Belajar Mikrotik bersama Mira

1. Pengertian Firewall

Sistem keamanan yang menggunakan device atau sistem yang diletakkan di dua Jaringan dengan fungsi utama melakukan filtering terhadap akses yang akan masuk.  Berupa seperangkat hardware atau software, bisa juga berupa seperangkat aturan dan prosedur yang ditetapkan oleh organisasi.

Firewal juga dapat disebut sebagai sistem atau perangkat yang mengizinkan lalu lintas jaringan yang dianggapnya aman untuk   melaluinya dan mencegah lalu lintas jaringan yang tidak aman. Umumnya firewall diimplementasikan  dalam sebuah mesin terdedikasi, yang berjalan pada pintu gerbang (gateway) antara jaringan local dan jaringan lainnya. Firewall juga umumnya digunakan untuk mengontrol  akses terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari hak luar. Saat ini, istilah firewall menjadi istilah generic yang merujuk pada sistem yang mengatur komunikasi antar dua jaringan yang berbeda.

Firewall digunakan sebagai sarana untuk mencegah atau meminimalkan risiko keamanan yang melekat dalam menghubungkan kejaringan lain. Firewall jika dikonfigurasi dengan benar akan memainkan peran penting dalam penyebaran jaringan yang efesien dan infrastructure yang aman. MikroTik RouterOS memiliki implementasi firewall yang sangat kuat dengan fitur termasuk Layer 7 Protokol.

2. Layer 7 protokol

Layer7-Protocol adalah metode pencarian pola terhadap paket data yang melewati jalur ICMP,TCP dan UDP.

Firewall layer 7 merupakan firewall yang sangat bagus dan komples dibandingkan firewall – firewall lain yang ada pada mikrotik. Beberapa service dan protocol yang berada di layer 7 ini misalnya HTTP, FTP, SNTP, dan lain-lain. Penerapan filtering pada layer 7 protokol menggunakan firewall filter.

Di mikrotik, penambahan regexp bisa dilakukan di menu layer 7 protokol. Setelah menambahkan regexp, bisa melakukan filtering dengan mendefinisikan layer 7 protokol pada rule filter yang dibuat. Perlu di ketahui bahwa penggunaan regexp, akan membutuhkan resource CPU yang lebih tinggi dari rule biasa.

Itulah sedikit penjelasan mengenai firewall dan Layer 7 protokol.Disini kita akan membahas cara memblokir situs dengan Teknik filtering layer 7 protokol.

Sekarang kita lanjut pada konfigurasinya..

3. Konfigurasi

pertama kita akan melakukan konfigurasi ip address agar router dan client bisa terhubung keinternet.

3.1. Konfigurasi IP Address Router

Konfigurasi Ip Address Router.

Ether2 192.168.137.1/24  (DHCP)

Ether3 192.168.17.1/24 (Static)

Konfigurasi Dhcp client

Pilih Menu IP > Dhcp Client

Lalu pilih Ether2

Pastikan Interface Ether 2 sudah mendapatakan IP Address secara dinamik dari ISP, dengan status Bound.

Selanjutnya, masuk pada menu IP>Addresses> Isi  Ip Address Client> Interface ether3 > OK

Label D pada interface ether2 menandakan bahwa IP Address 192.168.137.1 didapatakan Router Mikrotik secara Dinamik (DHCP)

Keterangan :

Ether 2 di setting Dhcp artinya bahwa router meminta langsung ip dari ISP tanpa memasukan ip secara manual atau static dan Ether 3 berfungsi sebagai ip untuk client atau di buat untuk menghubungkan antara jaringan internet dengan jaringan intranet (routing).

Pengecekan Gateway internet :

Karena Ether2 di setting secara DHCP, Router akan secara langsung meminta gateway dari penyedia layanan (ISP) tanpa  harus konfigurasi secara manual.

Periksa IP address di table route yang sudah terkoneksi gateway dari internet dengan perintah IP > Routes.

Periksa koneksi internet pada router dengan perintah “ping www.google.co.id” Pada Terminal Mikrotik.

Catatan : apabila router telah terkoneksi internet, secara langsung router dapat di ping ke google atau penyedia layanan lainnya.

3.2. Konfigurasi File DNS

            DNS atau Domain Name System berfingsi untuk memetakan nama domain dari situs tertentu kedalam IP address. Begitu juga DNS yang ada pada mikrotik yang berfungsi agar komputer yang berada dalam jaringan tersebut bisa mengakses domain dari sebuah situs, seperti google.com, yahoo.com, fecebook.com dan lain-lain.

Pada konfigurasi Dns Mikrotik diisikan dengan IP DNS milik ISP dan milik router. DNS yang digunakan disini adalah DNS milik UNNES.

Masuk Menu IP > DNS > Servers= 103.23.100.9, 103.23.102.12 > Centang Allow remote requests > OK

   Nameserver yang pertama adalah DNS milik UNNES, nameserver yang kedua adalah Alternative DNS milik UNNES, Nameserver yang ketiga adalah gateway dari internet

3.3. Konfigurasi Firewall NAT

Firewall merupakan suatu cara, system atau mekanisme yang bertujuan untuk melindungi baik menyaring, membatas atau bahkan menolak suatu hubungan pada jaringan pribadi dengan jaringan luar yang bukan merupakan ruang linkupnya.

Penjelansan firewall untuk NAT (Network Address Translation), NAT ini bertugas melakukan perubahan IP Address pengirim dalam sebuah paket data. NAT umumnya da pat di gambarkan sebagai pengatur lalu lintas data.

Masuk Menu IP > Firewall > NAT > tab menu General > Chain=srcnat > Out interface eth2

Tab menu Action > Pilih Action Masquerade > OK

Keterangan :

Source NAT
Apabila ingin menyembunyikan jaringan private LAN kita dengan alamat IP 192. 168. 17. 0/24 dibelakang satu alamat IP 192.168.137.1 yang didapatkan dari ISP, kita bisa memanfaatkan fitur source NAT dengan action masquerade.

Masquerade dapat merubah alamat IP serta port asal (source port) dari paket yang datang dari jaringan 192. 168. 17. 0/24 ke alamat IP 192.168. 137. 1  saat sebelum paket keluar dari router.

3.4 Konfigurasi IP Address Pada Computer Client

Konfigurasi Ip Address client di computer, Pada address beri IP 192.168.17.2

Netmask 255.255.255.0 > Default Gateway 192.168.17.1.1 > DNS Server

103.23.100.9 > Alternate DNS 103.23.102.12 > OK

Kemudian lakukan pengujian Client dari hasil konfigurasi. Tes ping dari Client ke IP Router. Jika sudah Reply, itu menandakan konfigurasinya berhasil.

3.5. Konfigurasi Blokir situs dengan Layer 7 Protokol

Konfigurasi Blokir situs dengan layer 7 protokol

Masuk menu IP > Firewall > Tab Layer 7 Protokol > add (+) > isikan name situs  dan regexp situs yang akan diblock.

