Load balance pada mikrotik adalah teknik untuk mendistribusikan beban
trafik pada dua atau lebih jalur koneksi secara seimbang, agar trafik
dapat berjalan optimal, memaksimalkan throughput, memperkecil waktu
tanggap dan menghindari overload pada salah satu jalur koneksi.

Selama ini banyak dari kita yang beranggapan salah, bahwa dengan
menggunakan loadbalance dua jalur koneksi , maka besar bandwidth yang
akan kita dapatkan menjadi dua kali lipat dari bandwidth sebelum
menggunakan loadbalance (akumulasi dari kedua bandwidth tersebut). Hal
ini perlu kita perjelas dahulu, bahwa loadbalance tidak akan menambah
besar bandwidth yang kita peroleh, tetapi hanya bertugas untuk membagi
trafik dari kedua bandwidth tersebut agar dapat terpakai secara
seimbang.

Dengan artikel ini, kita akan membuktikan bahwa dalam penggunaan
loadbalancing tidak seperti rumus matematika 512 + 256 = 768, akan
tetapi 512 + 256 = 512 + 256, atau 512 + 256 = 256 + 256 + 256.

Pada artikel ini kami menggunakan RB433UAH dengan kondisi sebagai
berikut :

1.    Ether1 dan Ether2 terhubung pada ISP yang berbeda dengan besar
bandwdith yang berbeda. ISP1 sebesar 512kbps dan ISP2 sebesar 256kbps.

2.    Kita akan menggunakan web-proxy internal dan menggunakan openDNS.

3.    Mikrotik RouterOS anda menggunakan versi 4.5  karena fitur PCC
mulai dikenal pada versi 3.24.

Jika pada kondisi diatas berbeda dengan kondisi jaringan ditempat
anda, maka konfigurasi yang akan kita jabarkan disini harus anda
sesuaikan dengan konfigurasi untuk jaringan ditempat anda.

Konfigurasi Dasar

Berikut ini adalah Topologi Jaringan dan IP address yang akan kita gunakan

/ip addressadd address=192.168.101.2/30 interface=ether1

add address=192.168.102.2/30 interface=ether2

add address=10.10.10.1/24 interface=wlan2

/ip dns

set allow-remote-requests=yes primary-dns=208.67.222.222
secondary-dns=208.67.220.220

Untuk koneksi client, kita menggunakan koneksi wireless pada wlan2
dengan range IP client 10.10.10.2 s/d 10.10.10.254 netmask
255.255.255.0, dimana IP 10.10.10.1 yang dipasangkan pada wlan2
berfungsi sebagai gateway dan dns server dari client. Jika anda
menggunakan DNS dari salah satu isp anda, maka akan ada tambahan mangle
yang akan kami berikan tanda tebal

Setelah pengkonfigurasian IP dan DNS sudah benar, kita harus memasangkan
default route ke masing-masing IP gateway ISP kita agar router
meneruskan semua trafik yang tidak terhubung padanya ke gateway
tersebut. Disini kita menggunakan fitur check-gateway berguna jika salah
satu gateway kita putus, maka koneksi akan dibelokkan ke gateway
lainnya.
/ip route

add dst-address=0.0.0.0/0 gateway=192.168.101.1 distance=1
check-gateway=ping

add dst-address=0.0.0.0/0 gateway=192.168.102.1 distance=2
check-gateway=ping

Untuk pengaturan Access Point sehingga PC client dapat terhubung dengan
wireless kita, kita menggunakan perintah
/interface wireless

set wlan2 mode=ap-bridge band=2.4ghz-b/g ssid=Mikrotik disabled=no

Agar pc client dapat melakukan koneksi ke internet, kita juga harus
merubah IP privat client ke IP publik yang ada di interface publik kita
yaitu ether1 dan ether2.
/ip firewall nat

add action=masquerade chain=srcnat out-interface=ether1

add action=masquerade chain=srcnat out-interface=ether2

Sampai langkah ini, router dan pc client sudah dapat melakukan koneksi
internet. Lakukan ping baik dari router ataupun pc client ke internet.
Jika belum berhasil, cek sekali lagi konfigurasi anda.
Webproxy Internal

Pada routerboard tertentu, seperti RB450G, RB433AH, RB433UAH, RB800 dan
RB1100 mempunyai expansion slot (USB, MicroSD, CompactFlash) untuk
storage tambahan. Pada contoh berikut, kita akan menggunakan usb
flashdisk yang dipasangkan pada slot USB. Untuk pertama kali pemasangan,
storage tambahan ini akan terbaca statusnya invalid di /system store.
Agar dapat digunakan sebagai media penyimpan cache, maka storage harus
diformat dahulu dan diaktifkan Nantinya kita tinggal mengaktifkan
webproxy dan set cache-on-disk=yes untuk menggunakan media storage kita.
Jangan lupa untuk membelokkan trafik HTTP (tcp port 80) kedalam
webproxy kita.
/store disk format-drive usb1

/store

add disk=usb1 name=cache-usb type=web-proxy

activate cache-usb

/ip proxy

set cache-on-disk=yes enabled=yes max-cache-size=200000KiB port=8080

/ip firewall nat

add chain=dstnat protocol=tcp dst-port=80 in-interface=wlan2
action=redirect to-ports=8080

Pengaturan Mangle

Pada loadbalancing kali ini kita akan menggunakan fitur yang disebut PCC
(Per Connection Classifier). Dengan PCC kita bisa mengelompokan trafik
koneksi yang melalui atau keluar masuk router menjadi beberapa kelompok.
Pengelompokan ini bisa dibedakan berdasarkan src-address, dst-address,
src-port dan atau dst-port. Router akan mengingat-ingat jalur gateway
yang dilewati diawal trafik koneksi, sehingga pada paket-paket
selanjutnya yang masih berkaitan dengan koneksi awalnya akan dilewatkan
pada jalur gateway yang sama juga. Kelebihan dari PCC ini yang menjawab
banyaknya keluhan sering putusnya koneksi pada teknik loadbalancing
lainnya sebelum adanya PCC karena perpindahan gateway..

Sebelum membuat mangle loadbalance, untuk mencegah terjadinya loop
routing pada trafik, maka semua trafik client yang menuju network yang
terhubung langsung dengan router, harus kita bypass dari loadbalancing.
Kita bisa membuat daftar IP yang masih dalam satu network router dan
memasang mangle pertama kali sebagai berikut
/ip firewall address-list

add address=192.168.101.0/30 list=lokal

add address=192.168.102.0/30 list=lokal

add address=10.10.10.0/24 list=lokal

/ip firewall mangle

add action=accept chain=prerouting dst-address-list=lokal
in-interface=wlan2 comment=”trafik lokal”

add action=accept chain=output dst-address-list=lokal

Pada kasus tertentu, trafik pertama bisa berasal dari Internet, seperti
penggunaan remote winbox atau telnet dari internet dan sebagainya, oleh
karena itu kita juga memerlukan mark-connection untuk menandai trafik
tersebut agar trafik baliknya juga bisa melewati interface dimana trafik
itu masuk
/ip firewall mangle

add action=mark-connection chain=prerouting connection-mark=no-mark
in-interface=ether1 new-connection-mark=con-from-isp1 passthrough=yes
comment=”trafik dari isp1”

add action=mark-connection chain=prerouting connection-mark=no-mark
in-interface=ether2 new-connection-mark=con-from-isp2 passthrough=yes
comment=”trafik dari isp2”

Umumnya, sebuah ISP akan membatasi akses DNS servernya dari IP yang
hanya dikenalnya, jadi jika anda menggunakan DNS dari salah satu ISP
anda, anda harus menambahkan mangle agar trafik DNS tersebut melalui
gateway ISP yang bersangkutan bukan melalui gateway ISP lainnya. Disini
kami berikan mangle DNS ISP1 yang melalui gateway ISP1. Jika anda
menggunakan publik DNS independent, seperti opendns, anda tidak
memerlukan mangle dibawah ini.
/ip firewall mangle

add action=mark-connection chain=output comment=dns
dst-address=202.65.112.21 dst-port=53 new-connection-mark=dns
passthrough=yes protocol=tcp comment=”trafik DNS citra.net.id”

add action=mark-connection chain=output dst-address=202.65.112.21
dst-port=53 new-connection-mark=dns passthrough=yes protocol=udp

add action=mark-routing chain=output connection-mark=dns
new-routing-mark=route-to-isp1 passthrough=no

Karena kita menggunakan webproxy pada router, maka trafik yang perlu
kita loadbalance ada 2 jenis. Yang pertama adalah trafik dari client
menuju internet (non HTTP), dan trafik dari webproxy menuju internet.
Agar lebih terstruktur dan mudah dalam pembacaannya, kita akan
menggunakan custom-chain sebagai berikut :
/ip firewall mangle

add action=jump chain=prerouting comment=”lompat ke client-lb”
connection-mark=no-mark in-interface=wlan2 jump-target=client-lb

add action=jump chain=output comment=”lompat ke lb-proxy”
connection-mark=no-mark out-interface=!wlan2 jump-target=lb-proxy

