PPP Dynamic Simple Queue

Assalamualaikum,
Pada kali ini saya akan share materi lanjutan mengenai PPP. Sebelumnya saya sudah posting materi PPP yang dapat di lihat disini
Seperti yang kita ketahui sebelumnya, queue merupakan limitasi yang dapat diterapkan pada sebuah traffic untuk membatasi traffic yang ada pada dalam jaringan. Dan pada mikrotik sendiri, kita dapat menggunakn simple queue dan juga queue tree. 
Namun pada kali ini, kita akan menerapkan queue pada PPP Profile. Dalam penerapannya, nantinya sebuah user akan mendapatkan limitasi dari konfigurasi yang dibuat di PPP Profile. 
Dalam penggunaan queue yang diterapkan pada PPP Profile akan ada saatnya apabila sebuah administrator jaringan akan melimit pada tunneling PPP yang ada. Apabila ada suatu kasus yang mengharuskan kita melimit berdasarkan grup yang ada, maka kita dapat melakukan konfigurasi pada PPP Profile. 
Seperti yang terlihat pada diatas, kita dapat melakukan konfigurasi pada PPP Profile > Limits. Dalam penentuan limit juga kita perlu mempertimbangkan apa saja yang akan di tambahkan limitasinya. 
Dalam hal ini, PPP Profile sendiri mempunyai format untuk menentukan queue yang akan diterapkan pada PPP Profilenya. 

rx-rate/tr-rate rx-burst-rate/tx-burst-rate rx-burst-threshold/tx-burst-threshold rx-burst-time/tx-burst-time priority rx-rate-min/tx-rate-min

Sesuai dengan namanya dynamic simple queue maka nantinya limitasi yang sudah kita buat akan ada secara otomatis pada simple queue.  Namun perlu diketahui, yang kita buat adalah dynamic simple queue. Untuk queuenya sendiri, akan muncul apabila ada user yang connect dengan secret yang menggunakan profile yang sudah di limit tadi. Jadi apabila tidak ada user yang connect, maka tidak akan muncul queue yang kita buat tadi. 
Apabila saya menerapkan rate limit seperti contoh diatas, dan berikut hasil dynamic simple queue yang ada secara otomatis.
Seperti yang terlihat pada gambar diatas, terlihat bahwa queue tersebut sifatnya dynamic. Jadi hanya ada apabila ada client yang connect. Mungkin hanya sampai sini saja. 
Terimakasih, 
Wassalamualaikum.

PPP Dynamic Simple Queue

Assalamualaikum,
Pada kali ini saya akan share materi lanjutan mengenai PPP. Sebelumnya saya sudah posting materi PPP yang dapat di lihat disini
Seperti yang kita ketahui sebelumnya, queue merupakan limitasi yang dapat diterapkan pada sebuah traffic untuk membatasi traffic yang ada pada dalam jaringan. Dan pada mikrotik sendiri, kita dapat menggunakn simple queue dan juga queue tree. 
Namun pada kali ini, kita akan menerapkan queue pada PPP Profile. Dalam penerapannya, nantinya sebuah user akan mendapatkan limitasi dari konfigurasi yang dibuat di PPP Profile. 
Dalam penggunaan queue yang diterapkan pada PPP Profile akan ada saatnya apabila sebuah administrator jaringan akan melimit pada tunneling PPP yang ada. Apabila ada suatu kasus yang mengharuskan kita melimit berdasarkan grup yang ada, maka kita dapat melakukan konfigurasi pada PPP Profile. 
Seperti yang terlihat pada diatas, kita dapat melakukan konfigurasi pada PPP Profile > Limits. Dalam penentuan limit juga kita perlu mempertimbangkan apa saja yang akan di tambahkan limitasinya. 
Dalam hal ini, PPP Profile sendiri mempunyai format untuk menentukan queue yang akan diterapkan pada PPP Profilenya. 

rx-rate/tr-rate rx-burst-rate/tx-burst-rate rx-burst-threshold/tx-burst-threshold rx-burst-time/tx-burst-time priority rx-rate-min/tx-rate-min

Sesuai dengan namanya dynamic simple queue maka nantinya limitasi yang sudah kita buat akan ada secara otomatis pada simple queue.  Namun perlu diketahui, yang kita buat adalah dynamic simple queue. Untuk queuenya sendiri, akan muncul apabila ada user yang connect dengan secret yang menggunakan profile yang sudah di limit tadi. Jadi apabila tidak ada user yang connect, maka tidak akan muncul queue yang kita buat tadi. 
Apabila saya menerapkan rate limit seperti contoh diatas, dan berikut hasil dynamic simple queue yang ada secara otomatis.
Seperti yang terlihat pada gambar diatas, terlihat bahwa queue tersebut sifatnya dynamic. Jadi hanya ada apabila ada client yang connect. Mungkin hanya sampai sini saja. 
Terimakasih, 
Wassalamualaikum.

SSTP Mikrotik

Assalamualaikum,

Pada kali ini, masih di tunneling, dan tunneling yang akan saya bahas pada kali ini adalah tunneling SSTP. Tunnel SSTP sendiri, merupakan sebuah tunneling yang konsepnya sama dengan OpenVPN dikarenakan membutuhkan certificate untuk dapat saling berhubungan. Oke langsung saja ke TKP..

