Lab 45. BGP Multihoming – skenario 2

Bismillah

Lab ini kelanjutan dari Lab 44. BGP Multihoming – Skenario 1 dan pada lab 45 ini tujuan lab kita adalah mengijinkan dan tidak mengijinkan AS kita menjadi transit. transit?

Ketika router kita terhubung dengan internet dengan ip publik dengan dua jalur maka router kita dapat menjadi AS transit. AS transit adalah AS yang akan mengijinkan untuk router lain melewati router kita ketika akan menuju network lain. intinya router kita memiliki beban tambahan karena harus advertise kembali network yang telah diberikan oleh router lain.

Topologi yang akan kita gunakan sebenarnya juga sama dengan topologi pada lab 44.

Selection_240.png

Berikut konfigurasi yang harus kita lakukan pada lab 44 ini.

Konfigurasi ip address

ip address router R1

[admin@R1] > /ip address
add address=12.12.12.1/24 interface=ether1 
add address=14.14.14.1/24 interface=ether2 
add address=1.1.1.1 interface=lo

ip address router R2

[admin@R2] > /ip address
add address=12.12.12.2/24 interface=ether1 
add address=23.23.23.2/24 interface=ether2
add address=2.2.2.2 interface=lo

ip address router R3

[admin@R3] > /ip address
add address=23.23.23.3/24 interface=ether1
add address=34.34.34.3/24 interface=ether2 
add address=3.3.3.3 interface=lo

ip address router R4

[admin@R4] >/ip address
add address=34.34.34.4/24 interface=ether1 
add address=14.14.14.4/24 interface=ether2 
add address=4.4.4.4 interface=lo

Konfigurasi routing BGP

routing BGP router R1

[admin@R1] >/routing bgp instance
set default as=100 redistribute-connected=yes
[admin@R1] >/routing bgp peer
add name=peer1 remote-address=12.12.12.2 remote-as=200
add name=peer2 remote-address=14.14.14.4 remote-as=400

routing BGP router R2

[admin@R2] >/routing bgp instance
set default as=200 redistribute-connected=yes
[admin@R2] >/routing bgp network
add network=2.2.2.2/32 synchronize=no
[admin@R2] >/routing bgp peer
add in-filter=masukR1 name=peer1 remote-address=12.12.12.1 remote-as=100
add in-filter=masukR2 name=peer remote-address=23.23.23.3 remote-as=300

routing BGP router R3

[admin@R3] > /routing bgp instance
set default as=300 redistribute-connected=yes
[admin@R3] > /routing bgp peer
add name=peer1 remote-address=23.23.23.2 remote-as=200
add name=peer2 remote-address=34.34.34.4 remote-as=400

routing BGP router R4

[admin@R4] > /routing bgp instance
set default as=400 redistribute-connected=yes
[admin@R4] > /routing bgp peer
add name=peer1 remote-address=34.34.34.3 remote-as=300
add name=peer2 remote-address=14.14.14.1 remote-as=100

 

Konfigurasi BGP Multihoming

Konfigurasi yang akan kita lakukan adalah pada router R2 yang akan tetap meng-advertise network miliknya tetapi tidak akan mengadvertise network dari router lain. dengan konfigurasi tersebut akan membut router lain tidak akan menjadikan router R2 sebagai AS transit. berikut ini table router dari router R3 sebelum konfigurasi pada router R2

[admin@R3] > ip route print where gateway=23.23.23.2
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADb  1.1.1.1/32                         23.23.23.2               20
 1 ADb  2.2.2.2/32                         23.23.23.2               20
 2  Db  4.4.4.4/32                         23.23.23.2               20
 3 ADb  12.12.12.0/24                      23.23.23.2               20
 4  Db  14.14.14.0/24                      23.23.23.2               20
 5  Db  23.23.23.0/24                      23.23.23.2               20

sekarang kita akan mengkonfigurasi pada routing filter yang tidak akan mengijinkan semua network dari luar untu di re-advertise oleh router R2

[admin@R2] >  /routing filter
add action=accept chain=ke_internet prefix=2.2.2.2
add action=discard chain=ke_internet

dengan konfigurasi routing filter diatas maka akan mengijinkan ip 2.2.2.2 untuk di avdertise tetapi tidak dengan yang lainnya. mirip dengan metode bloking firewall “allow some, block any”

sekarang masukkan konfigurasi routing filter kedalam routing BGP peer

[admin@R2] > routing bgp peer set 0,1 out-filter=ke_internet

sekarang kembali lagi ke router R3, dan periksa table routing dengan fokus pada gateway 23.23.23.2 pada router R2

[admin@R3] > ip route print where gateway=23.23.23.2
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADb  2.2.2.2/32                         23.23.23.2               20

Oke, dengan konfigurasi diatas maka akan membuat router R2 tidak menjadi transit AS yang artinya akan mengurangi beban pada router R2. sekian Lab 45 hari ini, nantikan lab selanjutnya hehehe

Lab 44. BGP Multihoming – Skenario 1

Bismillah

Sekarang itu kita akan membahas tentang Multihoming pada BGP, sebelumnya uda tau belum tentang multihoming? jadi gini, multihoming ini mirip seperti ECMP yang dimana untuk menuju internet atau ISP router dapat menggunakan dua link atau dua jalur.

Jadi nanti akan ada router yang memiliki dua jalur untuk menuju internet . pada lab 44 ini kita akan membahas Load balance dengan ECMP. dengan load balance ECMP maka kita akan membuat router untuk menggunakan kedua rute link untuk menuju ke internet ataupun network yang berada di router lain.

Berikut topologi yang akan kita lab kan pada lab 44 ini.

Selection_240.png

dengan topologi diatas kita akan mebuat router R1 untuk mengubah rutenya ketika menuju 3.3.3.3. Secara pemilihan rute maka router R1 akan memilih untuk melewati router R2 ketika akan menuju ip 3.3.3.3 dikarenakan router R2 mimiliki router id yang lebih kecil.

Berikut konfigurasi yang harus kita lakukan pada lab 44 ini.