Regexp : ^.+(youtube.com).*S

Buat rule baru untuk situs lain yang ingin dblock, lakukan seperti cara diatas.

Isikan name situs dan regexp situs yang akan diblock.

Regexp : ^.+(facebook.com).*S

Hasil rule yang telah dibuat

Pada tab menu Filter Rules > add (+)

 Tab menu advanced, kemudian pada layer 7 protokol isikan situs yang ingin di block

Tab menu advanced, pada layer 7 protokol masukan name situs yang akan diblock

Tab menu action, Pilih drop.

Keterangan :

Pada tab general     > Chain : Forward

Src .Address : 192.168.17.0/24

Pada tab advanced > Layer 7 Protokol : Youtube

Layer 7 Protokol : Facebook

Pada tab action     > Pilih action  Drop.

Buka situs yang telah diblokir, dan hasilnya tidak akan berhasil.

Buka Situs Facebook, dan hasilnya ttidak akan berhasil.

Action yang dilakukan untuk memblokir sebuah situs adalah ‘drop’ sehingga situs yang telah diblokir akan menampilkan tulisan “Server not found” ini menandakan konfigurasi kita berhasil..

Sekiann..Semoga bermanfaat..

Anda bisa melihat komputer atau laptop yang terkoneksi dengan wireless akses point kita, klik tab “Registration”. Anda bisa melihat MAC Address masing-masing komputer yang terhubung. Seperti gambar di bawah.

Sejauh ini anda sudah membuat wifi accespoint dengan routerboard. Anda tinggal memberikan IP Address pada interfaces WLAN anda, dan membuat DHCP server juga pada interfaces WLAN anda.

Untuk membuat client agar terhubung dengan internet, konsepnya sama dengan konfigurasi ethernet/port seperti biasa. Bedanya cuma jenis intefacesnya.

Artikel ini menjelaskan bagaimana menjadikan Mikrotik Routerboard sebagai WiFi Access Point. Menggunakan WiFi Mikrotik Routerboard sangat fleksibel, powerfull, banyak fitur dan mudah di konfigurasi.

Dalam artikel ini menggunakan perangkat mikrotik routerboard dengan slot wireless (Mini-PCI) seperti RB411 atau RB433 dan pastinya Wireless Cardnya donk (R52Hn, XR2, etc) atau bisa juga yg WiFinya dah built-in kayak Router Wireless RB751U-2HND Router Wireless RB951-2n, dan Router Wireless RB951G-2HND.

Pengertian Dasar Wireless

Jaringan wireless adalah teknologi yang saling berhubungan ke komputer menggunakan frekuensi radio sebagai media transmisi.

6 Alasan Menggunakan WiFi Routerboard MikroTik

• Fleksibel.
• Powerfull.
• Mempunyai kemampuan untuk routing.
• Kemampuan untuk melakukan setting Virtual AP.
• Wide range voltage power input.
• Banyak Fitur.

Apa itu Access Point ?

• Sebuah perangkat yang memungkinkan perangkat komunikasi wireless untuk bisa terhubung ke jaringan wireless.
• Sebagai RF Signal Transmitter.
• Ada beberapa mode Access Point, AP Bridge ( Point To Multi Point ), Bridge ( Point to Point ).

Bagaimana cara setting Wi-Fi Accespoint DirouterBoard Mikrotik?

Saya anggap anda sudah mempunyai perangkat seperti yang saya sebutkan diatas.

Pertama, masuk ke routerboard mikrotik anda dengan winbox. Klik menu Wireless. Defaultnya Interfaces WLAN anda dalam posisi disable, kalo kita liat di winbox berwarna abu-abu. Jadi sebelumnya kita enable dulu. Klik interface wlan anda lalu klik tanda “√” untuk mengaktifkan interfaces wireless anda.

Untuk konfigurasi interface wireless kita, double klik di nama interfaces wireless Anda.

Isi beberapa option :

• Mode : ap-bridge (karena kita ingin menjadikan wireless mikrotik sebagai akses point)
• Band : 2.4Ghz-B/G (standarnya aja yang bisa didukung kebnyakan wireless client ex:laptop)
• Frequency : 2412 (pilih sesuai keinginan anda)
• SSID : somename (isi bebas,  SSID adalah identitas Access Point Anda, jika laptop scan wifi nama itu lah yang muncul di laptop client)
• Security Profile : default (jika ingin tanpa password,  Jika anda ingin memberikan password untuk akses point Anda, anda bisa setting pada option “Security Profile” dengan klik dropdown, tapi sebelumnya anda harus membuat profile baru dulu)

Cara Memberikan Password untuk Wi-Fi AP Routerboard Mikrotik

Anda tentunya tidak membebaskan wifi mikrotik Anda donk di akses sembarang orang, pada bagian ini Anda akan memberikan password WiFi Anda agar tidak di akses sembarang orang.

Tutup box setting wireless anda barusan jika sudah selesai. Masuk ke tab “Security Profile” trus klik add (tanda “+”) akan keluar box seperti gambar di bawah.

Isi beberapa option :

• Name : profile_baru (isi bebas, nama ini yang akan muncul pada pilihan option “Security Profile” pada wireless setting)
• Mode : dynamic keys
• Authentification Types : Centang “WPA-PSK sama WPA2-PSK”
• WPA Pre-Shared Key : isi dengan password yang anda inginkan.
• WPA2 Pre-Shared Key : isi dengan password yang anda inginkan.

Setelah di apply, jgn lupa pilih pada option “Security Profile” pada menu wireless interfaces dengan profile yang baru kita buat.

Simple queue merupakan metode management bandwidth yang paling sederhana. Cara konfigurasi yang mudah dan hasil yang cukup efektif. Namun terkadang kita sebagai admin jaringan menginginkan management bandwidth custom yang fleksibel. Misalnya melakukan limitasi bandiwtdh berdasarkan waktu. Jika dibayangkan sepertinya membutuhakn konfigurasi yang kompleks, namun ternyata konfigurasi yang harus dibuat cukup simple.

Contoh kasus misalnya kita akan melakukan limitasi bandwidth dengan ketentuan sebagai berikut :

• Jam kerja 08:00 – 17:00 dengan alokasi bandwidth 512Mbps.
• Setelah jam kerja alokasi bandwidth dinaikkan menjadi 1Mbps, untuk bonus karyawan lembur misalnya.
• Sabtu  – minggu diberikan bandwidth 2 Mbps.

Bagi kita yang jarang memperhatikan fitur kecil mungkin berpikir untuk kebutuhan diatas kita akan butuh scheduler. Akan tetapi sebenarnya kita tidak butuh fitur scheduler, ada parameter time didalam simple queue. Parameter ini digunakan untuk menentukan kapan rule akan aktif. Untuk kebutuhan yang sudah disebutkan diatas, maka kita bisa membuat konfigurasi seperti berikut.