Topologi


Konfigurasi

Untuk topologi yang digunakan, kita dapat menggunakan topologi yang ada pada lab ovpn sebelumnya, dikarenakan untuk konfigurasi pun juga tidak jauh berbeda. Pertama pastikan terlebih dahulu kedua router saling terhubung. Saya akan membiarkan ovpn yang sudah dibuat pada lab sebelumnya, dan sekarang kita akan melakukan konfigurasi SSTP.

[admin@R1] > /interface sstp-server
add name=sstp-in1 user=idn
/interface sstp-server server
set certificate=server.crt enabled=yes

Seperti yang terlihat pada gambar diatas, kita membuat interface untuk user yang nanti akan kita buat. Pembuatan interface ini, bertujuan agar koneksi vpn antara kedua router tidak putus nyambung, dikarenakan kadang kali koneksi vpn antara keduanya sering putus nyambung. Setelah itu, kita mengaktifkan service sstp yang ada pada router, dan juga mendefinisikan certificate yang akan digunakan. Jika sudah, buat PPP Secret untuk service SSTP.

[admin@R1] > /ppp secret
add local-address=200.200.200.1 name=idn password=idn remote-address=200.200.200.2 service=sstp

Berdasarkan konfigurasi tersebut, kita membuat secret untuk nantinya digunakan oleh SSTP Client. Kita juga menambahkan local address dan juga remote address agar nantinya client dapat berhubungan menggunakan address yang sudah dibuat tersebut. Lalu definisikan untuk service apa PPP Secret itu dibuat. Jika sudah, selanjutnya lakukan konfigurasi SSTP Client.

[admin@R2] > /interface sstp-client
add certificate=client.crt connect-to=19.19.19.2 disabled=no password=idn user=idn

Pada konfigurasi client, kita hanya perlu untuk mendefinisikan kemana kita akan melakukan koneksi dengan router. Setelah itu jangan lupa untuk menambahkan certificate yang ada sebelumnya. Jika sudah, definisikan PPP Secret yang sudah kita buat tadi. Lalu lakukan verifikasi terhadap SSTP yang sudah dibuat itu.

Terlihat pada gambar diatas, ada client yang menggunakan PPP Secret yang ada pada SSTP Server tersebut. Lalu lakukan verifikasi address juga yang ada pada router.

[admin@R1] > ip address print
Flags: X – disabled, I – invalid, D – dynamic
# ADDRESS                 NETWORK       INTERFACE
0 19.19.19.2/24            19.19.19.0        ether1
1 D 100.100.100.1/32  100.100.100.2  <ovpn-idn>
2 D 200.200.200.1/32  200.200.200.2  sstp-in1

[admin@R2] > ip address print
Flags: X – disabled, I – invalid, D – dynamic
# ADDRESS                NETWORK        INTERFACE
0 10.10.10.2/24           10.10.10.0         ether1
1 D 100.100.100.2/32  100.100.100.1  ovpn-out1
2 D 200.200.200.2/32  200.200.200.1  sstp-out1

Maka akan terlihat tunneling yang sudah terbuat. Untuk openvpn yang ada pada di gambar, abaikan saja ya hehehe.

OpenVPN Mikrotik

Assalamualaikum,

Pada kali ini masih soal tunneling, dan tunneling yang akan kita gunakan pada kali ini adalah Tunneling OpenVPN. Untuk tunneling OpenVPN sendiri, kita memerlukan certificate dalam penggunaannya. Oleh karena itu, sebelumnya saya sudah membuat artikel tentang cara membuat certificate pada mikrotik.

Untuk pembuatan certificate untuk OpenVPN sendiri, kita dapat menggunakan OpenSSL ataupun dari mikrotik. Anda dapat menggunakan certificate yang sebelumnya sudah dibuat dalam lab tersebut. Namun saya akan menggunakan certificate yang dibuat menggunakan OpenSSL, dikarenakan certificate yang di buat di mikrotik lupa saya save hehehe. Oke langsung saja ke TKP..

Topology

Konfigurasi

Untuk konfigurasi, tentunya tambahkan ip address terlebih dahulu untuk interface yang akan digunakan. Setelah itu, kita akan membuat agar R1 dan R2 saling terhubung terlebih dahulu. Oleh karena itu, kita akan menambahkan static route agar keduanya saling terhubung.

[admin@R1] > /ip route
add distance=1 gateway=19.19.19.1

[admin@R2] > /ip route
add distance=1 gateway=10.10.10.1

Jika sudah, selanjutnya siapkan certificate yang sudah dibuat sebelumnya. Anda dapat melihat pada lab pembuatan certificate, pastikan status dari certificate tersebut seperti di gambar tersebut. Jika sudah, lakukan konfigurasi OVPN Server.

