TikAPP - Konfigurasi MikroTik melalui Android Apps

TikAPP - Konfigurasi MikroTik melalui Android Apps

TikAPP - Konfigurasi MikroTik melalui Android Apps


Ada beberapa cara yang bisa kita gunakan untuk remote access router mikrotik. Diantaranya yang sering digunakan dengan berbasis GUI seperti Winbox dan Webfig. Selain kedua aplikasi tersebut belakangan ini MikroTik juga mengembangkan aplikasi yang berbasis Android.
Aplikasi ini disebut 'TikAPP', walaupun belum resmi di-release namun aplikasi ini sudah terdaftar di 'Play-Store'. Kita bisa menginstallnya secara Free (Gratis) dan mencobanya apakah dengan aplikasi tersebut lebih mudah digunakan untuk remote access menggunakan smartphone. 
 
Sebenarnya jika kebutuhannya hanya untuk remote Mikrotik dengan Gadget kita bisa gunakan Webfig. Namun karena harus menggunakan web-browser, pada gadget dengan ukuran layar kecil, tombol menu menjadi sulit diakses. 

Tampilan Awal 
Setelah coba install dan menjalankan TikApp, dari segi fungsi dan cara remote awal tidak jauh berbeda dengan WInbox, dimana kita bisa isikan IP Router Mikrotik yang akan kita remote, atau gunakan Discover untuk cek Router Mikrotik yang masih satu segment dengan Gadget kita. Bedanya TikApp tidak menyediakan remote menggunakan MAC Address.
 

Menu Utama
Menu Utama yang ditampilkan di sebelah kiri pada Winbox dan Webfig juga dapat kita temui di TikApp dengan posisi yang sama. Jika dibandingkan dengan Webfig, tombol menu pada TikApp lebih mudah di akses (sentuh) dengan ukuran yang lebih besar tanpa harus zoom in. 
     
Selain menu yang lebih mudah diakses, TikApp juga menawarkan icon-icon tampilan yang lebih menarik, berbeda dengan Winbox maupun Webfig. Sebagai contoh misalnya tampilan indikator Simple Queue
 
Walaupun secara garis besar tidak jauh berbeda dengan Winbox ataupun Webfig, TikApp tidak menyediakan menu QuickSet dan New Terminal. QuickSet biasa digunakan untuk melakukan konfigurasi awal secara cepat dimana Router belum memiliki konfigurasi sama sekali, dengan kata lain harus remote via MAC Address, sedangkan TikApp tidak bisa digunakan untuk remote via MAC Address. 
Sedangkan untuk NewTerminal, beberapa tool yang biasa dilakukan pada NewTerminal hanya bisa dilakukan via menu Tool, misalnya PING. Untuk melakukan start hanya perlu klik pada Play Button sebelah kanan. 
 
Secara resmi aplikasi ini memang belum benar-benar di-rilis. Mungkin masih ada beberapa 'bug' di system yang perlu diperbaiki. Namun, aplikasi ini bisa dicoba sebagai alternatif akses dari perangkat Android. Secara umum untuk fungsi pada aplikasi TikApp sudah dapat berjalan dengan baik.
Sumber: www.sahoobi.com

