Menonaktifkan Redirect DNS Hotspot MikroTik Untuk User Aktif

Kadang kita implemetasikan fitur hotspot mikrotik pada jaringan kita, misalnya kantor, restoran, cafe, sekolah, kampus dll. Yg mengharuskan pengguna internet perlu otenfikasi/login terlebih dahulu sebelum menggunakan koneksi internet.

Tapi, setelah login. Semua request DNS user pasti diarahkan melalui DNS router mikrotik. Nah kasus kali ini ada di beberapa lingkungan jaringan, user membutuhkan akses ke DNS lain (Internal DNS Server, OpenDNS atau Google Public DNS). Jika di test menggunakan "namebench" terlihat DNS kita diarahkan otomatis/dipaksakan melalui DNS router mikrotik (DNS Proxying).

Mikrotik Hotspot DNS Proxying


Mikrotik Hotspot DNS Proxying

Dari hasil googling dan langsung coba2, ternyata fitur hotspot mikrotik otomatis menambahkan rules redirect dns di "/ip firewall nat" jika kita "print" di terminal terlihat rules 2 baris seperti ini :

2  D chain=hotspot action=redirect to-ports=64872 protocol=udp dst-port=53
3  D chain=hotspot action=redirect to-ports=64872 protocol=tcp dst-port=53

Karena kita ingin user yang belum aktif / belum login tetap diarahkan ke statik dns hotspot kita, dan mengabaikan 2 rules diatas untuk user yang sudah login. Maka kita perlu menambahkan opsi "hotspot=!auth" pada ke dua line tersebut.

set 2,3 hotspot=!auth

Hasilnya akan menjadi seperti ini :

2  D chain=hotspot action=redirect to-ports=64872 protocol=udp hotspot=!auth dst-port=53 
3  D chain=hotspot action=redirect to-ports=64872 protocol=tcp hotspot=!auth dst-port=53

User hotspot aktif sekarang dapat menggunakan custom DNS pada gadget mereka, tanpa diarahkan otomatis/dipaksakan melalui DNS router mikrotik.


...

Webfig MikroTik - Utility RouterOS Berbasis Web selain Winbox

Add limitsWebFig adalah utility RouterOS berbasis web yang memungkinkan Anda untuk memonitor, mengkonfigurasi dan troubleshoot  masalah router mikrotik Anda. Webfig sebagai alternatif dari WinBox, keduanya memiliki layout yang sama dan keduanya memiliki akses ke hampir semua fitur dari RouterOS.

Webfig dapat diakses langsung tanpa perlu menginstall software/aplikasi, hanya memerlukan aplikasi  umum Web Browser seperti Firefox, Chrome, IE, dll. Dapat digunakan untuk mengkonfigurasi router mikrotik secara langsung dari berbagai perangkat mobile dan system operasi tanpa membutuhkan software yang belum ada (winbox) untuk system operasi tertentu.

Webfig MikroTik - Utiliti RouterOS Berbasis Web selain Winbox

Yang dapat Anda lakukan dengan WebFig :
  • Konfigurasi - melihat dan mengedit konfigurasi.
  • Monitoring - menampilkan status router, informasi routing, statistik interfaces, log dan banyak lagi.
  • Akses menu terbatas - anda dapat menerapkan batasan untuk staff Anda dalam konfigurasi router Anda dengan webfig skin. 
  • Troubleshooting - RouterOS terdapat tools untuk troubleshooting seperti ping, traceroute, packet sniffers, traffic generators dll dan bisa dilakukan dengan Webfig.

WebFig dapat dapat diakses dengan memasukkan alamat IP router di browser. Setelah muncul masukan login & password MikroTik RouterOS Anda.

akses webfig mikrotik

Konfigurasi Webfig Skin/Template

Ini fitur yang paling admin network suka dan berguna jika menggunakan Webfig. Admin network bisa membuat batasan user routeros lain hanya dapat merubah konfigurasi/parameter routeros yang di perbolehkan.

Dengan Webfig Skin anda dapat :
  • Hide menu - ini akan menyembunyikan semua item dari menu dan submenu.
  • Hide submenu - hanya submenu tertentu akan disembunyikan.
  • Hide parameter item - parameter menu yang dapat disembunyikan. 
  • Hide tabs - jika didalam menu memiliki beberapa tab, anda dapat menyembunyikan salah satu tab dengan cara ini. 
  • Rename menus, items - dapat mengganti nama menu/item dengan bahasa yang Anda inginkan. 
  • Menambahkan note - catatan/note bisa anda tambahkan pada salah satu item parameter di detail view. 
  • Make Read Only - membuat parameter item tidak dapat diedit, hanya bisa dilihat. 
  • Add limits - batasan opsi pada parameter pilihan (dropdown, checkbox).

Contoh Skenario Operator Username WiFi Hotspot

  1. Saya mempunyai usaha wifi hotspot menggunakan halaman login yang harus customer mempunyai username & password untuk menggunakan koneksi internet.
  2. Saya mempunyai karyawan/staff yang berfungsi sebagai operator untuk membuat username & password untuk customer.

Dengan kondisi yang saya jelaskan diatas, berarti karyawan saya harus mempunyai akses ke dalam mikrotik dan saya berharap tidak bisa mengakses menu-menu mikrotik lainnya selain membuat username & password untuk customer.