[admin@R1] > /interface ovpn-server
add name=ovpn-in1 user=idn
[admin@R1] > /interface ovpn-server server
set enabled=yes require-client-certificate=yes certificate=server.crt

Berdasarkan konfigurasi diatas, kita aktifkan service openVPN server terlebih dahulu pada R1 dikarenakan nantinya, R1 akan menjadi server dari OpenVPN. Setelah itu, masukkan certificate yang sudah ada sebelumnya. Lalu untuk konfigurasi yang diatasnya, kita membuat interface untuk user idn nantinya. Dikarenakan user IDN belum dibuat, maka buat terlebih dahulu pada PPP Secret.

[admin@R1] > /ppp secret
add local-address=100.100.100.1 name=idn password=idn remote-address=100.100.100.2 service=ovpn

Berdasarkan konfigurasi diatas, kita membuat user IDN untuk digunakan oleh OVPN Client nantinya. Sedangkan local address dan remote address, merupakan address yang akan diberikan kepada server dan juga ke client apabila hubungan OVPNnya sudah terjalin. Setelah itu definisikan service yang akan digunakan. Jika sudah, selanjutnya lakukan konfigurasi OVPN Client.

[admin@R2] > /interface ovpn-client
add certificate=client.crt connect-to=19.19.19.2 password=idn user=idn

Pada konfigurasi client, jangan lupa untuk menamahkan certificate juga. Apabila belum ada, anda dapat menambilnya dari certificate yang sebelumnya ada di server. Namun ingat, bukan certificate yang sama, melainkan certificate untuk client. Jika sudah, selanjutnya definisikan kemana kita ingin menjalin koneksi, setelah itu konfigurasi password dan juga user yang sebelumnya sudah dibuat pada server. Jika sudah, lakukan verifikasi bahwa keduanya sudah saling terhubung.

[admin@R1] > ip address print
Flags: X – disabled, I – invalid, D – dynamic
# ADDRESS NETWORK INTERFACE
0 19.19.19.2/24 19.19.19.0 ether1
1 D 100.100.100.1/32 100.100.100.2 ovpn-in1

[admin@R2] > ip address print
Flags: X – disabled, I – invalid, D – dynamic
# ADDRESS NETWORK INTERFACE
0 10.10.10.2/24 10.10.10.0 ether1
1 D 100.100.100.2/32 100.100.100.1 ovpn-out1

Maka akan terlihat adanya address dinamis yang secara otomatis terdaftar.

IPIP Tunnel Mikrotik

Assalamualaikum,

Pada kali ini, masih sama seperti sebelumnya, saya akan sharing mengenai materi tunneling di mikrotik. Tunneling pada kali ini yang akan saya gunakan adalah tunneling IPIP. Tunneling IPIP sendiri merupakan  tunneling yang bekerja dengan cara melakukan enkapsulasi terhadap ip pada router kemudian ip yang sudah di enkapsulasi itu digunakan untuk melakukan hubungan tunneling.
Untuk konfigurasi sendiri, tidak terlalu sulit. Untuk membentuk IPIP Tunnel, ibarat membentuk GRE tunnel dikarenakan sama sama menggunakan local address dan juga remote address yang nantinya akan digunakan untuk membuat tunneling. Oke langsung saja ke TKP..

Topologi

Konfigurasi

Untuk konfigurasi, pertama tama tentunya konfigurasi address untuk setiap interface yang terhubung dengan router lainnya. Jika sudah, selanjutnya kita akan menambahkan default route. Default route sendiri digunakan agar sebuah router dapat berkomunikasi dengan router lainnya yang tidak berada 1 network dengan router kita. 
[admin@R1] > /ip route
add distance=1 gateway=10.10.10.1

[admin@R2] > /ip route
add distance=1 gateway=20.20.20.1

Default route ditambahkan agar R1 dapat berkomunikasi terlebih dahulu dengan R2. Seperti yang kita ketahui, untuk membuat tunneling diharuskan adanya hubungan terlebih dahulu antara 2 router yang nantinya akan berhubungan satu sama lain. Apabila belum ada hubungan, dipastikan tunneling tidak akan terbuat. Setelah itu konfigurasikan IPIP.

[admin@R1] > /interface ipip
add !keepalive local-address=10.10.10.2 name=ipip-tunnel1 remote-address=20.20.20.2

[admin@R2] > /interface ipip
add !keepalive local-address=20.20.20.2 name=ipip-tunnel1 remote-address=10.10.10.2

Berdasarkan konfigurasi diatas, menunjukkan bahwa apabila kita ingin membuat IPIP tunnel,  hanya membutuhkan local address dan juga remote address. Dengan mendefinisikan local address dan juga remote address, IPIP akan melakukan enkapslasi terhadap ip address tersebut. Setelah itu baru melakukan hubungan tunneling menggunakan address yang telah di enkapsulasi. Lalu tambahkan ip address untuk interface IPIP yang sudah dibuat tadi.

[admin@R1] > /ip address
add address=12.12.12.1/24 interface=ipip-tunnel1 network=12.12.12.0

[admin@R2] > /ip address
add address=12.12.12.2/24 interface=ipip-tunnel1 network=12.12.12.0

Jika sudah, lakukan verifikasi bahwa keduanya sudah dapat berkomunikasi. Selanjutnya, agar client dapat berkomunikasi dengan client lainnya, tambahkan default route terlebih dahulu pada client.

