IPcop, si polisi penjaga gateway

Untuk menginstall IPCOP, kita bisa mendownload ISO-nya di sini atau melihatnya di website resmi IPCOP.ORG. Setelah didownload, silakan BURN file ISO-nya ke CD dan booting komputer menggunakan CD Ipcop tersebut. Hal yang harus diperhatikan adalah komputer yang akan diinstall ipcop harus menggunakan 2 lancard. Jika kurang dari 2, maka IPcop tidak dapat dijalankan di komputer ini.

IPCop akan berisi feature untuk proxy, firewall, dan berbagai macam fasilitas lain. Dan untuk itu minimal harus tersedia 2 lancard (GREEN dan RED) untuk bisa berfungsi normal.

Kalau benar, maka IPCop akan mulai terinstall di komputer dengan tinggal mengikuti perintah-perintahnya di layar. Pertanyaan pertama installasi adalah bahasa seperti dibawah ini :

Ikuti saja proses tersebut sampai IPCOP menanyakan interface seperti berikut ini :

Pilih probe saja untuk automatic detect LANCARD. Maka IPcop akan memilih interface GREEN terlebih dahulu. GREEN adalah interface yang akan kita pakai untuk local network (yang terhubung ke komputer di network kita, bukan ke ISP atau modem atau ke router). Hal ini harus diperhatikan agar tidak terjadi kesalahan. Setelah ditemukan, berikan IP sesuai dengan yang kita inginkan untuk berfungsi sebagai gateway semua komputer di local network.

Panduan lain untuk installasi IPCOP dalam versi bahasa inggris ada disini.

Setelah terinstall systemnya, tugas kita belum selesai. Kita masih harus meneruskan beberapa langkah installasi mulai dari step berikut ini:

Silakan pilih untuk keyboard mapping : us, timezone : pilihan Asia - Jakarta, hostname dan domain silakan diisi dengan sesuai keinginan kita. Sedangkan pada bagian dibawah ini pilih DISABLE ISDN

Lalu pada pilihan dibawah ini pilih : Network configuration card

Setelah itu kita harus memilih GREEN + RED pada tampilan dibawah ini :

Setelah memilih GREEN + RED, kita akan kembali ke menu awal. Pilih Drivers and Cards Assignment untuk selanjutnya. Dan kembali kita pilih PROBE untuk menentukan lancard RED. Setelah IPCOP menemukan lancard RED, kita akan kembali ke menu awal lagi.

Pilih Address Setting untuk RED dan isikan IP yang kita miliki untuk interface RED yang menghadap ke ISP atau modem atau Router. Setelah itu kita akan kembali ke menu awal lagi.

Setelah itu kita tinggal memilih mengisi DNS and Gateway settings. Isi DNS kita sesuai dengan ISP yang kita pakai dan arahkan gateway ke IP Modem atau IP Router ISP kita. Setelah itu kita DONE dan kita lanjutkan proses installasi ke bagian berikut :

Pada bagian ini kita tidak perlu memberi tanda pada DHCP server (kalau memang tidak mau menggunakan DHCP). Tetapi kita dilarang menekan cancel karena hal itu akan menyebabkan proses installasi berhenti ditengah jalan sebelum selesai. Cukup pilih OK untuk melanjutkan walaupun tidak perlu memberi tanda apa-apa pada menu ini.

Setelah itu kita akan ditanya 3x password seperti berikut :

Yang akan ditanya adalah password untuk ROOT, ADMIN, dan BACKUP. Sebaiknya kita mencatat baik-baik password yang kita berikan disini. Setelah mengisi 3 password ini (masing-masing diisikan 2x) maka proses installasi IPCOP sudah selesai.

Untuk mengikuti versi berbahasa inggris dari bagian installasi kedua ini bisa dibaca disini.

Setelah proses selesai, silakan REBOOT IPCop (berikan perintah REBOOT ). Setelah itu kita bisa melakukan akses ke IPCop dengan menggunakan Webbrowser dengan cara :

https://192.168.0.254:445 (sesuaikan IP address dengan ip address IPCop GREEN).

Maka akan tampil halaman website kurang lebih seperti berikut :

Hal-hal yang harus kita setting adalah :

• menu system - secure shell - sebaiknya diaktifkan agar IPCop bisa kita remote menggunakan SSH ke port 222

• services - proxy : sebaiknya kita mengaktifkan LOG dan mengubah proxy PORT. Normalnya IPCop menggunakan port 800, kita bisa ubah port ini ke layaknya port proxy seperti 8080 atau 3128.
• Masih di proxy, kita harus memberikan tanda Enable on Green agar Proxy service dijalankan. Dan untuk memastikan semua proses browser melalui IPCop proxy, sebaiknya berikan tanda centang pada bagian Transparent on green

Maka secara prinsip IPCop kita sudah siap untuk dipakai. Banyak menu dari ipcop.

untuk bersaing dengan firewall ribuan dollar pun sebenarnya ipcop masih mumpuni lho..

berikut ipcop saya yang sudah di setting sebagai VPN consentrator di kantor :

Mikrotik, pilihan murah buat banyak solusi.