Pada mangle diatas, untuk trafik loadbalance client pastikan parameter
in-interface adalah interface yang terhubung dengan client, dan untuk
trafik loadbalance webproxy, kita menggunakan chain output dengan
parameter out-interface yang bukan terhubung ke interface client.
Setelah custom chain untuk loadbalancing dibuat, kita bisa membuat
mangle di custom chain tersebut sebagai berikut
/ip firewall mangle

add action=mark-connection chain=client-lb dst-address-type=!local
new-connection-mark=to-isp1 passthrough=yes
per-connection-classifier=both-addresses:3/0 comment=”awal loadbalancing
klien”

add action=mark-connection chain=client-lb dst-address-type=!local
new-connection-mark=to-isp1 passthrough=yes
per-connection-classifier=both-addresses:3/1

add action=mark-connection chain=client-lb dst-address-type=!local
new-connection-mark=to-isp2 passthrough=yes
per-connection-classifier=both-addresses:3/2

add action=return chain=client-lb comment=”akhir dari loadbalancing”

/ip firewall mangle

add action=mark-connection chain=lb-proxy dst-address-type=!local
new-connection-mark=con-from-isp1 passthrough=yes
per-connection-classifier=both-addresses:3/0 comment=”awal load
balancing proxy”

add action=mark-connection chain=lb-proxy dst-address-type=!local
new-connection-mark=con-from-isp1 passthrough=yes
per-connection-classifier=both-addresses:3/1

add action=mark-connection chain=lb-proxy dst-address-type=!local
new-connection-mark=con-from-isp2 passthrough=yes
per-connection-classifier=both-addresses:3/2

add action=return chain=lb-proxy comment=”akhir dari loadbalancing”

Untuk contoh diatas, pada loadbalancing client dan webproxy menggunakan
parameter pemisahan trafik pcc yang sama, yaitu both-address, sehingga
router akan mengingat-ingat berdasarkan src-address dan dst-address dari
sebuah koneksi. Karena trafik ISP kita yang berbeda (512kbps dan
256kbps), kita membagi beban trafiknya menjadi 3 bagian. 2 bagian
pertama akan melewati gateway ISP1, dan 1 bagian terakhir akan melewati
gateway ISP2. Jika masing-masing trafik dari client dan proxy sudah
ditandai, langkah berikutnya kita tinggal membuat mangle mark-route yang
akan digunakan dalam proses routing nantinya
/ip firewall mangle

add action=jump chain=prerouting comment=”marking route client”
connection-mark=!no-mark in-interface=wlan2 jump-target=route-client

add action=mark-routing chain=route-client connection-mark=to-isp1
new-routing-mark=route-to-isp1 passthrough=no

add action=mark-routing chain=route-client connection-mark=to-isp2
new-routing-mark=route-to-isp2 passthrough=no

add action=mark-routing chain=route-client connection-mark=con-from-isp1
new-routing-mark=route-to-isp1 passthrough=no

add action=mark-routing chain=route-client connection-mark=con-from-isp2
new-routing-mark=route-to-isp2 passthrough=no

add action=return chain=route-client disabled=no

/ip firewall mangle

add action=mark-routing chain=output comment=”marking route proxy”
connection-mark=con-from-isp1 new-routing-mark=route-to-isp1
out-interface=!wlan2 passthrough=no

add action=mark-routing chain=output connection-mark=con-from-isp2
new-routing-mark=route-to-isp2 out-interface=!wlan2 passthrough=no

Pengaturan Routing

Pengaturan mangle diatas tidak akan berguna jika anda belum membuat
routing berdasar mark-route yang sudah kita buat. Disini kita juga akan
membuat routing backup, sehingga apabila sebuah gateway terputus, maka
semua koneksi akan melewati gateway yang masing terhubung
/ip route

add check-gateway=ping dst-address=0.0.0.0/0 gateway=192.168.101.1
routing-mark=route-to-isp1 distance=1

add check-gateway=ping dst-address=0.0.0.0/0 gateway=192.168.102.1
routing-mark=route-to-isp1 distance=2

add check-gateway=ping dst-address=0.0.0.0/0 gateway=192.168.102.1
routing-mark=route-to-isp2 distance=1

add check-gateway=ping dst-address=0.0.0.0/0 gateway=192.168.101.1
routing-mark=route-to-isp2 distance=2

Pengujian

Dari hasil pengujian kami, didapatkan sebagai berikut

Dari gambar terlihat, bahwa hanya dengan melakukan 1 file download (1
koneksi), kita hanya mendapatkan speed 56kBps (448kbps) karena pada
saat itu melewati gateway ISP1, sedangkan jika kita mendownload file
(membuka koneksi baru) lagi pada web lain, akan mendapatkan 30kBps
(240kbps). Dari pengujian ini terlihat dapat disimpulkan bahwa

512kbps + 256kbps ≠ 768kbps

Catatan :

* Loadbalancing menggunakan teknik pcc ini akan berjalan efektif
dan mendekati seimbang jika semakin banyak koneksi (dari client) yang terjadi.

* Gunakan ISP yang memiliki bandwith FIX bukan Share untuk mendapatkan hasil
yang lebih optimal.

* Load Balance menggunakan PCC ini bukan selamanya dan sepenuhnya sebuah solusi
yang pasti berhasil baik di semua jenis network, karena proses penyeimbangan dari
traffic adalah berdasarkan logika probabilitas.

By: Pujo Dewobroto
(Mikrotik.co.id)

« Hide related posts

/interface pppoe-client
add ac-name=”" add-default-route=yes allow=pap,chap,mschap1,mschap2 comment=”"
dial-on-demand=no disabled=no interface=Speedy-1 max-mru=1480 max-mtu=1480
mrru=disabled name=”******@telkom.net” password=”***” profile=default
service-name=”" use-peer-dns=no user=”***”
add ac-name=”" add-default-route=yes allow=pap,chap,mschap1,mschap2 comment=”"
dial-on-demand=no disabled=no interface=Speedy-2 max-mru=1480 max-mtu=1480
mrru=disabled name=”******@telkom.net” password=”***” profile=default
service-name=”" use-peer-dns=no user=”***”
add ac-name=”" add-default-route=yes allow=pap,chap,mschap1,mschap2 comment=”"
dial-on-demand=no disabled=no interface=Speedy-3 max-mru=1480 max-mtu=1480
mrru=disabled name=”******@telkom.net” password=”***” profile=default
service-name=”" use-peer-dns=no user=”***”
add ac-name=”" add-default-route=yes allow=pap,chap,mschap1,mschap2 comment=”"
dial-on-demand=no disabled=no interface=Speedy-4 max-mru=1480 max-mtu=1480
mrru=disabled name=”******@telkom.net” password=”***” profile=default
service-name=”" use-peer-dns=no user=”***”
add ac-name=”" add-default-route=yes allow=pap,chap,mschap1,mschap2 comment=”"
dial-on-demand=no disabled=no interface=Speedy-5 max-mru=1480 max-mtu=1480
mrru=disabled name=”******@telkom.net” password=”***” profile=default
service-name=”" use-peer-dns=no user=”***”