[admin@R3] > /ip route
add distance=1 gateway=13.13.13.1

[admin@R4] > /ip route
add distance=1 gateway=24.24.24.2

Lalu coba lakukan verifikasi.

[admin@R4] > ping 13.13.13.3
  SEQ HOST                                     SIZE TTL TIME  STATUS
    0 13.13.13.3                                              timeout                               
    sent=1 received=0 packet-loss=100%

Mengapa tidak bisa? Dikarenakan kita belum menambahkan static route pada router yang menggunakan IPIP untuk menuju ke network client. Oleh karena itu, konfigurasi static route untuk menuju ke setiap client.

[admin@R1] > /ip route
add distance=1 dst-address=24.24.24.0/24 gateway=12.12.12.2

[admin@R2] > /ip route
add distance=1 dst-address=13.13.13.0/24 gateway=12.12.12.1

Berdasarkan konfigurasi static route diatas, kita mendefinisikan gateway yang akan menjadi jalur keluar menggunakan tunneling yang sudah dibuat tadi. Jadi tidak percuma kita membuat IPIP tunnel. Lalu lakukan verifikasi.

Maka akan terlihat bahwa jalur yang digunakan merupakan jalur IPIP yang sudah kita buat tadi.

PPPoE Mikrotik

Assalamualaikum,

Pada kali ini, saya akan melanjutnkan materi tunneling, dan tunneling yang pada kali ini akan kita gunakan adalah PPPoE. PPPoE sendiri merupakan tunneling point to point yang memungkinkan sebuah client dari PPPoE dapat menggunakan layanan yang telah di sediakan dalam PPPoE server tersebut.

 
Dalam dunia nyata, biasanya PPPoE digunakan apabila sebuah client memiliki username dan password untuk akses ke PPPoE server, maka ia akan menggunakannya pada PC yang ia miliki. Untuk keuntungan menggunakan PPPoE sendiri, tentunya akses untuk ke server lebih cepat dikarenakan bekerja secara point to point. 
Dan untuk keamanannya sendiri, tentu akan lebih aman dikarenakan bekerja secara point to point melalui jaringan yang telah terenkapsulasi. Oke kita langsung saja menuju ke TKP.. 

Topologi

Konfigurasi

Pada skenario kali ini, kita akan membuat agar R3 dapat menggunakan PPPoE. Yang bertindak sebagai servernya adalah R1, dan yang menjadi client adalah R3. Untuk R2 sendiri, dia hanya bertindak sebagai bridge. Jadi nanti hasil akhirnya adalah R3 dapat mengakses internet menggunakan PPPoE yang sudah dibuat pada R1. 
Pertama tama, kita buat agar R1 terkoneksi dengan internet terlebih dahulu. Konfigurasikan ip address, ip route, ip dns, dan juga firewall nat. 

[admin@R1] > /ip address
add address=19.19.19.2/24 interface=ether1 network=19.19.19.0
[admin@R1] > /ip route
add distance=1 gateway=19.19.19.1
[admin@R1] > /ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
[admin@R1] > /ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1

Pada konfigurasi diatas, kita menambahkan ip address telebih dahulu pada interface yang menuju internet. Namun mengapa kita tidak menambahkan ip address kepada interface yang menuju jaringan local? Pada PPPoE, nantinya apabila ada client yang mendaftar, akan secara otomatis terdaftar ip address pada interface yang menuju ke PPPoE client tersebut. Jadi kita tidak perlu menambahkan ip address kepada interface yang menuju R3. 
Selanjutnya konfigurasi ip route, ip dns, dan juga ip firewall ditambahkan agar nantinya R3 juga dapat mengakses internet. Konfigurasikan PPPoE server pada R1. 

[admin@R1] > /interface pppoe-server server
add disabled=no interface=ether2

Berdasarkan konfigurasi diatas, kita mendefinisikan interface yang disediakan untuk service PPPoE. Jadi nantinya apabila ada client yang berasal dari interface lainnya selain ether2 yang ingin mengakses PPPoE Server, maka tidak akan bisa karena interface yang didefinisikan untuk service PPPoE hanyalah ether2. 

[admin@R1] > /ppp secret
add local-address=13.13.13.1 name=idn password=idn remote-address=13.13.13.3 service=pppoe

Selanjutnya tambahkan ppp secret yang nantinya akan digunakan oleh service PPPoE untuk autentikasi. Untuk local address dan remote address, nantinya akan terdaftar secara otomatis ip address yang akan digunakan untuk hubungan PPPoE. Lalu juga ada name dan password, yang nantinya akan digunakan sebagai autentikasi yang akan digunakan oleh PPPoE Client. Dan service, akan mendefinisikan layanan apa yang dikhususkan untuk PPP Secret yang sudah dibuat tersebut. Lalu lakukan konfigurasi pada R2. 

[admin@R2] > /interface bridge
add name=R1-R3
[admin@R2] > /interface bridge port
add bridge=R1-R3 interface=ether1
add bridge=R1-R3 interface=ether2

Untuk R2,  kita hanya akan membuat bridge antara interface yang menuju ke R1 dan juga R3. Jadi nantinya R2 hanya akan menjadi penghubung R1 dan juga R3. Selanjutnya lakukan konfigurasi pada R3. 

