Topologi Load balancing 2 ISP

Topologinya seperti ini.

 

 

 

 

 

 

 

 

 

 

 

Menggunakan 3 etrernet card

ether1 ==> wireless
ether2 ==> speedy
ethet3 ==> Lan

mikrotik command:
/ip address add address 202.152.74.1/32 interface ether1
/ip address add address 192.168.1.2/32 interface ether2
/ip address add address 192.168.10.1/24 interface ether3

Membagi Ip menjadi 2 Group

add chain=prerouting action=mark-connection src-address 192.168.10.0/25 new-routing-mark= Group-A
add chain=prerouting action=mark-connection src-address 192.168.10.128/25 new-routing-mark=Group-B

Default gw masing-masing Group

Group-A=192.168.10.0/25 default gw 192.168.1.1

Group-B=192.168.10.128/25 default gw 202.152.74.128

mikrotik command:

/ip route add gateway=192.168.1.1 routing-mark=Group-A
/ip route add gateway=202.152.74.128 routing-mark=Group-B

Nat ip local

192.168.10.0/24 ==>masquerade

mikrotik command:
/ip firewall nat add chain=srcnat src-address 192.168.10.0/24 action=masquerade

ip dns di roter mikrotik nya

command di mikrotik

/ip dns set primary-dns=202.152.0.2 allow-remote-requests=yes <—– dns isp
/ip dns set secondary-dns=202.134.0.155 allow-remote-requests=yes <—- dns speedy

thanks to Nanang atas sharenya

Port Forwarding di Mikrotik Router

Port Forwarding adalah sebuah fitur di mikrotik untuk memforward IP tertentu dengan port yang ditentukan, ke IP lain dengan port yang ditentukan juga. Umumnya dipakai untuk mengarahkan ip public ke ip client (ip lokal). Banyak sekali manfaat dari fitur ini, diantaranya kita bisa mengakses webserver yang ada di jaringan lokal sekalipun kita tidak sedang berada dalam jaringan lokal. Ini juga bisa dilakukan tidak hanya pada service webserver saja, namun hal ini juga bisa diterapkan terhadap service2 lain, seperti File Server, Mail Server, SSH Server, VNC Server dll.

Asumsi :

• Menggunakan WinBox
• IP Public dari ISP : 180.241.111.312
• IP Lokal :
  – IP Webserver : 192.168.1.10
  – IP Fileserver : 192.168.1.20
  – IP SSH Server : 192.168.1.30

Forward IP untuk Web Server

Karena umumnya webserver listen di port 80, maka dalam hal ini port 80 yang kita forward.
Stepnya seperti berikut :

Buka New Terminal dari Winbox, lalu ketikkan command seperti berikut ini :

/ip firewall nat add chain=dstnat dst-address=180.241.111.312 protocol=tcp dst-port=80  action=dst-nat to-addresses=192.168.1.10 to-ports=80 comment=”forward web server”

Forward IP untuk File Server

Fileserver seperti SAMBA atau yang lain umumnya listen di port 139. Nah.. di sini untuk portnya kita ganti ke 139.
Buka New Terminal dari Winbox, lalu ketikkan command seperti berikut ini :

/ip firewall nat add chain=dstnat dst-address=180.241.111.312 protocol=tcp dst-port=139 action=dst-nat to-addresses=192.168.1.20 to-ports=139 comment=”forward file server“

Gampang bukan… nah..untuk service2 lain bisa dilakukan seperti contoh di atas.. hanya dengan kita mengganti ke arah ip mana di forward dan menggani portnya.

Catatan :
Kita tidak harus dst-port tersebut sesuai dengan port listen di masing-masing servicenya. Misalnya kita ingin membuat ip_public:3000 di forward ke SSH Server (port 22), kita bisa buat seperti berikut :

/ip firewall nat add chain=dstnat dst-address=180.241.111.312 protocol=tcp dst-port=3000 action=dst-nat to-addresses=192.168.1.30 to-ports=22 comment=”forward SSH server”

Hal ini penting untuk menjaga agar port defaultnya tidak terganggu. jadi dalam kasus ini ketika kita ingin SSH ke mikrotik routernya.. cukup kita akses ip public dengan SSH client, maka akan langsung menuju SSH server di mikrotik, namun jika kita mengakses ip public dengan port 3000 melalui SSH client, maka akan diforward ke SSH server di komputer lokal dengan 192.168.1.30

THE END

NAT (Network Address Translation)

Langsung aja gan,mengapa menggunakan NAT?

