VRRP Virtual Router Redundancy Protocol [Mikrotik]

Virtual Router atau VRRP Group merupakan sekumpulan router yang berfungsi untuk kebutuhan redundancy. Secara konseptual VRRP mempunyai satu device yang berperan sebagai master dan beberapa router yang akan berfungsi sebagai backup. Pada VRRP, Router Master prioritynya diset 255, sedangkan pada Backup diset antara 1-254, dengan nilai default prioritynya adalah 100 yang masing-masingnya mempunyai sebuah VRID (Virtual Router ID) yang unik.
A. Konfigurasi sebagai Master State

1. Login sebagai admin dengan password sesuai yang anda set
2. Aktifkan program winbox dan masuk ke tab terminal / console mode jika anda menguasai.
3. Buat ip pada masing-masing interface pada router master.
4. Masuk ke ip vrrp, lalu masukan interface dan prioritynya. (Pada router Master prioritynya 255)
5. Kemudian lihat dengan perintah print, apakah router tersebut sudah menjadi master atau belum. Apabila sudah terdapat flag ‘M’ pada sisi sebelah kiri, maka sudah berfungsi sebagai master.
6. Setelah itu masukan alamat ipnya yang akan difungsikan sebagai ip aliasing pada router tersebut.
7. Terakhir lihat status ip tersebut apakah sudah aktif atau belum dengan melihat flag ‘A’ yang ada pada sisi sebelah kiri.

B. Konfigurasi sebagai Backup State
Konfigurasi pada router Backup tidak berbeda halnya dengan konfigurasi router master.

1. Login sebagai admin sesuai password yang sudah anda set.
   
2. Aktifkan program winbox dan masuk ke terminal atau consolemode jika anda menguasai
3. Buat ip pada masing-masing interface di router backup.
4. Masuk ke ip vrrp, lalu masukan interface dan prioritynya.(Pada router backup prioritynya dari 1-254)
5. Kemudian lihat dengan perintah print. Apabila sudah terdapat flag ‘B’ pada sisi sebelah kiri, maka sudah berfungsi sebagai Backup.
6. Setelah itu masukan alamat ipnya yang akan difungsikan sebagai ip aliasing pada router tersebut.

Terakhir lihat status IP tersebut apakah sudah aktif atau belum dengan melihat flag ‘A’ yang ada pada sisi sebelah kiri.

Secara singkat setelah anda pusing melakukan konfigurasi tersebut diatas, sebenarnya fungsi utama dari feature VRPP ini adalah kita akan mempunyai router cadangan. Jadi apabila router master kita terkena gangguan / rusak entah apapun penyebabe maka kita masih mempunyai router cadangan yang dapat berfungsi sebagai router master.

iptables - Firewall sebenar2 nya..

Satu hal lagi yang baru kupelajari dalam rangka menambah ilmuku tentang jaringan adalah IPtables. Dari yang kubaca, pembahasan iptables secara keseluruhan cukup luas, jadi kali ini ku persempit dulu pembahasannya menjadi firewall with iptables. Walaupun sebenarnya ga lengkap-lengkap kali, soalnya yang kutulis adalah yang aku udah ngerti dulu, bukan sekedar copas hehe..

Sebelum nulis ini, tadi uda sempat coba-coba dikit, dan ternyata berhasil. Nah sekarang aku ingin mengabadikan kenangan ini, usaha ini, kerja keras ini (hoho kaya’ betul aja..) menjadi bait-bait tulisan yang bisa ku nikmati di hari tua nanti..amin.. klo nyampe tua..

Sebenarnya di iptables ada beberapa table, ada filter, nat, mangle, dan raw, tapi karena pembahasan kita dipersempit, jadi yang digunakan kali ini adalah bagian filternya.

Mulai….:

Dalam tabel filter terdapat 3 buah build-in chains (susah dibahasa indonesiakan) dimana kita bisa meletakkan aturan-aturan untuk firewall kita. Bingung? lanjutin aja dulu ya..
Berikut 3 buah “rantai” tersebut :
1. INPUT (untuk paket yang ditujukan ke firewall kita)
2. FORWARD (untuk paket yang di route lewat firewall kita, misalnya sebagai server yang menghubungkan jaringan local ke jaringan internet.
3. OUTPUT (untuk paket yang berasal dari firewall)

