Sei sulla pagina 1di 6

1. Ada sebuah warnet mendapatkan blok IP publik 117.20.50.240/28 dari provider. Provider/ISP meminta 117.20.50.

241 digunakan disisi ISP yang digunakan untuk gateway. Kasus : Warnet tersebut memiliki 1 router, 3 server dan beberapa PC warnet. Buatkan beberapa metode konfigurasi (minimal 3 metode) supaya ketiga server tersebut bisa diakses dari internet menggunakan IP publik Petunjuk : routing, bridge, switch, nat (script dan capture topologi) 117.20.50.240/28 = 177.20.50.241 - 177.20.50.254

/ip address add address=117.20.50.240/28 interface=ether1 /ip address add address=192.168.1.1/24 interface=ether2 /ip address add address=192.168.2.1/24 interface=ether3 /ip firewall nat add chain=src-nat action=masquerade out-interface=ether1 /ip route add dst-address=0.0.0.0/0 gateway=117.20.50.241 /ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-address=177.20.50.242 dst-port=80 protocol=tcp to-addresses=192.168.2.2 to-ports=80 add action=dst-nat chain=dstnat disabled=no dst-address=177.20.50.243 dst-port=80 protocol=tcp to-addresses=192.168.2.3 to-ports=80 add action=dst-nat chain=dstnat disabled=no dst-address=177.20.50.244 dst-port=80 protocol=tcp to-addresses=192.168.2.4 to-ports=8080

/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1 /interface /interface /interface /interface /interface bridge bridge bridge bridge bridge add name=bridge1 port add interface=ether2 port add interface=ether3 port add interface=ether4 port add interface=ether5

/ip address add address=117.20.50.240/28 interface=ether1 /ip address add address=192.168.1.1/24 interface=bridge1 /ip route add dst-address=0.0.0.0/0 gateway=117.20.50.241 /ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-address=177.20.50.242 dst-port=80 protocol=tcp to-addresses=192.168.1.2 to-ports=80 add action=dst-nat chain=dstnat disabled=no dst-address=177.20.50.243 dst-port=80 protocol=tcp to-addresses=192.168.1.3 to-ports=80 add action=dst-nat chain=dstnat disabled=no dst-address=177.20.50.244 dst-port=80 protocol=tcp to-addresses=192.168.1.4 to-ports=80

/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1 /ip address add address=192.168.1.1/24 interface=ether2 /ip address add address=192.168.2.1/24 interface=ether3 /ip route add dst-address=0.0.0.0/0 gateway=117.20.50.241 /ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-address=177.20.50.242 dst-port=80 protocol=tcp to-addresses=192.168.2.2 to-ports=80 add action=dst-nat chain=dstnat disabled=no dst-address=177.20.50.243 dst-port=80 protocol=tcp to-addresses=192.168.2.3 to-ports=80 add action=dst-nat chain=dstnat disabled=no dst-address=177.20.50.244 dst-port=80 protocol=tcp to-addresses=192.168.2.4 to-ports=80

2. Lihat topo1.jpg, Sebuah perusahan memiliki 2 ingin jaringan lokalnya bisa saling komunikasi. lain yang tidak memiliki router juga bisa akses lokal office tadi. Bagaimana langkah efisiennya

jaringan office, yang Selain itu ada kantor ke kedua jaringan (script)

Asumsinya adalah ip yang terhubung ke internet adalah ip public Router A : ip publiknya 10.10.10.1 Router B : ip publiknya 20.20.20.1 Laptop :ip publiknya 30.30.30.1 Untuk menghubungkan kedua jaringan tersebut bisa menggunakan fasilitas VPN salah satu fitur vpn yang ada pada mikrotik adalah pptp selain itu juga minimal harus memilik 1 ip public yang fix , semisal Router A memilik ip public fix sesuai dengan yang tertulis Konfigurasi pada router A 1. Aktifkan PPTP server, untuk commandnya : /interface pptp-server server set enabled=yes 2. Create user ppp yang digunakan untuk router B dan laptop pada router A /ppp secret add disabled=no local-address=192.168.12.11 name=RouterB password=RouterB profile=default remote-address=192.168.12.12 routes="" service=any /ppp secret add disabled=no local-address=192.168.12.13 name=laptop password=laptop profile=default remote-address=192.168.12.14 routes="" service=any 3. Set ip route untuk menghubungkan router A ke jaringan local yang ada di bawah Router B /ip route add dst-address=192.168.2.0/24 gateway=192.168.12.12 Konfigurasi pada router B 1. Create pptp client, untuk commandnya : /intetface pptp-server add add-default-route=no allow=pap,chap,mschap1,mschap2 connect-to= 10.10.10.1 dial-on-demand=no disabled=no max-mru=1460 max-mtu=1460 mrru=disabled name=pptp-out1 password=RouterB profile=default-encryption user=RouterB 2. Set ip route untuk menghubungkan router B ke jaringan local yang ada di bawah Router A /ip route add dst-address=192.168.1.0/24 gateway=192.168.12.11

