KUMPULAN SOAL ASAH OTAK
(MIKROTIK)
Sumber: Groups www.IlmuJaringan.Com (IJC)
Alamat Groups:
https://www.facebook.com/groups/216324701763150/
Website:
http://www.ilmujaringan.com
Pengasuh Groups:
Nama : Rendra Towidjojo
Pengepul Materi:
Nama : Hari Sudibyo
Blog : http://sohibuna.blogspot.com
SOAL LATIHAN (ASAH OTAK)
Kasus (SOAL):
Saya punya LAN, isinya ada 5 unit komputer dengan IP Address 10.10.10.1 s/d 10.10.10.5.
Terhubung ke Internet melalui Router MikroTik yang menjalankan transparent proxy (Internal
Proxy).
Pertanyaan :
Bagaimanakah konfigurasi Access di Proxy MikroTik, jika yang diinginkan adalah :
- Client 10.10.10.1 dan 10.10.10.2 hanya bisa mengakses Yahoo Mail, Google Mail (tidak bisa
mengakses situs2 yang lain)
- Client 10.10.10.3 s/d 10.10.10.5 bisa mengakses semua situs di Internet...
Jawaban:
ip proxy access add src-address=10.10.10.1-10.10.10.2 dst-host=mail.google.com action=allow
ip proxy access add src-address=10.10.10.1-10.10.10.2 dst-host=mail.yahoo.com action=allow
ip proxy access add src-address=10.10.10.3-10.10.10.5 action=allow
ip proxy access add src-address=0.0.0.0/0 action=deny
Kasus (SOAL):
Saya punya LAN 4 unit komputer dengan IP Address 10.10.10.1 s/d 10.10.10.4. Terhubung ke
router Mikrotik di ether2 dengan IP Address 10.10.10.254. Router MikroTik ini terhubung ke
sebuah ISP melalui ether1. Di ether1 terkonfigurasi 2 IP Address publik, masing-masing 60.1.1.2/28
dan 60.1.1.3/28.
Pertanyaan:
Bagaimanakah konfigurasi firewall (NAT) jika diinginkan Client-1 dan Client-2 ber-Internet dengan
menggunakan IP Publik 60.1.1.2 sedangkan Client-3 dan Client-4 ber-Internet dengan
menggunakan IP Publik 60.1.1.3.
Jawaban:
/ip firewall nat add chain=srcnat src-address=10.10.10.1-10.10.10.2 out-interface=ether1
action=srcnat to-address=60.1.1.2
/ip firewall nat add chain=srcnat src-address=10.10.10.3-10.10.10.4 out-interface=ether1
action=srcnat to-address=60.1.1.3
Kasus (SOAL):
Secara default LAN akan menggunakan external proxy di 10.10.30.2, bagaimanakah konfigurasi
yang harus dilakukan sehingga jika tiba2 10.10.30.2 timeout....semua traffic web akan dialihkan ke
internal proxy.... gunakan semua fitur MikroTik yang anda ketahui...
Jawaban:
berikut adalah konf utk dnat:
-----[ start of dnat ]-----
ip fire nat add chain=dstnat src-address=10.10.10.0/24 protocol=tcp dst-port=80 action=dst-nat toaddresses=
10.10.30.2 to-ports=8080 comment="ext-proxy"
ip fire nat add chain=dstnat src-address=10.10.10.0/24 protocol=tcp dst-port=80 action=dst-nat toaddresses=
10.10.30.1 to-ports=8080 comment="int-proxy"
-----[ end of dnat ]-----
berikut adalah konf utk netwatch:
-----[ start of netwatch ]-----
tool netwatch add host=10.10.30.2 timeout=1s interval=5s up-script="/ip fire nat ena [find
comment=ext-proxy]" down-script="/ip fire nat dis [find comment=ext-proxy]" comment="aktifkan
ext-proxy"
tool netwatch add host=10.10.30.2 timeout=1s interval=5s up-script="/ip fire nat dis [find
comment=int-proxy]" down-script="/ip fire nat ena [find comment=int-proxy]" comment="aktifkan
int-proxy"
-----[ end of netwatch ]-----
Ulasan:
kepancing juga dengan Fetch-nya, pengecekan dengan netwatch kan untk cek L3, kalo proxy mati
artinya harus cek L7, sengaja kami sisipkan kata2 "timeout" hanya untuk membatasi pengecekan di
L3, jika pengecekan L3 sdh mantab, tinggal sentil sedikit utk naik ke L7.