[admin@R3] > /interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=idn service-name=pppoe use-peer-dns=yes user=idn

Pada R3, kita perlu mendefinisikan PPPoE Server yang ada pada R1. Oleh karena itu, kita hanya perlu untuk mendefinisikan interface, dan juga user dan password yang sebelumnya sudah dibuat pada R1. Pada konfigurasi ini juga sudah cukup. Namun untuk konfigurasi tambahan agar R3 dapat mengakses internet, maka kita perlu menambahkan default route agar nantinya R3 dapat mengakses dunia luar dengan gateway R1. Dan juga ada use peer dns, yang nantinya, R3 akan menambahkan DNS secara otomatis sesuai dengan DNS yang ada pada R1. Jika sudah, lakukan verifikasi. 
[admin@R3] > ip address print
Flags: X – disabled, I – invalid, D – dynamic
 #   ADDRESS            NETWORK         INTERFACE
 0 D 13.13.13.3/32      13.13.13.1      pppoe-out
Lakukan ping juga ke internet untuk memastikan bahwa R3 sudah dapat mengakses internet. 
[admin@R3] > ping google.com
  SEQ HOST                                     SIZE TTL TIME  STATUS 
    0 74.125.200.139                         56     44    353ms
sent=1 received=1 packet-loss=0% min-rtt=353ms avg-rtt=353ms max-rtt=353ms

Dan maka R3 sudah dapat mengakses internet. 

Mikrotik Certificate Template

Assalamualaikum,

Pada kali ini, saya akan share mengenai cara membuat Certificate pada mikrotik. Seperti yang kita ketahui, Certificate pada di dalam jaringan itu dikeluarkan oleh Certificate Authority. CA sendiri merupakan sebuah institusi yang mengeluarkan dan juga melakukan verifikasi terhadap sebuah digital certificate. Digital certificate sendiri merupakan sebuah sertifikat untuk memastikan sebuah suatu identitas sebuah device dalam sebuah jaringan. Dalam artian, digital certificate sendiri ibarat sebuah identitas yang ada di dalam sebuah jaringan. 

 

Oke kita tidak akan begitu banyak untuk membahas mengenai certificate, kita akan membuat certificate pada Mikrotik. Certificate yang akan kita buat ini, nantinya akan kita gunakan untuk membuat tunneling menggunakan OpenVPN dan juga SSTP yang memerlukan certificate, oleh karena itu kita akan membuat terlebih dahulu pada artikel ini. 
Langkah 1 :
Pertama kita akan membuat Certificate template terlebih dahulu. 

[admin@Mikrotik] > /certificate
add name=ca-template common-name=CA key-usage=key-cert-sign,crl-sign    
add name=server-tempate common-name=server
add name=client-template common-name=client

Pada pembuatan certificate template tersebut, nantinya akan kita tambahkan pubkey dan lain lainnya. Jadi Certificate template tersebut ibarat cover untuk certificate tersebut. Nantinya, certificate template tersebut akan berisi seperti certificate signature, pubkey, dan lain lainnya. 

Langkah 2 :

Jika sudah, selanjutnya kita akan mendaftarkan certificate signature untuk certificate yang sudah kita buat. 

[admin@Mikrotik] > /certificate
sign ca-template ca-crl-host=www.rafi-tkj1.com name=CA          
sign client-template ca=ca-template
sign server-template ca=ca-template

Lalu pastikan bahwa template yang sudah kita buat tersebut sudah terdaftar certificate signature. 

Langkah 3 :

Selanjutnya dikarenakan certificate yang kita buat tersebut belum memiliki label trusted, maka kita buat agar certificate tersebut memiliki label trusted. 

[admin@Mikrotik] > /certificate
set ca-template trusted=yes
set server trusted=yes
set client-template trusted=yes

Lalu pastikan setiap certificate tersebut memiliki label T.

Langkah 4 :

Lalu yang terakhir, kita akan membuat agar certificate yang sudah kita buat tersebut memiliki pubkey dan juga CA Certificate. 

[admin@Mikrotik] > /certificate
export-certificate ca-template
export-certificate client-template export-passphrase=www.rafi-tkj1.com
export-certificate server-template export-passphrase=www.rafi-tkj1.com

Setelah itu lakukan verifikasi bahwa certificate yang sudah kita buat tersebut sudah berada di dalam storage mikrotik. 

Jika sudah, nantinya certicate tersebut akan kita gunakan dalam menggunakan OpenVPN dan juga SSTP.

GRE + IPsec Mikrotik

Assalamualaikum, 
Pada artikel ini, saya akan melanjutkan materi dari artikel yang sebelumnya mengenai GRE Tunnel. Kalau sebelumnya hanya GRE, sekarang kita akan memadukan GRE dengan IPsec.

 

Sebelumnya juga saya telah memposting mengenai tunneling yang dipadukan dengan IPsec, namun materi tersebut mengenai L2TP yang dipadukan dengan IPsec, dan sekarang kita akan mencoba GRE tunnel yang dipadukan dengan IPsec. Oke langsung saja ke TKP.. 