…

/ip firewall mangle
add chain=prerouting action=mark-connection new-connection-mark=ADSL-1
passthrough=yes connection-state=new in-interface=HotSpot nth=5,1
comment=”" disabled=no
add chain=prerouting action=mark-routing new-routing-mark=ADSL-1 passthrough=no
in-interface=HotSpot connection-mark=ADSL-1 comment=”" disabled=no
add chain=prerouting action=mark-connection new-connection-mark=ADSL-2
passthrough=yes connection-state=new in-interface=HotSpot nth=5,2
comment=”" disabled=no
add chain=prerouting action=mark-routing new-routing-mark=ADSL-2 passthrough=no
in-interface=HotSpot connection-mark=ADSL-2 comment=”" disabled=no
add chain=prerouting action=mark-connection new-connection-mark=ADSL-3
passthrough=yes connection-state=new in-interface=HotSpot nth=5,3
comment=”" disabled=no
add chain=prerouting action=mark-routing new-routing-mark=ADSL-3 passthrough=no
in-interface=HotSpot connection-mark=ADSL-3 comment=”" disabled=no
add chain=prerouting action=mark-connection new-connection-mark=ADSL-4
passthrough=yes connection-state=new in-interface=HotSpot nth=5,4
comment=”" disabled=no
add chain=prerouting action=mark-routing new-routing-mark=ADSL-4 passthrough=no
in-interface=HotSpot connection-mark=ADSL-4 comment=”" disabled=no
add chain=prerouting action=mark-connection new-connection-mark=ADSL-5
passthrough=yes connection-state=new in-interface=HotSpot nth=5,5
comment=”" disabled=no
add chain=prerouting action=mark-routing new-routing-mark=ADSL-5 passthrough=no
in-interface=HotSpot connection-mark=ADSL-5 comment=”" disabled=no
/ip firewall nat
add chain=srcnat action=src-nat to-addresses=[IP-Speedy-1] to-ports=0-65535
connection-mark=ADSL-1 comment=”" disabled=no
add chain=srcnat action=src-nat to-addresses=[IP-Speedy-2] to-ports=0-65535
connection-mark=ADSL-2 comment=”" disabled=no
add chain=srcnat action=src-nat to-addresses=[IP-Speedy-3] to-ports=0-65535
connection-mark=ADSL-3 comment=”" disabled=no
add chain=srcnat action=src-nat to-addresses=[IP-Speedy-4] to-ports=0-65535
connection-mark=ADSL-4 comment=”" disabled=no
add chain=srcnat action=src-nat to-addresses=[IP-Speedy-5] to-ports=0-65535
connection-mark=ADSL-5 comment=”" disabled=no
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=PPPoE-1
routing-mark=ADSL-1
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=PPPoE-2
routing-mark=ADSL-2
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=PPPoE-3
routing-mark=ADSL-3
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=PPPoE-4
routing-mark=ADSL-4
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=PPPoE-5
routing-mark=ADSL-5
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=PPPoE-1

sumber : gilangrtrwnet.blogspot.com

halaman download winboxMikrotik punya kelebihan sendiri dalam hal dialup internet. Fasilitas PPPoEnya telah dikemas dengan sangat kompak sehingga proses setting bisa dilakukan dengan cepat. Disamping itu proses dialup nya sendiri juga sangat cepat. Paling tidak jika dibandingkan dengan Dialup dari Windows (paling lambat) bahkan dari modem sendiri.

Pada posting sebelumnya saya menulis tentang cara setting dialup speedy dari router mikrotik melalui command line. Namun bagi yang lebih nyaman dan menyukai mode GUI, kali ini saya sajikan setting dialup melalui Winbox. Mari kita mulai…

PERSIAPAN

Untuk mengantisipasi hal yang tidak diinginkan, saya sarankan Anda melakukan backup setting modem Speedy Anda terlebih dahulu. Hampir tiap modem dilengkapi dengan fasilitas ini. Konfigurasi yang diberikan oleh petugas dapat Anda backup dalam bentuk satu file yang kelak dapat Anda panggil lagi untuk mengembalikan setting modem ADSL ke kondisi semula dengan mudah.

Silakan masuk ke jendela setting Modem dengan memuka browser dan masukkan alamat modem (defaultnya: http://192.168.1.1).

Masuk pada bagian informasi service seperti berikut dan catat semua keterangan tentang LAN dan WAN yang ada.

Jika semua sudah siap,

1. Pertama kali, Anda perlu mempersiapkan modem terlebih dahulu. Set fungsi modem sebagai bridge, bukan sebagai PPPoE Dialer. Saya pernah pake modem Articonet ACN-100R dan TP-Link TD8117 Cara settingnya kurang lebih sama.

Buka browser Anda, masukkan alamat modem (defaultnya adalah http://192.168.1.1)

Untuk Articonet:

* Masukkan username dan password : admin/admin
* Pilih menu “Advanced Setup” > “WAN” , klik tombol “Edit” Masukkan nilai PVC Configuration : (masukkan nilainya sesuai wilayah TELKOM masing-masing daerah). Nilai ini dapat Anda lihat di sini.
VPI = X (setting saya=8)
VCI = XX (setting saya=8)
informasi ini bisa didapatkan dari petugas Telkom atau teknisi yang melakukan instalasi. Jika Anda masih belum yakin dengan setting yang tepat di lokasi Anda, silakan cek konfigurasi dalam tulisan berikut:
Setting Modem Speedy dari Berbagai Daerah

* Service Category = UBR Without PCR, kemudian klik Next
* Connection type = Bridging
* Encapsulation = LLC, kemudian klik tombol Next
* Tandai check box pilihan “Enable Bridge Service”, Next dan akhiri dengan Save
* Selanjutnya pilih Save/Reboot, tunggu beberapa saat +- 2 menit hingga proses reboot modem selesai.

Untuk Modem TP-Link TD8117 lebih mudah. Setelah login, ikuti saja langkah step-by-step nya dari Menu Start Up > Wizard > Pilih koneksi Bridge > Akhiri dengan klik Finish

2. Selanjutnya setting IP untuk masing-masing LAN Card Anda. Jika Anda menemukan kesulitan setting IP ini, saya punya panduannya di sini, jadi satu dengan setting dialup speedy via command line. Topologi yang saya buat sebagai berikut:

[INTERNET]——[MODEM ADSL]——[ROUTER MIKROTIK]——[SWITCH]———[CLIENT]
xxx.xxx—192.168.1.1/192.168.1.100—192.168.1.103/192.168.30.1—192.168.30.2-192.168.30.254

*UPDATE*
Keterangan:
Masing-masing hardware berikut memiliki 2 IP, satu IP untuk koneksi UP (ke atas) dan satu IP untuk koneksi DOWN (kebawah). Hardware yang saya maksud adalah Modem ADSL dan Router dengan keterangan sebagai berikut:
MODEM:
- Up: 125.164.xxx.xxx –> IP Public dari Speedy, IP ini otomatis akan Anda dapatkan dari server speedy saat Anda melakukan dialup.
- Down: 192.168.1.100 –> Atur IP statis ini di bagian setting LAN modem. IP ini yang digunakan untuk melakukan koneksi dengan Router/jaringan di bawah modem.
ROUTER Mikrotik:
- Up: 192.168.1.103 –> Setting IP ini di Ethernet card pertama yang Anda gunakan untuk menghubungkan Router dengan Modem. Perhatikan, IP dan netmasknya harus dalam satu range dengan IP Modem.
- Down: 192.168.30.1 –> IP untuk Gateway LAN dan pedoman IP client. Atur setting IP ini di Ethernet card kedu. Cara setting IP ini bisa Anda temukan di sini: Cara setting dialup speedy via command line.

3. Buka Winbox, kita akan mulai setting PPPoE-Client mikrotik.

* Login ke Winbox, masukkan ip address Anda, dalam hal ini IP mikrotik dari LAN. Dalam contoh saya memakai 192.168.30.1. Masukkan juga username dan password.
* Dari tampilan utama, pilih menu PPP untuk mengakses halaman berikut
menu ppp mikrotik
* Klik tanda + untuk menambahkan PPPoE Client dari box PPP, kemudian pilih menu PPPoE Client
add new ppp client
* Maka akan muncul box New Interface, kemudian pada tab General di field Name kita beri nama
* koneksi PPPoE tersebut dalam artikel ini menggunakan nama “pppoe-speedy”. Pilih “interface” yang Anda gunakan. Interface ini adalah Ethernet yang tersambung ke modem ADSL. Dalam contoh kasus di sini, saya pilih ethernet dengen IP 192.168.1.103.
general setting pppoe-client mikrotik
* Tetap dalam New Interface, pilih tab Dial Out. Masukkan username dan password account speedy. Biarkan setting lainnya dalam keadaan default. Pastikan Anda mencontreng pilihan Add Default Route di bawah ini.
interface setting pppoe-client speedy di mikrotik
* Klik OK untuk mengaktifkan setting yang baru kita buat.

Selanjutnya diamkan sejenak dan tunggu Mikrotik tugasnya melakukan untuk dial ke speedy. Jika setting kita sudah benar makan muncul hasil setup kita sebelumnya. Jika kita perhatikan, kolom uptime akan berjalan dan menghitung durasi koneksi speedy.

Untuk melakukan cek, silakan pilih Tools > Ping, masukkan alamat yang akan diping. Di sini saya masukkan alamat web ini, www.guntingbatukertas.com. Hasilnya tampak seperti berikut.

ping hasil koneksi speedy mikrotik

setting ip address network setting di windows

4. Anda tinggal mengarahkan IP Gateway komputer klien ke router mikrotik ini.

Akhirnya ping dari sisi klien untuk memastikan koneksi berjalan lancar.

Sumber  : http://galuharya.wordpress.com

[how to] Mikrotik + Squid

Mengingat banyak dari rekan - rakan yang kirim email tentang setting mikrotik dan squid terpisah.