Rencana saya si karyawan hanya bisa melihat dan edit top menu IP > submenu Hotspot > tabs Users, Active, Host.
Dan dalam menu "Add User" atau "Edit User" hanya dapat merubah parameter :

  • Remove, Disable & Enable username
  • Merubah username & password
  • Pilih "User Profile"
  • Input parameter "Limit Uptime" & "Limit Bytes Total"
  • dan melihat statistik username tersebut. 

Hasilnya jika staff tersebut login webfig akan terlihat seperti ini :

Webfig Skin/Template Hotspot

Dan jika untuk menambahkan atau mengedit username hanya terlihat seperti ini :

Webfig Skin Add/Edit User Hotspot





...

Cara Membatasi Trafik File Download Di MikroTik

Kali ini saya akan mencoba sharing cara membatasi / limit aktifitas download file di mikrotik. Banyak dari kita mengeluh dengan perilaku user yang hobi download file besar atau yang aneh-aneh. Mungkin ini diperlukan jika dalam topologi jaringan mikrotik, misalnya dalam jaringan kantor, jaringan warnet, jaringan rt rw net atau ISP yang menjual koneksi internet Up To atau tidak dedicated 1:1. Kita akan direpotkan oleh satu user yang berprilaku tukang download dan menghabisi jatah bandwidth user lain.

Cara Setting Limit Download File Dengan L7 Filtering


Disini bagian ini kita pakai tehnik L7 Filtering untuk limit download file sesuai ektensi file yang Anda ditentukan, bisa untuk limit bandwidth download file exe, rar, zip, iso dan lain-lain.

Pertama, kita buat filtering regex content L7, tentukan string yang akan kita cari.

/ip firewall layer7-protocol
add name="Extension \" .exe \"" regexp="^.*get.+\\.exe.*\$"
add name="Extension \" .mp4 \"" regexp="^.*get.+\\.mp4.*\$"
add name="Extension \" .rar\"" regexp="^.*get.+\\.rar.*\$"
add name="Extension \" .zip\"" regexp="^.*get.+\\.zip.*\$"

Contoh di sini saya akan menggunakan string atau ekstensi file download hanya untuk file yang berekstensi exe, mp4, rar, dan zip. Anda bisa tambahkan sesuai kebutuhan.

Kedua, kita menandakan/mangle koneksi user berdasarkan regex L7 yang sebelumnya di buat untuk di proses lebih lanjut di queue bandwidth management mikrotik

/ip firewall mangle
add action=mark-connection chain=prerouting in-interface=ether2-master-local \
    layer7-protocol="Extension \" .exe \"" new-connection-mark=download_conn
add action=mark-connection chain=prerouting in-interface=ether2-master-local \
    layer7-protocol="Extension \" .mp4 \"" new-connection-mark=download_conn
add action=mark-connection chain=prerouting in-interface=ether2-master-local \
    layer7-protocol="Extension \" .rar\"" new-connection-mark=download_conn
add action=mark-connection chain=prerouting in-interface=ether2-master-local \
    layer7-protocol="Extension \" .zip\"" new-connection-mark=download_conn
add action=mark-connection chain=prerouting in-interface=ether2-master-local new-connection-mark=all_conn
add action=mark-packet chain=prerouting connection-mark=download_conn new-packet-mark=download_packet
add action=mark-packet chain=prerouting connection-mark=all_conn new-packet-mark=all_packet

Di Winbox akan terlihat seperti ini :



Cara Setting Memisahkan Bandwidth Browsing dan Download


Di langkah ini saya anggap juga seperti cara setting memisahkan kecepatan bandwidth untuk browsing dan kecepatan untuk download file.

Ketiga, kita buat bandwidth managementnya si simple queue.

/queue simple
add comment=\
    "adamonline.web.id - Memisahkan bandwidth browsing & download file" \
    max-limit=128k/1M name=Browsing packet-marks=all_packet target=\
    192.168.88.0/24
add max-limit=128k/128k name="Download File" packet-marks=download_packet \
    target=192.168.88.0/24

Di setting simple queue diatas saya contohkan untuk memisahkan kecepatan untuk browsing dan untuk download file :

  • Aktifitas Browsing : Kecepatan Download 1Mbps & Kecepatan Upload 128Kbps
  • Aktifitas Download File : Kecepatan Download 128Kbps & Kecepatan Upload 128Kbps


Keempat, kita test apakah setting memisahkan kecepatan browsing dan download berjalan dengan baik :



Di gambar diatas, terlihat saat saya download file berekstensi .zip ter limit kecepatannya. Sesuai kecepatan yang saya setting di simple queue mikrotik. Terlihat juga walaupun user pakai internet download manager (IDM) ikut ter limit kecepatannya. Atau jika anda tidak mengijinkan user menggunakan aplikasi IDM (internet download manager) di jaringan anda, anda bisa coba tehnik di bawah ini :

Cara Drop Koneksi Download IDM (Internet Download Manager) Di Mikrotik

Anda bisa menambahkan rules di firewall mikrotik seperti ini, tetap menggunakan layer-7 filtering yang sebelumnya kita buat :

/ip firewall filter
add action=drop chain=forward connection-limit=4,32 in-interface=bridge-local \
    layer7-protocol="Extension \" .zip\"" protocol=tcp

Firewall tersebut membuat jika ada yang download file menggunakan IDM, akan di drop oleh mikrotik. Karena IDM menggunakan koneksi lebih dari 1, maka firewall tersebut akan drop IDM jika menggunakan 4 koneksi lebih dalam 1 file download (lihat connection-limit=4,32). Script diatas diperhatikan “in-interface” sesuaikan port ether lokal Anda.

