet-mark=games_up parent=\
Upload priority=1 queue=up_pcq
add limit-at=32k max-limit=1500k name="2. icmp" packet-mark=icmp_up parent=\
Upload priority=1 queue=up_pcq
add limit-at=32k max-limit=1500k name="3. dns" packet-mark=dns_up parent=\
Upload priority=1 queue=up_pcq
add limit-at=256k max-limit=1500k name="4. remote" packet-mark=remote_up \
parent=Upload priority=3 queue=up_pcq
add max-limit=1500k name="5. Upload Traffic" parent=Upload queue=default
add max-limit=1500k name="1. small browsing" packet-mark=small_browsing_up \
parent="5. Upload Traffic" priority=5 queue=up_pcq
add max-limit=1500k name="2. heavy browsing" packet-mark=heavy_browsing_up \
parent="5. Upload Traffic" priority=7 queue=up_pcq
add max-limit=1500k name="3. youtube" packet-mark=youtube_up parent=\
"5. Upload Traffic" priority=7 queue=up_pcq
add max-limit=1500k name="4. extensi" packet-mark=extensi_up parent=\
"5. Upload Traffic" queue=up_pcq
/ip firewall address-list
add address=192.168.0.0/16 list=Private_IPv4
add address=172.0.2.0/24 list=private_IPv4
add address=10.0.0.0/8 disabled=yes list=private_IPv4
add address=9.8.7.224/27 list=privatE_IPv4
/ip firewall mangle
add action=accept chain=prerouting comment="Bypass Local Traffic" \
dst-address-list=private_IPv4 src-address-list=private_IPv4
add action=accept chain=forward dst-address-list=private_IPv4 \
src-address-list=private_IPv4
add action=mark-connection chain=forward comment="Games Traffic" dst-port=\
30050-30150 new-connection-mark=games passthrough=yes protocol=tcp \
src-address-list=private_IPv4
add action=mark-connection chain=forward dst-port=5000-5570 \
new-connection-mark=games passthrough=yes protocol=tcp src-address-list=\
private_IPv4
add action=mark-connection chain=forward dst-port=5000-5570 \
new-connection-mark=games passthrough=yes protocol=udp src-address-list=\
private_IPv4
add action=mark-packet chain=forward connection-mark=games in-interface=\
"wlan1 - Wan" new-packet-mark=games_down passthrough=no
add action=mark-packet chain=forward connection-mark=games in-interface=\
"ether1 - Lan" new-packet-mark=games_up passthrough=no
add action=mark-connection chain=forward comment="ICMP Traffic" \
new-connection-mark=icmp passthrough=yes protocol=icmp src-address-list=\
private_IPv4
add action=mark-packet chain=forward connection-mark=icmp in-interface=\
"wlan1 - Wan" new-packet-mark=icmp_down passthrough=no protocol=icmp
add action=mark-packet chain=forward connection-mark=icmp in-interface=\
"ether1 - Lan" new-packet-mark=icmp_up passthrough=no protocol=icmp
add action=mark-connection chain=forward comment="DNS Traffic" dst-port=53 \
new-connection-mark=dns passthrough=yes protocol=udp src-address-list=\
private_IPv4
add action=mark-packet chain=forward connection-mark=dns in-interface=\
"wlan1 - Wan" new-packet-mark=dns_down passthrough=no protocol=udp
add action=mark-packet chain=forward connection-mark=dns in-interface=\
"ether1 - Lan" new-packet-mark=dns_up passthrough=no protocol=udp
add action=mark-connection chain=forward comment="Remote Traffic" dst-port=\
22,23,8291,5938,4899 new-connection-mark=remote passthrough=yes protocol=\
tcp src-address-list=private_IPv4
add action=mark-packet chain=forward connection-mark=remote in-interface=\
"wlan1 - Wan" new-packet-mark=remote_down passthrough=no
add action=mark-packet chain=forward connection-mark=remote in-interface=\
"ether1 - Lan" new-packet-mark=remote_up passthrough=no
add action=mark-connection chain=forward comment="YouTube Traffic" \
layer7-protocol=youtube new-connection-mark=youtube passthrough=yes \
src-address-list=private_IPv4
add action=mark-packet chain=forward connection-mark=youtube in-interface=\
"wlan1 - Wan" new-packet-mark=youtube_down passthrough=no
add action=mark-packet chain=forward connection-mark=youtube in-interface=\
"ether1 - Lan" new-packet-mark=youtube_up passthrough=no
add action=mark-connection chain=forward comment="Extension Layer7" \
layer7-protocol=EXE new-connection-mark=extensi passthrough=yes
add action=mark-connection chain=forward layer7-protocol=ZIP \
new-connection-mark=extensi passthrough=yes
add action=mark-connection chain=forward layer7-protocol=RAR \
new-connection-mark=extensi passthrough=yes
add action=mark-packet chain=forward connection-mark=extensi in-interface=\