Rasanya kurang pas kalo saya cuma nulis setting Mikrotik yang dipadukan Squid + Dansguardian pada Proxy Server terpisah dengan kondisi Proxy berada di dalam Mikrotik ( sejajar dengan user ) — lihat tulisan sebelumnya Mikrotik + Squid + Dansguardian

Topologi Mikrotik + Squid

Inet —- Mikrotik —- switch —– user

…………………………………….. |

…………………………………..Squid

Opsi 1 = Mikrotik + Squid Manual ( tidak transparent )

a. Squid sebagai user biasa ( ip local )

b. Setting di squid.conf :

http_port 3128

( tentukan sendiri port untuk squid, umumnya menggunakan port 3128 atau 3328 atau 8080 )

c. Selanjutnya setting browser client mengarah ke squid ( ip squid + port )

d. Di mikrotik ga ada yg perlu di setting.

Opsi 2 = Mikrotik + Squid ( transparent )

a. Squid sejajar dengan user biasa ( ip local )

b. Setting squid.conf

http_port 3128 transparent

always_direct allow all

konfigurasi diatas kalo kita menggunakan squid 2.6 keatas sedangkan kalo squid 2.5

http_port 3128

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

c. Setting Web Proxy di Mikrotik

via Winbox

IP > Web Proxy > Setting

Masukan data - data sbb :

port = 3328 ( bedakan portnya dengan port squid )

hostname = proxyku.com

tranparent proxy dikasi tanda centang

parent proxy = ip squid

parent proxy port = 3128

cache administrator = kamu@webmu.com

maximum cache size = ….. ( 40 x memory )

click enable

trus click ok

kalo dibagian bawah udah ada tulisan “running” artinya web proxy mikrotik udah jalan

d. Setting NAT di Mikrotik

via Winbox

IP > Firewall > NAT

Pada tab General

Click tanda +

masukan data - data sbb

chain = dstnat

src address = ip local squid

dan beri tanda centang di kotak kecil sebelah kiri, hal ini dimaksudkan supaya rule memberikan pengecualian kepada ip yang dimasukan ( ip local squid )

protocol = 6 (tcp)

dst port = 80

Pada tab Action

action = redirect

port = 3328 ( port web proxy mikrotik )

click ok

e. Hati - hati dengan rule firewall brutus atau flooding karena mikrotik bisa menganggap squid mencoba melakukan attacking.

Caranya berikan tambahan setting pada rule firewall brutus atau flooding seperti yang dilakukan diatas. ( src address = ip squid dan tanda centang pada kotak kecil ) agar dilakukan pengecualian rule terhadap ip squid.

f. tranparent proxy harusnya udah jalan dan coba buka log squid untuk memonitor traffic

Teknologi Wireless LAN menjadi sangat popular saat ini di banyak aplikasi. Wireless LAN bekerja dengan menggunakan gelombang radio. Sinyal radio menjalar dari pengirim ke penerima melalui free space, pantulan, difraksi, Line of Sight dan Obstructed LOS. Ini berarti sinyal radio tiba di penerima melalui banyak jalur (Multipath), dimana tiap sinyal (pada jalur yang berbeda-beda) memiliki level kekuatan, delay dan fasa yang erbeda-beda.

Awalnya teknologi ini didesain untuk aplikasi perkantoran dalam ruangan, namun sekarang Wireless LAN dapat digunakan pada jaringan peer to peer dalam ruangan dan juga point to point diluar ruangan maupun point to multipoint pada aplikasi bridge. Wireless LAN di desain sangat modular dan fleksibel. Jaringan ini juga bisa di optimalkan pada lingkungan yang berbeda. Dapat mengatasi kendala geografis dan rumitnya instalasi kabel.

II. ALAT

1. 2 Antenna grid yang masing-masing sudah tersambung ke router board mikrotik menggunakan kabel coaxial

2. Ligthning Protector

3. Ligthning protector Arrester

4. Power Over Ethernet

5. Mounting

6. AC adaptor

7. RJ45 Injector

8. Kabel UTP

III. TOPOLOGI

a. Topologi Wireless sebagai Router

b. Topologi Wireless sebagai WDS

IV. LANGKAH KONFIGURASI & PENGUJIAN

a.Konfigurasi Wireless Sebagai Router

a) Konfigurasi AP

1. Beri ip address pada interface wlan 1 seperti gambar di bawah ini.

IP Address = 10.1.3.1/24

Interface = wlan1

1. Begitu juga pada interface ether1. IP Address = 10.2.200.8/24 Interface = ether1

1. Setelah selesai mengatur ip maka langkah selanjutnya adalah kita masuk ke table wireless lalu enabelkan wlan1 pada tab interface.
2. Kemudian setting Mode = ap bridge, SSID = Mikrotik, Frequensi = 5180 pada tab wireless di Interface <wlan1>, seperti gambar dibawah ini.

1. Kemudian buat routing agar dapat terkoneksi ke stasion, seperti gambar dibawah ini.

1. Untuk melihatnya ketikan perintah print pada ip route, seperti gambar dibawah ini.

b) Konfigurasi Stasion

1. Sama halnya seperti pada AP, beri ip pada interface ether1 dan wlan1 seperti gambar dibawah ini.

- IP Address = 10.1.3.2/24 interface = wlan1

- IP Address = 10.1.200.1/24 interface = ether1

2. Setelah selesai mengatur ip maka langkah selanjutnya adalah kita masuk ke table wireless lalu enabelkan wlan1 pada tab interface.

3. Kemudian setting Mode = stasion, SSID = Mikrotik, Frequensi = 5180 pada tab wireless di Interface <wlan1>, (SSID dan frekuensi harus sama dengan AP) seperti gambar dibawah ini.

4. Buat routing dari stasion seperti gambar dibawah ini.

5. Lakukan perintah print pada ip route untuk melihat tampilannya.

c) Pengujian

1. Pengujian dapat dilakukan dengan cara uji koneksi dengan perintah ping dari router AP ke station atau dari stasion ke AP

Ping dari AP ke PC client Stasion

Ping dari pc client AP ke pc client Stasion

Ping dari Stasion ke AP & pc client AP

Ping dari pc client stasion ke AP & pc client AP pc client AP

b.Konfigurasi Wireless Sebagai WDS

a) Konfigurasi AP

1. Sebelumnya, buat interface bridge untuk bridging dari masing-masing wireless.(AP dan Stasion-WDS).lihat gambar dibawah ini.

1. Setting bridge seperti gambar dibawah ini.

1. Berikan ip address pada masing-masing interface bridge1 dan ether1.

- IP Address = 10.1.3.1/24 Interface = bridge1

- IP Address = 10.1.200.8/24 Interface = ether1

1. Masuk ke tab Bridge Port,kemudian atur interfacenya untuk bridging, seperti gambar dibawah ini.

Bridge Port wlan1

Bridge Port ether1

1. Kemudian setting wireless pada interface wlan1, setting Mode sebagai ap-bridge, SSID = Mikrotik, frekuensi = 5180.lihat gambar dibawah!

b) Konfigurasi Stasion-WDS

1. Buat interface bridge1

2. Berikan ip address pada masing-masing interface.

- IP Address = 10.1.3.2/24 Interface = bridge1

- IP Address = 10.1.200.10/24 Interface = ether1

3. Masuk ke tab Bridge Port,kemudian atur interfacenya untuk bridging, seperti gambar dibawah ini.

Bridge Port wlan1

Bridge Port ether1

4. Setting wireless pada interface wlan1, setting mode sebagai stasion-wds, SSID dan frekuensi disamakan dengan konfigurasi AP.Lihat gambar dibawah ini.

5. Kemudian setting WDS-nya.

6. Setting mode WDS-nya = dynamic.

7. Setelah itu masuk ke interface wds kemudian atur master interfacenya sebagai wlan1.

WDS Mode

Interface WDS

8. Konfigurasi Stasion selesai.

c) Pengujian

1. Pengujian bisa dilakukan dengan menggunakan perintah tracert dari client AP dan begitupun sebaliknya.

Test dari client stasion ke client AP

Test dari client AP ke client Stasion

Sumber : http://www.widianto.org

Implementasi ini menggunakan Mikrotik OS dengan Server monitoring yang telah dipasang CACTI. Server monitoring yang digunakan bisa menggunakan Linux atau terserah anda sukanya pake apa, yang penting CACTI bisa good running di system. Cara ini sebagai alternatif lain dari fungsi port-mirror yg biasanya terdapat pada switch-switch managable. (untuk pemanfaatan Port-mirror akan dibahas di lain kesempatan

Tujuannya :

• Menampilkan Traffic IP yang lewat di Mikrotik Router/Bridge ke dalam Grafik Cacti
• Masing-masing User bisa memonitor Traffic nya sendiri

Dan untuk melakukan projek ini, saya sudah menyiapkan :

• Mikrotik OS v.2.X atau v.3.X yg di pasang PC difungsikan sebagai Bridge (bisa bareng difungsikan sebgai BW management dg simple queue atau Queue Tree nya.)
• Server Monitoring yg sudah di install Linux Fedora 7
• Pmacct (Promiscuous mode IP Accounting package)
• Cacti (network graphing)
• Mysql server (database)
• Httpd server (webserver)

Server Monitoring

Install PC server nya dengan Linux Fedora 7, yang ini mah ga usah diajarin, udah pada bisa kan nginstall Linux Fedora 7. Keterlaluan kalo masih blom bisa mah…hiyaat dessigg..(tah belaian nenek lampir)…wekekeke. Inget ya Mysql, httpd harus sudah ikut terinstall beserta program2 dependency nya.