Pertama, buat rule untuk melakukan limitasi bandwidth pada jam kerja, dimana dialokasikan bandiwdth sebesar 512kbps, asumsikan misalnya ip address client yang akan dilimit adalah 192.168.230.254. Dibagian bawah jendela konfigurasi simple queue terdapat parameter Time. Disinilah kita menentukan kapan rule queue akan berjalan.

Selanjutnya buat rule untuk melakukan limitasi pada hari kerja, setelah jam kerja, artinya queue akan berjalan dari jam 17:00 sore sampai jam 08:00 pagi. Ternyata range waktu pada parameter simple queue tidak bisa berjalan melewati pergantian hari, jadi tidak bisa diisi dengan nilai 17:00:01 – 07:59:59. Untuk mengatasi hal tersebut, kita bisa membuat dua queue. Queue yang berjalan dari jam 17:00 sampai tengah malam, dan queue dari tengah malam sampai pagi. Contoh konfigurasi

Dan yang terakhir, kita buat queue untuk weekend dengan memilih opsi hari sabtu dan minggu. Hasil akhir setting.

Secara visual ada beberapa rule yang berwarna merah. Jangan khawatir, bukan berarti rule tersebut salah atau error, namun karena parameter time belum tercapai.

Jika kita coba connect internet pada jam 5 pagi, maka queue yang dijalankan adalah queue lembur malam, dimana client akan mendapatkan bandwith sampai 1 Mbps.

pada contoh implementasi diatas, kita menggunakan satu ip address client sebagai target. jika client yang dihandle cukup banyak, kita bisa kombinasikan parameter time dengan fitur PCQ.

Selain bisa melakukan blocking berdasarkan nama domain/URL , web-proxy Mikrotik juga dapat melakukan pemblokiran berdasarkan extention file yang ada pada sebuah halaman web.

Kemampuan ini dapat dimanfaatkan untuk melakukan blocking traffic client yang akan melakukan download untuk extention file tertentu, misal .iso, .exe, .zip, dsb.

Jika blocking URL didefinisikan pada parameter dst-host, pemblokiran file extention dapat didefinisikan pada parameter Path dengan action=deny. Gunakan wildcard (*) untuk menggantikan semua karakter di depan dan belakang file extention.

Sama halnya dengan Firewall Filter, NAT, Simple Queue, dsb, rule web-proxy access akan dibaca secara berurutan mulai dari rule no. 0.

Penyimpanan Cache Proxy

Disamping fungsi filtering, web-proxy juga dapat digunakan untuk penyimpanan object cache. Content pada sebuah website akan disimpan dan diberikan kembali ke client jika ada yang melakukan akses pada object/content yang sama, sehingga tidak perlu langsung mengambil dari internet dan menggunakan bandwidth.

Definisikan kapasitas storage yang digunakan untuk penyimpanan cache pada parameter Max-Cache-Size. Centang opsi Cache-On-Disk agar cache disimpan pada storage Router.
Konsep penyimpanan cache akan lebih baik diterapkan jika Router mempunyai storage tambahan, sehingga cache tidak disimpan pada system disk.

Sebagai pengguna teknologi informasi, tidak asing bagi kita dengan istilah “proxy”. Secara umum arti dari proxy adalah sebuah komputer server atau program komputer yang dapat bertindak sebagai komputer lainnya untuk melakukan request terhadap content dari Internet atau intranet. Dengan kata lain proxy merupakan sebuah media keamanan bagi akses jaringan internet kita.

Terdapat beberapa macam tipe proxy, diantaranya SSL Proxy, Web Proxy, Intercepting Proxy, Reverse Proxy, dll. Setiap tipe proxy memiliki fungsi masing-masing. Nah, kali ini kita akan membahas salah satu proxy yang merupakan fitur dari RouterOS MikroTik, yaitu Web Proxy.
Dalam pembahasan ini kita akan menekankan bagaimana cara melakukan pemblokiran website menggunakan “Web Proxy Access”. Contoh kasus, kita akan memblokir akses internet dari client ke www.playboy.com

Aktifkan web-proxy

Pertama, aktifkan terlebih dulu service dari web-proxy pada MikroTik dengan pengaturan pad menu IP -> Web Proxy.

Centang pilihan Enable, dan tentukan pada port berapa proxy bekerja. By default web-proxy akan bekerja pada port 8080.

Sampai langkah ini, web-proxy pada Router Mikrotik sudah aktif sebagai Regular HTTP Proxy. Dengan kata lain jika PC Client ingin menggunakan service proxy ini, maka harus disetting secara manual pada web browser masing-masing client dengan menunjuk ip-mikrotik port 8080.

Agar tidak perlu setting web-browser client satu per satu, ubah web-proxy Mikrotik agar berfungsi sebagai Transparent Proxy. Implementasinya, gunakan fitur NAT untuk membelokan semua traffic browsing HTTP (tcp 80) yang berasal dari client ke fitur internal web-proxy yang sudah diaktifkan sebelumnya.

Untuk membuatnya masuk pada menu IP->Firewall->NAT->Klik “+”.

Selanjutnya, karena semua traffic HTTP dari client sudah masuk ke web-proxy, maka bisa dilakukan manajemen. Salah satunya adalah melakukan blocking akses client ke website tertentu.

Block Website

Untuk melakukan block akses client ke website tertentu dapat dilakukan pada menu Webproxy -> Access

Tambahkan rule web-proxy acces baru. dalam contoh ini, client tidak diperbolehkan acces ke www.playboy.com

definisikan website yang akan diblock pada parameter dst-host dengan action=deny.

Jika diperhatikan penulisan dst-host tidak menggunakan alamat website lengkap akan tetapi menggunakan tanda (*) didepan dan dibelakang nama/ alamat website. Tanda (*) dimaksudkan sebagai wildcard untuk menggantikan semua karakter. Dengan ditambahkan wildcard, traffic cliient yang menuju ke website yang URL-nya terdapat kata  “playboy” akan diblock.

coba browsing ke alamat  www.playboy.com   Maka  secara otomatis Web proxy                                                                                                                                                                                                                                                                                                                               mikrotik akan melakukan pemblokiran terhadap website tersebut dan menampilkan pesan error pada browser client.

Block & Redirect Website

Kita juga bisa memodifikasi rule-nya dengan me-redirect ke situs lain. Misalnya ketika ada Client yang mengakses www.playboy.com maka akan langsung dialihkan (redirect) ke www.mikrotik.co.id

Pada langkah pertama anda harus mengetahui Ip Website yang ingin anda block, dengan cara menggunakan nslookup.

Pada Langkah kedua ini masuk menu IP, Firewall, dan add (+), pada bagian General Chain anda memilih Forward, pada Dst.Address beri 111.221.46.84, dan pada bagian Action pilih drop, lalu OK.

n n                                   msss

ini adalah hasil dari rule yang anda buat tadi.

