Belajar Mikrotik: Login Mikrotik Router OS Dengan Radius Server

Belajar Mikrotik: Login Mikrotik Router OS Dengan Radius Server

Login Mikrotik Router OS Dengan Radius Server


Ada beberapa cara yang bisa kita gunakan untuk memberi keamanan pada Router Mikrotik. Dimulai dari yang paling simple yaitu dengan mengganti username dan password, menutup port yang tidak digunakan, hingga pembatasan akses menggunakan firewall. Detail cara menganmankan Router Mikrotik, sebelumnya sudah pernah kami bahas pada artikel yang berjudul 10 Cara Mengamankan Router Mikrotik.
Pada artikel kali ini kami akan mencoba membahas mengenai system login Router Mikrotik menggunakan RADIUS
Pada artikel sebelumnya, kami juga sudah membahas mengenai implementasi RADIUS User Manager dengan DHCP, Wireless, PPP, dan Hotspot. 
RADIUS (Remote Authentication Dial In User Service) merupakan protokol jaringan yang menjalankan service management Authentication, Authorization, dan Accounting (AAA) secara terpusat untuk user yang terkoneksi dan hendak menggunakan resource dalam jaringan.
Cara kerja dari RADIUS:
Mikrotik memiliki fitur RADIUS Server yang bernama UserManager. Dengan UserManager ini kita bisa membuat satu user di dalam UserManager kemudian user tersebut dapat digunakan untuk login di semua router di jaringan kita. 
Sebagai contoh kasus, kita sebagai atasan ingin memberikan hak akses kepada user teknisi untuk dapat mengakses ke Router. Dengan Radius ini kita bisa membuat satu username dan password secara terpusat, sehingga ketika kita memiliki banyak router dan ingin mengganti username dan password untuk suatu user maka kita tidak perlu melakukannya di semua router, cukup kita ubah username dan password pada Radius UserManager.
TOPOLOGI:
 
Dengan topologi diatas, kita akan mencoba membuat username dan password secara terpusat menggunakan RADIUS UserManager pada R1. Kita akan mencoba membuat username dan password sebagai berikut untuk semua Router: 
Username    : teknisi 
Password     : 12345
 

Konfigurasi 
Konfigurasi System User
Langkah pertama, kita bisa lakukan konfigurasi pada System User Mikrotik. Pada System>User Masuk kedalam menu AAA. Pada menu ini kita bisa aktifkan "Use RADIUS" sehingga username dan password yang sudah dibuat pada RADIUS UserManager bisa digunakan untuk login. Pada parameter "Default Group" kita biarkan saja menggunakan default "read". Konfigurasi ini dilakukan di semua Router supaya username dan password dari Radius bisa digunakan untuk login.
 
Instalasi User Manager pada R1 
Secara default, UserManager belum terinstall pada Mikrotik, sehingga untuk menggunakannya kita perlu melakukan install package UserManager. Package Usermanager bisa Anda download secara gratis pada halaman mikrotik.com. Package Usermanager terdapat didalam file "Extra packages". Ketika akan mendownload pastikan versi Router OS yang digunakan sudah sama, dan juga pastikan arsitektur yang didownload sudah sesuai dengan Router yang digunakan. Detail instalasi UserManager bisa Anda lihat pada artikel kami yang berjudul: Integrasi Hotspot dengan User Manager

Integrasi System Login dengan RADIUS UserManager 
Integrasi System Login dengan RADIUS UserManager sudah pernah kami buatkan pada artikel sebelumnya. Teman-teman bisa ikuti panduan yang bisa ditemui pada artikel kami yang berjudul: Integrasi Hotspot dengan User Manager
Sehingga nanti pada menu Radius Router akan mendapatkan konfigurasi seperti berikut: 
 
Kemudian pada menu Routers UserManager maka akan mendapatkan konfigurasi sebagai berikut: 
  
Setelah berhasil melakukan konfigurasi diatas, maka langkah selanjutnya adalah membuat limitations baru dengan cara klik: Profile>>Limitation>>Add new. Pada parameter Name dan Constraint bisa diisikan "write". 
 