IPsec Tunnel dengan IKEv2

IPsec Tunnel dengan IKEv2


IPsec Tunnel dengan IKEv2


Salah satu service VPN yang sering digunakan adalah IPSec. Dengan menggunakan IPsec Tunnel kita bisa mengamankan koneksi dari jaringan kita melalui internet dengan metode keamanan yang fleksibel. Dalam IPSec kita mengenal istilah Internet Key Exchange (IKE) yang mana merupakan sebuah protokol pada IPSec yang mempunyai peran cukup penting.
Dengan IKE ini koneksi/link dari IPSec Tunnel (dari sisi Initiator dan Responder) terbentuk. Secara umum IKE ini memiliki fungsi sebagai mekanisme 'Key Exchange' dimana sebelum terbentuk sebuah IPSec tunnel maka akan dilakukan peering dengan melakukan negosiasi metode keamanan yang digunakan di sisi initiator maupun responder. 
Untuk menjalankan fungsinya IKE ini menggunakan protokol UDP dan Port 500. Dan saat ini telah dikembangkan sebuah IKE versi baru yaitu IKE2. Ada beberapa perbedaan antara IKEv1 dan IKEv2 ini, diantaranya adalah sebagai berikut:
 Features
 IKEv1
 IKEv2
 Exchanges Mode 
 - Main Mode
 - Aggressive Mode 
 - Only One IKE2 
 Exchanged Messages 
 - Main Mode (9 Messages)
 - Aggressive Mode (6 Messages) 
 - 4 messages 
 Authentication Methodes 
 - Pre-Shared-Key (PSK)
 - Digital Signature (RSA-Sig)
 - Public Key Encryption 
 - Pres-Shared-Key (PSK)
 - Digital Signature (RSA-Sig) 
Anti-DoS - Not Effective - Effective 
Lalu, bagaimana IKEv2 pada MikroTik? Di MikroTik sendiri sudah ditambahkan IKEv2 pada fitur IPSec mulai versi RouterOS v6.38.1. Jadi jika kita ingin mengggunakan IKEv2 pada IPSec, maka kita harus upgrade router kita minimal ke versi tersebut. 
Contoh Konfigurasi
Selanjutnya kita akan mencoba melakukan konfigurasi IPSec Tunnel di MikroTik menggunakan IKEv2. Untuk topologinya nanti ada sebuah jaringan LAN dibawah router MikroTik dan ada beberapa perangkat end-user di jaringan internet yang terkoneksi ke jaringan LAN menggunakan IPSec Tunnel.
 
Dengan kebutuhan diatas kita akan konfigurasi terlebih dahulu pada sisi router MikroTik dan mengaktifkan IPSec + IKE2. Kemudian kita menggunakan Digital Signature (RSA-Sig) dengan sertifikat SSL/TLS untuk authentikasinya. Untuk sertifikatnya sendiri bisa kita buat secara langsung pada router MikroTik dengan fitur 'Certificates'. Pembuatan sertifikat bisa 
 /certificate 
add common-name=ca name=ca 
sign ca ca-crl-host=192.168.128.105 
add common-name=192.168.128.105 subject-alt-name=IP:192.168.128.105 key-usage=tls-server name=server1 
sign server1 ca=ca 
add common-name=client1 key-usage=tls-client name=client1 
sign client1 ca=ca

Dengan script diatas akan membuat 3 file di menu 'certificate' yaitu CA, Server1, Client1.
Selanjutnya kita akan export file dari menu 'Certficates' yaitu CA dan Client1 ke masing-masing perangkat end-user. Ketika di-export nanti akan terdapat 4 file yaitu CA.crt, CA.key, Client1.crt, Client1.key.
Kemudian sebelum ditambahkan ke masing-masing perangkat end-user kita akan 'convert' 3 file yaitu CA.crt, Client1.crt, Client1.key menjadi sebuah file dengan format pkcs12. Hal ini dilakukan karena perangkat client smartphone, PC/Laptop dengan OS Windows tidak bisa menambahkan sertifikat secara terpisah. Adapun cara 'convert' file tersebut bisa dilakukan dengan aplikasi OpenSSL. Berikut scriptnya:
 openssl pkcs12 -export -out FileKonvert.pfx -inkey client1.key -in client1.crt -certfile ca.crt

Dengan script diatas nanti akan menghasilkan sebuah file dengan nama FileKonvert.pfx
Konfigurasi Router
Kita akan membuat terlebih dahulu sebuah 'Pool IP' yang nantinya digunakan untuk alokasi IP Address di sisi End-User ketika sudah terkoneksi ke IPSec Tunnel.
 
Kemudian kita setting di menu IPSec. Masuk ke menu IP --> IPSec dan setting pada tab 'Mode Configs'. Berikut parameter yang perlu dikonfigurasi.
 