Konfigurasi ip address

ip address router R1

/ip address
add address=12.12.12.1/24 interface=ether1 network=12.12.12.0
add address=14.14.14.1/24 interface=ether2 network=14.14.14.0
add address=1.1.1.1 interface=lo network=1.1.1.1
[admin@R1] >

 

ip address router R2

/ip address
add address=12.12.12.2/24 interface=ether1 network=12.12.12.0
add address=23.23.23.2/24 interface=ether2 network=23.23.23.0
add address=2.2.2.2 interface=lo network=2.2.2.2
add address=22.22.22.22 interface=lo2 network=22.22.22.22
[admin@R2] >

ip address router R3

/ip address
add address=23.23.23.3/24 interface=ether1 network=23.23.23.0
add address=34.34.34.3/24 interface=ether2 network=34.34.34.0

add address=3.3.3.3 interface=lo network=3.3.3.3
[admin@R3] >

ip address router R4

/ip address
add address=34.34.34.4/24 interface=ether1 network=34.34.34.0
add address=14.14.14.4/24 interface=ether2 network=14.14.14.0
add address=4.4.4.4 interface=lo network=4.4.4.4
[admin@R4] >

Konfigurasi routing BGP

routing BGP router R1

/routing bgp instance
set default as=100 redistribute-connected=yes
/routing bgp peer
add name=peer1 remote-address=12.12.12.2 remote-as=200
add name=peer2 remote-address=14.14.14.4 remote-as=400
[admin@R1] >

routing BGP router R2

/routing bgp instance
set default as=200 redistribute-connected=yes
/routing bgp network
add network=2.2.2.2/32 synchronize=no
add network=22.22.22.22/32 synchronize=no
/routing bgp peer
add in-filter=masukR1 name=peer1 remote-address=12.12.12.1 remote-as=100
add in-filter=masukR2 name=peer remote-address=23.23.23.3 remote-as=300
[admin@R2] >

routing BGP router R3

/routing bgp instance
set default as=300 redistribute-connected=yes
/routing bgp peer
add name=peer1 remote-address=23.23.23.2 remote-as=200
add name=peer2 remote-address=34.34.34.4 remote-as=400

routing BGP router R4

/routing bgp instance
set default as=400 redistribute-connected=yes
/routing bgp peer
add name=peer1 remote-address=34.34.34.3 remote-as=300
add name=peer2 remote-address=14.14.14.1 remote-as=100
[admin@R4] >

Konfigurasi Multihoming

Sebelum konfigurasi Multihoming ECMP agar kita bisa tahu konfigurasi berhasil atau tidak, kita akan melihat table routing dari router R1 yang akan kita jadikan load balance

[admin@R1] > ip route print   
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADC  1.1.1.1/32         1.1.1.1         lo                        0
 1 ADb  2.2.2.2/32                         12.12.12.2               20
 2 ADb  3.3.3.3/32                         12.12.12.2               20
 3  Db  3.3.3.3/32                         14.14.14.4               20
 4 ADb  4.4.4.4/32                         14.14.14.4               20
 5 ADC  12.12.12.0/24      12.12.12.1      ether1                    0
 6  Db  12.12.12.0/24                      12.12.12.2               20
 7 ADC  14.14.14.0/24      14.14.14.1      ether2                    0
 8  Db  14.14.14.0/24                      14.14.14.4               20
 9 ADb  22.22.22.22/32                     12.12.12.2               20
10 ADb  23.23.23.0/24                      12.12.12.2               20
11  Db  23.23.23.0/24                      14.14.14.4               20
12 ADb  34.34.34.0/24                      14.14.14.4               20
13  Db  34.34.34.0/24                      12.12.12.2               20

Sebelum mengkonfigurasi load balance kita dapat mengetahui bahwa untuk menuju ip 3.3.3.3 sekarang menjadi fail over.

Untuk mengaktifkan Multihoming load balance ECMP ini sebenarnya caranya sama seperi ECMP routing static yaitu kita menambahkan routing static pada router dengan dua gateway.

[admin@R1] > ip route add dst-address=3.3.3.3 gateway=14.14.14.4,12.12.12.2

Dengan konfigurasi diatas saya memprioritaskan untuk menggunakan gateway 14.14.14.4 oleh karena itu ketika saya melihat rute yang digunakan untuk menuju network 3.3.3.3 maka gatewa yang digunakan adalah 14.14.14.4

[admin@R1] > tool traceroute 3.3.3.3
 # ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS                   
 1 14.14.14.4                         0%    2   0.8ms     2.9     0.8     4.9     2.1                          
 2 3.3.3.3                            0%    2   0.9ms    11.4     0.9    21.8    10.5

Sekarang coba bandingkan table routing setelah router ditambahkan load balance.

[admin@R1] > ip route print                                                
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADC  1.1.1.1/32         1.1.1.1         lo                        0
 1 ADb  2.2.2.2/32                         12.12.12.2               20
 2 A S  3.3.3.3/32                         14.14.14.4                1
                                           12.12.12.2        
 3  Db  3.3.3.3/32                         12.12.12.2               20
 4  Db  3.3.3.3/32                         14.14.14.4               20
 5 ADb  4.4.4.4/32                         14.14.14.4               20
 6 ADC  12.12.12.0/24      12.12.12.1      ether1                    0
 7  Db  12.12.12.0/24                      12.12.12.2               20
 8 ADC  14.14.14.0/24      14.14.14.1      ether2                    0
 9  Db  14.14.14.0/24                      14.14.14.4               20
10 ADb  22.22.22.22/32                     12.12.12.2               20
11 ADb  23.23.23.0/24                      12.12.12.2               20
12  Db  23.23.23.0/24                      14.14.14.4               20
13 ADb  34.34.34.0/24                      14.14.14.4               20
14  Db  34.34.34.0/24                      12.12.12.2               20

sekarang table routing pada router R1 telah menjadi ECMP load balance. Oke, selesai konfigurasi BGP Multihoming ECMP dengan routing static

Lab 43. BGP AS Removal

Bismillah

Kalai sebelumnya kita membahas Lab 42. BGP Community using for Routing Policy sekarang kita akan membahas BGP AS Removal. BGP AS Removal adalah sebuah fitur yang akan membuat as privat tidak akan terbaca oleh jaringan internet. AS privat yang dapat kita gunakan adalah 64512 sampai dengan 65535.