Coba buka situs yang anda block tadi, dan hasilnya pasti tidak akan berhasil.

Pada tahap Pertama masuk menu IP lalu firewall, filter rules, dan Add (+), selanjutnya anda akan membuat rule untuk mendrop semua paket yang melaluo router, pada chain anda memilh forward, dan pada Action anda memilih drop.

ini adalah hasil dari rule yang telah anda buat tadi.

kemudian anda coba memping dari client ke internet menggunakan domain name google atau IP-nya, pasti hasilnya RTO.

Pada tahap pertama masuk menu IP lalu Firewall, Filter rule dan Add (+) , pada chain anda memilih input, pada Src. Address anda memberi 192.168.1.2, dan pada Action anda memberi accept, dan OK.

Pada tahap kedua ini masukan seperti rule sebelumnya, hanya saja IP-nya yang berbeda ubah menjadi 0.0.0.0/0 , dan pada action pilih drop, dan OK.

ini adalah hasil rule yang anda buat tadi.

coba anda tes ping dari IP 192.168.1.2 pasti berhasil.

coba anda ganti IP-nya asal jangan 192.168.1.2, lalu coba tes ping kembali pasti hasilnya gagal, karena bukan IP 192.168.1.2 yang akan didrop.

Untuk konfigurasi pertama kita akan membuat firewall Block Access dengan firewall input. oke langsung saja pada tahap pertama ini anda akan membuat rule untuk untuk memblokir semua traffic input, pada chain anda memilih input dan pada action anda memilih drop, dan OK.

inilah hasil rule yang anda buat tadi.

kemudian coba ping dari client ke Router.

Dengan yang telah anda buat tadi, maka semua traffic yang menuju kerouter akan diblock, anda tidak bisa melakukan ping kerouter dan tidak bisa mengakses router board anda.

Web Proxy Mikrotik memiliki beberapa fungsi, salah satunya yaitu fungsi filtering. Fitur Filtering Web Proxy ini dapat membatasi akses konten-konten tertentu yang di-request oleh client. Anda dapat membatasi akses ke situs tertentu, ekstensi file tertentu, melakukan redirect (pengalihan) ke situs lain, maupun pembatasan terhadap metode akses HTTP. Hal tersebut tidak dapat anda lakukan jika hanya menggunakan NAT.

Selanjutnya kita akan coba memblokir sebuah situs tertentu menggunakan fitur filtering Web Proxy ini. Pastikan Transparent Web Proxy Mikrotik sudak aktif. Jika belum silakan anda seting.

Jika Transparent Web Proxy sudah aktif, kita mulai langkah-langkah Cara Memblokir Situs Menggunakan Web Proxy MikroTik berikut ini :

1. Login ke Mikrotik dengan Winbox

2. Masuk ke menu IP –> Web Proxy –> Access –> Add rule baru

3. Masukkan detail website yang mau di blok

> Dst. Port : isikan port http 80

> Dst. Host : isikan alamat website yang mau di blok misalnya www.rizkyagung.com

> Action : pilih deny untuk memblokir akses nya

4. Sebelum rule nya diaktifkan pastikan cek website yang mau di blok itu bisa dibuka apa tidak.

5. Aktifkan rule nya, dan cek apakah website sudah berhasil di blokir. Jika sukses maka akan tampil halaman error seperti ini :

6. Kita juga bisa memodifikasi rule nya dengan me-redirect ke situs lain. Misalnya ketika ada user yang mengakses web www.rizkyagung.com maka akan langsung dialihkan (redirect) ke blog ini MikrotikIndo.blogspot.com.

Tinggal isikan saja alamat website nya di kolom Redirect To :

Oke, silakan anda coba dan isikan website apa saja yang mau diblokir. Selamat mencoba Cara Memblokir Situs Menggunakan Web Proxy MikroTik ini 🙂

sumber : https://mikrotikindo.blogspot.co.id/2014/02/memblokir-situs-menggunakan-web-proxy-mikrotik.html

Transparent Proxy adalah konsep proxy transparan yaitu konfigurasi proxy dimana client yang terhubung ke proxy tidak harus menyeting atau memasukkan konfigurasi proxy ke browser satu per satu. Sehingga penggunaan proxy akan lebih simpel dan mudah. Sebelum kita lanjut ada baiknya anda baca artikel Penjelasan Web Proxy Mikrotik dulu ya.
Oke udah baca artikel sebelumnya kan? Kalo sudah kita lanjut belajar mikrotik membuat Web Proxy Mikrotik nya dulu tanpa Transparent.

Membuat Web Proxy Mikrotik

Silakan buka Winbox dan ikuti langkah berikut :

1. Masuk ke menu IP –> Web Proxy pada Winbox
2. Untuk mengaktifkan Web Proxy centang tombol “Enabled“
3. Isikan port yang akan digunakan oleh Proxy. Isikan saja port 8080
4. Cache Administrator bisa anda ganti dengan email anda sendiri selaku Admin nya
5. Max. Cache Size menentukan berapa besar alokasi memori untuk menyimpan cache proxy nya. Silakan anda isikan sesuai kebutuhan atau bisa saja pilih unlimited.
6. Centang opsi Cache On Disk agar penyimpanan dilakukan pada harddisk Mikrotik bukannya RAM. Karena biasanya harddisk Mikrotik lebih basar daripada RAM nya.
7. Klik Apply –> OK

Sampai disini Web Proxy sudah berhasil dibuat. Anda sudah bisa menggunakan Web Proxy Mikrotik ini namun harus mengkonfigurasi setingan Proxy pada Browser anda dulu dengan IP address Mikrotik dan port 8080. Nah, biar ga ribet seting browser dan membuatnya lebih simple kita akan mengaktifkan fungsi Transparent Proxy.

Membuat Transparent Proxy Mikrotik

Cara kerja Transparent Proxy ini dengan mengalihkan (redirect) Traffic data HTTP (destination port 80) ke port yang digunakan proxy yaitu 8080. Caranya dengan mengkonfigurasi Firewall NAT nya
dengan chain=dstnat dan action redirect. Berikut ini command nya :

ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080

atau bisa melalui Winbox, masuk menu IP –> Firewall

Pada tab General 

Chain : dstnat

Protocol : tcp

Dst. Port : 80

Pada tab Action

Action : redirect

To Ports : 8080

Sekarang Proxy Mikrotik nya sudah Transparent. Untuk mengujinya, silakan anda buka menu IP –> Web Proxy di Winbox. Masuk tab Status dan klik Connections. Kalau keduanya sudah ada isinya berarti transparent Proxy Mikrotik sudah jalan.