NAT  adalah Network Address Translation.

NAT adalah pengalihan suatu alamat IP ke alamat yang lain. Dan apabila suatu paket dialihkan dengan NAT pada suatu link, maka pada saat ada paket kembali dari tujuan maka link ini akan mengingat darimana asal dari paket itu, sehingga komunikasi akan berjalan seperti biasa.

Kenapa orang-orang menggunakan NAT ?

1. Koneksi Modem ke Internet.
   Kebanyakan ISP akan memberikan satu alamat IP pada saat anda melakukan dial up ke internet. Anda dapat mengirim paket ke alamat mana saja yang anda inginkan tetapi balasannya hanya akan diterima oleh satu alamat IP yang anda miliki.Apabila anda ingin menggunakan banyak komputer seperti jaringan dalam rumah anda untuk terhubung dengan internet dengan hanya satu kink ini, maka anda membutuhkan NAT.
   Cara ini adalah NAT yang paling umum digunakan sekarang ini, sering disebut sebagai masqurading.
2. Banyak Server
   Terkadang anda ingin mengubah arah paket yang datang ke jaringan anda. Hal ini disebabkan anda hanya memiliki satu alamat IP, tapi anda ingin semua orang dapat mengakses komputer yang berada di belakang komputer yang memiliki alamat IP yang asli. Apabila anda dapat mengubah tujuan dari paket yang masuk, anda dapat melakukan ini.
   Tipe NAT seperti ini disebut port-forwarding.
3. Transparent Proxy
   Terkadang anda ingin seakan-akan setiap paket yang melewati komputer anda hanya ditujukan untuk komputer anda sendiri. Hal ini digunakan untuk membuat transparent proxy : Proxy adalah program yang berada di antara jaringan anda dan dunia luar, dan membuat keduanya dapat saling berkomunikasi. Bagian transparannya dikarenakan jaringan anda tidak akan mengetahui bahwa dia menggunakan proxy kecuali proxynya tidak bekerja.
   Program squid dapat dikonfiguraasi untuk bekerja seperti ini, dan hal ini disebut redirection atau transparent proxy.

Dua Tipe NAT

NAT terdiri atas dua macam tipe: Source NAT (SNAT) dan Destination NAT (DNAT) Source NAT adalah ketika anda mengubah alamat asal dari paket pertama dengan kata lain anda merubah dari mana koneksi terjadi. Source NAT selalu dilakukan setelah routing, sebelum paket keluar ke jaringan. Masquerading adalah contoh dari SNAT.

Destination NAT adalah ketika anda mengubah alamat tujuan dari paket pertama dengan kata lain anda merubah ke mana komunikasi terjadi. Destination NAT selalu dilakukan sebelum routing, ketika paket masuk dari jaringan. Port forwarding, load sharing dan transparent proxy semuanya adalah bentuk dari DNAT.

Menggunakan NAT di Linux

Untuk membuat NAt anda harus membuat aturan NAT yang akan memberitahu kernel koneksi apa yang harus diubah. Untuk ini kita menggunakan tool iptables dan membuatnya untuk mengubah tabel NAT dengan memberikan option “-t nat”.

Tabel aturan NAT berisi 3 bagian yang disebut “chain”, setiap aturan akan diperiksa secara berurutan sampai ada satu yang tepat. Kedua chain disebut PREROUTING (untuk Destination NAT, ketika paket pertama kali masuk), dan POSTROUTING (untuk Source NAT, ketika paket pergi). Yang ketiga, OUTPUT akan diabaikan. Tabel di bawah akan menggambarkannya :

      _____                                     _____
     /     \                                   /     \
   PREROUTING -->[Routing ]----------------->POSTROUTING----->
     \D-NAT/     [Decision]                    \S-NAT/
                     |                            ^
                     |                            |
                     |                            |
                     |                            |
                     |                            |
                     |                            |
                     |                            |
                     --------> Local Process ------

Pada setiap node di atas, ketika paket melewati kita melihat koneksi apa yang diasosiasikan dengannya. Apabila hal itu adalah koneksi yang baru, kita melihat chain pada tabel nat yang berperan untuk mengetahui apa yang akan kita lakukan dengan paket tersebut.