Selection_239.png

dengan topologi diatas kita akan membuat router router R4 yang beradap pada AS400 tidak akan mengetahui adanya AS 64512 yang akan dibaca dengan AS 130. berikut ini konfigurasi yang akan kita lakukan pada routing BGP ini

Konfigurasi ip address

ip address router R1

[admin@R1] > /ip address
add address=12.12.12.1/24 interface=ether1 
add address=14.14.14.1/24 interface=ether2 
add address=1.1.1.1 interface=lo network=1.1.1.1

ip address router R2

[admin@R2] > /ip address
add address=12.12.12.2/24 interface=ether1 network=12.12.12.0
add address=23.23.23.2/24 interface=ether2 network=23.23.23.0
add address=2.2.2.2 interface=lo network=2.2.2.2

ip address router R3

[admin@R3] > /ip address
add address=23.23.23.3/24 interface=ether1
add address=34.34.34.3/24 interface=ether2 
add address=3.3.3.3 interface=lo

ip address router R4

[admin@R4] > /ip address
add address=34.34.34.4/24 interface=ether1 
add address=14.14.14.4/24 interface=ether2 
add address=4.4.4.4 interface=lo network=4.4.4.4

Konfigurasi routing BGP

routing BGP router R1

[admin@R1] > routing bgp instance set default as=130 redistribute-connected=yes
[admin@R1] > /routing bgp peer
add name=peer1 remote-address=14.14.14.4 remote-as=400
add name=peer3 remote-address=12.12.12.2

routing BGP router R2

[admin@R2] > routing bgp instance set default as=64512 redistribute-connected=yes
[admin@R2] > /routing bgp peer
add name=peer1 remote-address=12.12.12.1 remote-as=130
add name=peer2 remote-address=23.23.23.3 remote-as=130

routing BGP router R3

[admin@R3] > routing bgp instance set default as=130 redistribute-connected=yes
[admin@R3] > /routing bgp peer
add name=peer2 remote-address=23.23.23.2 reote-as=200
add name=peer3 remote-address=34.34.34.4 remote-as=400

routing BGP router R4

[admin@R4] > routing bgp instance set default as=400 redistribute-connected=yes
[admin@R4] >/routing bgp peer
add name=peer1 remote-address=14.14.14.1 remote-as=130
add name=peer2 remote-address=34.34.34.3 remote-as=130

Konfigurasi BGP AS removal

Sekarang barulah kita konfigurasi ke BGP remove AS privat tapi sebelum itu kita akan melihat as-path dari router R4 untuk menuju 2.2.2.2

[admin@R4] > ip route print detail where dst-address=2.2.2.2/32
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 0 ADb  dst-address=2.2.2.2/32 gateway=14.14.14.1 gateway-status=14.14.14.1 reachable via  ether2 distance=20 
        scope=40 target-scope=10 bgp-as-path="130,64512" bgp-origin=incomplete received-from=peer1 

 1  Db  dst-address=2.2.2.2/32 gateway=34.34.34.3 gateway-status=34.34.34.3 reachable via  ether1 distance=20 
        scope=40 target-scope=10 bgp-as-path="130,64512" bgp-origin=incomplete received-from=peer2

Nah, kedua rute mengunakan as path yaitu 130 baru kemudian 64512. oleh karena itu kita akan menyembunyikan as privat yaitu 64512. dan  akan dibaca sebagai as 130. berikut konfigurasi yang ditambahkan

[admin@R1] > routing bgp peer print detail where remote-as=400
Flags: X - disabled, E - established 
 0 E name="peer1" instance=default remote-address=14.14.14.4 remote-as=400 tcp-md5-key="" 
     nexthop-choice=default multihop=no route-reflect=no hold-time=3m ttl=255 in-filter="" out-filter="" 
     address-families=ip default-originate=never remove-private-as=no as-override=no passive=no use-bfd=no 
[admin@R1] > routing bgp peer set peer1 remove-private-as=yes
[admin@R3] > routing bgp peer print detail where remote-as=400
Flags: X - disabled, E - established 
 0 E name="peer3" instance=default remote-address=34.34.34.4 remote-as=400 tcp-md5-key="" 
     nexthop-choice=default multihop=no route-reflect=no hold-time=3m ttl=255 in-filter="" out-filter="" 
     address-families=ip default-originate=never remove-private-as=no as-override=no passive=no use-bfd=no 
[admin@R3] > routing bgp peer set peer3 remove-private-as=yes

Sekarang periksa table routing yang menuju ip 2.2.2.2

[admin@R4] > ip route print detail where dst-address=2.2.2.2/32
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 0 ADb  dst-address=2.2.2.2/32 gateway=14.14.14.1 gateway-status=14.14.14.1 reachable via  ether2 distance=20 
        scope=40 target-scope=10 bgp-as-path="130" bgp-origin=incomplete received-from=peer1 
 1  Db  dst-address=2.2.2.2/32 gateway=34.34.34.3 gateway-status=34.34.34.3 reachable via  ether1 distance=20 
        scope=40 target-scope=10 bgp-as-path="130" bgp-origin=incomplete received-from=peer2

Sekarang router dari router R4 hanya membaca adanya satu as yaitu as 130. oke selesai dengan konfigurasi BGP AS removal malam ini. besok insyaAllah saya lanjutkan dengan jelis lab yang lain.

Lab 42. BGP Community using for Routing Policy

Bismillah

Lab 42 ini kita akan membahas tentang BGP Community lagi. hehehe. kalau kemarin kita membahas tentang community default pada Lab 41. BGP Community No-export maka pada lab ini kita akan membahas tentang BGP community yang akan mengubah routing policy pada router R1 .

Agar dapat langsung paham silahkan perhatikan topologi berikut ini

Selection_237.png

dengan menggunakan topologi diatas kita akan membuat network yang di advertise dari router r1 yaitu 1.1.1.1. dan 11.11.11.11 akan diadvertise seluruhnya ke router R2. tetapi router R4 atau mikrotik-4 hanya akan menerima network 11.11.11.11. dan pada router mikrotik-3 hanya akan menerima network 1.1.1.1. berikut konfigurasi yang yang lakukan

Konfigurasi ip address

IP Address router R1

[admin@R1] > ip address add address=12.12.12.1/24 interface=ether1
[admin@R1] > interface bridge add name=lo   
[admin@R1] > ip address add address=1.1.1.1/32 interface=lo

IP Address router R2

[admin@R2] > ip address add address=12.12.12.2/24 interface=ether1
[admin@R2] > ip address add address=23.23.23.2/24 interface=ether2
[admin@R2] > interface bridge add name=lo
[admin@R2] > ip address add address=2.2.2.2/32 interface=lo  
[admin@R2] > ip address add address=24.24.24.2/24 interface=ether3

Ip address router R3

[admin@R3] > ip address add address=23.23.23.3/24 interface=ether1
[admin@R3] > interface bridge add name=lo
[admin@R3] > ip address add address=3.3.3.3/32 interface=lo