Selain itu anda juga bisa menguji nya dengan membuka browser kemudian masukkan alamat sembarang supaya terjadi pesan error. Jika Transparent Proxy Mikrotik sudah jalan maka akan muncul pesan error dari Mikrotik nya seperti gambar berikut ini :

sumber :

https://mikrotikindo.blogspot.co.id/2013/04/cara-membuat-transparent-proxy-mikrotik.html

Proxy adalah suatu aplikasi yang menjadi perantara antara client dengan server, sehingga client tidak akan berhubungan langsung dengan server-server yang ada di Internet. Mikrotik memiliki fitur Web proxy yang bisa digunakan sebagai proxy server yang nantinya akan menjadi perantara antara browser user dengan web server di Internet.

Cara Kerja Web Proxy

Ketika user membuka suatu situs, maka browser akan mengirimkan HTTP request ke Server, namun karena computer user ini menggunakan web proxy maka proxy akan menerima HTTP request dari browser tersebut kemudian membuat HTTP request baru atas nama dirinya. HTTP request baru buatan Proxy inilah yang diterima oleh Server kemudian Server membalas dengan HTTP Response dan diterima oleh Proxy yang kemudian diteruskan ke browser user yang sebelumnya melakukan request.

Perbedaan Web Proxy dengan NAT

Mungkin penjelasan cara kerja web proxy di atas hamper mirip dengan NAT (Network Address Translation) Masquerade, namun sebenarnya berbeda. Karena jika menggunakan NAT, maka Mikrotik hanya akan meneruskan HTTP Request yang dibuat oleh computer user. HTTP request tersebut diteruskan ke Server oleh Mikrotik tanpa membuat HTTP request baru seperti halnya pada Web Proxy.

NAT hanya menangani paket data saja, sedangkan Proxy bekerja dengan memeriksa konten dari HTTP Request dan Response secara detail, sehingga Proxy sering juga disebut sebagai Application Firewall.

Web Proxy Membutuhkan Resource CPU Besar

Jika mengaktifkan fitur Web proxy pada Mikrotik anda harus memperhatikan kapasitas memori dan CPU. Karena Mikrotik akan membuat HTTP Request baru atas nama dirinya, sehingga membutuhkan pemakaian Resource memori dan CPU yang lebih besar daripada hanya menggunakan NAT. Jika pemakaian resource Mikrotik berlebihan maka akan membuat Router Mikrotik anda hang dan koneksi internet pun akan jadi lambat.

Keuntungan menggunakan Web Proxy

Fungsi dari proxy secara umum adalah sebagai Caching, Filtering, dan Connection Sharing. Semua fungsi ini dapat anda temui pada Web Proxy Mikrotik. Berikut ini adalah Keuntungan / Manfaat Web Proxy pada Mikrotik :

Caching
Web Proxy Mikrotik dapat melakukan caching content yaitu menyimpan beberapa konten web yang disimpan di memori Mikrotik. Konten tersebut akan digunakan kembali apabila ada permintaan pada konten itu lagi. Misalnya anda membuka Facebook.com, maka file-file pada web tersebut seperti image, script, dll akan disimpan oleh web proxy, sehingga jika lain kali anda membuka Facebook maka tidak perlu konek ke Internet pun halaman itu bisa dibuka dengan mengambil file dari cache proxy. Hal ini dapat menghemat bandwidth Internet dan mempercepat koneksi.

Filtering
Dengan menggunakan Web Proxy anda dapat membatasi akses konten-konten tertentu yang di-request oleh client. Anda dapat membatasi akses ke situs tertentu, ekstensi file tertentu, melakukan redirect (pengalihan) ke situs lain, maupun pembatasan terhadap metode akses HTTP. Hal tersebut tidak dapat anda lakukan jika hanya menggunakan NAT.

Connection Sharing
Web Proxy meningkatkan level keamanan dari jaringan anda, karena computer user tidak berhubungan langsung dengan web server yang ada di Internet.

Demikianlah Penjelasan Web Proxy Mikrotik secara umum. Untuk Setingan Web proxy Mikrotik akan dibahas pada artikel selanjutnya di blog belajar mikrotik ini.

sumber : https://mikrotikindo.blogspot.co.id/2013/04/penjelasan-web-proxy-mikrotik.html?m=0

Limited Download dan Unlimited Browsing adalah salah satu teknik manajemen Bandwidth yang efektif untuk membagi bandwidth secara adil. Karena, jika bandwidth download tidak dibatasi, maka akan menggangu kecepatan internet pengguna lain dalam satu jaringan. Akibatnya, jika ada beberapa pengguna yang melakukan download apalagi menggunakan IDM, maka pengguna lain yang cuma browsing tidak kebagian bandwidth.

Nah, untuk mengatasi hal ini, maka teknik Limited Download dan Unlimited Browsing ini kita terapkan. Pada Mikrotik, teknik ini bisa dilakukan dengan banyak cara. Salah satu cara yang simpel dan efektif adalah menggunakan filter Layer 7 Protocol. Yang belum tau apa itu Layer 7 Protocol.

Oke, kita mulai Tutorial Bandwidth Mikrotik : Limited Download, Unlimited Browsing menggunakan Layer 7 Protocol.

1. Buat daftar extensi file yang masuk filter download di Layer 7 protocol. Silakan copy dan paste script berikut ke Terminal Mikrotik kemudian tekan enter. Jika ekstensi file nya dirasa kurang banyak silakan ditambahkan sendiri.

/ip firewall layer7-protocol

add comment=”” name=donlotan regexp=”^.*get.+\\.(exe|rar|zip|7z|cab|asf|mov|wmv\

|mpg|mpeg|mkv|avi|flv|pdf|wav|rm|mp3|mp4|ram|rmvb|dat|daa|iso|nrg|bin|vcd|\

mp2|3gp|mpe|qt|raw|wma|ogg|doc|deb|tar|bzip|gzip|gzip2|0[0-9][0-9]).*\$”

2. Buat Firewall Mangle untuk menandai paket yang mau dilimit. Silakan copy paste juga script berikut ini ke Terminal dan tekan enter. Kita cukup menggunakan 1 Mangle saja, simpel kan? 😀

/ip firewall mangle

add action=mark-packet chain=forward comment=Donlotan disabled=no \

layer7-protocol=donlotan new-packet-mark=paket-donlot passthrough=no protocol=tcp

3. Silakan cek apakah script tadi berhasil dieksekusi menjadi setingan atau tidak.

Cek Setingan Layer 7 protocol : IP –> Firewall –> Layer7 Protocol

Cek Setingan Mangle : IP –> Firewall –> Mangle

4. Selanjutnya buat limit bandwidth nya dengan Queue.

Queue Type : Masuk ke Queue –> Queue Types –> add

– Beri nama limit dl

– Kind : pcq

– Rate : 64k (silakan sesuaikan dengan keinginan berapa max speed download nya)

jika diisi 64k, maksudnya membatasi kecepatan download 64 kbps dibagi 8 –> 8 KB/s

jika ingin lebih tinggi bisa saja diisi 256k sehingga throughput : 256/8 = 32 KB/s

NB : ingat 1 byte = 8 bit

Silakan diisi sesuai keinginan anda.