Jika limitasi sudah dibuat, maka masuk ke tab profile, kemudian buat profile baru. Sebagai contoh kami akan memberikan nama untuk profile baru ini adalah "profile-write" kemudian tambahkan limitasi yang sudah dibuat sebelumnya, yaitu write. 
 
 
Setelah berhasil membuat limitasi dan profile, maka langkah selanjutnya adalah membuat Users yang bisa digunakan untuk login ke semua Router yang terdapat di dalam jaringan. Untuk membuat Users maka masuk ke menu "Users" kemudian tambahkan user baru. Kita bisa isikan Username dan Password yang nantinya akan digunakan untuk login ke semua Router, kemudian pada parameter "Assign-Profile" bisa kita arahkan ke profile yang sebelumnya sudah dibuat. 
 

Tahap Pengujian 
Sebagai tahap pengujian, kita akan mencoba login ke perangkat Router Mikrotik menggunakan user yang sudah dibuat pada RADIUS UserManager dengan group "write". Kita bisa lakukan pengecekan pada menu system>>user>>active profile, maka akan terdapat user dengan flag-R (RADIUS). 
   
Note: 
  • Pada kasus diatas, tentunya tidak hanya menggunakan Radius Usermanager saja, sebagai opsi lain kita juga bisa membuat username router menggunakan freeradius atau yang lainnya.
  • Berdasarkan konfigurasi yang sudah dilakukan, salah satu parameter yang paling penting adalah "constraint" pada menu "Profiles">>"Limitation". Sebagai contoh kasus diatas kami menggunakan Parameter constraint "write". Constraint "write" ini akan mengacu ke grup "write" yang terdapat pada setiap Router. Sehingga jika kita melakukan custom grup, maka pada parameter constraint ini juga harus di sesuaikan dengan custom group yang sudah kita buat. Sebagai contoh seperti gambar dibawah ini: 
  
  • Ketika menggunakan fitur RADIUS maka kita bisa membuat satu username dengan group full dan digunakan oleh banyak client, namun sebagai catatan bahwa username dengan group "ful" pada router tidak bisa di hapus. Di Router minimal harus terdapat satu user dengan group "full". Dan jika kita hapus maka akan mendapati eror seperti berikut: 
 

Sumber: https://citraweb.com
Belajar Mikrotik: Site-to-Site GRE Tunnel menggunakan DNS

Belajar Mikrotik: Site-to-Site GRE Tunnel menggunakan DNS

Site-to-Site GRE Tunnel menggunakan DNS


Ada pertanyaan bagaimana membuat tunnel melalui jaringan internet namun IP pUblic yang dimiliki adalah dynamic. Dengan IP Dynamic ini tentunya cukup sulit membuat peer-to-peer tunnelnya karena IP yang didapat selalu berganti.
Nah, dengan kasus seperti diatas kita bisa menggunakan DNS. Dan di MikroTik sendiri kita bisa memanfaatkan fitur IP Cloud. Sebagai simulasi kali ini kita akan mecoba menggunakan GRE untuk tunnelnya dan menggunakan Dmain Name untuk membuat peering GRE Tunnel.
Pembahasan mengenai konfigurasi GRE tunnel di Mikrotik sebenarnya sudah pernah dibuat pada artikel sebelumnya, yang bisa dilihat pada judul Interkoneksi Jaringan dengan GRE Tunnel. Namun, kali ini kita akan fokus pada konfigurasi IP Cloudnya dan juga implementasi pada GRE Tunnel-nya.
Mengaktifkan IP Cloud
Supaya IP Cloud dapat berjalan dengan baik, maka pertama kali kita pastikan untuk alokasi IP Public terpasang langsung di router Mikrotik dan sudah sesuai dengan alokasi yang diberikan oleh ISP.
Kemudian selanjutnya kita tinggal mengaktifkan /ip coud di masing-masing routernya.
Lebih detail mengenai fitur IP Cloud di Mikrotik bisa dilihat pada judul artikel berikut Solusi Dynamic IP Public dengan IP Cloud 
Konfigurasi GRE Tunnel menggunakan Domain Name
Setelah mendapatkan update DNS Name dari IP Cloud, selanjutnya kita buat GRE Tunnel menggunakan DNS Name tersebut. 
 