Selanjutnya kita juga konfigurasi di Tab 'Peers'. Disini nanti kita akan mengaktifkan IPSec dengan menggunakan IKE2. Selain itu ada beberapa parameter pendukung yang juga kita setting. Berikut contoh konfigurasinya:
Dan sampai sini langkah konfigurasi di sisi router.
Konfigurasi Perangkat END-USER
Langkah selanjutnya kita harus konfigurasi juga disisi perangkat end-user. Untuk konfigurasi di sisi end user yang paling penting adalah menambahkan sertifikat yang sudah kita buat sebelumnya ke masing-masing perangkat dengan menambahkan FileKonvert.pfx
Windows OS
Untuk penambahan sertifikat pada WindowsOS adalah seperti berikut:
Kita buka pada Microsoft Management Console (MMC). Selanjutnya tekan 'Ctrl+M' dan tambahkan 'Certificates' yang terdapat pada list 'Available Snap-Ins' ke 'Selected Snap-Ins'. Pilih 'Computer account' dan selanjutnya pilih opsi 'Local Computer'. Hasilnya akan seperti tampilan dibawah ini. 
Android OS
Untuk PC/Laptop sudah kita konfigurasi seperti diatas. Selanjutnya kita akan konfigurasi client yang menggunakan perangkat Smartphone Android. Disini kita juga harus menambhakan sertifikat melalui FileKonvert.pfx yang nantinya secara otomatis akan di 'Extract' dan terinstall di system Android.
Supaya dapat terkoneksi IPSec Tunnel dengan IKE2 maka kita akan meng-install aplikasi android yaitu StrongSwan. Kemudian kita akan setting pada StrongSwan seperti berikut:
 
Test Koneksi
Setelah selesai konfigurasi seperti diatas kita akan test koneksinya, apakah bisa tersambung dengan baik atau tidak. Jika tersambung maka di sis Router MikroTik pada menu IP Sec akan muncul 'Policy' secara dinamis. dan pada Tab 'Installed SAs' juga terdapat informasi enkripsi yang digunakan.
 

Sumber: sahoobi.com
CSS326-24G-2S+RM Smart Switch baru dengan SwOS

CSS326-24G-2S+RM Smart Switch baru dengan SwOS

CSS326-24G-2S+RM Smart Switch baru dengan SwOS


Produk baru hadir ditengah keluarga Switch Mikrotik. Beberapa waktu yang lalu Mikrotik(dot)com merilis produk CSS326-24G-2S+RM. CSS disini bukan merupakan kependekan dari Cascading Style Sheet yang biasa digunakan untuk menghias halaman di pemrograman, tetapi CSS disini merupakan kependekan Cloud Smart Switch. 