Mungkin ada beberapa tehnik lainnya seperti memakai connection-byte, tapi sejauh ini melimit kecepatan download file di mikrotik lebih efektif menggunakan L7 Filtering, tapi membebani load router anda (jadi berat). Ada juga jika anda menggunakan proxy server bisa menggunakan “Delay-Pool” di squid untuk membatasi kecepatan download file.
...

Cara Blokir Koneksi TOR Browser di MikroTik

Kali ini salah satu admin network sedang bingung, karyawan-karyawan di kantornya banyak yang mencoba membypass koneksi internet kantor di gunakan untuk kepentingan diluar urusan pekerjaan. Dia bingung saat menemukan banyak karyawan kantornya menggunakan software TOR Browser.



Apa itu TOR Browser ?

Jika anda ingin browsing anonymous, katakanlah jika koneksi internet di tempat anda di batasi. Dengan software TOR adalah cara termudah untuk mengatasi hal itu, anda bebas berselancar dalam jaringan internet yang dibatasi. Anda bisa Download Software TOR Browser disini.


Bagaimana cara blokir koneksi software TOR Browser ?

Saat jaringan anda menggunakan mikrotik router dan ingin memblock / drop koneksi software TOR Browser. Anda bisa menggunakan tehnik setting di mikrotik dalam artikel ini. Saya sudah coba trial and error, untuk bagaimana mendeteksi koneksi TOR Browser dan BERHASIL!!! *sampai saat ini ^_^.


Setting di MikroTik untuk Blokir TOR Browser


Pertama yang harus anda lakukan adalah mendeteksi koneksi yang digunakan software TOR, kemana tujuan IP-IP nya atau menggunakan port berapa. Anda bisa menggunakan tool TORCH di mikrotik atau cara termudah mengetahui IP address yang digunakan tor bisa anda lihat disini Daftar IP Address TOR Browser. Di list itu adalah IP Server yang dipakai TOR. Anda tinggal input IP-IP servernya di address-list mikrotik anda. Atau anda bisa download scripts ini, upload ke mikrotik anda dan import untuk menambahkan list IP Server TOR. Setelah anda memasukan list IP-IP server TOR, Saatnya anda drop koneksinya.

—— Ini hanya contoh, download address-list lengkapnya disini ——

/ip firewall address-list
add address=100.0.120.66 comment="" disabled=no list=IP-TOR
add address=100.0.180.196 comment="" disabled=no list=IP-TOR
add address=100.2.103.234 comment="" disabled=no list=IP-TOR
add address=100.33.8.35 comment="" disabled=no list=IP-TOR
add address=100.4.25.207 comment="" disabled=no list=IP-TOR
add address=101.103.3.201 comment="" disabled=no list=IP-TOR
add address=101.140.198.73 comment="" disabled=no list=IP-TOR
add address=101.142.85.171 comment="" disabled=no list=IP-TOR
add address=101.167.6.96 comment="" disabled=no list=IP-TOR
add address=101.55.12.75 comment="" disabled=no list=IP-TOR
add address=101.98.158.72 comment="" disabled=no list=IP-TOR
add address=103.10.197.50 comment="" disabled=no list=IP-TOR
add address=103.15.178.137 comment="" disabled=no list=IP-TOR
add address=103.16.26.71 comment="" disabled=no list=IP-TOR
add address=103.22.146.158 comment="" disabled=no list=IP-TOR

Cara termudahnya adalah me drop koneksi ke IP-IP Server TOR dengan script berikut :

/ip firewall filter
add action=drop chain=forward comment="Drop TOR, www.adamonline.web.id" \
 disabled=no dst-address-list=IP-TOR

Jika berhasil, saat anda membuka software TOR Browser akan seperti ini :

TOR Browser Connetion Timed Out


...

Cara Setting Update Dynamic DNS di MikroTik

Cara Setting Update Dynamic DNS di MikroTik, DDNS (Dynamic DNS) ADALAH sebuah sistem dalam jaringan yang memungkinkan untuk menerjemahkan nama domain ke IP Public yang dinamis (berubah-ubah). Administrator tidak perlu mengupdate DNS-server setiap kali ada permintaan pembaruan IP. IP Public yang diberikan akan berganti ketika modem ADSL putus atau pada waktu modem mati lalu dihidupkan lagi, contoh jika kita menggunakan layanan telkom speedy. Dalam mikrotik kita bisa memanfaatkan fitur script dan scheduler untuk update otomatis IP Dynamic DNS kita.

Cara Setting Update Dynamic DNS di MikroTik

Kapan anda memerlukan layanan Dynamic DNS ?

Ada beberapa skenario yang menentukan kapan Anda menggunakan layanan Dynamic DNS, yang tidak ingin dipusingkan dengan IP Public yang berubah-ubah. Kapan Anda membutuhkan layanan Dynamic DNS :

  • Saat Anda menggunakan layanan ISP yang memberikan IP public dinamis (berubah-ubah).
  • Anda mempunyai server atau aplikasi di jaringan internal Anda. Dengan IP Public & DDNS kita bisa melakukan beberapa hal, seperti :
  • Ingin remote mikrotik dengan winbox dari luar, misalnya remote dari rumah, kantor, kampus atau warnet contohnya.
  • Monitoring kantor, rumah, kampus atau warnet melalui kamera CCTV dari mana saja. Seperti contoh setting forwarding DVR/CCTV di Mikrotik di artikel saya sebelumnya.
  • Aplikasi server internal yang bisa diakses dari luar/internet, misalnya web server, VPN server, FTP, email server dll.