Pada parameter 'Local Address' dimasukkan informasi DNS Name yang didapat dari IP CLoud dari router sendiri, sedangkan 'Remote Address' merupakan DNS Name dari ip cloud router lawannya.
Apabila sudah sesuai, klik 'OK" dan pastikan untuk interface dari GRE-Tunnel sudah 'R' (Running). Kita juga bisa langsung pasang IP Address pada interface GRE Tunnelnya.
Terakhir, untuk pengetesan kita bisa menggunakan 'New Terminal' dan test PING ke IP Address dari GRE-Tunnel yang sudah dibuat sebelumnya.
 
Jika hasilnya reply maka koneksi sudah terbentuk dan bisa digunakan untuk interkoneksi jaringan antar LAN via Internet. 
Belajar Mikrotik: [DHCP Server] Vendor Classes

Belajar Mikrotik: [DHCP Server] Vendor Classes

[DHCP Server] Vendor Classes


Pada versi RouterOS 6.45beta6 ditambahkan sebuah fitur baru pada service DHCP. Fitur tersebut adalah 'Vendor Classes". 
Vendor Class ini digunakan untuk melakukan identifikasi vendor dari perangkat DHCP Client dan dengan fitur ini kita bisa menerapkan konfigurasi tertentu berdasarkan Class-ID nya. 

Sebagai contoh disini kita bisa memberikan alokasi IP Address tertentu dari DHCP server berdasarkan Class-ID nya. Dan dengan IP Address tersebut kita dapat melakukan management khsusus. 
Misal, untuk client mobile phone dengan sistem operasi Android kita berikan alokasi IP Address dengan range tertentu. Kemudian berdasarkan IP Address tersebut kita buatkan address-list dan kita buat sebuah kebijakan untuk membedakan alokasi bandwidth dari penggunakan Android. 

Langkah-langkah konfigurasinya sebagai berikut:

  • IP Pool
Pada konfigurasi IP Pool kita akan membedakan untuk range IP Address umum dan khusus Android. Contoh seperti gambar dibawah ini.

 

  • DHCP Server
Setelah membuat 'pool' untuk range dari Android kita akan sesuaikan konfigurasi DHCP Server. Untuk DHCP Server sendiri tidak mengalami perubahan, untuk 'pool' yang dipakai juga kita sesuaikan dengan alokasi pool untuk perangkat secara umum.

 

Hanya saja selain konfigurasi DHCP Server, kita juga aka menambahkan konfigurasi pada Vendor Class-ID. Supaya nantinya ketika ada perangkat Android terkoneksi akan diberikan alokasi IP Address sesuai dengan pool yang sudah kita tentukan sebelumnya.

Untuk contoh konfigurasi seperti gambar dibawah ini.

 
Note: 
Mungkin ada pertanyaan bagaimana cara mendefinisikan dan mencari tahu Vendor Class ID (VID) dari perangkat-perangkat tersebut?
Untuk hal tersebut kita bisa menggunakan 'Log' pada MikroTik untuk mencari tahu Vendor Class Id nya. Caranya adalah kita aktifkan terlebih dahulu 'debug' untuk service DHCP. Masuk pada /system logging add topics=dhcp.Selanjutnya kita bisa cek pada 'Log' di Mikrotik.


Terlihat pada log untuk Class-ID adalah "android-7.1.2". Parameter tersebut sesuai dengan versi dari system Android yang digunakan oleh perangkat client. Kebetulan untuk perangkat client menggunakan Android versi 7.1.2.

 

Jika terdapat beberapa perangkat berbeda maka nanti kita akan membuat beberapa pengaturan Vendor Classes dengan beberapa VID.

  • Tahap pengujian
Setelah dilakukan konfigurasi seperti diatas, kita akan mencoba langsung pada perangkat android apakah nantinya ketika terkoneksi perangkat tersebut diberikan alokasi sesuai dengan pool yang sudah ditentukan sebelumnya.

Dan hasilnya, jika dilihat dari DHCP Leases maka untuk perangkat Android terlihat mendapatkan IP Address 10.100.100.2 yang mana sudah sesuai dengan alokasi 'Pool-Android'.