inti dari pemeceahan ini, kalo ext proxy down (timeout saja), hidupkan firewall nat untuk redirect
ke internal proxy, kalo proxy ext up lagi, hidupkan firewall nat dengan dst-nat ke 10.10.30.2 port
8080 sembari menonaktifkan baris konfigurasi nat yang meredirect ke int. proxy
Kasus (SOAL):
Jika diinginkan Router MikroTik akan memberikan respon timeout jika di ping pada ether1, ether2
dan ether3. Namun Router MikroTik dapat melakukan ping kemana saja, maka konfigurasi yang
perlu dilakukan adalah....
Jawaban:
/ip firewall filter add chain=input protocol=icmp connection-state=established action=accept
/ip firewall filter add chain=input protocol=icmp action=drop
Ulasan:
Baris pertama akan memberikan akses bagi paket ICMP yang status koneksinya established
(koneksi yang telah dibangun sebelumnya; bukan koneksi permulaan; dalam hal ini berarti ICMP
reply) untuk masuk ke router MTik. Baris kedua akan men-drop semua paket ICMP yang masuk ke
router MTik.
Berdasarkan susunanx, 2 baris konfigurasi di atas dapat dibaca: Selain paket ping yang telah
dibangun sebelumnya (selain ICMP reply), akan di drop oleh router.
Jadi jika ada paket ping request, paket tsebut akan dieksekusi oleh baris ke-2 karna merupakan
sebuah koneksi baru. Namun jika router melakukan ping dan di balas (ICMP reply), firewall akan
mengeksekusi paket balasan tsebut pada baris 1.
Kasus (SOAL):
Tugas sederhananya adalah membuat Web Server dapat diakses dari Internet melewati 3 buah
Router+NAT. Mgkn jarang ada yg nemu kasus sprt ini, tapi untuk antisipasi saja :)
Jawaban pertama:
tanpa router kira2 seperti ini, dengan asumsi interface wan masing2 router pada ether1 dan
webservernya menggunakan port=80
[Router-1]
add chain=dstnat in-interface=ether1 protocol=tcp dst-port=80
action=dst-nat to-addresses=10.1.1.2 to-ports=80
[Router-2]
add chain=dstnat in-interface=ether1 protocol=tcp dst-port=80
action=dst-nat to-addresses=10.1.2.2 to-ports=80
[Router-3]
add chain=dstnat in-interface=ether1 protocol=tcp dst-port=80
action=dst-nat to-addresses=10.1.3.2 to-ports=80
ketika mengakses ke webserver ke alamat ip tujuan router meneruskan paket ke ip berikutnya dan
menggantikan alamat tujuan, jika sampai pada web server akan menjawab permintaan dengan ip
dan alamat tujuan sebaliknya.
Jawaban kedua:
/ip firewall nat add chain=dstnat dst-address=60.1.1.2 in-interface=WAN protocol=tcp port=80,443
action=dst-nat to-address=10.3.3.2
WAN=interface yang ke internet...
Ulasan:
Yang efisien adalah jawaban pertama, tapi itu menyalahi soal, si pembuat soal bisa tidak terima dan
untuk jawaban yang kedua sesuai permintaan soal karena di setiap router katanya ada NAT, tapi
nggak efisien... nge-NAT berulang kali, jika ada perubahan IP Address...bisa runyam
Kasus (SOAL):
Bagaimana analisa, desain, dan konfigurasi yang tepat menurut rekans agar:
1) R3 dapat diakses dari Internet menggunakan Winbox maupun SSH
2) Namun R1 & R2 tetap dapat diakses melalui winbox dan SSH.
Semua router dapat saling terhubung secara lokal dan juga ke internet (Sudah Terouting dengan
baik). Mohon bantuan analisa, desain dan konfigurasinya rekans. Trims...
Jawaban:
Karena secara internal semua router dapat saling terhubung dua arah, maka forwarding hanya
dilakukan di R1 saja.