Apa yang harus dipersiapkan untuk setting Dynamic DNS di MikroTik ?

Untuk implemetasikan dynamic dns di mikrotik, ada beberapa step yang harus Anda lakukan dan mengetahui skenario jaringannya.

Registrasi ke situs layanan dynamic DNS di artikel ini situs yang memberikan layanan Dynamic DNS gratis dan support dengan mikrotik. Contoh di script ini saya menggunakan 2 situs layanan Dynamic DNS gratis :

ChangeIP.com
Gratis 7 sub domains, dalam arti anda bisa mempunyai 7 nama sub domain dengan IP Public yang berbeda.

NoIP.com
Gratis 3 sub domains, dalam arti anda bisa mempunyai 3 nama sub domain dengan IP Public yang berbeda.

Contoh skenario jaringan dengan modem ADSL telkom speedy
Modem ADSL ————–> MikroTik –> IP Server Internal
Bridge/IP Forwarding–> NAT ——->IP lokal tujuan

Dalam skenario diatas, kita akan menentukan settingan modem ADSL/speedy kita. Apakah mode bridge (Dial PPPoE Speedy di MikroTik), atau pakai mode forwarding (Setting Forwarding di Modem ADSL). Jika dalam mode forwarding, artinya mikrotik Anda dibelakang NAT modem ADSLnya, atau bahasa saya kena routing oleh modemnya. Anda harus terlebih dahulu setting forwarding (virtual server, port mapping, etc) pada modem ADSL Anda. Jika dalam mode bridge, IP public speedy anda akan langsung berada di interfaces wan mikrotik Anda.

Setting Script Update Dynamic DNS di MikroTik Untuk Dyndns, No-IP atau ChangeIP


Seperti yang sebelumnya saya sebutkan, kita bisa memanfaatkan fitur script dan scheduler untuk update otomatis IP Dynamic DNS kita. Dalam script ini mempunyai fungsi :

  • Update otomatis IP Dynamic DNS kita untuk layanan Dyndns, No-IP atau ChangeIP.
  • Opsi tangkap IP public dibelakang NAT atau tidak.
  • Log tanggal update, dan perubahan IP sebelumnya dengan IP barunya.
  • Otomatis menghapus record DNS internal kita (flush DNS mikrotik) agar hostname DDNS terupdate dengan IP barunya.


Masukan script ini di winbox System > Scripts, kolom “Name: update_ip_ddns” dan pada kolom “Source:” isi dengan script dibawah ini :

#************************************************************************************************
# Script Update Dynamic DNS di MikroTik Untuk Dyndns, No-IP dan ChangeIP
# Thanks to : forum.mikrotik.com, threadnya lupa ^_^ 
# Adam Rachmad / Tested & Work @ ROS v.6.13 18-6-2014
# http://adamonline.web.id
#************************************************************************************************
# ganti dengan infomasi account anda, username/password/hostname DDNS Anda
#************************************************************************************************
 
:local username "username_anda"
:local password "password_anda"
:local hostname "hostname.anda"
 
# 2 pilihan untuk menangkap IP public anda "http" atau "iface"
# - http: akan menangkap/mencari IP public yang anda gunakan (skenario jika anda dibelakang NAT modem ADSL)
# - iface: akan menggunakan ip public yang di set di interface WAN mikrotik Anda
 
:local discoverBy "http"
 
# nama interface WAN yang akan digunakan menangkap IP public Anda (jika pilihan discoverBy = iface)
 
:local iface "nama_interface_wan_anda"
 
# pilih salah satu layanan Dynamic DNS yang anda gunakan: "dyndns", "noip", and "changeip"
 
:local service "changeip"
 
# Schedule(hari) untuk maksa update jika IP tidak berubah-ubah (agar account DDNS anda tetap aktif)
:local forceUpdate 15
 
#************************************************************************************************
# dibawah ini jangan di ganti2 jika anda tidak tahu apa yang anda lakukan
#************************************************************************************************
 
:local force
:global lastUpdate
:local currentIP
 
:if ($discoverBy="http") do={ 
   /tool fetch mode=http address="checkip.dyndns.org" src-path="/" dst-path="/dyndns.checkip.html"
   :local result [/file get dyndns.checkip.html contents]
   :local resultLen [:len $result]
   :local startLoc [:find $result ": " -1]
   :set startLoc ($startLoc + 2)
   :local endLoc [:find $result "" -1]
   :set currentIP [:pick $result $startLoc $endLoc]
} else={
   :set currentIP [ /ip address get [find interface=$iface disabled=no] address ]
   :for i from=( [:len $currentIP] - 1) to=0 do={
      :if ( [:pick $currentIP $i] = "/") do={ :set currentIP [:pick $currentIP 0 $i] } 
   }
}
 
:local resolvedIP [:resolve $hostname]
:local date [ /system clock get date ]
:local months ("jan","feb","mar","apr","may","jun","jul","aug","sep","oct","nov","dec");
:local month [ :pick $date 0 3 ]; :local day [ :pick $date 4 6 ]; :local year [ :pick $date 7 11 ];
:local mm ([ :find $months $month -1 ] + 1);
:if ($mm < 10) do={ :set month ("0" . $mm); } else={ :set month $mm; }
:set date ($year . $month . $day);
 