Special Management User Android

Setelah dilakukan konfigurasi diatas dan alokasi IP Address sudah sesuai dengan 'Pool' yang ditentukan, maka selanjutnya kita bisa melakukan kebijakan untuk pengaturan diatas.

Kebijakannya adalah untuk perangkat Android akan diberikan limitasi bandiwdth dengan total Upload/download sebesar 2Mbps dan dibagi rata menggunakan PCQ.

Langkah konfigurasinya:

Membuat daftar IP Address menggunakan Firewall Address-list.


Membuat 'Mangle', yaitu Mark-Connection & Mark-Packet.

/ip firewall mangle
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=HOTSPOT new-connection-mark=android passthrough=no src-address-list=Android
add action=mark-packet chain=prerouting connection-mark=android new-packet-mark=Paket-Android passthrough=no

Membuat limitasi bandwidth menggunakan 'SIMPLE QUEUE' berdasarkan marking di Mangle. 


by: Sulih Tiyo Adi - Tech. Support Engineer

Sumber:https://citraweb.com
Belajar Mikrotik: Site to Site GRE Tunnel + IPSec

Belajar Mikrotik: Site to Site GRE Tunnel + IPSec

Site to Site GRE Tunnel + IPSec


Tunnel adalah sebuah alternatif yang bisa kita lakukan untuk menghubungkan dua atau lebih site yang mungkin jaraknya cukup jauh. Dengan adanya Tunnel ini menjadi solusi yang mudah dan murah dibandingkan dengan membangun media fisik untuk menghubungkan setiap site. 
Pada Mikrotik Router OS sendiri terdapat beberapa Tunnel yang bisa digunakan seperti EoIP, IPTunnel (IPIP) dan GRE Tunnel. Konfigurasi Tunnel EOIP, IPTunnel (IPIP) dan GRE Tunnel sudah pernah kami bahas sebelumnya, dan bisa ditemui pada halaman Mikrotik.co.id - Artikel
Pada kesempatan kali ini kami akan mencoba membahas mengenai GRE Tunnel dengan IPSec. 
GRE (Generic Routing Encapsulation) adalah sebuah tunnelling protocol yang sebenarnya dikembangkan oleh Cisco System. Dengan menggunakan protokol ini kita dapat melakukan enkapsulasi berbagai protokol yang dibuat untuk kebutuhan link virtual point-to point. 
Sedangkan Internet Protocol Security (IPsec) adalah sekumpulan protokol yang didefinisikan oleh Internet Engineering Task Force (IETF) untuk mengamankan pertukaran paket melalui jaringan publik (Internet). Demi menunjang keamanan service IPsec ini sering sekali digunakan, dan dengan adanya IPSec ini kita bisa mengamankan koneksi dengan metode keamanan yang fleksibel. 
Topologi 
 
Sebelum kita melakukan konfigurasi GRE Tunnel maka pastikan kedua site dapat terkoneksi ke internet. Setelah kedua site dapat terkoneksi ke internet maka kita bisa memanfaatkan jaringan internet untuk menghubungkan kedua site menggunakan GRE Tunnel+IPSec. 
Konfigurasi Site-A 
Konfigurasi GRE Tunnel bisa ditemui pada menu Interface>>GRE Tunnel>>Klik Add [+]. Maka akan mendapati tampilan sebagai berikut: 
 
Pada parameter "Local Address" bisa kita isikan alamat IP Publik dari Site-A, kemudian pada parameter "Remote Address" maka bisa kita isikan alamat IP Publik dari Site-B. Karena kita menginginkan kemanan tambahan menggunakan IPSec maka pada parameter "IPSec Secret" dapat konfigurasi. Sebagai contoh IPSec Secret bisa dikonfigurasikan "12345". Untuk menggunakan fitur GRE Tunnel + IPSec maka pada parameter "Allow Fast Path" dapat di matikan (unchecklist). 
Konfigurasi Site-B 
Kemudian untuk konfigurasi pada Site B kurang lebih sama dengan konfigurasi pada Site-A diatas. 
 