Ip address router R4

[admin@R4] > ip route add dst-address=12.12.12.0/24 gateway=24.24.24.2
[admin@R4] > ip route add dst-address=23.23.23.0/24 gateway=24.24.24.2
[admin@R4] > int bridge add name=lo
[admin@R4] > ip address add address=4.4.4.4 interface=lo

Konfigurasi routing static

routing static router R1

[admin@R1] > ip route add dst-address=23.23.23.0/24 gateway=12.12.12.2
[admin@R1] > ip route add dst-address=24.24.24.0/24 gateway=12.12.12.2

routing static router R2

pada router R2 tidak perlu adanya routing static karena router R2 sudah mengenali network 12.12.12.0/24,  network 23.23.23.0/24 dan network 24.24.24.0/24

routing static router R3

[admin@R3] > ip route add dst-address=12.12.12.0/24 gateway=23.23.23.2
 [admin@R3] > ip route add dst-address=24.24.24.0/24 gateway=23.23.23.2

routing static router R4

[admin@R4] > ip route add dst-address=12.12.12.0/24 gateway=24.24.24.2
[admin@R4] > ip route add dst-address=23.23.23.0/24 gateway=24.24.24.2

Konfigurasi routing BGP

routing BGP router R1

[admin@R1] > routing bgp instance set 0 as=100
[admin@R1] > routing bgp peer add remote-address=12.12.12.2 remote-as=200
[admin@R1] > routing bgp network add network=1.1.1.1

routing BGP router R2

[admin@R2] > routing bgp instance set 0 as=200     
[admin@R2] > routing bgp peer add remote-address=12.12.12.1 remote-as=100
[admin@R2] > routing bgp peer add remote-address=23.23.23.3 remote-as=300
[admin@R2] > routing bgp peer add remote-address=24.24.24.2 remote-as=400

routing BGP router R3

[admin@R3] > routing bgp instance set 0 as=300
 [admin@R3] > routing bgp peer add remote-address=23.23.23.2 remote-as=200
 [admin@R3] > routing bgp network add network=3.3.3.3

routing BGP router R4

 [admin@R4] > routing bgp instance set 0 as=400
 [admin@R4] > routing bgp peer add remote-address=24.24.24.2 remote-as=400
 [admin@R4] > routing bgp network add network=4.4.4.4

Konfigurasi BGP Community

Sebelum masuk ke konfigurasi BGP community maka kita akan melihat table routing router R3 dan router R4 terlebih dahulu.

[admin@R3] > ip route print   
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADb  1.1.1.1/32                         23.23.23.2               20
 1 ADb  2.2.2.2/32                         23.23.23.2               20
 2 ADC  3.3.3.3/32         3.3.3.3         lo                        0
 3 ADb  4.4.4.4/32                         23.23.23.2               20
 4 ADb  11.11.11.11/32                     23.23.23.2               20
 5 A S  12.12.12.0/24                      23.23.23.2                1
 6 ADC  23.23.23.0/24      23.23.23.3      ether1                    0
 7 A S  24.24.24.0/24                      23.23.23.2                1

dari router R4

[admin@R4] > ip route print 
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADb  1.1.1.1/32                         24.24.24.2               20
 1 ADb  2.2.2.2/32                         24.24.24.2               20
 2 ADb  3.3.3.3/32                         24.24.24.2               20
 3 ADC  4.4.4.4/32         4.4.4.4         lo                        0
 4 ADb  11.11.11.11/32                     24.24.24.2               20
 5 A S  12.12.12.0/24                      24.24.24.2                1
 6 A S  23.23.23.0/24                      24.24.24.2                1
 7 ADC  24.24.24.0/24      24.24.24.4      ether1                    0

table routing router R3 dan router R4 sekarang masih lengkap yaitu network 1.1.1.1 dan network 11.11.11.11 masih dapat di reach. sekarang kita akan mengkonfigurasi community dengan no-export yang akan membuat router R2 tidak akan meneruskan advertise network 11.11.11.11 ke router R3 dan juga network 1.1.1.1 ne router R4

[admin@R1] > routing filter add chain=community prefix=1.1.1.1 set-bgp-communities=200:3
[admin@R1] > routing filter add chain=community prefix=11.11.11.11 set-bgp-communities=200:4
[admin@R1] > routing bgp peer add name=peer1 out-filter=community remote-address=12.12.12.2 remote-as=200
[admin@R2] > routing bgp peer add name=peer1 remote-address=12.12.12.1 remote-as=100
[admin@R2] > routing bgp peer add name=peer2 out-filter=ke_AS300 remote-address=23.23.23.3 remote-as=300
[admin@R2] > routing bgp peer add name=peer3 out-filter=ke_AS400 remote-address=24.24.24.4 remote-as=400

berikut hasil table routing pada router R3 dan router R4 setelah konfgurasi community

[admin@R3] > ip route print 
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADb  1.1.1.1/32                         23.23.23.2               20
 1 ADb  2.2.2.2/32                         23.23.23.2               20
 2 ADC  3.3.3.3/32         3.3.3.3         lo                        0
 3 ADb  4.4.4.4/32                         23.23.23.2               20
 4 A S  12.12.12.0/24                      23.23.23.2                1
 5 ADC  23.23.23.0/24      23.23.23.3      ether1                    0
 6 A S  24.24.24.0/24                      23.23.23.2                1
[admin@R4] > ip route print 
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADb  2.2.2.2/32                         24.24.24.2               20
 1 ADb  3.3.3.3/32                         24.24.24.2               20
 2 ADC  4.4.4.4/32         4.4.4.4         lo                        0
 3 ADb  11.11.11.11/32                     24.24.24.2               20
 4 A S  12.12.12.0/24                      24.24.24.2                1
 5 A S  23.23.23.0/24                      24.24.24.2                1
 6 ADC  24.24.24.0/24      24.24.24.4      ether1                    0

Oke, selesai juga routing BGP Community. sekarang router R3 tidak dapat terhubung ke router network 11.11.11.11 sedangkan router R4 tidak dapat terhubung ke network 1.1.1.1

 

 

Lab 41. BGP Community No-export

Bismillah

Oke, setelah Lab 40.BGP Prepend sekarang kita akan mengkonfigurasi BGP Community no-export. BGP Community biasanya digunakan untuk membatasi advertise sebuah network pada jaringan BGP. salah satu defautl pada BGP community yang dapat digunakan adalah no-export.