Source NAT

Untuk melakukan Source NAT anda harus merubah asal dari koneksi. Hal ini dilakukan di chain POSTROUTING, pas sebelum keluar. Hal ini sangat penting, dikarenakan berarti tools lain yang di dalam router itu (routing, packet filtering) akan melihat paket itu tidak berubah. Hal ini juga berarti opsi ‘-o’ (outgoing interface) juga bisa digunakan.

Source dispesifikasikan dengan menggunakan ‘-j SNAT’, dan juga opsi ‘–to-source’ untuk menspesifikasikan sebuah alamat IP, range alamat IP dan port atau range port (hanya untuk protokol UDP dan TCP) yang sifatnya optional.

Mengubah alamat asal ke 1.2.3.4
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT –to 1.2.3.4

Mengubah alamat asal ke 1.2.3.4, 1.2.3.5, or 1.2.3.6
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT –to 1.2.3.4-1.2.3.6

Mengubah alamat asal ke 1.2.3.4, port 1-1023
# iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT –to 1.2.3.4:1-1023

Masquerading

Terdapat kasus yang khusus untuk Source NAT yang disebut masquerading, sebaiknya hanya digunakan untuk alamat IP yang dinamik, seperti menggunakan dialup secara standar (untuk alamat IP yang statis, gunakan SNAT si atas). Anda tidak perlu menempatkan alamat asal apabila anda menggunakan masquerading, dikarenakan alamat asal akan memakai alamat dari interface tempat paket itu keluar. Hal ini akan memudahkan apabila ada penggantian alamat IP dari interface tersebut, sehingga keslaahan da[at dihindari.

Masquerade semua paket yang keluar dari ppp0
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Destination NAT

Destination NAT dilakukan pada chain PREROUTING, pas ketika paket masuk, hal ini berarti semua tools di dalam router akan melihat paket akn pergi ke tujuan yang sebenarnya . Hal ini juga berarti bahwa opsi ‘-i’ (incoming interface) bisa digunakan.

Destination NAT dispesifikasikan dengan menggunakan ‘-j DNAT’ dan opsi ‘–to-destination’ menspesifikasikan sebuah alamat IP, range alamat IP dan range dari port (hanya untuk protokol UDP dan TCP) yang sifatnya optional.

Merubah alamat tujuan ke 5.6.7.8
# iptables -t nat -A PREROUTING -i eth0 -j DNAT –to 5.6.7.8

Merubah alamat tujuan ke 5.6.7.8, 5.6.7.9, or 5.6.7.10
# iptables -t nat -A PREROUTING -i eth0 -j DNAT –to 5.6.7.8-5.6.7.10

Merubah alamat tujuan dari lalu lintas web ke 5.6.7.8 port 8080
# iptables -t nat -A PREROUTING -p tcp –dport 80 -i eth0 -j DNAT –to 5.6.7.8:8080

Redirection

Terdapat kasus khusus dari Destination NAT yang disebut redirection. Redirection adalah pengarahan dari paket yang masuk dari posrt tertentu diarahkan ke port lain, dimana setiap port menandakan aplikasi jaringan yang berbeda.

Mengirim dari port 80 lalu lintas web ke squid (transparent) proxy
# iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT –to-port 3128

Dalam hal ini squid harus dikonfigurasi sehingga dia tahu paket yang masuk adalah transparent proxy.

Konfigurasi VPN di Mikrotik ™ via Winbox

Kali ini kita akan membahas tentang Konfigurasi VPN di Mikrotik ™ via Winbox

+ Asumsi network local menggunakan blok ip 192.168.0.0/24
+ Asumsi ip local yang terpasang di router adalah 202.114.5.2/27

1.Mulai dengan konfigurasi IP Pool

/ ip pool add name=”pptp-pool” ranges=192.168.0.2-192.168.0.100

2.Buat PPP profile. Klik menu PPP, pilih tab Profiles klik tanda +

Via terminal

/ ppp profile
add name=”VPN” local-address=192.168.0.1 remote-address=pptp-pool use-encryption=required only-one=yes change-tcp-mss=yes dns-server=192.168.0.1

3.Selanjutnya buat PPTP Server .klik menu PPP > klik tombol PPTP Server

4.Terakhir silahkan buat PPP Secret, klik menu PPP pilih tab Secrets dan klik tanda +

Via terminal
/ ppp secret
add name=”kurei” service=pptp password=”******” profile=VPN
add name=”uruha” service=pptp password=”******” profile=VPN

5.Cek dengan login VPN Client. Berikut gambar jika setting berjalan lancar

Jika mengikuti langkah langkah tersebut maka akan berjalan dengan baik