Target And Jumps
Setiap rule yang ada di firewall akan mencoba mengidentifikasi setiap paket yang ada di “rantai”, jika sesuai maka akan dianggap sebagai target, yang selanjutnya akan diarahkan ke proses selanjutnya, atau istilahnya di jump over ke proses seanjutnya. Atau sederhananya, apa yang akan dilakukan jika terdapat paket yang cocok dengan rule.
Berikut adalah beberapa Jumps yang populer :
1. ACCEPT (proses di iptables selesai, dan paket dilanjutkan ke tempat seharusnya, misalnya applikasi tujuan)
2. DROP (proses di iptables selesai, dan paket diblock)
3. REJECT (proses di iptables selesai, dan paket diblock lalu mengirimkan pesan ke host pengirim bahwa paket diblock)

Selanjutnya adalah COMMANDS yang bias digunakan :
o ya, ni aturan penulisannya untuk masing-masing commands yang digunakan.
iptables [-t table] -[AD] chain rule-specification [options]
iptables [-t table] -I chain [rulenum] rule-specification [options]
iptables [-t table] -R chain rulenum rule-specification [options]
iptables [-t table] -D chain rulenum [options]
iptables [-t table] -[LFZ] [chain] [options]
iptables [-t table] -N chain
iptables [-t table] -X [chain]
iptables [-t table] -P chain target [options]
iptables [-t table] -E old-chain-name new-chain-name

-t = menentukan nama tabel (filter, nat, mangle, raw). jika tidak ditulis, maka defaultnya adalah “filter”.

ket : chain ==> misalnya INPUT, OUTPUT, atau FORWARD
rulenum ==> nomor urut aturan dalam chain
target==> seperti yang dijelaskan pada bagian target and jumps di atas

nah, ini commandsnya :
1. -A ==> menambahkan rule di baris terakhir chain yang ditentukan.
(iptables -A INPUT -j DROP : semua paket yang masuk ke chain INPUT akan di DROP)
2. -D ==> menghapus rule yang ada di chain tertentu, ada dua jenis penghapusan, yaitu dengan nomor urut rule (rulenum) atau dengan pencocokan rule-specification.
(iptables -D INPUT 1, atau iptables -D INPUT -s 10.14.210.100 -j DROP : yg pertama adalah menghapus rule pertama di chain input, yang kedua adalah menghapus rule yang cocok dengan spesifikasi tersebut di chain INPUT)
3. -I ==> menambahkan rule di baris dan chain yang ditentukan.
(iptables -I INPUT 1 –dport 80 -j ACCEPT : menambahkan rule di urutan pertama pada chain INPUT)
4. -R ==> mereplace rule yang ada di chain berdasarkan rulenum.
(iptables -R INPUT 1 -s 192.168.0.1 -j DROP : menimpa rule nomor satu di chain INPUT dengan rule baru tersebut)
5. -L ==> menampilkan daftar rule seluruhnya atau di chain tertentu jika jenis chain ditentukan.
(iptables -L INPUT : menampilkan semua rule yang ada di chain INPUT)
6. -F ==> menghapus semua rule atau semua rule di chain tertentu jika jenis chain ditentukan.
(iptables -F : menghapus semua rule yang ada di semua chain)
7. -Z ==> untuk meng-nol-kan semua counter yang di chain tertentu, misalkan coba -v, setelah itu gunakan -Z, lalu lihat beda -v setelah di -Z.
(iptables -Z INPUT)
8. -N ==> membuat sebuah chain baru.
(iptables -N ALLOW : membuat sebuah chain bernama ALLOW)
9. -X ==> menghapus chain tertentu.
(iptables -X ALLOW : menghapus chain bernama ALLOW)
10. -P ==> untuk menentukan default target dari chain tertentu.
(iptables -P INPUT ACCEPT : jika paket tidak ada yang cocok dengan semua rule yang ada, maka akan dipaksa mengikuti rule default ini)
11. -E ==> mengubah nama chain.
(iptaables -E ALLOW ALLOWAH : mengubah nama chain dari ALLOW jadi ALLOWAH)
Catatan : Nomor rule dimulai dari satu.

Selanjutnya adalah daftar parameter pembentuk rule-specification :
-s ==> source
(iptables -A INPUT -s 192.168.1.1)
-d ==> destination
(iptables -A INPUT -d 192.168.1.1)
-p ==> protocol
(iptables -A INPUT -s 192.168.1.1 -p tcp)
-i ==> in-interface
(iptables -A INPUT -i eth0)
-o ==> out-interface
(iptables -A FORWARD -o eth0)
–sport ==> source port
(iptables -A INPUT -s 192.168.1.1 -p tcp –sport 22)
–dport ==> destination port
(iptables -A INPUT -p tcp –dport 22)
–sys ==> untuk identifikasi new connection request
(iptables -A INPUT -i ppp0 -p tcp –syn –dport ! 80 -j DROP)
Catatan : Gunakan tanda ! untuk negasi/ pernyataan tidak/ selain.
Gunakan tanda : untuk menyatakan sampai, misal port 10 sampai 20, maka ditulis 10:20.