Dengan No-export akan membuat router hanya akan meng-advertise network ke router nexthop nya. sehingga router yang bukan nexthop nya tidak akan mendapatkan network tersebut. berikut topologi yang akan kita gunakan.

selection_232

Keterangan pada gambar bahwa untuk router mikrotik-1 adalah router R1 yang memiliki AS100, router mikrotik-2 adalah router R2, begitu seterusnya sehingga router R3 akan memiliki AS 300.

konfigurasi interface bridge sebagai loopback

tambahkan interface bridge dengan nama lo pada setiap router

interface bridge add name=lo

Konfigurasi ip address

ip address router R1

[admin@R1] > /ip address
add address=12.12.12.1/24 interface=ether1 
add address=1.1.1.1 interface=lo

ip address router R2

[admin@R2] > /ip address
add address=12.12.12.2/24 interface=ether1 
add address=23.23.23.2/24 interface=ether2 
add address=2.2.2.2 interface=lo

ip address router R3

[admin@R3] > /ip address
add address=23.23.23.3/24 interface=ether1 
add address=3.3.3.3 interface=lo

Konfigurasi routing BGP

routing BGP router R1

[admin@R1] > routing bgp instance set default as=10
[admin@R1] > routing bgp network add network=1.1.1.1/32
[admin@R1] > routing bgp peer add remote-address=12.12.12.2 remote-as=20

routing BGP router R2

[admin@R2] > routing bgp instance set default as=20 redistribute-static=yes
[admin@R2] > routing bgp network add network=2.2.2.2/32
[admin@R2] > /routing bgp peer
add multihop=yes name=peer1 remote-address=12.12.12.1 remote-as=10
add multihop=yes name=peer2 remote-address=23.23.23.3 remote-as=30

routing BGP router R3

[admin@R3] > routing bgp instance set default as=30
[admin@R3] > routing bgp network add network=3.3.3.3/32
[admin@R3] > routing bgp peer add  out-filter=no remote-address=23.23.23.2 remote-as=20

Konfigurasi Community no export

Sekarang coba perhatikan table router milik router R3

[admin@R3] > ip route print 
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADb  1.1.1.1/32                         23.23.23.2               20
 1 ADb  2.2.2.2/32                         23.23.23.2               20
 2 ADC  3.3.3.3/32         3.3.3.3         lo                        0
 3 A S  12.12.12.0/24                      23.23.23.2                1
 4 ADC  23.23.23.0/24      23.23.23.3      ether1                    0

table routing router R3 sekarang masih lengkap, yaitu adanya network 1.1.1.1, 2.2.2.2, dan network 3.3.3.3. sekarang kita akan membuat router R3 tidak akan dapat menuju network 1.1.1.1 tetapi router R1 tetap dapat menuju network 3.3.3.3

disini kita akan menggunakan BGP community no export yang tidak akan mengijinkan router R2 untuk meng-advertise lagi network 1.1.1.1 ke router R3. berikut konfigurasi Community no export.

[admin@R1] > routing filter add chain=jangan_export prefix=1.1.1.1 set-bgp-communities=no-export
[admin@R1] > routing bgp peer set 0 out-filter=jangan_export

sekarang periksa table routing R3 dan router R1. berikut table routing pada router R3

[admin@R3] > ip route print 
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADb  2.2.2.2/32                         23.23.23.2               20
 1 ADC  3.3.3.3/32         3.3.3.3         lo                        0
 2 A S  12.12.12.0/24                      23.23.23.2                1
 3 ADC  23.23.23.0/24      23.23.23.3      ether1                    0

berikut ini table routing pada router R1

[admin@R1] > ip route print 
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADC  1.1.1.1/32         1.1.1.1         lo                        0
 1 ADb  2.2.2.2/32                         12.12.12.2               20
 2 ADb  3.3.3.3/32                         12.12.12.2               20
 3 ADC  12.12.12.0/24      12.12.12.1      ether1                    0
 4 A S  23.23.23.0/24                      12.12.12.2                1

dengan konfigurasi BGP Community no export maka akan membuat router R1 dapat meng-advertise networknya hanya ke router R2 dan router R3 tidak bisa mendapatkan network tersebut. oke, sekian lab 41 ini. hehehe

Lab 40.BGP Prepend

Bismillah

Sekarang kita akan konfigurasi tentang BGP Prepend. Oke, sebelum masuk kedalam konfigurasi seperti biasa kita bahas kenapa harus pakai BGP Prenend ini. lagi-lagi alasannya adalah kita dapat menentukan rute terbaik menggunakan fitur ini. kok selau tentang best path ya?, BGP ini merupakan routing yang dimana kita harus benar-benar memperhatikan rute terbaik karena disini jaringan yang dibawa oleh routing BGP tidak hanya jaringan skala kecil seperti routing OSPF maupun RIP melainkan routing yang mebuat kita dapat terhubung dengan dunia internet.

bedanya apa BGP Prepend dengan weight sama local preference? bedannya adalah dengan BGP prepend disini kita akan memanipulasi as-path nya. berarti bikin data palsu ya? gak gitu juga. dengan

 

Berikut topologi yang akan kita gunakan untuk lab BGP Prepend.

selection_234

Berikut konfigurasi yang akan kita lakukan pada lab ini

Konfigurasi IP Address

ip address router R1

[admin@R1] > ip address add address=12.12.12.1/24 interface=ether1
[admin@R1] > ip address add address=14.14.14.1/24 interface=ether2
[admin@R1] > interface bridge add name=lo
[admin@R1] > ip address add address=1.1.1.1/24 interface=lo

ip address router R2

[admin@R2] > ip address add address=12.12.12.2/24 interface=ether1
[admin@R2] > ip address add address=23.23.23.2/24 interface=ether2
[admin@R2] > interface bridge add name=lo
[admin@R2] > ip address add address=2.2.2.2 interface=lo

ip address router R3

[admin@R3] > ip address add address=23.23.23.3/24 interface=ether1
[admin@R3] > ip address add address=34.34.34.3/24 interface=ether2
[admin@R3] > interface bridge add name=lo
[admin@R3] > ip address add address=3.3.3.3 interface=lo

ip address router R4

[admin@R4] > ip address add address=14.14.14.4/24 interface=ether1
[admin@R4] > ip address add address=34.34.34.4/24 interface=ether2
[admin@R4] > interface bridge add name=lo
[admin@R4] > ip address add address=4.4.4.4 interface=lo