– Setingan lainnya biarkan saja, lihat gambar berikut ini :

Queue Tree : masuk ke Queue –> Queue Tree –> add

– Beri nama : Limit Download

– Parent : global (Router OS saya versi 6, cuma ada satu parent global)

– Packet Marks : paket-donlot

– Queue Type : limit dl

– Max Limit : 64k (Sesuaikan dengan kebutuhan anda)

Anda juga bisa memanfaatkan fitur Limit At, silakan baca disini untuk penjelasan lebih lengkap :

Cara Membatasi (Limit) Bandwidth Mikrotik

5. Setingan selesai. Jadi setingan di atas membatasi bandwidth download sebesar 64kbps = 8KB/s.

6. Coba cek apakah setingan sudah benar dengan melakukan tes download file :

Sebelum menggunakan Limit Download :

Setelah menggunakan Limit Download :

Oke, demikianlah Tutorial Bandwidth Mikrotik : Limited Download, Unlimited Browsing Menggunakan Layer 7 Protocol. Silakan anda praktekan sesuai dengan kondisi jaringan anda. Selamat mencoba 🙂
Referensi :
https://komputersinau.blogspot.com/2012/10/limitid-download-unlimited-browsing.html

https://mikrotikindo.blogspot.co.id/2014/01/tutorial-mikrotik-limited-download-unlimited-browsing.html

Penjelasan perbedaan penggunaan Action=drop dan Action=reject pada Mikrotik akan kita bahas pada artikel berikut ini. Action drop dan reject merupakan dua diantara pilihan Action Filter Firewall pada RouterOS Mikrotik. Keduanya memiliki fungsi yang hampir sama, tapi sebenarnya ada perbedaan mendasarnya.

Penggunaan Action=drop

Jika anda memilih untuk menggunakan opsi Action=drop, maka data yang berasal dari client akan dibuang (drop) oleh router. Hal ini dilakukan secara diam-diam, dengan tidak mengirimkan pesan penolakan ICMP (Internet Control Message Protocol). Sehingga jika kita mengirimkan pesan ping dari CMD, maka hasilnya adalah Request Timed out (RTO).

Ketika menggunakan opsi Action=drop, maka pada proses ping akan muncul pesan “Request Timed out” seperti gambar berikut ini :

Penggunaan Action=reject

Sedangkan untuk opsi Action=reject, paket data akan dibuang oleh router namun router akan memberikan pesan penolakan paket dengan mengirimkan pesan penolakan ICMP. Anda dapat memilih pesan apa yang akan dikirimkan jika menggunakan opsi reject ini.

Ketika anda mencoba melakukan ping maka hasilnya adalah “Destination net unreachable” sama seperti opsi Reject with sebelumnya, seperti gambar berikut ini :

Demikian artikel pada blog ini tentang Perbedaan Action=drop dan Action=reject Mikrotik. Semoga bermanfaat 🙂

sumber : https://mikrotikindo.blogspot.co.id/2013/09/perbedaan-actiondrop-dan-actionreject-mikrotik.html

Apa itu Firewall?

Firewall adalah perangkat yang berfungsi untuk memeriksa dan menentukan paket data yang dapat keluar atau masuk dari sebuah jaringan. Dengan kemampuan tersebut maka firewall berperan dalam melindungi jaringan dari serangan yang berasal dari jaringan luar (outside network). Firewall mengimplementasikan packet filtering dan dengan demikian menyediakan fungsi keamanan yang digunakan untuk mengelola aliran data ke, dari dan melalui router. Sebagai contoh, firewall difungsikan untuk melindungi jaringan lokal (LAN) dari kemungkinan serangan yang datang dari Internet. Selain untuk melindungi jaringan, firewall juga difungsikan untuk melindungi komputer user atau host (host firewall).

Firewall digunakan sebagai sarana untuk mencegah atau meminimalkan risiko keamanan yang melekat dalam menghubungkan ke jaringan lain. Firewall jika dikonfigurasi dengan benar akan memainkan peran penting dalam penyebaran jaringan yang efisien dan infrastrure yang aman . MikroTik RouterOS memiliki implementasi firewall yang sangat kuat dengan fitur termasuk:

• stateful packet inspection
• Layer-7 protocol detection
• peer-to-peer protocols filtering
• traffic classification by:
• source MAC address
• IP addresses (network or list) and address types (broadcast, local, multicast, unicast)
• port or port range
• IP protocols
• protocol options (ICMP type and code fields, TCP flags, IP options and MSS)
• interface the packet arrived from or left through
• internal flow and connection marks
• DSCP byte
• packet content
• rate at which packets arrive and sequence numbers
• packet size
• packet arrival time
• dll

Anda dapat mengakses Firewall Mikrotik via Winbox melalui menu IP –> Firewall

Chain pada Firewall Mikrotik

Firewall beroperasi dengan menggunakan aturan firewall. Setiap aturan terdiri dari dua bagian – matcher yang sesuai arus lalu lintas terhadap kondisi yang diberikan dan tindakan yang mendefinisikan apa yang harus dilakukan dengan paket yang cocok. Aturan firewall filtering dikelompokkan bersama dalam chain. Hal ini memungkinkan paket yang akan dicocokkan terhadap satu kriteria umum dalam satu chain, dan kemudian melewati untuk pengolahan terhadap beberapa kriteria umum lainnya untuk chain yang lain.

Misalnya paket harus cocok dengan alamat IP: port. Tentu saja, itu bisa dicapai dengan menambahkan beberapa rules dengan alamat IP: port yang sesuai menggunakan chain forward, tetapi cara yang lebih baik bisa menambahkan satu rule yang cocok dengan lalu lintas dari alamat IP tertentu, misalnya: filter firewall / ip add src-address = 1.1.1.2/32 jump-target = “mychain”.

Ada tiga chain yang telah ditetapkan pada RouterOS Mikrotik :

1. Input – digunakan untuk memproses paket memasuki router melalui salah satu interface dengan alamat IP tujuan yang merupakan salah satu alamat router. Chain input berguna untuk membatasi akses konfigurasi terhadap Router Mikrotik.
2. Forward – digunakan untuk proses paket data yang melewati router.
3. Output – digunakan untuk proses paket data yang berasal dari router dan meninggalkan melalui salah satu interface.

Ketika memproses chain, rule yang diambil dari chain dalam daftar urutan akan dieksekusi dari atas ke bawah. Jika paket cocok dengan kriteria aturan tersebut, maka tindakan tertentu dilakukan di atasnya, dan tidak ada lagi aturan yang diproses dalam chain. Jika paket tidak cocok dengan salah satu rule dalam chain, maka paket itu akan diterima.