Contoh-Contoh Script IPTables :
iptables -A INPUT -p icmp –icmp-type 8 -j DROP
(DROP semua paket icmp-request yang masuk ke server kita, dengan kata lain komputer kita ga bisa di ping)
=> –icmp-type 0 for reply 8 for request.
iptables -A OUTPUT -p udp -o eth0 –dport 53 –sport 1024:65535 -j ACCEPT
(ACCEPT paket yang dengan protokol UDP, out-interface eth0, destination port 53, source port 1024-65535)
iptables -A INPUT -p icmp –icmp-type 8 -s 0/0 -d $SERVER_IP -m state –state NEW, ESTABLISHED, RELATED -j ACCEPT
($SERVER_IP adalah variable, bisa digantikan dengan IP server. -m state –state adalah untuk mengetest keadaan paket, ada 4 yang bisa digunakan, yaitu NEW, ESTABLISHED, RELATED, dan INVALID. NEW : paket memulai koneksi baru. ESTABLISHED : paket adalah bagian dari koneksi yang terjadi antara dua host, misalnya ICMP reply message, yang merupakan balasan dari ICMP request. RELATED : koneksi yang termasuk RELATED adalah jika ia berhubungan dengan koneksi ESTABLISHED yang telah ada. INVALID : paket tidak teridentifikasi atau tidak memiliki state, ini mungkin terjadi karena system running out memory atau karena ICMP error messages yang tidak merespon ke known connections.

hhuaaaa.. uda ngantuk nih,, sampai disini dulu yah, ntar klo masih ada waktu n ilmunya semakin banyak, ntar ditulis lagi deh biar ga ilang..hehe..

Kata bijak : ilmu itu kaya’ kambing, klo ga diikat ntar hilang lho..,klo kambing diikat dengan tali, klo ilmu diikat dengan ditulis..

CISCO ASA 5510 - mainan baru Firewall dari CISCO

Cisco ASA 5510 adalah salah satu seri firewall keluaran cisco.
Firewall only, itu yang terbersit saat saya mengconfigure firewall ini, tidak ada nya smart defense, url filtering seperti pada firewall jenis UTM yang tersedia di pasaran.tapi hal ini dapat di akali dengan menggunakan macafee dengan membayar licensi lg.fitur nya menjadi UTM lengkap lah sudah.

penggunaan ASDM menurut saya sangat membatu sekali dalam memonitoring kinerja firewall ini.banyak fungsi dari configuring interface sampe create vpn ipsec yg di dukung oleh firewall ini.

Irdp like failover

yang dapet di jadikan alternative pengganti HSRP, vrrp dan glbp.
presedence yang lebih besar akan di pilih menjadi default gateway, dapat di lihat dari debug nya.

Technique Certification Learning (TCL)

Pentingnya sertifikasi di bidang teknik ataupun profesional saat ini sudah tidak dapat di pandang sebelah mata. Syarat untuk 'mempunyai nilai jual lebih' sebagai job seeker ataupun mejadi unggul untuk para profesional sangat di harapkan saat ini. Tentu anda ingin di pandang lebih 'unggul' dari yang lain bukan?
Disini kami tadi Technique Certification Learning ingin mengembangkan potensi anak bangsa,
membawa perubahan pola pengajaran di temat - tempat kursus pada umumnya. Kami akan memberikan materi langsung yang menjurus kepada materi - materi yang akan di ujian kan saat mengambil sertifikasi. Selain menjadi profesional di bidangnya kami juga akan menyokong penuh para peserta untuk dapat langsung mendapatkan sertifikasi yang di ingin kan nya.
Pembahasan materi ujian langsung satu - persatu merupakan tahap puncak dari setiap kegiatan yang di adakan di learning centre kami. Kunci dan tips dari yang telah berpengalaman untuk setiap pengajar yang telah certification terlebih dahulu merupakan tolak ukur dari semua kegiatan yang diambil peserta.

IPcop, si polisi penjaga gateway

Untuk menginstall IPCOP, kita bisa mendownload ISO-nya di sini atau melihatnya di website resmi IPCOP.ORG. Setelah didownload, silakan BURN file ISO-nya ke CD dan booting komputer menggunakan CD Ipcop tersebut. Hal yang harus diperhatikan adalah komputer yang akan diinstall ipcop harus menggunakan 2 lancard. Jika kurang dari 2, maka IPcop tidak dapat dijalankan di komputer ini.