:if ([ :typeof $lastUpdate ]=[:nothing] || (($date-$lastUpdate) >= $forceUpdate  && $forceUpdate > 0)) do={ 
   :set force true 
}
 
:put ("Current IP: $currentIP ($discoverBy), Last update: $lastUpdate")
 
# Determine if dyndns update is needed
:if (($currentIP != $resolvedIP) || ($force = true)) do={
    
    :if ($service = "dyndns") do={
       /tool fetch user=$username password=$password mode=http address="members.dyndns.org" \
            src-path="/nic/update?hostname=$hostname&myip=$currentIP" dst-path="/output.txt"
    }
    :if ($service = "noip") do={
       /tool fetch user=$username password=$password mode=http address="dynupdate.no-ip.com" \
            src-path="/nic/update?hostname=$hostname&myip=$currentIP" dst-path="/output.txt"
    }
    :if ($service = "changeip") do={
       /tool fetch user=$username password=$password mode=http address="nic.changeip.com" \
            src-path="/nic/update?hostname=$hostname&myip=$currentIP" dst-path="/output.txt"
    }
    :local result [/file get output.txt contents]
    :log info ("dynamic-dns-updater: Service = $service, Hostname = $hostname")
    :log info ("dynamic-dns-updater: CurrentIP = $currentIP, Resolved IP = $resolvedIP")
    :log info ("dynamic-dns-updater: Update result: ".$result)
    /ip dns cache flush
    :set lastUpdate $date
}

Kemudian kita buat Schedule agar update DDNS setiap 5 Menit

/system scheduler
add disabled=no interval=5m name="Update DDNS setiap 5 menit" on-event=update_ip_ddns policy=\
ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api start-date=mar/30/2014 start-time=14:24:00

Sekarang tinggal verifikasi apakah sudah berjalan baik atau tidak, dengan melihat IP address yang terupdate di situs DDNS anda. Atau coba akses dengan hostname yang sudah anda tentukan.
...

Failover 2 ISP Load Balancing PCC Tanpa Netwatch

Cara setting mikrotik 2 ISP Load Balancing PCC Dengan Fail Over Tanpa Script, contoh kali ni adalah router mikrotik anda mempunyai dual wan yang memakai metode PCC untuk load balancing. Nah bedanya di contoh ini sekalian failover atau otomatis hanya menggunakan wan/isp yang hidup. Dan bedanya lagi ini tanpa netwatch.

Failover 2 ISP Load Balancing PCC Tanpa Netwatch


Kita akan pakai host untuk monitoring uplink masing-masing ISPnya, contoh disini saya pakai DNS google (8.8.8.8 dan 8.8.4.4). Tehnik disini membuat mikrotik failover/pindah routing otomatis jika salah satu ISP down di dalam konfigurasi load balancing mikrotik anda.

Kita pakai 2 ISP untuk nantinya kita load balancing,

/ip address
add address=192.168.0.1/24 disabled=no interface=WAN1 network=192.168.0.0
add address=192.168.1.2/24 disabled=no interface=WAN2 network=192.168.1.0
add address=192.168.2.2/24 disabled=no interface=LAN network=192.168.2.0

Pertama, kita buat marking untuk load balancernya.

/ip firewall mangle
add action=mark-connection chain=input disabled=no in-interface=WAN1 new-connection-mark=WAN1_connmark passthrough=yes
add action=mark-connection chain=input disabled=no in-interface=WAN2 new-connection-mark=WAN2_connmark passthrough=yes
add action=mark-routing chain=output connection-mark=WAN1_connmark disabled=no new-routing-mark=ke_ISP1 passthrough=yes
add action=mark-routing chain=output connection-mark=WAN2_connmark disabled=no new-routing-mark=ke_ISP2 passthrough=yes
add action=mark-connection chain=prerouting disabled=no dst-address-type=!LAN in-interface=LAN new-connection-mark=WAN1_connmark passthrough=yes per-connection-classifier=both-addresses-and-ports:2/0
add action=mark-connection chain=prerouting disabled=no dst-address-type=!LAN in-interface=LAN new-connection-mark=WAN2_connmark passthrough=yes per-connection-classifier=both-addresses-and-ports:2/1
add action=mark-routing chain=prerouting connection-mark=WAN1_connmark disabled=no in-interface=LAN new-routing-mark=ke_ISP1 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=WAN2_connmark disabled=no in-interface=LAN new-routing-mark=ke_ISP2 passthrough=yes

Setting masquerade buat kedua link ISP
/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=WAN1
add action=masquerade chain=srcnat disabled=no out-interface=WAN2

Setting Route untuk implementasikan FailOver 2 ISP Load Balancing PCC Tanpa Netwatch.


Senjatanya di sesi ini.