Topologi

Topologi yang akan saya gunakan sama seperti yang pada materi GRE, dikarenakan ini materi lanjutan. 

Konfigurasi

Untuk konfigurasi dasar dan GRE, anda dapat melihat pada postingan saya sebelumnya mengenai GRE Tunnel dikarenakan kita hanya akan melakukan konfigurasi IPsec saja yang nantinya akan mendampingi GRE Tunnel. 
Jika sudah, pastikan kedua router dapat terhubung menggunakan tunneling GRE yang sudah dibuat. Selanjutnya, kita akan mulai melakukan konfigurasi IPsec. 

[admin@R1] > /ip ipsec peer
add address=10.10.10.2 secret=idn

[admin@R2] > /ip ipsec peer
add address=19.19.19.2 secret=idn

Berdasarkan konfigurasi diatas, kita mendefinisikan peer yang nantinya akan menggunakan IPsec juga. Untuk mendefinisikan peer, kita hanya perlu menambahkan ip publik dari router peer. 
Selanjutnya untuk secret sendiri, nantinya akan menjadi autentikasi apakah keduanya cocok untuk membuat tunnel menggunakan ipsec atau tidak. Dalam artian, secret tersebut harus disamakan apabila kedua router ingin saling menerapkan ipsec. 

[admin@R2] > /ip ipsec policy
add dst-address=19.19.19.2/32 sa-dst-address=19.19.19.2 sa-src-address=10.10.10.2 src-address=10.10.10.2/32 tunnel=yes

[admin@R1] > /ip ipsec policy
add dst-address=10.10.10.2/32 sa-dst-address=10.10.10.2 sa-src-address=19.19.19.2 src-address=19.19.19.2/32 tunnel=yes

Selanjutnya pada konfigurasi diatas, kita mendefinisikan destinasi dan juga source untuk mendefinisikan ipsec yang akan kita buat. Dan dengan mendefinisikan dst address dan src address, kita definisikan kembali bahwa kita akan membuat tunneling menggunakan dst address dan juga src address yang sudah di definisikan sebelumnya. 

[admin@R1] > /ip ipsec proposal
set auth-algorithms=sha1 enc-algorithms=3des

[admin@R2] > /ip ipsec proposal
set auth-algorithms=sha1 enc-algorithms=3des

Jika sudah, selanjutnya terakhir kita perlu mendefinisikan authentikasi apa yang akan kita gunakan. Untuk autentikasi, pastikan pada kedua sisi memiliki jenis autentikasi yang sama. Jika sudah, lakukan verifikasi juga IPsec berjalan dengan baik. 

GRE Tunnel Mikrotik

Assalamualaikum,
Pada kali ini saya akan share mengenai sebuah materi, dan masih sama seperti yang sebelumnya, yaitu materi tunneling dan pada kali ini saya akan share mengenai GRE Tunnel. Sama seperti tunneling yang lainnya, tentunya GRE Tunnel dibuat untuk membuat hubungan point to point.

Selain digunakan sebagai tunneling, GRE juga biasa digunakan untuk menghubungkan area yang ada di dalam OSPF. Apabila ada sebuah area yang tidak tergabung dengan area backbone, maka GRE dapat digunakan sebagai alternatif dari virtual link. GRE akan membuat sebuah link virtual yang membuat seolah oleh sebuah network terhubung dengan network lainnya. Oke langsung saja ke TKP..


Topologi

Pada topologi tersebut, terlihat ada 2 router yang sama sama terhubung ke internet. Setelah itu, untuk ip publik, R1 mendapatkan IP Public 19.19.19.2/24 dan R2 mendapatkan IP Public 10.10.10.2/24.
pada kali ini, keduanya ingin agar seolah olah terbentuk hubungan untuk mereka. Dan untuk tunneling yang digunakan, kali ini kita akan menggunakan GRE Tunnel. Sedangkan R3 dan R4, hanya akan bertugas sebagai client yang nantinya akan melakukan verifikasi jalur.
Konfigurasi
Konfigurasikan ip address terlebih dahulu tentunya pada interface yang nantinya akan digunakan. Untuk ip address sendiri, kita dapat menggunakan ip dengan standart IDN.

[admin@R1] > /ip address
add address=19.19.19.2/24 interface=ether1 network=19.19.19.0
add address=13.13.13.1/24 interface=ether2 network=13.13.13.0

[admin@R2] > /ip address
add address=10.10.10.2/24 interface=ether1 network=10.10.10.0
add address=24.24.24.2/24 interface=ether2 network=24.24.24.0

[admin@R3] > /ip address
add address=13.13.13.3/24 interface=ether1 network=13.13.13.0

[admin@R4] > /ip address
add address=24.24.24.4/24 interface=ether1 network=24.24.24.0

Selanjutnya konfigurasikan agar seluruh router mendapatkan akses ke internet. Konfigurasikan firewall nat terlebih dahulu pada R1 dan juga R2 agar client nantinnya juga dapat mengakses internet.