IPCop akan berisi feature untuk proxy, firewall, dan berbagai macam fasilitas lain. Dan untuk itu minimal harus tersedia 2 lancard (GREEN dan RED) untuk bisa berfungsi normal.

Kalau benar, maka IPCop akan mulai terinstall di komputer dengan tinggal mengikuti perintah-perintahnya di layar. Pertanyaan pertama installasi adalah bahasa seperti dibawah ini :

Ikuti saja proses tersebut sampai IPCOP menanyakan interface seperti berikut ini :

Pilih probe saja untuk automatic detect LANCARD. Maka IPcop akan memilih interface GREEN terlebih dahulu. GREEN adalah interface yang akan kita pakai untuk local network (yang terhubung ke komputer di network kita, bukan ke ISP atau modem atau ke router). Hal ini harus diperhatikan agar tidak terjadi kesalahan. Setelah ditemukan, berikan IP sesuai dengan yang kita inginkan untuk berfungsi sebagai gateway semua komputer di local network.

Panduan lain untuk installasi IPCOP dalam versi bahasa inggris ada disini.

Setelah terinstall systemnya, tugas kita belum selesai. Kita masih harus meneruskan beberapa langkah installasi mulai dari step berikut ini:

Silakan pilih untuk keyboard mapping : us, timezone : pilihan Asia - Jakarta, hostname dan domain silakan diisi dengan sesuai keinginan kita. Sedangkan pada bagian dibawah ini pilih DISABLE ISDN

Lalu pada pilihan dibawah ini pilih : Network configuration card

Setelah itu kita harus memilih GREEN + RED pada tampilan dibawah ini :

Setelah memilih GREEN + RED, kita akan kembali ke menu awal. Pilih Drivers and Cards Assignment untuk selanjutnya. Dan kembali kita pilih PROBE untuk menentukan lancard RED. Setelah IPCOP menemukan lancard RED, kita akan kembali ke menu awal lagi.

Pilih Address Setting untuk RED dan isikan IP yang kita miliki untuk interface RED yang menghadap ke ISP atau modem atau Router. Setelah itu kita akan kembali ke menu awal lagi.

Setelah itu kita tinggal memilih mengisi DNS and Gateway settings. Isi DNS kita sesuai dengan ISP yang kita pakai dan arahkan gateway ke IP Modem atau IP Router ISP kita. Setelah itu kita DONE dan kita lanjutkan proses installasi ke bagian berikut :

Pada bagian ini kita tidak perlu memberi tanda pada DHCP server (kalau memang tidak mau menggunakan DHCP). Tetapi kita dilarang menekan cancel karena hal itu akan menyebabkan proses installasi berhenti ditengah jalan sebelum selesai. Cukup pilih OK untuk melanjutkan walaupun tidak perlu memberi tanda apa-apa pada menu ini.

Setelah itu kita akan ditanya 3x password seperti berikut :

Yang akan ditanya adalah password untuk ROOT, ADMIN, dan BACKUP. Sebaiknya kita mencatat baik-baik password yang kita berikan disini. Setelah mengisi 3 password ini (masing-masing diisikan 2x) maka proses installasi IPCOP sudah selesai.

Untuk mengikuti versi berbahasa inggris dari bagian installasi kedua ini bisa dibaca disini.

Setelah proses selesai, silakan REBOOT IPCop (berikan perintah REBOOT ). Setelah itu kita bisa melakukan akses ke IPCop dengan menggunakan Webbrowser dengan cara :

https://192.168.0.254:445 (sesuaikan IP address dengan ip address IPCop GREEN).

Maka akan tampil halaman website kurang lebih seperti berikut :

Hal-hal yang harus kita setting adalah :

• menu system - secure shell - sebaiknya diaktifkan agar IPCop bisa kita remote menggunakan SSH ke port 222

• services - proxy : sebaiknya kita mengaktifkan LOG dan mengubah proxy PORT. Normalnya IPCop menggunakan port 800, kita bisa ubah port ini ke layaknya port proxy seperti 8080 atau 3128.
• Masih di proxy, kita harus memberikan tanda Enable on Green agar Proxy service dijalankan. Dan untuk memastikan semua proses browser melalui IPCop proxy, sebaiknya berikan tanda centang pada bagian Transparent on green

Maka secara prinsip IPCop kita sudah siap untuk dipakai. Banyak menu dari ipcop.

untuk bersaing dengan firewall ribuan dollar pun sebenarnya ipcop masih mumpuni lho..

berikut ipcop saya yang sudah di setting sebagai VPN consentrator di kantor :

Mikrotik, pilihan murah buat banyak solusi.