-----[ start ]-----
ip firewall nat add chain=dstnat protocol=tcp dst-port=2001 action=dst-nat to-addresses=10.10.10.2
to-ports=8291 comment="Remote-Winbox-R2"
ip firewall nat add chain=dstnat protocol=tcp dst-port=2002 action=dst-nat to-addresses=10.10.10.2
to-ports=22 comment="Remote-SSH-R2"
ip firewall nat add chain=dstnat protocol=tcp dst-port=2003 action=dst-nat to-addresses=10.10.10.6
to-ports=8291 comment="Remote-Winbox-R3"
ip firewall nat add chain=dstnat protocol=tcp dst-port=2004 action=dst-nat to-addresses=10.10.10.6
to-ports=22 comment="Remote-SSH-R3"
-----[ end ]-----
Klo ngecek dari Internet (mis: pke nmap), pada R1 akan terbuka port baru bernomor 2001, 2002,
2003, dan 2004 (port itu otomatis akan aktif ketika R1 mendeteksi service2 yg dituju di mesin
tujuan aktif).
NB:
untuk remote Winbox R2 dan R3 dari Winbox Client ada perlakuan khusus, di sisi client harus
diakali Winbox Clientnya (paten baca port 8291) dgn cara memforward permintaan Winbox Client
ke Port 2001 dan 2003, caranya bisa pasang Mikrotik (utk memforward) di Virtual Machine pada
Lokal Kompi yg melakukan remote, atau mgkn ada cara yg lebih simple mgkn...???
Tambahan:
[admin@main-gw] > ip service print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 telnet 23 0.0.0.0/0
1 ftp 21 0.0.0.0/0
2 www 80 0.0.0.0/0
3 ssh 22 0.0.0.0/0
4 X www-ssl 443 0.0.0.0/0 none
5 X api 8728 0.0.0.0/0
6 winbox 8291 0.0.0.0/0
[admin@main-gw] > ip service set 6 port=9999
Kasus (SOAL):
tugasnya adalah menghubungkan antar Router (dua arah) dan setiap Router jg dapat terkoneksi ke
Internet. prioritas menggunakan routing statis, jika ingin dicantumin routing dinamisnya lebih baik
lg :)
Jawaban:
===R1===
/ip address add address=60.1.1.2/30 interface=ether1
/ip address add address=10.10.10.1/30 interface=ether2
/ip route add dst-address=0.0.0.0/0 gateway=60.1.1.1
/ip route add dst-address=10.10.10.4/30 gateway=10.10.10.2
/ip dns set servers=8.8.8.8,8.8.4.4 allow-remote-request=yes
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
===R2===
/ip address add address=10.10.10.2/30 interface=ether1
/ip address add address=10.10.10.5/30 interface=ether2
/ip route add dst-address=0.0.0.0/0 gateway=10.10.10.1
/ip dns set servers=10.10.10.1,8.8.8.8
===R3===
/ip address add address=10.10.10.6/30 interface=ether1
/ip route add dst-address=0.0.0.0/0 gateway=10.10.10.5
/ip dns set servers=10.10.10.1,8.8.8.8
PS. Ether1=interface yang menuju ke internet,
ether2=interface yang menuju jaringan lokal.
Kasus (SOAL):
Untuk terkoneksi ke Internet, R2 dapat menggunakan R1 maupun R2 sebagai gateway. Konfigurasi
default gateway apa yang harus dilakukan jika dalam kondisi normal gateway yang digunakan
hanyalah R1. Jika R1 "down" maka R3 akan mengalihkan koneksi ke R2, Asumsi konfigurasi R1
dan R2 sudah selesai, baik defaut gateway, DNS maupun NAT.
Ralat soal: "Untuk terkoneksi ke Internet, R3 dapat menggunakan R1 maupun R2"
Jawaban:
Karena di R2 ada keterangan redundant berarti defaultnya ke R1, yang digunakan dynamic routing
atau static, menggunakan distance ato linkstate? Kalo saya pake static berarti saya coba
menggunakan distance
--===Router-3===--
/ip route add gateway=10.10.10.1 distance=1
/ip route add gateway=10.10.10.5 distance=2
Dengan acuan bahwa router 3 melakukan ping ke router 1 jika terjadi RTO ke 10.10.10.1 maka
Router 3 akan melakukan fail-over ke 10.10.10.5
Kasus (SOAL):
Tampilkan log web proxy lengkap dgn info komputer pengakses dan web yg diakses. sbg
clue...gambar terlampir :)
Jawaban:
system logging add topics=web-proxy,account action=disk
0 komentar:
Posting Komentar