[admin@R1] > /ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1

[admin@R2] > /ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1

Selanjutnya, konfigurasikan default route dan juga DNS agar dapat mengakses internet. 

[admin@R1] > /ip route
add distance=1 gateway=19.19.19.1
[admin@R1] > /ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

[admin@R2] > /ip route
add distance=1 gateway=10.10.10.1
[admin@R2] > /ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

[admin@R3] > /ip route
add distance=1 gateway=13.13.13.1
[admin@R3] > /ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

[admin@R4] > /ip route
add distance=1 gateway=24.24.24.2
[admin@R4] > /ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

Jika sudah, selanjutnya kita akan membuat GRE tunnel agar nantinya R1 dan juga R2 seolah olah saling terhubung.

[admin@R1] > /interface gre
add !keepalive local-address=19.19.19.2 name=gre-tunnel1 remote-address=10.10.10.2

[admin@R2] > /interface gre
add !keepalive local-address=10.10.10.2 name=gre-tunnel1 remote-address=19.19.19.2

Berdasarkan konfigurasi diatas, kita akan mendefinisikan peer yang nantinya akan ditambahkan untuk membentuk hubungan GRE. Untuk keepalive sendiri, kita dapat menentukan apakah kita ingin mengatur keepalive ataupun tidak. Dikarenakan juga keepalive bukan merupakan prioritas utama yang digunakan untuk membentuk hubungan GRE. Untuk kegunaannya sendiri, keepalive akan tetap memeriksa jalur yang ada pada dirinya apabila ada suatu masalah yang terjadi apabila ada kesalahan. Keepalive sendiri ibarat sebuah toleransi pada router yang akan terus memperhatikan jalur apabila sedang down.
Selanjutnya ada local address dan juga remote address. Untuk local address sendiri, digunakan untuk mendefinisikan address publik yang ada di router tersebut yang nantnya dapat digunakan untuk membuat hubungan GRE. Dan untuk remote address sendiri, digunakan untuk mendefinisikan address publik yang ada di router lain yang akan membuat hubungan GRE dengan router yang kita miliki.
Jika sudah, pastikan sudah dalam keadaan running.

[admin@R1] > interface gre print
Flags: X – disabled, R – running
 0  R name=”gre-tunnel1″ mtu=auto actual-mtu=1476 local address=19.19.19.2 remote-address=10.10.10.2 keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no allow-fast-path=yes

 [admin@R2] > interface gre print
Flags: X – disabled, R – running
 0  R name=”gre-tunnel1″ mtu=auto actual-mtu=1476 local-address=10.10.10.2 remote-address=19.19.19.2 keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no allow-fast-path=yes

Selanjutnya, berikan address untuk interface virtual yang dibentuk oleh tunnel gre tersebut.

[admin@R1] > /ip address
add address=100.100.100.1/30 interface=gre-tunnel1 network=100.100.100.0

[admin@R2] > /ip address
add address=100.100.100.2/30 interface=gre-tunnel1 network=100.100.100.0

Lalu pastikan antar router sudah dapat melakukan ping ke address yang ditambahkan ke GRE Tunnel yang sudah dibuat.

[admin@R1] > ping 100.100.100.2
  SEQ HOST                                     SIZE TTL TIME  STATUS
    0 100.100.100.2                           56     64    1ms 
sent=1 received=1 packet-loss=0% min-rtt=1ms avg-rtt=1ms max-rtt=1ms

Jika sudah, selanjutnya kita akan menambahkan static route agar nantinya apabila network ingin menuju jaringan local yang dimiliki oleh router lainnya, maka network tersebut akan menggunakan GRE yang tadi sudah dibuat. 

[admin@R2] > /ip route
add distance=1 dst-address=13.13.13.0/24 gateway=100.100.100.1

[admin@R1] > /ip route
add distance=1 gateway=19.19.19.1
add distance=1 dst-address=24.24.24.0/24 gateway=100.100.100.2

Lalu lakukan verifikasi menggunakan traceroute yang ada pada router apakah jalur yang dibuat tadi berfungsi ataukah tidak.

 

Dan maka lab kali ini selesai.

L2TP + IPsec Mikrotik

Assalamualaikum,
Pada kali ini, kembali saya akan sharing mengenai materi tunneling. Tunneling kali ini yaitu mengenai L2TP yang dipadukan dengan IPsec. Sebelumnya, saya sudah membahas mengenati tunneling PPTP. L2TP sendiri, merupakan pengembangan dari tunneling PPTP dimana pada L2TP ada penambahan yaitu L2F.
Untuk enkripsi dan protocol yang digunakan pada L2TP sama dengan PPTP, yang membedakan hanya untuk berkomunikasi, L2TP menggunakan hubungan UDP dengan port 1701.
Seperti yang kita ketahui sebelumnya, untuk keamanan sendiri pada L2TP dan pada PPTP tidak begitu kuat, dalam artian dapat dengan mudah di jebol oleh orang yang tidak bertanggung jawab. Oleh karena itu, sekarang kita akan memadukan L2TP dengan IPsec. Oke langsung saja, kita menuju ke TKP..