Konfigurasi Routing BGP

Routing BGP router R1

[admin@R1] > routing bgp peer add remote-address=12.12.12.2 remote-as=20 
[admin@R1] > routing bgp peer add remote-address=14.14.14.4 remote-as=40
[admin@R1] > routing bgp instance set 0 as=10 redistribute-connected=yes

Routing BGP router R2

[admin@R2] > routing bgp instance set 0 as=20 redistribute-connected=yes 
[admin@R2] > routing bgp peer add remote-address=12.12.12.1 remote-as=10
[admin@R2] > routing bgp peer add remote-address=23.23.23.3 remote-as=30

Routing BGP router R3

[admin@R3] > routing bgp instance set 0 as=30 redistribute-connected=yes 
[admin@R3] > routing bgp peer add remote-address=23.23.23.2 remote-as=20
[admin@R3] > routing bgp peer add remote-address=34.34.34.4 remote-as=40

Routing BGP router R4

[admin@R4] > routing bgp instance set 0 as=40 redistribute-connected=yes 
[admin@R4] > routing bgp peer add remote-address=34.34.34.3 remote-as=30   
[admin@R4] > routing bgp peer add remote-address=14.14.14.4 remote-as=10

Konfigurasi BGP Prepend

Sekarang kita terlebih dahulu mencari tahu route mana yang digunakan oleh router untuk menuju sebuah network. untuk lab BGP prepend kita hanya akan fokus kedalam dua router yaitu router R2 dan router R4.

lok, kok cuman fokus ke 2 router mas? jadi, disini kita akan mengubah rute yang digunakan oleh router R2 untuk menuju network 4.4.4.4 yang dimiliki oleh router R4. itulah alasan mengapa kita cuman fokus ke dua router tersebut.

Untuk konfigurasi BGP prepend kita hanya perlu mengubah konfigurasi pada router R1 atau R2 dan tidak perlu mengkonfigurasi router yang lainnya. sebelum masuk ke konfigurasi BGP Prepend maka kita akan melihat as-path yang dimiliki oleh router R2 untuk menuju ip 4.4.4.4

[admin@R2] > ip route print detail where dst-address=4.4.4.4/32
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 0 ADb  dst-address=4.4.4.4/32 gateway=12.12.12.1 gateway-status=12.12.12.1 reachable via  ether1 distance=20 
        scope=40 target-scope=10 bgp-as-path="10,40" bgp-origin=incomplete received-from=peer1 

 1  Db  dst-address=4.4.4.4/32 gateway=23.23.23.3 gateway-status=23.23.23.3 reachable via  ether2 distance=20 
        scope=40 target-scope=10 bgp-as-path="30,40" bgp-origin=incomplete received-from=peer2

seperti yang diatas as-path yang digunakan routing menuju 4.4.4.4 adalah as 10 kemudian as 40. dengan bgp prepend maka kita akan memanipulasi as 10 menjadi ada dua. berikut konfigurasi BGP Prepend. tapi sebelum itu harap perhatikan bahwa yang kita konfigurasi tidak pada router R2 melainkan pada router R1

[admin@R1] > routing filter add chain=prepend-4.4.4.4 prefix=4.4.4.4 set-bgp-prepend=2
[admin@R1] > routing bgp peer set 0 out-filter=prepend-4.4.4.4

dengan konfigurasi diatas maka akan membuat as-path yang keluar menuju 4.4.4.4 akan di gandakan sesuai dengan value kita isi. pada konfigurasi diatas kita menambakan menjadi dua as.

[admin@R2] > ip route print detail where dst-address=4.4.4.4/32
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 0 ADb  dst-address=4.4.4.4/32 gateway=23.23.23.3 gateway-status=23.23.23.3 reachable via  ether2 distance=20 
        scope=40 target-scope=10 bgp-as-path="30,40" bgp-origin=incomplete received-from=peer2 

 1  Db  dst-address=4.4.4.4/32 gateway=12.12.12.1 gateway-status=12.12.12.1 reachable via  ether1 distance=20 
        scope=40 target-scope=10 bgp-as-path="10,10,40" bgp-origin=incomplete received-from=peer1

pada hasil print diatas menunjukkan bahwa as path yang digunakan adalah as10, as10, as 40 padahal sebenarnya hanya adal satu as 10. inilah fungsi dari BGP prepend yang akan membuat as dibaca lebih dari jumlah aslinya sesuai dengan yang kita konfigurasikan.

Oke, selesai dengan konfigurasi pada malam ini. hehehe. kita lanjutkan ke materi selanjutnya.

Lab 39. BGP Local Preference

Bismillah

Kita lanjutin materi BGP, kali ini materi nya tentang BGP Local Preference yaitu satu lagi atribute dari routing BGP. fungsi dari local preference ini adalah untuk menentukan rute mana yang akan digunakan oleh router untuk menuju keluar AS.

Skenarionya adalah kita akan membuat salah satu router untuk menggunakan rute tertentu. coba anda perhatikan pada topologi berikut

Selection_236.png

dengan topologi diatas kita akan membuat router R2 untuk menggunakan rute yang kita inginkan. tujuannya apa mas? jadi tujuannya adalah agar kita sebagai Network Enggineer dapat menentukan rute terbaik yang digunakan oleh router.

Kita langsung ke konfigurasi standar dari BGP dulu yaitu ip address dan juga mengkonfigurasi BGP istance dan peer pada routing BGP. Setelah selesai routing BGP baru kita masuk kedalam konfigurasi pada BGP Local Preference

Konfigurasi Routing BGP

ip address router R1

[admin@R1] > ip address add address=12.12.12.1/24 interface=ether1
[admin@R1] > ip address add address=14.14.14.1/24 interface=ether2
[admin@R1] > interface bridge add name=lo
[admin@R1] > ip address add address=1.1.1.1/24 interface=lo

ip address router R2

[admin@R2] > ip address add address=12.12.12.2/24 interface=ether1
[admin@R2] > ip address add address=23.23.23.2/24 interface=ether2
[admin@R2] > interface bridge add name=lo
[admin@R2] > ip address add address=2.2.2.2 interface=lo

ip address router R3

[admin@R3] > ip address add address=23.23.23.3/24 interface=ether1
[admin@R3] > ip address add address=34.34.34.3/24 interface=ether2
[admin@R3] > interface bridge add name=lo
[admin@R3] > ip address add address=3.3.3.3 interface=lo

ip address router R4

[admin@R4] > ip address add address=14.14.14.4/24 interface=ether1
[admin@R4] > ip address add address=34.34.34.4/24 interface=ether2