Sudah lama mau buat tulisan tentang router os yang satu ini tapi nggak kesampaian.
mungkin saya coba bahas fitur-fitur yang tersedia di mikrotik ini:


VPN

/ interface ethernet
set ether1 name=”ether1″

/ interface bridge
add name=”lan” arp=proxy-arp

/ interface bridge port
add interface=ether1 bridge=lan

/ ip address
add address=192.168.0.1/24 interface=lan

/ ip dns
allow-remote-requests=yes

/ ip firewall service-port
set gre disabled=no
set pptp disabled=no

/ ip pool
add name=”pptp” ranges=192.168.0.200-192.168.0.229

/ ppp profile
add name=”pptp-in” local-address=192.168.0.1 remote-address=pptp use-encryption=required only-one=yes change-tcp-mss=yes dns-server=192.168.0.1

/ interface pptp-server server
set enabled=yes max-mtu=1460 max-mru=1460 authentication=chap,mschap1,mschap2 default-profile=pptp-in

/ ppp secret
add name=”user-1″ service=pptp password=”******” profile=pptp-in
add name=”user-2″ service=pptp password=”******” profile=pptp-in

Mikrotik Bridge Bandwidth Management

Akhirnya…..setelah nanya2 di forum tentang mikrotik sebagai bridge dan bandwitdh limiter mentok, cari2 artikel ternyata om valens dah punya artikelnya, jadi malu…. Well biarlah, yang penting dah dapet. Bagi mikrotikers silahkan dicoba konfigurasi seperti berikut :

[admin@Mie] > interface print Flags: X – disabled, D – dynamic, R – running # NAME TYPE RX-RATE TX-RATE MTU 0 R LAN ether 0 0 1500 1 R WAN ether 0 0 1500 2 R bridge1 bridge 0 0 1500

[admin@Mie] > interface bridge port print Flags: X – disabled, I – inactive, D – dynamic

# INTERFACE BRIDGE PRIORITY PATH-COST 0 LAN bridge1 128 10 1 WAN bridge1 128 10

[admin@Mie] > ip firewall mangle print Flags: X – disabled, I – invalid, D – dynamic 0 chain=prerouting in-interface=LAN src-address=117.104.222.20 action=mark-packet new-packet-mark=data-up passthrough=no 1 chain=postrouting out-interface=LAN dst-address=117.104.222.20 action=mark-packet new-packet-mark=data-down passthrough=no [admin@Mie] > queue tree print Flags: X – disabled, I – invalid 0 name=”queue-up” parent=WAN packet-mark=data-up limit-at=0 queue=default priority=8 max-limit=128000 burst-limit=0 burst-threshold=0 burst-time=0s 1 name=”queue-down” parent=LAN packet-mark=data-down limit-at=0 queue=default priority=8 max-limit=256000 burst-limit=0 burst-threshold=0 burst-time=0s

Squid ZPH + Mikrotik

Bonus tambahan dari squid 2.7-stable3 adalah fungsi zph yang sudah terintegrasi.

ZPH sendiri adalah Zero Penalty Hit, penjelasan-nya bisa dibaca di http://zph.bratcheda.org/

Pada 2.7 sudah masuk dalam core engine squid.
Sebelum versi 2.7 harus melakukan patch.

Tutorial di bawah ini saya memakai squid dari caching youtube.

Ide dari pemakaian ZPH ini adalah ketika memutar video dari youtube, masih terjadi delay karena terkena limit di mikrotik. Dari forum.mikrotik.com disebutkan pemakaian zph untuk memarking paket TCP_HIT.

Dengan mengedit sekian baris di squid dan penambahan 2 rule di mikrotik, akhirnya paket TCP_HIT pun dapat di baypass. Semua request dari klient mendapat traffic full sebesar local-loop yang dipunyai.

#tcp_outgoing_tos 0x30 localnet
zph_mode tos
zph_local 0x30
zph_parent 0
zph_option 136

Di mikrotik di bagian firewall mangle ditambahkan.

/ ip firewall mangle
add chain=prerouting action=mark-packet new-packet-mark=proxy-hit \
passthrough=no tos=48 comment="squid" disabled=no

Di bagian Queue, pada baris paling atas.

/ queue simple
add name="Proxy" dst-address=0.0.0.0/0 interface=all parent=none packet-marks=proxy-hit \
direction=both priority=1 queue=default-small/default-small limit-at=0/0 max-limit=0/0 \
total-queue=default-small disabled=no

Gambar topologi yang saya pakai seperti dibawah ini.

Paket marking zph juga masih bisa dikenali di router hotspot.

Jadi pelanggan hotspot akan merasakan loading konten yang cepat bila konten tersebut sudah ada dicache squid.

Tampilan grafik zph in action