Topologi

Konfigurasi

Pada kali ini, topologi yang akan kita gunakan tidak jauh berbeda dengan topologi lab PPTP yang sebelumnya, sekarang lagi ga lupa hehehe. Untuk konfigurasi anda dapat menggunakan project yang sebelumnya sudah di buat pada lab PPTP. Atau mungkin yang sebelumnya belum melakukan konfigurasi, dapat mengunjungi artikel LAB PPTP. Yang perlu dilakukan hanyalah disable service yang ada pada R3.

[admin@R3] > interface pptp-server server set enabled=no

Selanjutnya, kita akan melakukan konfigurasi L2TP. Masih sama seperti sebelumnya, R3 akan menjadi server lagi.

[admin@R3] > /interface l2tp-server server
set enabled=yes use-ipsec=yes ipsec-secret=idn

Berdasarkan konfigurasi diatas, kita akan menggunakan IPsec. Dalam penggunaan IPsec, kita berikan secret untuk IPsec tersebut. Jika sudah, konfigurasikan PPP Secret.

[admin@R3] > /ppp secret
add local-address=100.100.100.1 name=idn password=idn remote-address=100.100.100.2 routes=192.168.2.0/24 service=l2tp

Berdasarkan konfigurasi diatas, kita akan membuat autentikasi yang nantinya akan digunakan oleh L2TP Client. Dalam penggunaannya, L2TP akan membentuk pseudowire, oleh karena itu konfigurasikan local address dan juga remote address agar nantinya, apabila kedua router tersebut ingin saling berkomunikasi, dapat menggunakan address yang sudah dikonfigurasikan tersebut.
Lalu untuk routes, kita melakukan konfigurasi agar secara otomatis menambahkan jalur untuk menuju ke network yang sudah di definisikan tersebut. Jadi nantinya akan ada routing yang ditambahkan secara otomatis apabila kedua router sudah saling berhubungan menggunakan L2TP.
Lalu ada juga service. Pada service tersebut, kita mendefinisikan untuk tunnel apa PPP tersebut dibuat. Jika sudah, konfigurasikan pada R4 agar menjadi L2TP Client dari R3.

[admin@R4] > /interface l2tp-client
add connect-to=13.13.13.3 disabled=no ipsec-secret=idn name=l2tp-out1 password=idn use-ipsec=yes user=idn

Berdasarkan konfigurasi diatas, kita mendefinisikan server dari L2TP server yang ada. Setelah itu, dikarenakan tadinya kita melakukan konfigurasi ipsec pada pembuatan L2TP Server, maka definisikan pada L2TP Client agar menggunakan IPsec juga. Jangan lupa untuk memasukkan IPsec secret yang tadi sudah kita buat di R3. Jika sudah,  konfigurasikan proposal IPsec.

[admin@R3] > /ip ipsec proposal
add enc-algorithms=3des,aes-128-cbc name=proposal1

[admin@R4] > /ip ipsec proposal
add enc-algorithms=3des,aes-128-cbc name=proposal1

Berdasarkan konfigurasi diatas, kita menambahkan algoritma yang nantinya akan digunakan pada IPsec tersebut. Lalu kon/figurasi IPsec Policy.

[admin@R3] > /ip ipsec policy
add dst-address=24.24.24.4/32 sa-dst-address=100.100.100.2 sa-src-address=100.100.100.1 src-address=13.13.13.3/32 tunnel=yes

[admin@R4] > /ip ipsec policy
add dst-address=13.13.13.3/32 sa-dst-address=100.100.100.1 sa-src-address=100.100.100.2 src-address=24.24.24.4/32 tunnel=yes

Berdasarkan konfigurasi diatas, kita melakukan konfigurasi agar nantinya, ip sec dibuat untuk address yang telah di definisikan tadi. Selain itu juga kita akan menggunakan IPsec tunnel untuk dikombinasikan dengan L2TP. Jika sudah, konfigurasi IPsec peer.

[admin@R3] > /ip ipsec peer
add address=100.100.100.2/32 secret=idn

[admin@R4] > /ip ipsec peer
add address=100.100.100.1/32 secret=idn

Pada konfigurasi tersebut, kita mendefinisikan router mana yang akan berhubungan menggunakan IPsec dengan kita. Selain itu juga ada secret yang berguna sebagai autentikasi apabila ingin berhubungan. Jika sudah, tambahkan firewall nat agar nantinya client 1 dan client 2 dapat berhubungan satu sama lainnya.

[admin@R4] > /ip firewall nat
add action=masquerade chain=srcnat out-interface=l2tp-out1

Lalu lakukan verifikasi.

[admin@Client2] > ping 192.168.1.3
  SEQ HOST                        SIZE TTL TIME  STATUS 
    0 192.168.1.3                  56     63    3ms 
    1 192.168.1.3                  56     63    3ms 
    sent=2 received=2 packet-loss=0% min-rtt=3ms avg-rtt=3ms max-rtt=3ms 

Maka akan berhasil. Coba lakukan traceroute untuk mengetahui jalur yang digunakan.
 
Maka akan terlihat bahwa ketika client 2 melakukan ping dan traceroute ke R3, maka akan langsung menuju R3.