Konfigurasi pada PC 1. Set VPN dengan ip public 10.10.10.1 user name : laptop password : laptop 3. Tanpa membuat simple / queue tree secara manual, bisa tidak kita mengatur bandwidth dari user yang terhubung langsung ke router kita? jika tidak alasannya apa? jika bisa bagaimana caranya? Bisa, kita bisa melimit bandwidth dari setiap Interface ethernet. /interface ethernet set 0 arp=enabled auto-negotiation=yes disabled=no full-duplex=yes l2mtu=1526 mac-address=00:0C:42:41:28:31 mtu=1500 name=ether1 speed=100Mbps set 1 arp=enabled auto-negotiation=yes bandwidth=1M/1M disabled=no fullduplex=yes l2mtu=1522 mac-address=00:0C:42:41:28:32 master-port=none mtu=1500 name=ether2 speed=100Mbps 4. Bagaimana cara menangkal serangan netcut pada jaringan kabel (minimal 2 metode) ( script / capture) 1. Bisa menambahkan melakukan set netmask pada ip dhcp-server, commandnya: /ip dhcp-server network add address=x.x.x.x/x gateway=x.x.x.x netmask=32 2. Melakukan setting ARP pada interface Ethernet, sehingga hanya ip tertentu saja yang sudah terdaftar pada list arp /interface ethernet set ether2[interface yang terhubung ke client] arp=reply-only 3. Mengaktifkan PPPOE server sehingga setiap client nantinya menggunakan koneksi PPPOE-client 4. Secara hardware bisa menggunakan switch manageable, topologi sederhananya

Switch Manageble

INTERNET

PC Client 1 Ip Address : 192.168.1.2 Gateway : 192.168.1.1 DNS : 192.168.1.1

PC Client X Ip Address : 192.168.1.x Gateway : 192.168.1.1 DNS : 192.168.1.1

5. Ada router dengan konfigurasi /ip address add address=117.20.50.250/29 interface=wlan1 comment="ip publik" add address=192.168.1.1/24 interface=ether1 comment="ip lokal" /ip add add add firewall filter chain=forward protocol=tcp dst-port=80 in-interface=!wlan1 action=drop chain=input protocol=tcp dst-port=8080 in-interface=wlan1 action=drop chain=output protocol=tcp src-port=80 out-interface=!wlan action=drop

/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=dst-nat to-address=192.168.1.2 to-ports=8081 comment="proxy external" add chain=srcnat out-interface=wlan1 action=masquerade add chain=dstnat protocol=tcp dst-port=80 in-interface=!ether1 action=dst-nat to-address=192.168.1.3 to-ports=8080 comment="webserver internal" Kasus : a. Apakah client dengan PC 192.168.1.10 bisa browsing ke internet? jelaskan b. Apakah webserver internal bisa diremote dari luar internet? jelaskan c. Apakah client dengan PC 192.168.1.10 bisa akses ke webserver internal menggunakan IP publik? jelaskan jawab : a. tetap bisa karena ada rule transparant proxy dan yang digunakan adalah port 8081 b. tidak bisa karena untuk web to-portnya menggunakan port 8080 sedangkan ada chain input dan melakukan drop pada port 8080 c. tidak bisa karena berada dalam satu segment dengan ip user dan ketika merequest paket data ada rule yang memblick packet request dari webmaster add chain=output protocol=tcp src-port=80 out-interface=!wlan action=drop , outupunya selain wlan berarti termasuk Ethernet,