Pada parameter "Local Address" bisa diisikan alamat IP Publik dari Site-B, kemudian "Remote Address" adalah IP Publik dari site-A. Sehingga Local Address dan Remote Address pada Router-B adalah kebalikan dari Router-A. Pastikan pada parameter "IPSec Secret" sama dengan Router-A. kemudian "Allow Fast Path" dapat di matikan (unchecklist). 
Pada konfigurasi kedua Router diatas, kita menambahkan konfigurasi IPSec Secret. Ketika parameter ini di aktifkan maka Router akan membuat IPSec peer ke remote-address dengan pre-shared key dan policy default (secara default menggunakan phase2 sha1/128cbc). 
Langkah selanjutnya, silahkan amati pada menu "interfaces-Gre Tunnel". Jika sudah berjalan maka akan muncul flag "R" pada interface tersebut. 
 
Bisa kita amati juga pada menu IP Sec, maka akan terdapat rule IPSec yang ditambahkan secara otomatis (D). 
  
 
 
  
 
Supaya kedua site dapat saling komunikasi, maka kita bisa tambahkan IP Address terlebih dahulu pada interface Gre-Tunnel tersebut kemudian lakukan static route. 
Setelah melakukan konfigurasi IP Address dan Static Route, maka kedua LAN di kedua site sudah bisa terhubung dan sudah bisa terkoneksi. 
Kesimpulan 
  • Dengan IPSec ini kita bisa mengamankan koneksi dengan metode keamanan yang fleksibel.
  • Ketika mengaktifkan IPSec kerja CPU akan lebih berat dikarenakan ditambahkannya proses enkripsi untuk pengamanan data. Dengan demikian kami menyarankan untuk menggunakan Routerboard yang sudah mendukung Hardware Acceleration. Detail perangkat yang sudah mendukung Hardware Acceleration bisa dilihat pada halaman berikut: wiki.mikrotik.com
Sumber:https://citraweb.com/
Belajar Mikrotik: Review ROS versi 7

Belajar Mikrotik: Review ROS versi 7

Review ROS versi 7


Mikrotik terus melakukan inovasi baik terhadap perangkatnya (Routerboard) ataupun operating systemnya (RouterOS). Kali ini Mikrotik mengeluarkan operating system terbaru dengan versi 7.0beta4 (Development). Awalnya Router OS versi 7 hanya mendukung untuk perangkat yang menggunakan arsitektur ARM saja, namun kali ini Router OS versi 7 ini sudah mendukung untuk semua perangkat Mikrotik, baik SMIPS, MMIPS, ARM, Mipsbe, dll.

Pada Artikel kali ini, kami akan membahas pembaruan pada Router OS versi 7 secara garis besarnya saja. 

Yang baru pada Router OS versi7: 
  • Tampilan baru di new terminal, terdapat penambahan atribut / ketika masuk ke dalam suatu menu.
  • Penambahan Flag IP Route untuk DHCP dan VPN. Untuk pengecekan bisa dilakukan dengan perintah "ip route print" pada new terminal.  
     
  • System Package terdapat pembaruan, dimana yang ditampillkan hanya bundle packages yaitu routeros. 
     
  • DHCPv4-Server menambahkan menu "vendor-class-id", digunakan untuk mengoptimalkan dalam identifikasi vendor dari perangkat client. 
     
  • Pada Router OS versi 7 ini, untuk kedepannya akan ditambahkan fitur Usermanager EAP Authentication dan Usermanager Custom RADIUS. 
Yang masih tidak tersedia oleh Router OS versi 7. 
  • BGP / MPLS tidak bisa digunakan.
  • The Dude Package masih belum tersedia. 
  • Extra Packages masih belum selengkap versi 6. 
Tentunya Router OS versi7 ini masih dalam tahap ujicoba, sehingga versi stable ataupun versi long-term nya masih belum rilis. File Router OS versi 7 ini (Smips, MMIPS, ARM, dll) bisa didapatkan pada website mikrotik.com/download. Pastikan Anda tidak menggunakan Main Router untuk menggunakan Router OS versi 7 ini, mengingat Router OS versi 7 ini masih dalam tahap pengembangan.

Tentunya terdapat pembaruan hardware untuk Router OS versi 7 ini, seperti Network card dan juga modem LTE, Detail pembaruan terhadap setiap versi Router OS dapat dikunjungi pada halaman berikut: https://mikrotik.com/download/changelogs 

Sumber: https://citraweb.com/