"wlan1 - Wan" new-packet-mark=extensi_down passthrough=no
add action=mark-packet chain=forward connection-mark=extensi in-interface=\
"ether1 - Lan" new-packet-mark=extensi_up passthrough=no
add action=mark-connection chain=forward comment="Browsing Traffic" \
connection-mark=!heavy_traffic new-connection-mark=browsing passthrough=\
yes src-address-list=private_IPv4
add action=mark-connection chain=forward comment="Heavy Traffic" \
connection-bytes=1024000-0 connection-mark=browsing connection-rate=\
256k-102400k new-connection-mark=heavy_traffic passthrough=yes protocol=\
tcp
add action=mark-connection chain=forward connection-bytes=1024000-0 \
connection-mark=browsing connection-rate=256k-102400k \
new-connection-mark=heavy_traffic passthrough=yes protocol=udp
add action=mark-packet chain=forward connection-mark=heavy_traffic \
in-interface="wlan1 - Wan" new-packet-mark=heavy_browsing_down \
passthrough=no
add action=mark-packet chain=forward connection-mark=heavy_traffic \
in-interface="ether1 - Lan" new-packet-mark=heavy_browsing_up \
passthrough=no
add action=mark-packet chain=forward connection-mark=browsing in-interface=\
"wlan1 - Wan" new-packet-mark=small_browsing_down passthrough=no
add action=mark-packet chain=forward connection-mark=browsing in-interface=\
"ether1 - Lan" new-packet-mark=small_browsing_up passthrough=no
Jumat, 28 September 2018
Kamis, 05 Mei 2016
Memetakan koneksi dengan Mark-Route
Pilihan mengunakan lebih dari satu koneksi internet bisa menjadi solusi bagi
kebutuhan netwok yang lebih lancar dan reliable. Akan tetapi, management yang
kurang baik
bisa membuat munculnya permasalahan baru.
Dengan adanya lebih dari satu link, koneksi yang lalu lalang akan melewati kedua
link tergantung link mana yang sedang kosong. Dengan beberapa pertimbangan, admin
jaringan kadang memilih untuk melewatkan sebuah koneksi ke jalur tertentu, misal
koneksi tersebut merupakan koneksi aplikasi penting.
Pada contoh kasus kali ini misalkan kita punya 2 koneksi internet dengan bandiwdth
yang berbeda. Kemudian akan kita bedakan jalur IIX ke ISP dengan bandwidth yang
lebih besar, sebut saja ISP 1, dan untuk koneksi ke international akan menggunakan
jalur ISP dengan badwidth yang lebih kecil, sebut saja ISP 2. Jika kita gambar
topologi, maka akan terlihat seperti gambar berikut :
Kita gunakan fitur Mangle pada Router MikroTik untuk menandai
sebuah koneksi. Pertama, untuk membedakan traffic yang dituju oleh client adalah
traffic ke IIX atau international, kita membutuhkan daftar IP yang telah di advertise
di IIX (IP address yang ada di Indonesia) dengan address-list. Address list ini
yang nanti akan kita gunakan utuk mengetahui apakah client mengakses ke web lokal
atau international berdasarkan ip yang dituju.
Jangan khawatir, mikrotik.co.id telah menyediakan script daftar IP address IIX
bernama nice.rsc yang bisa Anda copy-paste di terminal MikroTik. File nice.rsc bisa juga didownload
langsung dari terminal di RouterOS. Contoh command :
Setelah download file nice.rsc selesai, jangan lupa import ke address-list, maka
router akan mebuat daftar ip address pada address-list firewall bernama "nice"
Selanjuntya kita akan menggunakan fitur mangle untuk menandai koneksi dari client,
meuju ke IIX atau international. Pertama kita tandai koneksi yang menuju ke IIX.
Pada parameter in-interface silahkan pilih interface yang terkoneksi ke jaringan
lokal. Kemudian kita buat mangle satu lagi untuk menandai koneksi yang selain
menuju ke IIX, akan kita tandai sebagai koneksi yang menuju international.
Setelah berhasil menandai koneksi, selanjutnya adalah mengarahkan koneksi tersebut
ke salah satu ISP dengan menggunakan fitur route, berdasarkan mark-router yang
telah dibuat sebelumnya. Caranya cukup mudah, kita buat rule routing baru dengan
dst address = 0.0.0.0/0
dengan gateway ISP 1. Jangan lupa pada bagian mark-route, kita pilih mangle untuk
koneksi IIX, begitu juga untuk rule routing koneksi inernational.
Setting sudah selesai, coba cek dengan trace route ke IP address IIX dan IP address
international, kemudian perhatikan gateway mana yang dilalui. Jangan lupa juga
untuk melakukan setting NAT masquerade untuk kedua gateway agar client dapat terkoneksi
ke internet. Penggunaan mangle nantinya juga dapat dibuat lebih custom, misal
berdasarkan port dan protokol.