## Setting statik route masing-masing host ke masing-masing gateway ISP anda :
/ip route
add dst-address=8.8.8.8 gateway=192.168.0.1 scope=10
add dst-address=8.8.4.4 gateway=192.168.1.1 scope=10

## Setting statik route ke masing-masing host dari routing mark mikrotik load balancing anda :
/ip route
add distance=1 gateway=8.8.8.8 routing-mark=ke_ISP1 check-gateway=ping
add distance=2 gateway=8.8.4.4 routing-mark=ke_ISP2 check-gateway=ping

## Setting IP hop “virtual / boong2an” yang nanti kita gunakan untuk setting routing selanjutnya :
/ip route
add dst-address=10.20.30.1 gateway=8.8.8.8 scope=10 target-scope=10 check-gateway=ping
add dst-address=10.20.30.2 gateway=8.8.4.4 scope=10 target-scope=10 check-gateway=ping

## Tambahkan route default untuk kedua ISP anda yang sudah di marking di mangle :
/ip route
add distance=1 gateway=10.20.30.1 routing-mark=ke_ISP1
add distance=2 gateway=10.20.30.2 routing-mark=ke_ISP2

## Tambahkan route default untuk mikrotik anda :
/ip route
add distance=1 gateway=10.20.30.1
add distance=2 gateway=10.20.30.2

Thanks to :
Mikrotik Multi WAN Fail Over Scenarios
Advanced Routing Failover without Scripting
...

Cara Blokir Website Dengan Static DNS MikroTik

Contoh salah satu tehnik yang bisa di setting dalam RouterOS MikroTik, untuk blokir/block/membatasi akses ke situs / website menggunakan Static DNS MikroTik.

Melanjutkan dari artikel saya sebelumnya di 3 Tehnik Cara Blokir Situs di MikroTik, yang menjelaskan blokir website dengan tehnik :
  • Address List Berdasarkan Nama Domain
  • Menggunakan Layer7 Filtering
  • Memanfaatkan Web Proxy

Cara Blokir Website Dengan Static DNS MikroTik


Nah di artikel saya ini akan mencontohkan tehnik lain cara blokir website menggunakan fitur Static DNS MikroTik. Dan anda bisa download scripts yang bisa Anda import ke mikrotik berdasarkan kategori (misalnya, Situs Social Media, Movie, Music, Download, Iklan). Kategori domain sudah saya compile menjadi script mikrotik menggunakan daftar kategori domain dari Shalla's Blacklists.

Pada versi ROS 6.37 terbaru, Anda akan melihat perbedaan pada menu IP > DNS > Static, seperti contoh gambar dibawah ini.



Terlihat MikroTik mengubah cara entri statik DNS, terdapat kolom "regexp" dalam arti kita dapat menggunakan regular expression dalam mengenali sebuah domain. Sebelumnya jika kita akan redirect sebuah domain ke IP loopback (127.0.0.1) agar client tidak mengakses situs yang tidak diperbolehkan, kita harus memasukan pada kolom name "youtube.com" & "www.youtube.com". Pada fitur baru ini kita cukup input pada kolom regexp :

^(.*.)?youtube.com

Regexp tersebut dapat mengenali subdomain dari domain utamanya.



Cara Blokir Website Dengan Static DNS MikroTik


Lanjut dah ke tutorialnya, pertama pastikan update versi ROS anda ke v6.37. Anggap saja anda ingin blokir situs youtube.com & facebook.com menggunakan tehnik Statik DNS or "Blind DNS"

Step 1, set statik DNS untuk kedua domain tersebut. IP > DNS > Static > +

/ip dns static
add address=127.0.0.1 comment="Sosmed [modalsemangat.com]" regexp=\
    "^(.*.)\?youtube.com"
add address=127.0.0.1 comment="Sosmed [modalsemangat.com]" regexp=\
    "^(.*.)\?facebook.com"

Static DNS MikroTik Regexp

Pastikan komputer klien Anda di set DNSnya ke IP Mikrotik Anda, atau anda bisa paksa klien agar tetap menggunakan DNS mikrotik kita walaupun pada settingan LAN Card komputer mereka menggunakan IP DNS lain dengan script forwarding DNS di bawah ini :

/ip firewall nat
add action=redirect chain=dstnat comment=\
    "Redirect DNS to DNS MikroTik [modalsemangat.com]" dst-port=53 protocol=tcp \
    to-ports=53
add action=redirect chain=dstnat dst-port=53 protocol=udp to-ports=53

Jika klien mengakses website atau domain yang sudah kita set di Static DNS Mikrotik, pada browser akan terlihat hanya "Situs Tidak Ditemukan" karena domain tersebut kita arahkan ke IP Loopback(127.0.0.1) bukan ke IP aslinya *dinyasarin hehehee*

Blokir Website Dengan Static DNS MikroTik

Kata lain website tersebut berhasil kita blokir.

Download Script DNS Static Kategori Website (Social Media, Movie, Music, Download)


Di awal artikel ini saya sudah mengatakan bahwa anda bisa juga download scripts yang bisa Anda import ke mikrotik berdasarkan kategori domain (misalnya, Situs Social Media, Movie, Music, Download). Kategori domain sudah saya compile menjadi script mikrotik menggunakan daftar kategori domain di Shalla's Blacklists.

Compiled By ModalSemangat.Com :

  • Social Media
  • Ads, Iklan, Advertiser
  • Movie & Music (coming soon)
  • Download (coming soon)

NOTE : Proses import script yang disediakan blog ini akan memakan waktu yang lama tergantung spesifikasi routerboard Anda dan menggunakan semua resource yang ada (CPU Load 100%, Memory) yang mungkin dapat menyebabkan mikrotik Anda HANG, restart sendiri, tidak bisa di remote, internet down sampai proses selesai. Pastikan routerboard Anda mempunya spesifikasi yang tinggi untuk daftar domain diatas 1000 domain/lines. 