Sudah lama mau buat tulisan tentang router os yang satu ini tapi nggak kesampaian.
mungkin saya coba bahas fitur-fitur yang tersedia di mikrotik ini:


VPN

/ interface ethernet
set ether1 name=”ether1″

/ interface bridge
add name=”lan” arp=proxy-arp

/ interface bridge port
add interface=ether1 bridge=lan

/ ip address
add address=192.168.0.1/24 interface=lan

/ ip dns
allow-remote-requests=yes

/ ip firewall service-port
set gre disabled=no
set pptp disabled=no

/ ip pool
add name=”pptp” ranges=192.168.0.200-192.168.0.229

/ ppp profile
add name=”pptp-in” local-address=192.168.0.1 remote-address=pptp use-encryption=required only-one=yes change-tcp-mss=yes dns-server=192.168.0.1

/ interface pptp-server server
set enabled=yes max-mtu=1460 max-mru=1460 authentication=chap,mschap1,mschap2 default-profile=pptp-in

/ ppp secret
add name=”user-1″ service=pptp password=”******” profile=pptp-in
add name=”user-2″ service=pptp password=”******” profile=pptp-in

Mikrotik Bridge Bandwidth Management

Akhirnya…..setelah nanya2 di forum tentang mikrotik sebagai bridge dan bandwitdh limiter mentok, cari2 artikel ternyata om valens dah punya artikelnya, jadi malu…. Well biarlah, yang penting dah dapet. Bagi mikrotikers silahkan dicoba konfigurasi seperti berikut :

[admin@Mie] > interface print Flags: X – disabled, D – dynamic, R – running # NAME TYPE RX-RATE TX-RATE MTU 0 R LAN ether 0 0 1500 1 R WAN ether 0 0 1500 2 R bridge1 bridge 0 0 1500

[admin@Mie] > interface bridge port print Flags: X – disabled, I – inactive, D – dynamic

# INTERFACE BRIDGE PRIORITY PATH-COST 0 LAN bridge1 128 10 1 WAN bridge1 128 10

[admin@Mie] > ip firewall mangle print Flags: X – disabled, I – invalid, D – dynamic 0 chain=prerouting in-interface=LAN src-address=117.104.222.20 action=mark-packet new-packet-mark=data-up passthrough=no 1 chain=postrouting out-interface=LAN dst-address=117.104.222.20 action=mark-packet new-packet-mark=data-down passthrough=no [admin@Mie] > queue tree print Flags: X – disabled, I – invalid 0 name=”queue-up” parent=WAN packet-mark=data-up limit-at=0 queue=default priority=8 max-limit=128000 burst-limit=0 burst-threshold=0 burst-time=0s 1 name=”queue-down” parent=LAN packet-mark=data-down limit-at=0 queue=default priority=8 max-limit=256000 burst-limit=0 burst-threshold=0 burst-time=0s

Squid ZPH + Mikrotik

Bonus tambahan dari squid 2.7-stable3 adalah fungsi zph yang sudah terintegrasi.

ZPH sendiri adalah Zero Penalty Hit, penjelasan-nya bisa dibaca di http://zph.bratcheda.org/

Pada 2.7 sudah masuk dalam core engine squid.
Sebelum versi 2.7 harus melakukan patch.

Tutorial di bawah ini saya memakai squid dari caching youtube.

Ide dari pemakaian ZPH ini adalah ketika memutar video dari youtube, masih terjadi delay karena terkena limit di mikrotik. Dari forum.mikrotik.com disebutkan pemakaian zph untuk memarking paket TCP_HIT.

Dengan mengedit sekian baris di squid dan penambahan 2 rule di mikrotik, akhirnya paket TCP_HIT pun dapat di baypass. Semua request dari klient mendapat traffic full sebesar local-loop yang dipunyai.

#tcp_outgoing_tos 0x30 localnet
zph_mode tos
zph_local 0x30
zph_parent 0
zph_option 136

Di mikrotik di bagian firewall mangle ditambahkan.

/ ip firewall mangle
add chain=prerouting action=mark-packet new-packet-mark=proxy-hit \
passthrough=no tos=48 comment="squid" disabled=no

Di bagian Queue, pada baris paling atas.

/ queue simple
add name="Proxy" dst-address=0.0.0.0/0 interface=all parent=none packet-marks=proxy-hit \
direction=both priority=1 queue=default-small/default-small limit-at=0/0 max-limit=0/0 \
total-queue=default-small disabled=no

Gambar topologi yang saya pakai seperti dibawah ini.

Paket marking zph juga masih bisa dikenali di router hotspot.

Jadi pelanggan hotspot akan merasakan loading konten yang cepat bila konten tersebut sudah ada dicache squid.

Tampilan grafik zph in action