Konfigurasi Routing BGP

routing BGP router R1

[admin@R1] > routing bgp instance set default as=123 redistribute-connected=yes 
[admin@R1] > routing bgp peer add remote-address=12.12.12.2 remote-as=123 nexthop-choice=force-self 
[admin@R1] > routing bgp peer add remote-address=14.14.14.4 remote-as=400

routing BGP router R2

[admin@R2] > routing bgp instance set 0 as=123 redistribute-connected=yes      
[admin@R2] > routing bgp peer add remote-address=12.12.12.1 remote-as=123 nexthop-choice=force-self 
[admin@R2] > routing bgp peer add remote-address=23.23.23.3 remote-as=123 nexthop-choice=force-self

routing BGP router R3

[admin@R3] > routing bgp instance set 0 as=123 redistribute-connected=yes 
[admin@R3] > routing bgp peer add remote-address=23.23.23.2 remote-as=123 nexthop-choice=force-self 
[admin@R3] > routing bgp peer add remote-address=34.34.34.4 remote-as=400

routing BGP router R4

[admin@R4] > routing bgp instance set 0 as=400 redistribute-connected=yes 
[admin@R4] > routing bgp peer add remote-address=34.34.34.3 remote-as=123 
[admin@R4] > routing bgp peer add remote-address=14.14.14.1 remote-as=123

Sekarang baru kita masuk kedalam konfigurasi local preference

Konfigurasi Local Preference

disini kita akan mengubah rute yang digunakan oleh route R2 untuk menuju keluar AS dari tadinya melewati 12.12.12.1 menjadi 23.23.23.23

[admin@R2] > tool traceroute 4.4.4.4
 # ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS                   
 1 12.12.12.1                         0%    3   0.6ms     0.7     0.6     0.9     0.1                          
 2 4.4.4.4                            0%    3     1ms       1       1     1.1       0

Disini kita tidak mengkonfigurasi dari router R2 melainkan dari router R3 dan yang akan memberitahukan router R2 bahwa rute melewati dirinya (router R3) memiliki local preference yang tinggi sehingga akan dipilih sebagai rute utama.

Pastikan anda mengkonfigurasi pada router R3  dan juga pada mengkonfigurasi peer yang digunakan untuk terkoneksi dengan ip 23.23.23.2 milik router R2

[admin@R3] > routing filter add chain=loc-bgp prefix=4.4.4.4 set-bgp-local-pref=110
[admin@R3] > routing bgp peer set peer1 out-filter=loc-bgp

sekarang periksa rute yang digunakan oleh router R2

[admin@R2] > tool traceroute 4.4.4.4
 # ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS                   
 1 23.23.23.3                         0%    2   0.8ms     3.3     0.8     5.7     2.5                          
 2 4.4.4.4                            0%    2   1.1ms     9.8     1.1    18.4     8.7

anda juga dapat melihat pada ip route pada router mikrotik

[admin@R2] > ip route print detail where dst-address=4.4.4.4/32
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 0 ADb  dst-address=4.4.4.4/32 gateway=23.23.23.3 gateway-status=23.23.23.3 reachable via  ether2 distance=200 
        scope=40 target-scope=30 bgp-as-path="400" bgp-local-pref=110 bgp-origin=incomplete 
        received-from=peer2 

 1  Db  dst-address=4.4.4.4/32 gateway=12.12.12.1 gateway-status=12.12.12.1 reachable via  ether1 distance=200 
        scope=40 target-scope=30 bgp-as-path="400" bgp-local-pref=100 bgp-origin=incomplete 
        received-from=peer1

Oke, sudah selesai lab tentang BGP local preference untuk hari ini. hehehe. kita akan lanjutkan masih tentang routing BGP yo.

Lab 28. Firewall logging – skenario 2

Bismillah

Uda lama gak post nih. hehehe. bukannya saya gak mau ngepost, tapi ini kemarin cuman saya draft. eh, tapi saya lupa post di wordpress nya. hehehe.

Lab disini masih lanjutkan lab sebelumnya,  yaitu lab tentang firewall logging tapi kali ini sedikit berbeda karena disini konfigurasi firewall log akan masuk kedalam konfigurasi yang lain. maksudnya gimana mas? jadi pada firewall filter mikrotik ada fitur tambahan yang akan mengijinkan kita menambahkan log kedalam baris konfigurasi router firewall.

Biar bisa lebih paham, kita langsung ke lab aja ya. Berikut topologi yang akan kita gunakan. dan topologi ini cukup simple karena kita hanya menghubungkan router mikrotik ke internet.

Screenshot from 2016-09-20 08-36-50.png

Pertama tambahkan ip address seperti berikut

[admin@MikroTik] > ip address add address=192.168.1.1/24 interface=ether1
[admin@MikroTik] > ip address add address=1.1.1.1 interface=ether2

setelah itu agar dapat internet diakses melalui router maupun user maka tambahkan konfigurasi dns, routing default dan juga nat.

[admin@MikroTik] > ip route add gateway=1.1.1.2
[admin@MikroTik] > ip dns set servers=8.8.8.8 allow-remote-requests=yes 
[admin@MikroTik] > ip firewall nat add chain=srcnat out-interface=ether2 
action=masquerade

Oh iya jangan lupa untuk menambahkan ip address pada VPCS yang akan berperan sebagai client.

PC1> ip 192.168.1.2/24 192.168.1.1
Checking for duplicate address...
PC1 : 192.168.1.2 255.255.255.0 gateway 192.168.1.1

Sekarang tes ping ke internet dari router

PC1> ping 8.8.8.8

84 bytes from 8.8.8.8 icmp_seq=1 ttl=52 time=416.823 ms
84 bytes from 8.8.8.8 icmp_seq=2 ttl=52 time=182.827 ms
84 bytes from 8.8.8.8 icmp_seq=3 ttl=52 time=469.909 ms

disini kita akan memblok ping ke arah internet dan juga secara otomatis akan ditambahkan kedalam log mikrotik

[admin@MikroTik] > ip firewall filter add chain=forward protocol=icmp 
action=drop  log=yes log-prefix="drop ping"

Sekarang kita tes ping ke arah internet

PC1> ping 8.8.8.8
8.8.8.8 icmp_seq=1 timeout
8.8.8.8 icmp_seq=2 timeout
8.8.8.8 icmp_seq=3 timeout

ping ke internet berhasil kita blok, maka selanjutnya kita akan melihat log pada mikrotik