Connection State (Status paket data yang melalui router)

• Invalid : paket tidak dimiliki oleh koneksi apapun, tidak berguna.
• New : paket yang merupakan pembuka sebuah koneksi/paket pertama dari sebuah koneksi.
• Established : merupakan paket kelanjutan dari paket dengan status new.
• Related : paket pembuka sebuah koneksi baru, tetapi masih berhubungan denga koneksi sebelumnya.

Action Filter Firewall RouterOS Mikrotik

Pada konfigurasi firewall mikrotik ada beberapa pilihan Action, diantaranya :

• Accept : paket diterima dan tidak melanjutkan membaca baris berikutnya
• Drop : menolak paket secara diam-diam (tidak mengirimkan pesan penolakan ICMP)
• Reject : menolak paket dan mengirimkan pesan penolakan ICMP
• Jump : melompat ke chain lain yang ditentukan oleh nilai parameter jump-target
• Tarpit : menolak, tetapi tetap menjaga TCP connection yang masuk (membalas dengan SYN/ACK untuk paket TCP SYN yang masuk)
• Passthrough : mengabaikan rule ini dan menuju ke rule selanjutnya
• log : menambahkan informasi paket data ke log

Contoh Pengunaan Firewall pada Router Mikrotik

Katakanlah jaringan pribadi kita adalah 192.168.0.0/24 dan publik (WAN) interface ether1. Kita akan mengatur firewall untuk memungkinkan koneksi ke router itu sendiri hanya dari jaringan lokal kita dan drop sisanya. Juga kita akan memungkinkan protokol ICMP pada interface apapun sehingga siapa pun dapat ping router kita dari internet. Berikut command nya :

/ip firewall filter

add chain=input connection-state=invalid action=drop \

comment=”Drop Invalid connections”

add chain=input connection-state=established action=accept \

comment=”Allow Established connections”

add chain=input protocol=icmp action=accept \

comment=”Allow ICMP”

add chain=input src-address=192.168.0.0/24 action=accept \

in-interface=!ether1

add chain=input action=drop comment=”Drop semuanya”

Cukup sekian dulu belajar mikrotik tentang Dasar Firewall Mikrotik. Untuk penjelasan firewall mikrotik yang lebih mendalam akan dibahas pada artikel selanjutnya. Terima kasih, semoga artikel ini bermanfaat 🙂

sumber : https://mikrotikindo.blogspot.co.id/2013/03/belajar-mikrotik-dasar-firewall-mikrotik.html

Shared Bandwidth Management Mikrotik digunakan untuk mengalokasikan bandwidth tiap client dengan rate yang bervariasi tergantung aktif tidaknya client lain dalam jaringan. Dengan menggunakan metode ini maka jika salah satu client tidak aktif (offline) maka alokasi bandwidth nya akan diberikan ke client lain.

Melanjutkan skenario sebelumnya tentang Simple Bandwidth Management Mikrotik, kita misalkan ada 2 client yaitu client 1 dan client 2 masing-masing akan mendapatkan alokasi bandwidth 256kbps/256kbps. Sehingga total bandwitdh mikrotik untuk 2 client tersebut adalah 512kbps/512kbps. Jika client 1 tidak menggunakan alokasi bandiwidthnya, maka jatah bandwidthnya akan diberikan kepada client yang lain, sehingga client 2 akan mendapatkan alokasi bandwidth maksimum.

Konfigurasi yang pertama kali dilakukan adalah konfigurasi untuk membatasi penggunaan bandwidth untuk kedua client sekaligus.

Konfigurasi ini juga berfungsi sebagai pembatasan bandiwidth parent. Perintah yang dapat digunakan adalah sebagai berikut :

queue simple add name=limit-all target=10.10.10.0/24 max-limit=512000/512000

Selanjutnya dibuat konfigurasi untuk membatasi pemakaian bandwidth setiap client dengan menggunakan konfigurasi sebelumnya sebagai parent. Perintah yang dapat digunakan adalah sebagai berikut :

queue simple add name=limit-1 target=10.10.10.1 max-limit=512000/512000 limit-at=256000/256000 parent=limit-all

queue simple add name=limit-2 target=10.10.10.2 max-limit=512000/512000 limit-at=256000/256000 parent=limit-all

Sekarang kita coba cek dengan memonitor alokasi bandwidth kedua client menggunakan tool torch mikrotik.

1. Ketika kedua client aktif menggunakan seluruh alokasi bandwidth (512kb)

2. Ketika salah satu client tidak aktif (offline), bandwidth akan diberikan ke client lain.

Demikianlah tutorial tentang Shared Bandwidth Management Mikrotik Menggunakan Simple Queue. Silakan anda coba dan sesuaikan sendiri dengan kondisi jaringan yang digunakan.

sumber : https://mikrotikindo.blogspot.co.id/2014/10/tutorial-shared-bandwidth-management-mikrotik.html

Simple Bandwidth Management Mikrotik digunakan untuk mengalokasikan bandwidth Mikrotik secara sederhana (simple) menggunakan menu Simple Queue Mikrotik. Dengan menggunakan static bandwidth control maka alokasi bandwidth mikrotik untuk masing-masing client akan tetap. Misalnya client 1 akan mendapatkan alokasi bandwidth yaitu sebesar 256kbps/256kbps, begitu juga dengan client 2.

Perintah yang dapat digunakan adalah sebagai berikut :

queue simple add name=limit-1 target-addresses=10.10.10.10max-limit=256000/256000

queue simple add name=limit-2 target-addresses=10.10.10.20 max-limit=256000/256000

Atau bisa juga menggunakan Winbox, masuk ke menu Queues –> Simple Queues

Pengujian atau monitoring terhadap aktifitas bandwidth yang sudah dibatasi dapat dilihat dengan menggunakan menu torch, dan interface yang dimonitor adalah interface ether2, karena interface ini yang terhubung ke jaringan lokal. Perintah yang digunakan sebegai berikut :

tool torch ether2 src-address=10.10.10.0/24

Atau bisa menggunakan Winbox, masuk ke menu Tools –> Torch

Demikianlah tutorial tentang Simple Bandwidth Management Mikrotik Menggunakan Simple Queue. Silakan anda coba dan sesuaikan sendiri dengan kondisi jaringan yang digunakan.

Sumber: https://mikrotikindo.blogspot.co.id/2014/10/tutorial-simple-bandwidth-management-mikrotik-simple-queue.html

Membatasi/Limit Bandwidth pada Hotspot Mikrotik merupakan hal yang sangat perlu dilakukan. Mengingat Wireless Hotspot dapat diakses oleh siapa saja yang memiliki hak akses, sehingga agar terciptanya keadilan dan kesejahteraan yang merata pada segenap user hotspot diperlukan Pembatasan Bandwidth Hotspot Mikrotik.