Sumber : www.mikrotik.co.id
Bypass Port pada Mikrotik
Bypass Port Mikrotik, sebuah fitur hardware Mikrotik yang mungkin jarang digunakan.
Fitur ini disematkan pada beberapa produk hardware Mikrotik untuk digunakan saat
kondisi darurat.
Pada dasarnya, fungsi dari Bypass Port ini adalah agar traffic tetap dapat lewat
pada
saat software atau hardware tidak dapat bekerja, bahkan pada saat mati (power
off).
Bagi provider, ketersediaan layanan jaringan adalah hal yang sangat
penting. Customer berharap layanan tersebut akan selalu tersedia atau dengan
kata lain SLA 100%. Akan tetapi dari sisi penyedia terkadang kendala
teknis menjadikan hal tersebut tidak dapat diberikan secara sempurna.
Misalnya pada saat Router tiba-tiba hang, tidak bisa booting atau bahkan
mati. Pada saat seperti ini, salah satu yang biasanya dilakukan adalah
mem-bypass traffic client, tujuannya agar client tetap dapat akses internet.
Untuk provider dengan skala yang masih kecil, terkadang tidak
mempunyai perangkat pengganti yang bisa digunakan sewaktu-waktu. Dalam kondisi
inilah bypass port Mikrotik dibutuhkan.
Bypass Port pada RouterBoard
Produk RouterBoard yang terdapat bypass port adalah RB1100 series, seperti RB1100AH,RB1100AHx2,RB1100AHx2-LM,dsb.
Pada produk tersebut yang dapat difungsikan sebagai bypass port adalah ether11
dan ether12.
Kedua port ethernet tersebut akan terhubung dan dapat melewatkan traffic dalam
kondisi RouterBoard mati (power off) serta saat hardware atau OS fail. Jika pada
kondisi normal kedua ethernet tersebut bekerja independen.
Bypass Port pada MikroBits
Selain RouterBoard, Bypass Port juga terdapat pada produk MikroBits series.
Secara fungsi sama, akan tetapi dari segi jumlah, Bypass Port pada MikroBits series
lebih banyak, yakni 2 pasang (4 port ethernet). Disamping itu, tidak ada switch
untuk disable/enable fungsi Bypass. Fungsi tersebut akan selalu aktif pada MikroBits.
MikroBits Ainos
Memiliki 4 port ethernet (2 pasang) yang dapat difungsikan untuk bypass port.
Yakni ether1 dan ether2 serta ether3 dan ether4.
MikroBits Dinara
Memiliki 4 port ethernet (2 pasang) yang dapat difungsikan untuk bypass port.
Yakni ether5 dan ether6 serta ether7 dan ether8.
Percobaan
Untuk dapat mengetahui apakah Bypass Port ini bekerja, kami lakukan sebuah
percobaan sederhana. Yaitu dengan menghubungkan 2 buah perangkat pada masing-masing
port dan mencoba untuk simulasi ketika perangkat Router Bypass tersebut hang atau
mati.
Caranya sederhana, yaitu memasang IP yang satu segment pada Router1 dan Router2,
kemudian lakukan test ping.
-
Router1 : Dihubungkan ke arah RB1100AHx2 menggunakan kabel via ether3 dengan IP 172.16.1.1/30
-
Router2 : Dihubungkan ke arah RB1100AHx2 menggunakan kabel via ether5 dengan IP 172.16.1.2/30
-
RB1100AHx2: Aktifkan Bypass Port dengan memposisikan switch pada posisi ON (I).
Pada kondisi RB1100AHx2 normal, maka ether11 dan ether12 bekerja secara independen.
Jika dilakukan ping dari Router1 ke Router2 maka hasilnya RTO, sebab kedua ether
bekerja pada mode Routing.
Pada Kondisi RB1100AHx2 tidak bisa booting (OS Fail) bypass port akan berkerja
selayaknya sebuah switch, artinya kedua port ethernet tersebut akan terhubung
secara hardware. Router1 dan Router2 dapat berkomunikasi.
Percobaan ketiga dilakukan dengan mematikan RB1100AHx2 dengan cara shutdown dari
winbox serta cabut kabel power, hasilnya sama, yakni bypass port akan bekerja.
Router1 dapat berkomunikasi dengan Router2.
Percobaan Bypass Port MikroBits
Percobaan yang sama juga kami lakukan pada MikroBits series. Hasil yang didapatkan
sedikit berbeda dengan percobaan pada RouterBoard
Bypass port pada MikroBits akan berjalan/aktif pada saat perangkat mati (power
off), sedangkan jika permasalahan terjadi pada sisi OS, maka bypass port tidak
berjalan.
Dari hasil percobaan terlihat bahwa bypass port memang bisa berjalan dan diterapkan.
Fungsi ini bisa menjadi solusi untuk tetap melewatkan traffic pada perangkat yang
rusak tanpa melakukan
penggantian perangkat untuk sementara waktu.
Langganan:
Postingan (Atom)