CACTI

Install Cacti juga udah pada bisa kan ? mantabz n  gampang banget koq ikuti aja tutorial dari official cacti nya nih di sini :
http://www.cacti.net/downloads/docs/html/installation.html

PMACCT

Ini juga gampang koq installnya, wekekeke ga ada yang susah sama saya mah.
Download di sini :

~]# wget http://www.pmacct.net/pmacct-0.11.4.tar.gz
~]# tar xzf  pmacct-0.11.4.tar.gz
~]# cd pmacct-0.11.4
~]# ./configure
~]# make && make install

~]#  ls -l /usr/local/sbin/
-rwxr-xr-x 1 root root 295652 2007-08-20 01:08 nfacctd
-rwxr-xr-x 1 root root 291684 2007-08-20 01:08 pmacctd
-rwxr-xr-x 1 root root 297236 2007-08-20 01:08 sfacctd

~]#  ls -l /usr/local/bin/
-rwxr-xr-x 1 root root 26900 2007-08-20 01:07 pmacct
-rwxr-xr-x 1 root root 39032 2007-08-20 01:07 pmmyplay

Konfigurasi file nfacctd-hosts.conf

~]# cat /usr/local/etc/nfacctd-hosts.conf
!
! nfacctd configuration, accept from mikrotik traffic flow.
!
debug: false
daemonize: true
plugin_buffer_size: 2048
plugin_pipe_size: 2048000
!
networks_file: /usr/local/etc/hosts.def
!
nfacctd_port: 5055
! nfacctd_time_secs: true
! nfacctd_time_new: true
!
plugins: memory[in], memory[out]
aggregate[in]: dst_host
aggregate[out]: src_host
imt_path[in]: /tmp/in-host.pipe
imt_path[out]: /tmp/out-host.pipe

Konfigurasi File Definisi Host hosts.def

~]# cat /usr/local/etc/hosts.def
!
! OUR HOST NETWORK
!
192.168.100.0/24
192.168.101.0/24
192.168.102.0/24
192.168.103.0/24
192.168.104.0/24

Menjalankan nfacctd

#/usr/local/sbin/nfacctd -f /usr/local/etc/nfacctd-hosts.conf

Check Proses nfacctd

~]# ps ax |grep nfacctd
24034 ?        Ss     0:00 nfacctd: Core Process [default]
24035 ?        S      0:00 nfacctd: IMT Plugin [in]
24036 ?        S      0:00 nfacctd: IMT Plugin [out]

MIKROTIK TRAFFIC-FLOW

Informasi detilnya ada di sini :
http://www.mikrotik.com/testdocs/ros/2.9/ip/traffic-flow.php
yang katanya Mikrotik Traffic-Flow adalah sebuah system yang menyediakan informasi statistik mengenai paket-paket yang lewat melalui router. Nah kan cocok dengan projek kita kali ini. Mikrotik Traffic-Flow ini compatible dengan Cisco NetFlow nya, artinya PMACCT yang sudah kita pasang akan cocok juga dengan Mikrotik Traffic-Flow nya.

Setting Traffic-Flow di Mikrotik

[aa@MikroTik] > /ip traffic-flow set enabled=yes
[aa@MikroTik] > /ip traffic-flow print
enabled: yes
interfaces: all
cache-entries: 4k
active-flow-timeout: 30m
inactive-flow-timeout: 15s

Setting IP-address dan port yang menerima paket traffic-flow ke server monitoring

[aa@MikroTik] > /ip traffic-flow target add address=10.10.10.1:5055
[aa@MikroTik] > /ip traffic-flow target print
Flags: X - disabled
#   ADDRESS               VERSION
0   10.10.10.1:5055      9

Nah mulai sekarang Server monitoring kita sudah menerima paket Traffic-Flow dari mikrotik, ga percaya ? coba check dengan ini :

Login ke Server monitoring,
Check Traffic Download :

~]# pmacct -s -p /tmp/in-host.pipe
DST_IP           PACKETS     BYTES
192.168.103.125  165         168572
192.168.102.124  14          8685
192.168.105.101  81          8919
192.168.104.134  4           176
192.168.103.31   13          831
192.168.104.125  1           147
192.168.103.183  160         80570
192.168.102.4    2           120

Check Traffic Upload :

~]# pmacct -s -p /tmp/out-host.pipe
SRC_IP           PACKETS     BYTES
192.168.102.1    12          720
192.168.102.173  31          9687
192.168.100.55   6           360
192.168.103.183  461         116975
192.168.104.138  119         27141
192.168.103.104  13          1519

Setting & Konfigurasi CACTI

Sekarang saatnya menampilkan Traffic yang di terima nfacctd ke Grafic Cacti, caranya sebagai berikut :

Dokumen aslinya ada di sini : http://www.pmacct.net/docs/cacti.html

Login pake admin ke cacti console, lakukan ini :

Data Input Methods, Add

• Name: Get pmacct data
• Input Type: Script/Command
• Input String: /usr/local/bin/pmacct -c <aggregation> -N <adata> -p <pipe> -r

Setelah created. Klik di Get pmacct data, then go for Input Fields, Add:

• Field [input]: aggregation
• Friendly Name: Aggregation string (Required)
• Save it and leave untouched remaining fields

• Field [input]: adata
• Friendly Name: Actual Data (Required)
• Save it and leave untouched remaining fields

• Field [input]: pipe
• Friendly Name: Pipe file (Required)
• Save it and leave untouched remaining fields

Now, go for Output Fields, Add:

• Field [output]: bytes
• Friendly Name: Bytes Transferred
• Update RRD File: yes
• Save it

Now, Data Templates, Add:

• Data Templates, Name: pmacct Data Template
• Data Source, Name: check “Use Per-Data Source Value”
• Data Input Method: Get pmacct data
• Step: 300
• Data Source Active: yes
• Internal Data Source Name: bytes
• Data Source Type: ABSOLUTE
• Output Field: bytes - Bytes Transferred
• Save it

Once created, you will be able to see it in the list. Click over pmacct Data Template:

• Go to: Custom Data [data input: Get pmacct data]
• Check “Use Per-Data Source Value” for all fields
• Save it

Now, Graph Templates, Add:

• Name: pmacct Graph
• Title: check “Use Per-Graph Value”
• Image Format: PNG
• Auto Scale: yes
• Rigid Boundaries Mode: yes
• Vertical Label: bits/s
• Save it

Once created, you will be able to see it in the list. Click over pmacct Graph:
Add a new Graph Template Item:

• Data Source: pmacct Data Template - (bytes)
• Color: 00CF00
• Graph Item Type: AREA
• Consolidation Function: AVERAGE
• CDEF Function: Turn Bytes into Bits
• Text Format: Download
• Save it

Add a new Graph Template Item:

• Data Source: pmacct Data Template - (bytes)
• Color: None
• Graph Item Type: LEGEND
• CDEF Function: Turn Bytes into Bits
• Save it

Add a new Graph Template Item:

• Data Source: pmacct Data Template - (bytes)
• Color: 002A97
• Graph Item Type: STACK
• Consolidation Function: AVERAGE
• CDEF Function: Turn Bytes into Bits
• Text Format: Upload
• Save it

Add a new Graph Template Item:

• Data Source: pmacct Data Template - (bytes)
• Color: None
• Graph Item Type: LEGEND
• CDEF Function: Turn Bytes into Bits
• Save it

Add a new Graph Item Input:

• Name: Download [bits/s]
• Field Type: Data Source
• Associated Graph Items: check Item #1, #2, #3, #4
• Save it

Add a new Graph Item Input:

• Name: Upload [bits/s]
• Field Type: Data Source
• Associated Graph Items: check Item #5, #6, #7, #8
• Save it

Go to Data Sources. In this menu you will need to setup queries to pmacct for all local networks you need graphs. It’s very likely that you will iterate more times through the following steps. For brevity, I will show what i’ve done for my 192.168.100.0/24 network. Add:

• Selected Data Template: pmacct Data Template
• Host: localhost
• Create it

• Name: pmacct: DL - 192.168.103.125
• Actual Data (Required): 192.168.103.125
• Aggregation string (Required): dst_host
• Pipe file (Required): /tmp/in-hosts.pipe
• Save it