Saya coba import script statik DNS 10.000 domain di RB450G memakan waktu 5 menit. Dan di RB941-2nD-TC Hap Lite import script statik DNS 1.000 domain memakan waktu 10 menit. 

Script DNS Static Domain/Website Social Media


Jalankan perintah di bawah ini pada Terminal MikroTik Anda, script akan download dan membuat statik DNS untuk domain kategori Social Media (Total 844 domain/lines 71KB) ex: Facebook, Twitter, Instagram, Pinterest, Google Plus, dll.

:if ([:len [/file find name=block-sosmed-dns-mikrotik.rsc]] > 0) do={/file remove block-sosmed-dns-mikrotik.rsc }; /tool fetch address=www.modalhotspot.com host=www.modalhotspot.com mode=http src-path=/download/block-sosmed-dns-mikrotik.rsc;/import block-sosmed-dns-mikrotik.rsc

DNS Static MikroTik Domain/Website Social Media


Script DNS Static Domain/Website Iklan & Advertiser


Jalankan perintah di bawah ini pada Terminal MikroTik Anda, script akan download dan membuat statik DNS untuk domain kategori Iklan & Advertiser (Total 9534 domain/lines 697KB) ex: Google Ads, Facebook Ads, dll.
:if ([:len [/file find name=block-ads-dns-mikrotik.rsc]] > 0) do={/file remove block-ads-dns-mikrotik.rsc }; /tool fetch address=www.modalhotspot.com host=www.modalhotspot.com mode=http src-path=/download/block-ads-dns-mikrotik.rsc;/import block-ads-dns-mikrotik.rsc

DNS Static Domain/Website Iklan & Advertiser

Sebelum menggunakan script diatas, tolong perhatikan di bawah ini :

Mikrotik saya kok jadi hang gini, ga bsa di remote, internet jadi down si bang pas jalanin scriptnya?
Pastikan routerboard Anda mempunya spesifikasi yang cukup untuk daftar domain diatas 1000 domain/lines. Saran minimal diatas RB450G. Selain itu pakai server proxy Dansguardian or SquidGuard terpisah aja.

Bang, kalo mau delete cuma salah satu website/domain supaya ga ke blokir gimana?
Input domain pada kolom "Find" kalo dah ketemu delete or disable.

Udah ane disable bang, tapi kok masih ga kebuka websitenya di komputer klien?
Record DNS di komputer klien musti di flush dulu, caranya lihat di Cara Reset, Clear, Refresh, Flush DNS Cache di Windows.
...

Cara Setting NAT Public Passive FTP Server FreeNAS di MikroTik

Jika Anda membangun sebuah Public FTP Server contoh menggunakan FreeNAS, dan dibelakang NAT router MikroTik. FTP Server Anda menggunakan misalnya lokal IP 192.168.1.10 dan ingin bisa di akses di cloud internet (Public FTP Server) dengan menggunakan teknik NAT forwarding di mikrotik. Berikut contoh cara setting NAT Forwarding FTP Server FreeNAS di MikroTik.

Setting NAT Public Passive FTP Server FreeNAS Behind MikroTik Router

Jika anda akses langsung ftp server anda menggunakan file/internet explorer, muncul error "An error occurred opening that folder on The FTP Server. Make sure you have permission to access that folder. 227 Entering Passive Mode" Hal ini dikarenakan FTP Server anda dibelakang NAT/Router MikroTik.

Berbeda jika anda akses dari FTP client di jaringan lokal Anda, anda tidak menemukan masalah ini.

Entering Passive Mode

Sebelum lanjut, untuk diketahui FTP server itu beroperasi menggunakan 2 port.
  • Port command (standarnya port 21) -> untuk tranfer command.
  • Port data -> untuk transfer data (nomor portnya ditentukan saat akan transfer data).
Dalam contoh ini, saya menggunakan IP Address :
222.222.222.222 adalah IP Public Anda.
192.168.1.10 adalah IP Local FTP Server Anda.

Setting Passive Mode FTP Server FreeNAS


Pertama, kita akan set FTP Server kedalam passive mode, menentukan Minimal & Maximal Port Passive Mode FTP Server Anda. Pada service FTP freenas anda akan menemukannya di "Advances Setting"


Passive Mode FTP Server FreeNAS

Masquerade address : 222.222.222.222 (isi IP Public Anda)
Minimum passive port : 15000
Maximum passive port : 15100 (range portnya tentukan dari banyaknya client yang akan akses ke FTP server anda)

Setting NAT Forwarding di MikroTik


Kedua, anda setting NAT forwarding di MikroTik Anda. Jangan lupa bahwa FTP Server beroperasi menggunakan 2 port, tidak cukup jika Anda hanya forward port 21.

Di Mikrotik tambahkan setting dst-nat :

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.1.10 to-ports=21 protocol=tcp dst-address=222.222.222.222 in-interface=WAN dst-port=21 log=no log-prefix=""
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.1.10 to-ports=15000-15100 protocol=tcp dst-address=222.222.222.222 in-interface=WAN dst-port=15000-15100 log=no log-prefix=""
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.1.10 to-ports=15000-15100 protocol=udp dst-address=222.222.222.222 in-interface=WAN dst-port=15000-15100 log=no log-prefix=""

dan tambahkan src-nat agar FTP Server keluar menggunakan IP Public yang ditetapkan.