Metode Pembatasan Bandwidth Hotspot Mikrotik ada 2 :

– Built-in limiter merupakan metode Limit Bandwidth Hotspot Mikrotik yang menggunakan parameter rate-limit di server-profile untuk melimit total traffic dari jaringan hotspot sedangkan jika ingin limit per user bisa menggunakan rate-limit di user-profile. Built-in Limitation dilakukan secara otomatis dan mudah tetapi tidak memungkinkan melakukan implementasi HTB.

– Custom limitation merupakan metode Limit Bandwidth Hotspot Mikrotik yang menggunakan parameter Incoming-packet-mark dan outgoingpacket-mark pada user-profile. Dengan menggunakan Custom Limitation anda bisa melakukan implementasi HTB dan melakukan limitasi berdasarkan kriteria koneksi yang lebih beragam.

Cara Membatasi/Limit Bandwidth User Hotspot Mikrotik menggunakan Built-in Limiter :

Rate Limit pada Hotspot Server Profile

Penggunaan Rate Limit pada hotspot server profile ini, secara otomatis akan membatasi total traffic pada jaringan Hotspot Mikrotik. Pada gambar di atas, besarnya rate limit yang diset pada jaringan hotspot adalah sebesar 2M/2M, yang berarti 2 Mbps untuk total traffic upload dan 2 Mbps untuk total traffic Download pada jaringan hotspot tersebut. Perlu diketahui bahwa dengan menggunakan metode ini user yang di bypass melalui IP Binding Hotspot juga ter-limit.

Rate Limit pada Hotspot User Profile

Penggunaan Rate Limit yang pada hotspot user profile ini, akan membatasi total traffic secara otomatis yang bisa dicapai oleh masing-masing client hotspot yang berada pada satu group. Client hotspot yang terhubung dalam jaringan hotspot, mendapatkan total traffic yang bisa dicapai sebesar 512 kbps untuk download dan 512 kbps untuk upload.

Cara Membatasi/Limit Bandwidth User Hotspot Mikrotik menggunakan Custom Limitation :

Parameter Incoming Packet Mark dan Outgoing Packet Mark didefinisikan untuk melakukan penandaan (marking) traffic dari user didalam group tersebut. Incoming Packet Mark melakukan marking traffic upload dan Outgoing Packet Mark melakukan marking traffic download.

Firewall mangle akan terbentuk secara otomatis dan dinamis, dimana bertugas melakukan marking packet traffic dari client yang masuk di dalam group (profile). Dynamic Marking ini dilakukan di chain Hotspot.

Penambahan Rule Jump dari Built-in Chain ke chain hotspot diperlukan supaya traffic dari user dapat dibaca di firewall.

/ip firewall mangle add chain=prerouting action=jump jump-target=hotspot
/ip firewall mangle add chain=postrouting action=jump jump-target=hotspot

Jika di asumsikan network yang digunakan adalah network NAT. Mark-Connection harus dibuat berdasarkan mark packet dynamic dari profile atau dari chain hotspot.

/ip firewall mangle add chain=prerouting action=mark-connection new-connection-mark=koneksi_hotspot passthrough=yes packetmark=hs1-in

Selanjutnya Mark-Packet bisa dibuat supaya bisa diimplementasikan atau dilimit trafficnya.

/ip firewall mangle add chain=prerouting action=mark-packet newpacket-mark=paket_hotspot passthrough=no connectionmark=koneksi_hotspot
/ip firewall mangle add chain=postrouting action=mark-packet newpacket-mark=paket_hotspot passthrough=no connectionmark=koneksi_hotspot

Setelah mark packet dari traffic group1 sudah dibuat maka limitasi bandwidth bisa dibuat di Queue.

Setting pada Queue Tree

Membuat Queue Tree untuk Traffic Download global, kita contohkan menggunakan Max Limit 2 Mb.

Kemudian membuat Queue Tree turunan nya khusus untuk download via Hotspot menggunakan Limit At 1 Mb dan Max Limit 2Mb.

Buat Queue Tree yang sama untuk traffic upload nya, sehingga menjadi seperti gambar berikut :

Selanjutnya Queue Tree Hotspot Mikrotik ini bisa kita kembangkan untuk membuat managemen bandwidth yang lebih complex, misalnya dengan menggunakan PCQ, dsb.

sumber: https://mikrotikindo.blogspot.co.id/2016/07/cara-membatasilimit-bandwidth-hotspot-mikrotik.html

Sistem hotspot mikrotik membuat semua User harus Login terlebih dahulu agar dapat mengakses internet. Terkadang ada beberapa user yang malas untuk login dan ingin bisa langsung masuk Hotspot tanpa login atau bypass login hotspot mikrotik. Untuk mengakomodir permintaan user ini, kita bisa memanfaatkan fitur Hotspot IP-Bindings.

IP Bindings memungkinkan kita untuk mem-bypass hotspot user tertentu tanpa harus melalui proses autentikasi (login). Selain itu, IP Binding juga memungkinkan kita untuk melakukan blokir user tertentu agar dia tidak bisa mengakses jaringan hotspot.

kita bahas tentang Cara mem-bypass user hotspot tertentu agar tidak perlu login dan juga cara untuk memblokir user Hotspot Mikrotik menggunakan IP Bindings.

A. Cara Membuat User Hotspot Tidak Perlu Login (Bypass Login Hotspot)

1. Pastikan Hotspot Mikrotik nya sudah berjalan dengan baik.

2. Buka Winbox, Masuk ke menu IP –> Hotspot –> Masuk Tab IP Bindings –> Tambahkan IP Binding baru.

3. Disini kita harus tau MAC Address dan IP Address dari user kemudian kita isikan di kolom yang disediakan.

4. Jika Anda tidak mau repot-repot memasukkan secara manual data MAC dan IP Address User tersebut, silakan masuk ke Tab Host –> Pastikan User yang mau di bypass sudah konek ke WiFi Hotspot –> Klik kanan pada user yang dimaksud pada list –> Make Binding.

5. Ini akan membuat data IP Binding terisi secara otomatis.

6. Nah, sekarang perhatikan pada kolom Type. Pilih bypassed –> OK

7. Kemudian suruh user yang di-bypass tersebut untuk konek lagi ke WiFi Hotspot. Seharusnya dia tidak lagi diarahkan ke halaman login Hotspot Mikrotik, melainkan sudah bisa mengakses internet secara langsung tanpa perlu login hotspot.

B. Cara untuk Memblokir User Hotspot Mikrotik Agar tidak Bisa Connect Hotspot

1. Caranya hampir sama dengan sebelumnya. Bedanya pada data IP Binding kolom Type pilih blocked.

2. Dengan demikian user yang diblokir tersebut tetap bisa konek ke WiFi namun tidak bisa akses keman a-mana. Bahkan tidak bisa mengakses Halaman Login Hotspot Mikrotik.

3. User akan mengira kalau hotspot nya bermasalah atau internet nya gangguan, padahal akses dia saja yang kita blokir..

sumber: https://mikrotikindo.blogspot.co.id/2016/06/cara-bypass-user-hotspot-tidak-perlu-login.html