[admin@MikroTik] > log print
....
01:34:09 firewall,info ada ping ke internet forward: in:ether2 out:ether1, src-mac 00:50:79:66:68:00, proto ICMP (type 8, code 0), 192.168.1.2->8.8.8.8, len 84 
01:34:09 firewall,info drop ping forward: in:ether2 out:ether1, src-mac 00:50:79:66:68:00, proto ICMP (type 8, code 0), 192.168.1.2->8.8.8.8, len 84 
01:34:11 firewall,info ada ping ke internet forward: in:ether2 out:ether1, src-mac 00:50:79:66:68:00, proto ICMP (type 8, code 0), 192.168.1.2->8.8.8.8, len 84 
01:34:11 firewall,info drop ping forward: in:ether2 out:ether1, src-mac 00:50:79:66:68:00, proto ICMP (type 8, code 0), 192.168.1.2->8.8.8.8, len 84

berdasarkan isi log maka kita akan mengetahui bahwa log yang kita pasang pada baris konfigurasi firewall filter berhasil.

Oke, sampai sini dulu Lab 28. nanti akan saya lanjutnyak ke lab 29. hehehe

 

Lab 27. Firewall logging

Bismillah

kali ini kita akan membahasa logging, apa itu logging? dalam mikrotik kita dalam melihat log yang berisikan informasi informasi. Permisalan informasi bahwa ada user yang mengakses router mikrotik kita ataupun informasi bahwa router mikrotik kita sedang ada yang mencoba untuk login.

Pada lab ini kita akan mengaktifkan logging ketika ada user yang mencoba untuk ping ke router milik kita sehingga ketika user dari client ping ke router kita maka dalam log mikrotik akan terlihat bahwa ip berapa yang mencoba untuk ping ke router mikrotik.

Berikut topologi yang akan kita gunakan

screenshot-from-2016-09-19-07-38-45

tambahkan ip address seperti berikut

[admin@MikroTik] > ip address add address=192.168.1.1/24 interface=ether1
[admin@MikroTik] > ip address add address=1.1.1.1 interface=ether2

setelah itu agar dapat internet diakses melalui router maupun user maka tambahkan konfigurasi dns, routing default dan juga nat.

[admin@MikroTik] > ip route add gateway=1.1.1.2
[admin@MikroTik] > ip dns set servers=8.8.8.8 allow-remote-requests=yes 
[admin@MikroTik] > ip firewall nat add chain=srcnat out-interface=ether2 
action=masquerade

sekarang berikan ip address ke pc virtualbox

screenshot-from-2016-09-19-07-46-04

setelah itu barulah kita menambahkan kofigurasi firewall filter log yang akan menyimpan log ketika ada user yang ping ke router mikrotik kita

[admin@MikroTik] > ip firewall filter add chain=input  src-address=192.168.1.0/24 protocol=icmp action=log

sekarang ping ke router mikrotik melalui pc

Screenshot from 2016-09-20 01-03-49.png

setelah itu cek pada log mikrotik

[admin@MikroTik] > log print 
18:03:44 firewall,info input: in:ether1 out:(none), src-mac 08:00:27:9f:69:79, proto ICMP (type 8, code 0), 192.168.1.2->192.168.1.1, len 60 
18:03:45 firewall,info input: in:ether1 out:(none), src-mac 08:00:27:9f:69:79, proto ICMP (type 8, code 0), 192.168.1.2->192.168.1.1, len 60 
18:03:46 firewall,info input: in:ether1 out:(none), src-mac 08:00:27:9f:69:79, proto ICMP (type 8, code 0), 192.168.1.2->192.168.1.1, len 60 
18:03:47 firewall,info input: in:ether1 out:(none), src-mac 08:00:27:9f:69:79, proto ICMP (type 8, code 0), 192.168.1.2->192.168.1.1, len 60

hasil diatas memperlihatkan bahwa pada ether1 dengan mac 08:00:27:9f:69:79 ping ke router mikrotik milik kita sebanyak empat kali

 

Lab 26. firewall filter content – skenario 2

Bismillah

melanjutkan materi lab pada Lab 25. firewall filter content disini kita akan tetap mengelabkan filter content namun kali ini kita tidak akan memblok sebuah website biasa melainkan kita akan memblok akses download suatu extension.

dengan memblok suatu konten website maka kita akan membuat website tersebut tidak dapat diakses. Hal tersebut juga berlaku pada eksensi suatu file yang di download. sebagai permisalan kita memblok konten “.exe” maka ketika user mendownload file dengan ekstensi “.exe” akan di blok oleh firewall filter

berikut topologi yang akan kita gunakan untuk mengimplementasikan firewall filter content untuk ekstension .exe

screenshot-from-2016-09-19-07-38-45

tambahkan ip address pada router mikrotik

[admin@MikroTik] > ip address add address=192.168.1.1/24 interface=ether1
[admin@MikroTik] > ip address add address=1.1.1.1 interface=ether2

setelah itu agar dapat internet diakses melalui router maupun user maka tambahkan konfigurasi dns, routing default dan juga nat.

[admin@MikroTik] > ip route add gateway=1.1.1.2
[admin@MikroTik] > ip dns set servers=8.8.8.8 allow-remote-requests=yes 
[admin@MikroTik] > ip firewall nat add chain=srcnat out-interface=ether2 
action=masquerade

sekarang berikan ip address ke pc virtualbox

screenshot-from-2016-09-19-07-46-04

sebelum mengaktifkan firewall filter content kita akan mencoba untuk mendownload suatu file dengan ekstensi exe pada website techspot

Screenshot from 2016-09-19 23-15-33.png

ketika saya mencoba mendownload file dengan ekstensi exe  maka secara otomatis akan muncul pop up.

sekarang aktifkan pada firewall firewall filter content yang akan memblok content exe

[admin@MikroTik] > ip firewall filter add chain=forward src-address=192.168.1.0/24 
content=".exe" action=drop

kemudian kita lihat apa yang terjadi ketika kita mencoba mendownload file dengan ekstensi exe

screenshot-from-2016-09-19-23-16-47

hasilnya adalah ketika saya mendownload file dengan ekstensi exe, web browser tidak merespon adanya file download.

anda dapat mecoba dengan menggunakan link lain dan pastikan website tersebut masih menggunakan http karena untuk https kita akan menggunakan metode yang lebih dalam pada router mikrotik