/ip firewall nat
add action=src-nat chain=srcnat out-interface=WAN src-address=192.168.1.10 to-addresses=222.222.222.222

sekarang Anda coba kembali akses login ke Public FTP Server anda menggunakan internet explorer atau file explorer (ftp://222.222.222.222)
...

Manajemen Bandwidth User Hotspot Mikrotik Dengan Queue Tree

Dalam artikel ini saya akan mencontohkan manajemen bandwidth user hotspot mikrotik dengan queue tree limitasi/batasan kecepatan bandwidth share pada group username yang berbeda. Pada artikel saya sebelumnya "Cara Membuat Username dengan Limitasi Bandwidth/Kecepatan Internet", limitasi bandwidth user hotspot hanya per user, yang kita set parameternya pada masing-masing User Profile.

Contoh kali ini adalah kita akan membuat jaringan hotspot pada sekolah, dan akan membuat kebijakan :
  • User Profile "Guru", yang akan mempunyai limitasi bandwidth share Up To 2Mbps. 
  • User Profile "Siswa", yang akan mempunyai limitasi bandwidth share Up To 1Mbps.

Setting User Profile "Guru"
Kita set/buat User Profile untuk username untuk "Guru" yang nantinya mempunyai limitasi bandwidth maksimal 2Mbps untuk semua "Guru". Dan hanya menggunakan 1 username (Shared User)

Setting User Profile "Guru"


Setting User Profile "Siswa"
Kita set/buat User Profile untuk username untuk "Siswa" yang nantinya mempunyai limitasi bandwidth maksimal 1Mbps untuk semua "Siswa". Dan hanya menggunakan 1 username (Shared User)

Setting User Profile "Siswa"


Terlihat saya set parameter pada opsi "Incoming-Packet-Mark & Outgoing-Packet-Mark" karena pada contoh ini akan menggunakan Queue Tree untuk manajemen bandwidth hotspot dengan packet-mark yang dibuat otomatis oleh Hotspot-User Profile.

Marking paket yang otomatis oleh User-Profile diperlukan mangle dengan action=jump ke chain=hotspot agar tehnik ini dapat berjalan. Karena packet-mark yang dibuat otomatis oleh Hotspot-User Profile berada pada chain=hotspot.

action=jump ke chain=hotspot

action=jump ke chain=hotspot

Jika ada User Hotspot yang Login maka akan terdapat otomatis rule mangle mark-packet baru yang ditambahkan oleh User-Profile yang sudah kita buat sebelumnya.

mangle packet user hotspot

Dengan mangle tersebut bisa kita terapkan manajemen bandwidth menggunakan Queue Tree. Disini kita akan membuat bandwidth share /upto per group client hotspotnya.


Manajemen Bandwidth 

Pada step ini kita akan set manajemen bandwidth hotspot mikrotik menggunakan queue tree. Step pertama kita tentukan parent Total Bandwidth Download & Uploadnya.

parent Total Bandwidth Download & Upload

Kemudian kita buat Child Parent untuk "Guru", dengan limitasi maksimal download 2mbps dan upload 256kbps untuk group semua user guru.


Child Parent untuk "Guru"

Terakhir kita buat Child Parent untuk "Siswa" dengan limitasi maksimal download 1mbps dan upload 256kbps untuk group semua user siswa.

Child Parent untuk "Siswa"

Hasilnya akan menjadi seperti ini :

Manajemen Bandwidth User Hotspot Mikrotik Dengan Queue Tree
...

Mengaktifkan Beberapa Sessions Remote Desktop di Windows XP, Vista, 7

Concurrent sessions adalah fitur edisi Server di Windows yang berfungsi remote login lebih dari 1 user dan menggunakan komputer bersamaan. Defaultnya di Windows XP, Vista, 7 jika Anda konek remote menggunakan Remote Desktop akan menutup/logoff paksa user yang sedang menggunakan komputer secara fisik.

Pada artikel ini saya akan mencontohkan bagaimana konek Remote Desktop di Windows XP, Vista, 7 tanpa me logoff user yang sedang aktif, dan 2 user bisa menggunakan komputer yang sama berbarengan di waktu yang sama.

Kapan Anda perlu ini ?

Contoh jika anda IT Support yang ingin troubleshot, konfigurasi, install software dll ke komputer user tanpa mengganggu aktifitas user yang sedang di depan komputer tersebut. Atau remote komputer tanpa terlihat aktifitas kita di layar komputer user, misalnya seperti menggunakan teamviewer.

1)  Download the Universal Termsrv.dll Patch.

2) Pilih patcher sesuai versi Windows Anda (32/64 bit).

Untuk 32bit (x86) pilih UniversalTermsrvPatch-x86.exe
Untuk 64bit (x64) pilih UniversalTermsrvPatch-x64.exe

3) Klik kanan file exe tersebut, pilih Run as Administrator.

Enabling Multiple Remote Desktop Sessions in Windows XP , 7

4) Setelah di patch, klik 2x pada file registry (pilih: xp.reg / vista.reg). Dan restart komputer Anda.

File aslinya akan otomatis di backup di folder \windows\system32\termsrv.dll.backup. Anda tinggal mengaktifkan Remote Desktop dan membuat Remote User.

Cara Mengaktifkan Remote Desktop di Windows XP 


  • Klik kanan My Computer dan pilih Properties.
  • Klik tab Remote.
  • Centang “Allow users to connect remotely to this computer
  • Click OK. 
  • Buat User Account Baru yang digunakan untuk konek remote desktop. 




...