Add, again:

• Selected Data Template: pmacct Data Template
• Host: localhost
• Create it

• Name: pmacct: UL - 192.168.103.125
• Actual Data (Required): 192.168.103.125
• Aggregation string (Required): src_host
• Pipe file (Required): /tmp/out-hosts.pipe
• Save it

Once you are finished with queries setup, go finally to Graphic Management. Here, pmacct queries will be bound to real graphics. This is because, it’s likely that you will need to iterate more times through this final step. Add:

• Selected Graph Template: pmacct Graph
• Host: localhost
• Create it

• Title: KLIEN IP 192.168.103.125
• Download [bits/s]: DL - 192.168.103.125
• Upload [bits/s]: UL - 192.168.103.125
• Save it

And here we are finished ! Now take a coffee and get to the screen in ten minutes. Going to the Graphs section you should be able to see the first lines coming on. We have just configured a graph that will resemble the following figure in the next 24 hours:

Tags: cacti, Mikrotik, traffic-flow :: 3,140 views

sumber :http://www.nixnux.or.id

aku ada hotspot dan 1 server proxy pakai ubuntu, topologinya proxy berada diatas mikrotik,, aku udah coba untuk menggabungkan mikrotik dan squid dengan parent proxy tapi hasilnya g bagus. mikrotik mesti di restartdulu biar internetnya normal.

setelah tanya2 senior di beberapa forum dan tanya2 terus ke “mbah google”, akhirnya aku mendapatkan cara untuk menggabungkan mikrotik dengan proxy server external pakai squid3 + debian Etch.

#####################
jika mikrotik di setting dengan hotspot maka settingan untuk menambahkan transparent squid hanya perlu di setting disini.

ip hotspot serverprofile
masukkan http proxy (ip proxy)
http proxy port (port proxy)

jika proxy berada di bawah mikrotik (sejajar dengan network client) maka ip proxy harus di taruh di ip binding hotspot agar squid bisa di konek tanpa login hotspot

#######################

next…

#############
untuk mikrotik yg bukan di setting sebagai hotspot cukup ditambahkan setting mikrotik disini:

/ip firewall nat
add action=dst-nat chain=dstnat comment=”REDIRECT TO PROXY SQUID” disabled=no dst-port=80 protocol=tcp src-address=!192.168.11.77 to-addresses=192.168.11.77 to-ports=3128

nb: -192.168.11.77 ip proxy

-3128 port proxy

#######################

selain itu squid jugaperlu di config transparent dulu denganmenambahkan script berikut:

http_port 3128 transparent
aways_direct allow all
sumber : http://blogmarom.blogspot.com

1 MUM 2006 presentation on firewalling 2 Introduction 3 Sanity-check 4 Protecting the router 5 Proxying everything 6 Enable Proxy servers

[edit] MUM 2006 presentation on firewalling

Dmitry’s presentation in PDF format

[edit] Introduction

This is a modification of Dmitry on firewalling without protocol classification and for two Public interfaces.

There are two Public interfaces on our router: ISP1_100M_Optic and ISP2_20M_2wireEth both connected to the Internet, and one Local interface where our clients are connected. All our clients are NATed. In this example we assume we already have configured and working well ECMP load-balancing/fail-over or BGP.

[edit] Sanity-check

Most generic invalid packet and port-scan detection techniques

Place this before all other rules in mangle:

/ip firewall mangle
add chain=prerouting in-interface=ISP1_100M_Optic dst-address-list=local-addr action=mark-packet new-packet-mark=nat-traversal \
    passthrough=no comment="Detect NAT Traversal"
add chain=prerouting in-interface=ISP2_20M_2wireEth dst-address-list=local-addr action=mark-packet new-packet-mark=nat-traversal

Note that some rules rely on address lists. Here the illegal-addr list is based on this BOGON Address List:

/ip firewall address-list
add address=192.168.0.0/16 list=illegal-addr
add address=10.0.0.0/8 list=illegal-addr
add address=172.16.0.0/12 list=illegal-addr
add address=169.254.0.0/16 list=illegal-addr
add address=127.0.0.0/8 list=illegal-addr
add address=224.0.0.0/3 comment="multicast - check if this one breaks neighbors" disabled=no list=illegal-addr
add address=223.0.0.0/8 list=illegal-addr
add address=198.18.0.0/15 list=illegal-addr
add address=192.0.2.0/24 list=illegal-addr
add address=185.0.0.0/8 list=illegal-addr
add address=180.0.0.0/6 list=illegal-addr
add address=179.0.0.0/8 list=illegal-addr
add address=176.0.0.0/7 list=illegal-addr
add address=175.0.0.0/8 list=illegal-addr
add address=104.0.0.0/6 list=illegal-addr
add address=100.0.0.0/6 list=illegal-addr
add address=49.0.0.0/8 list=illegal-addr
add address=46.0.0.0/8 list=illegal-addr
add address=42.0.0.0/8 list=illegal-addr
add address=39.0.0.0/8 list=illegal-addr
add address=36.0.0.0/7 list=illegal-addr
add address=31.0.0.0/8 list=illegal-addr
add address=27.0.0.0/8 list=illegal-addr
add address=23.0.0.0/8 list=illegal-addr
add address=14.0.0.0/8 list=illegal-addr
add address=5.0.0.0/8 list=illegal-addr
add address=2.0.0.0/8 list=illegal-addr
add address=0.0.0.0/7 list=illegal-addr
add address=128.0.0.0/16 list=illegal-addr
add list=local-addr address=172.31.255.0/29 comment="my local network, all NATed"

We use three address lists:

• illegal-addr - an example list - could be extended to some few tens of addresses at least to include the bogon IPs, which are not registered with IANA, and more;
• local-addr - includes all addresses located in your network, behind this firewall;

and later on:

• blocked-addr - will be created via firewall rules to block port scanners for 1 day.

In this example we exclude traffic between the local clients connected to different ports of the Local interface (which is a bridge between ethernet and wireless networks):

/ ip firewall filter
add chain=forward in-interface=Local out-interface=Local action=accept comment="Allow traffic between wired and wireless networks"

Then we are filtering everything else to the drop chain of the firewall. The separate chain is created to keep all logging and accounting in one place.

/ ip firewall filter
add chain=forward action=jump jump-target=sanity-check comment="Sanity Check Forward"
add chain=sanity-check packet-mark=nat-traversal action=jump jump-target=drop comment="Deny illegal NAT traversal"
add chain=input action=accept in-interface=Local dst-address=255.255.255.255 dst-port=5678 protocol=udp \
    comment="Allow The Router to be visible via Neighbor Discovery to WinBox"
add chain=sanity-check protocol=tcp psd=20,3s,3,1 action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d \
    comment="Block port scans" disabled=yes
#check to see if this is too agressive and blocks legit hosts
add chain=sanity-check protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d comment="Block TCP Null scan"
add chain=sanity-check protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d comment="Block TCP Xmas scan"
add chain=sanity-check protocol=tcp src-address-list=blocked-addr action=jump jump-target=drop
add chain=sanity-check protocol=tcp tcp-flags=rst action=jump jump-target=drop comment="Drop TCP RST"
add chain=sanity-check protocol=tcp tcp-flags=fin,syn action=jump jump-target=drop comment="Drop TCP SYN+FIN"
add chain=sanity-check connection-state=invalid action=jump jump-target=drop comment="Dropping invalid connections at once"
add chain=sanity-check connection-state=established action=accept comment="Accepting already established connections"
add chain=sanity-check connection-state=related action=accept comment="Also accepting related connections"
add chain=sanity-check dst-address-type=broadcast,multicast action=jump jump-target=drop comment="Drop all traffic that goes to multicast or broadcast addresses"
add chain=sanity-check in-interface=Local dst-address-list=illegal-addr dst-address-type=!local action=jump jump-target=drop comment="Drop illegal destination addresses"
add chain=sanity-check in-interface=Local src-address-list=!local-addr action=jump jump-target=drop comment="Drop everything that goes from local interface but not from local address"
add chain=sanity-check in-interface=ISP1_100M_Optic src-address-list=illegal-addr action=jump jump-target=drop comment="Drop illegal source addresses"
add chain=sanity-check in-interface=ISP2_20M_2wireEth src-address-list=illegal-addr action=jump jump-target=drop comment="Drop illegal source addresses"
add chain=sanity-check src-address-type=broadcast,multicast action=jump jump-target=drop comment="Drop all traffic that comes from multicast or broadcast addresses"

[edit] Protecting the router

/ ip firewall filter
add chain=input src-address-type=local dst-address-type=local action=accept comment="Allow local traffic (between router applications)"
add chain=input in-interface=Local protocol=udp src-port=68 dst-port=67 action=jump jump-target=dhcp comment="DHCP protocol would not pass sanity checking, so enabling it explicitly before other checks"
add chain=input action=jump jump-target=sanity-check comment="Sanity Check"
add chain=input dst-address-type=!local action=jump jump-target=drop comment="Dropping packets not destined to the router itself, including all broadcast traffic"
add chain=input protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept comment="Allow pings, but at a very limited rate (5 packets per sec)"
add chain=input in-interface=Local action=jump jump-target=local-services comment="Allowing some services to be accessible from the local network"
add chain=input in-interface=ISP1_100M_Optic action=jump jump-target=public-services comment="Allowing some services to be accessible from the Internet"
add chain=input in-interface=ISP2_20M_2wireEth action=jump jump-target=public-services comment="Allowing some services to be accessible from the Internet"
add chain=input action=jump jump-target=drop
add chain=dhcp src-address=0.0.0.0 dst-address=255.255.255.255 action=accept
add chain=dhcp src-address=0.0.0.0 dst-address-type=local action=accept
add chain=dhcp src-address-list=local-addr dst-address-type=local action=accept
add chain=local-services protocol=tcp dst-port=22 action=accept comment="SSH (22/TCP)"
add chain=local-services protocol=udp dst-port=53 action=accept comment="DNS"
add chain=local-services protocol=tcp dst-port=53 action=accept
add chain=local-services protocol=tcp dst-port=3128 action=accept comment="HTTP Proxy (3128/TCP)"
add chain=local-services protocol=tcp dst-port=8291 action=accept comment="Winbox (8291/TCP)" disabled=no
add action=accept chain=local-services comment=SNMP disabled=no dst-port=161 protocol=udp
add action=accept chain=local-services comment=FTP disabled=no dst-port=21 protocol=tcp
add action=accept chain=local-services comment=NTP disabled=no dst-port=123 protocol=udp
add action=accept chain=local-services comment="Neighbor discovery" disabled=no dst-port=5678 protocol=udp
add chain=local-services action=log comment="Temporary Logging to check for things we should not drop"
add chain=local-services action=drop disabled=yes
#check the log twice before enabling this
add chain=public-services dst-port=22 protocol=tcp action=accept comment="SSH (22/TCP)" disabled=yes
add chain=public-services protocol=tcp dst-port=1723 action=accept comment="PPTP (1723/TCP)"
add chain=public-services protocol=tcp dst-port=8291 comment="Winbox (8291/TCP)"
add chain=public-services protocol=gre action=accept comment="GRE for PPTP"
add chain=public-services action=log comment="Temporary Logging to check for things we should not drop"
add chain=public-services action=drop disabled=yes
#check the log twice before enabling this

• The “accept ping” rule needs to come before the “public” and “local” jump rules otherwise it will never be executed and ICMP will continue to be dropped.
• To make rules to enable router services you can check the ports here: RouterOSv3 Documentation - Services

add chain=drop action=log disabled=yes "Temporary logging if we need to see what is actually dropped"
add chain=drop action=drop disabled=yes
#check twice before enabling this

[edit] Proxying everything

/ ip firewall nat
add chain=dstnat in-interface=Local connection-mark=dns action=redirect comment="Transparent DNS Cache"
add chain=dstnat in-interface=Local connection-mark=http protocol=tcp action=redirect to-ports=3128 comment="Transparent Web Cache"
add chain=dstnat in-interface=Local connection-mark=ntp action=redirect comment="Transparent proxy for NTP requests"

[edit] Enable Proxy servers

/system ntp server
set enabled=yes broadcast=no multicast=no manycast=no

/system ntp client
set enabled=yes mode=unicast primary-ntp=xxx.xxx.xxx.xxx secondary-ntp=0.0.0.0

/ip proxy
set enabled=yes port=3128 maximal-client-connections=5000 maximal-server-connections=5000

/ip dns
set primary-dns=yyy.yyy.yyy.yyy secondary-dns=0.0.0.0 allow-remote-requests=yes cache-size=4096KiB cache-max-ttl=1w

Please change:

• xxx.xxx.xxx.xxx to the IP of the NTP server you choose: Google search for NTP servers
• yyy.yyy.yyy.yyy to the IP of your ISP’s DNS server

Thanks to Dmitry. Thanks to MikroTik Latvia. Modified by NetworkPro

Sumber : http://wiki.mikrotik.com/wiki/NetworkPro_on_firewalling#Protecting_the_router

Banyak pertanyaan dari teman-teman, terutama para operator warnet, admin jaringan sekolah/kampus dan korporasi tentang load balancing dua atau lebih koneksi internet. Cara praktikal sebenarnya banyak dijumpai jika kita cari di internet, namun banyak yang merasa kesulitan pada saat diintegrasikan. Penyebab utamanya adalah karena kurang mengerti konsep jaringan, baik di layer 2 atau di layer 3 protokol TCP/IP. Dan umumnya dual koneksi, atau multihome lebih banyak diimplementasikan dalam protokol BGP. Protokol routing kelas ISP ke atas, bukan protokol yang dioprek-oprek di warnet atau jaringan kecil.

Berikut beberapa konsep dasar yang sering memusingkan:

1. Unicast
Protokol dalam trafik internet yang terbanyak adalah TCP, sebuah komunikasi antar host di internet (praktiknya adalah client-server, misal browser anda adalah client maka google adalah server). Trafik ini bersifat dua arah, client melakukan inisiasi koneksi dan server akan membalas inisiasi koneksi tersebut, dan terjadilah TCP session (SYN dan ACK).

2. Destination-address
Dalam jaringan IP kita mengenal router, sebuah persimpangan antara network address dengan network address yang lainnya. Makin menjauh dari pengguna persimpangan itu sangat banyak, router-lah yang mengatur semua trafik tersebut. Jika dianalogikan dengan persimpangan di jalan, maka rambu penunjuk jalan adalah routing table. Penunjuk jalan atau routing table mengabaikan “anda datang dari mana”, cukup dengan “anda mau ke mana” dan anda akan diarahkan ke jalan tepat. Karena konsep inilah saat kita memasang table routing cukup dengan dua parameter, yaitu network address dan gateway saja.

3. Source-address
Source-address adalah alamat IP kita saat melakukan koneksi, saat paket menuju ke internet paket akan melewati router-router ISP, upstream provider, backbone internet dst hingga sampai ke tujuan (SYN). Selanjutnya server akan membalas koneksi (ACK) sebaliknya hingga kembali ke komputer kita. Saat server membalas koneksi namun ada gangguan saat menuju network kita (atau ISPnya) maka komputer kita sama sekali tidak akan mendeteksi adanya koneksi. Seolah-olah putus total, walaupun kemungkinan besar putusnya koneksi hanya satu arah.

4. Default gateway
Saat sebuah router mempunyai beberapa interface (seperti persimpangan, ada simpang tiga, simpang empat dan simpang lima) maka tabel routing otomatis akan bertambah, namun default router atau default gateway hanya bisa satu. Fungsinya adalah mengarahkan paket ke network address yang tidak ada dalam tabel routing (network address 0.0.0.0/0).

5. Dua koneksi
Permasalahan umumnya muncul di sini, saat sebuah router mempunyai dua koneksi ke internet (sama atau berbeda ISP-nya). Default gateway di router tetap hanya bisa satu, ditambah pun yang bekerja tetap hanya satu. Jadi misal router NAT anda terhubung ke ISP A melalui interface A dan gateway A dan ke ISP B melalui interface B dan gateway B, dan default gateway ke ISP A, maka trafik downlink hanya akan datang dari ISP A saja. Begitu juga sebaliknya jika dipasang default gateway ke ISP B.

Bagaimana menyelesaikan permasalahan tersebut?
Konsep utamanya adalah source-address routing. Source-address routing ibaratnya anda dicegat di persimpangan oleh polisi dan polisi menanyakan “anda dari mana?” dan anda akan ditunjukkan ke jalur yang tepat.

Pada router NAT (atau router pada umumnya), source-address secara default tidak dibaca, tidak dipertimbangkan. Jadi pada kasus di atas karena default gateway ke ISP A maka NAT akan meneruskan paket sebagai paket yang pergi dari IP address interface A (yang otomatis akan mendapat downlink dari ISP A ke interface A dan diteruskan ke jaringan dalam).

Dalam jaringan yang lebih besar (bukan NAT), source-address yang melewati network lain disebut sebagai transit (di-handle dengan protokol BGP oleh ISP). Contoh praktis misalnya anda membeli bandwidth yang turun dari satelit melalui DVB, namun koneksi uplink menggunakan jalur terestrial (dial-up, leased-line atau fixed-wireless). Dalam kasus ini paket inisiasi koneksi harus menjadi source-address network downlink DVB, agar bandwidth downlink dari internet mengarah DVB receiver, bukan ke jalur terestrial.

Di lingkungan Linux, pengaturan source-address bisa dilakukan oleh iproute2. Iproute2 akan bekerja sebelum diteruskan ke table routing. Misal kita mengatur dua segmen LAN internal agar satu segmen menjadi source-address A dan satu segmen lainnya menjadi source-address B, agar kedua koneksi ke ISP terutilisasi bersamaan.

Penerapan utilisasi dua koneksi tersebut bisa mengambil tiga konsep, yaitu round-robin, loadbalance atau failover.

6. Round-robin
Misalkan anda mempunyai tiga koneksi internet di satu router NAT, koneksi pertama di sebut Batman, koneksi kedua disebut Baskin dan koneksi ketiga disebut Williams, maka konsep round-robin adalah sang Robin akan selalu berpindah-pindah secara berurutan mengambil source-address (bukan random). Misal ada satu TCP session dari komputer di jaringan internal, maka koneksi TCP tersebut tetap di source-address pertama hingga sesi TCP selesai (menjadi Batman & Robin). Saat TCP session Batman & Robin tersebut belum selesai, ada ada request koneksi baru dari jaringan, maka sang Robin akan mengambil source-address koneksi berikutnya, menjadi Baskin & Robin. Dan seterusnya sang Robin akan me-round-round setiap koneksi tanpa memperhatikan penuh atau tidaknya salah satu koneksi.

Pasti anda sedang pusing membaca kalimat di atas, atau sedang tertawa terbahak-bahak.

7. Loadbalance
Konsep loadbalance mirip dengan konsep round-robin di atas, hanya saja sang Robin dipaksa melihat utilisasi ketiga koneksi tersebut di atas. Misalkan koneksi Batman & Robin serta Baskin & Robin sudah penuh, maka koneksi yang dipilih yang lebih kosong, dan koneksi yang diambil menjadi Robin Williams. Request koneksi berikutnya kembali sang Robin harus melihat dulu utilisasi koneksi yang ada, apakah ia harus menjadi Batman & Robin, Baskin & Robin atau Robin Williams, agar semua utilisasi koneksi seimbang, balance.

8. Failover
Konsep fail-over bisa disebut sebagai backup otomatis. Misalkan kapasitas link terbesar adalah link Batman, dan link Baskin lebih kecil. Kedua koneksi tersebut terpasang online, namun koneksi tetap di satu link Batman & Robin, sehingga pada saat link Batman jatuh koneksi akan berpindah otomatis ke link Baskin, menjadi Baskin & Robin hingga link Batman up kembali.

Tools NAT yang mempunyai ketiga fitur di atas adalah Packet Firewall (PF) di lingkungan BSD, disebut dengan nat pool. Saya belum menemukan implementasi yang bagus (dan cukup mudah) di Linux dengan iproute2.
Sumber : yulian.firdaus.or.id

saya sudah coba diterapkan pada warnet teman saya menggunakan 2 speedy dan dapat dengan hasil speed 2x lipat.. lumayan.. apa lagi 5 speedy.. wow maknyuss neh speednya.. So langsung aja pada prakteknya..!!!

Disini kita tentukan dahulu Ip address masing-masing interface,

asumsi ip address di mikrotik kita adalah

Local              : 192.168.0.1/24
Line1              : 192.168.11.1/24

Line2             : 192.168.22.2/24

/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local comment=”” \
disabled=no
add address=192.168.11.1/24 network=10.111.0.0 broadcast=192.168.11.155 interface=Line1 \
comment=”” disabled=no
add address=192.168.22.2/24 network=10.112.0.0 broadcast=192.168.22.255 interface=Line2 \
comment=”” disabled=no

router punya 2 upstream (WAN) interfaces dengan:

ip address 192.168.11.1/24 dan 192.168.22.2/24.

interface LAN dengan nama interface “Local”

ip address 192.168.0.1/24

Buat mangle untuk  mentandai koneksi

/ ip firewall mangle

add chain=prerouting in-interface=Local connection-state=new nth=1,1,0 \
action=mark-connection new-connection-mark=odd passthrough=yes comment=”” \
disabled=no

add chain=prerouting in-interface=Local connection-mark=odd action=mark-routing \
new-routing-mark=odd passthrough=no comment=”” disabled=no

add chain=prerouting in-interface=Local connection-state=new nth=1,1,1 \
action=mark-connection new-connection-mark=even passthrough=yes comment=”” \
disabled=no
add chain=prerouting in-interface=Local connection-mark=even action=mark-routing \
new-routing-mark=even passthrough=no comment=”” disabled=no

Buat Rule NAT

/ ip firewall nat
add chain=srcnat connection-mark=odd action=src-nat to-addresses=192.168.11.1 \
to-ports=0-65535 comment=”” disabled=no
add chain=srcnat connection-mark=even action=src-nat to-addresses=192.168.22.2 \
to-ports=0-65535 comment=”” disabled=no

Buat Routing nya

/ ip route
add dst-address=0.0.0.0/0 gateway=10.111.0.1 scope=255 target-scope=10 routing-mark=odd \
comment=”” disabled=no
add dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10 routing-mark=even \
comment=”” disabled=no
add dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10 comment=”” \
disabled=no comment=”gateway for the router itself”

oke aku kasih penjelasan sedikit teorinya yg saya dapet di forum mikrotik

Pemahaman Saya Mengenai Nth:

Pada dasarnya koneksi yang masuk ke proses di router akan menjadi satu arus yang sama, walaupun mereka datang dari interface yang berbeda. (well, this one is debatable)

Saat kita ingin menerapkan metode Nth, tentunya kita juga memberikan batasan ke router untuk hanya mem-proses koneksi dari sumber tertentu saja (ex. dari IP lokal).

Nah, begitu router telah membuat semacam ‘antrian’ baru untuk batasan yang kita berikan diatas, baru proses Nth dimulai.

Every

Angka Every adalah jumlah kelompok yang ingin dihasilkan. Jadi bila kita ingin membagi alur koneksi yang ada menjadi 4 kelompok yang nantinya akan di load balance ke 4 koneksi yang ada, maka angka Every = 4.

Namun, setelah saya bandingkan manual yang ada di Mikrotik dengan penjelasan tentang penerapan Nth di Linux, ada perbedaan disini.

Pada Mikrotik, angka Every harus dikurangkan 1, hingga bila mengikuti contoh diatas, maka kita harus mengisikan Every = 3. Hal ini mungkin dikarenakan proses Nth di Mikrotik akan menerapkan Every+1 (lihat manual) pada pengenalan koneksinya.

Jadi, kesimpulan sementara saya, bila kita ingin membagi 4 kelompok, maka :

- Pada Linux, Every = 4
- Pada Mikrotik, Every = 3

Counter

Angka Counter dapat diisikan angka 0-15. Maksudnya adalah menentukan counter mana yang akan kita pakai. Pada Mikrotik terdapat 16 Counter yang dapat dipakai, hal ini juga sama dengan penerapan yang ada di Linux.

Jadi, saya rasa, angka ini dapat diisikan sesuai dengan pilihan kita. Namun, saya rasa harus diteliti lagi apakah diantara 16 counter yang ada tersebut dapat menghasilkan hasil yang berbeda atau tidak.

Edit : Setelah Diskusi dengan bro D3V4, ternyata penerapan counter cukup berpengaruh. Jadi kesimpulan sementara, counter sebaiknya diset ke every+1 untuk Mikrotik

Packet

Nah, kita sampe ke parameter terakhir. Parameter terakhir ini yang cukup menentukan.

Bila kita ingin membuat 4 kelompok, tentunya kita harus membuat 4 mangle rules. Nah, pada rules tersebut, angka untuk Every dan Counter haruslah sama. Namun untuk angka packet harus berubah.

Untuk 4 kelompok, berarti angka packet untuk 4 rules tersebut adalah 0,1,2 dan 3. Angka ini ditentukan dari 0 … (n-1).

Penerapan angka Packet untuk Linux dan Mikrotik sama.

Contoh

Mari kita ambil contoh untuk penerapan Nth untuk 4 koneksi. Maka Angka Nth untuk masing2 rule di Mikrotik adalah (counter yg dipakai adalah 4) :

Rule 1 = 3,4,0
Rule 2 = 3,4,1
Rule 3 = 3,4,2
Rule 4 = 3,4,3

Kesimpulan

Penerapan Nth untuk pengenalan koneksi di Mikrotik dan Linux sangat bermanfaat, terlebih untuk proses Load Balance.

Selain yang biasa kita pakai untuk load balance antar beberapa koneksi, juga diterapkan untuk Load Balance Web Server, biasa diterapkan untuk site yang besar seperti Yahoo, Google, dll.

sumber :http://tenaudi.wordpress.com