CSS326-24G-2S+RM
Jika menyinggung SwOS ingatan kita akan kembali kepada produk Switch Mikrotik terdahulu yaitu RB260GS dan RB260GSP. Namun tentu ada yang baru pada produk baru CSS326-24G-2S+RM. 
Yang jelas terlihat adalah dari segi hardware, dimana CSS326-24G-2S+RM memiliki interface lebih banyak sehingga akan lebih flexible saat diimplementasikan pada jaringan. Memiliki 24 Port Gigabit dan 2 SFP+ (10G) yang juga support untuk SFP 1G. Dengan casing 1U Rackmount sehingga dapat  dengan mudah dipasang pada Rack Server. 
Dari segi software, CSS326-24G-2S+RM menggunakan versi SwOS yang baru yakni SwOS versi 2.0 dengan fitur baru di dalamnya. Format software juga berbeda, jika pada seri produk switch RB260 menggunakan SwOS dengan extensi file .lzb, CSS series ini menggunakan SwOS dengan extensi file .bin. Oleh sebab itu, CSS tidak bisa downgrade ke firmware / SwOS versi sebelumnya, berlaku juga untuk RB260 keluaran lama tidak dapat diupgrade untuk menggunakan SwOS versi baru. 
Penggunaan SwOS versi baru ini juga membara fitur baru pada CSS326-24G-2S+RM ini antara lain Port Isolation dan RSTP.  
Port Isolation 
Merupakan fitur baru pada SwOS yang dapat digunakan untuk membatasi komunikasi dari client yang berada di port tertentu, sehingga tidak dapat berkomunikasi dengan port lain baik via layer 2 maupun layer3. Secara default semua port di CSS ini bisa saling komunikasi, tetapi untuk meningkatkan keamanan kita dapat mengaktifkan Port Isolation pada ethernet tertentu.
Sebagai contoh, terdapat topologi jaringan seperti gambar di bawah. Administrator jaringan mengingingkan agar antar client CSS tidak dapat berkomunikasi untuk menghindari MAC Scanning, NetCut, Port Scanning, dsb. 
Topologi Port Isolation pada CSS 
Konfigurasi 
Langkah konfigurasinya cukup mudah.  Pertama remote CSS326-24G-2S+RM dengan menggunakan web browser dengan IP Default:192.168.88.1 username:admin tanpa password. Jangan lupa ubah IP Address PC dengan IP yang satu subnet 192.168.88.0/24. Langkah ini sama ketika remote config RB260 series. 
Kemudian masuk ke tab Port Isolation, hilangkan tanda centang (uncheck) pada port yang diinginkan . 
Konfigurasi Port Isolation pada CSS 
Setiap kotak di setiap baris mewakili interface fisik pada CSS326-24G-2S+RM. Kotak paling kiri mewakili ether1 dan terurut sampai paling kanan untuk SFP2 dengan total 26 kotak / interface. 
Sebagai contoh admin menginginkan agar client yang terhubung ke ether2 tidak dapat berkomunikasi ke Client di ether3, maka pada parameter From Port2 hilangkan centang (uncheck) pada kotak ke-3 dari kiri. Dengan konfigurasi seperti gambar di atas, client di ether2 masih dapat berkomunikasi dengan perangkat yang terkoneksi ke ether1, ether4, ether5, ether6 dan ether7. 
Jika dilakukan test antar Router di bawah CSS, hasilnya tidak bisa lagi berkomunikasi baik menggunakan IP Address (layer3) maupun MAC address (layer2). Test layer 3 dilakukan dengan Ping IP Address antar perangkat dibawah CSS. Sedangkan test komunikasi layer 2 dengan melihat Neighbors dari perangkat yang berada di bawah CSS atau bisa juga menggunakan aplikasi semacam MAC Scaner jika menggunakan PC. 
hasil ping 1
hasil ping 2
MAC1
MAC2
Dengan menggunakan fitur Port Isolation ini, kita bisa membuat jaringan dibawah CSS lebih aman dari serangan seperti NetCut, MAC Scaning,dsb untuk menyerang client lain. Perangkat dibawah CSS hanya mampu berkomunikasi ke atas atau hanya ke arah router Gateway dan Internet. 
RSTP 

Satu fitur yang mungkin sangat dinanti terutama bagi pengguna switch RB260 sebelumnya. Saat ini RSTP hadir pada SwOS 2.0 yang ada pada CSS326-24G-2S+RM. Secara default RSTP di setiap Port sudah aktif, namun bisa dimatikan jika memang tidak diperlukan. 

rstp 

Cara konfigurasinya hanya dengan meng-uncheck parameter RSTP pada port yang tidak membutuhkan fitur RSTP. Sesuaikan dengan kebutuhan yang ada di jaringan Anda. 

Selain kedua fitur baru tersebut CSS326-24G-2S+RM juga tetap mengusung fitur-fitur khas SwOS yang sebelumnya telah ada pada RB260 series, sehingga cara konfigurasinya pun secara garis besar sama. 

Sumber: sahoobi.com
Implementasi VLAN dengan MikroBits PICO

Implementasi VLAN dengan MikroBits PICO


Implementasi VLAN dengan MikroBits PICO


Sebagai sebuah produk Switch Manageable yang lengkap, MikroBits PICO juga dilengkapi fitur untuk dapat me-manage distribusi VLAN. Ada 2 metode VLAN yang dapat diterapkan pada MiroBits PICO yaitu Port Based VLAN dan Tag Based VLAN.
Untuk artikel kali ini kita akan mencoba melakukan konfigurasi VLAN pada MikroBits PICO dengan metode Tag Based VLAN.
Topologi 
 
Dari gambar topologi diatas pada ether10 Router Utama terdapat 2 buah Vlan, yakni Vlan1 (Vlan-Id=50) dan Vlan2 (Vlan-Id=150). Kedua informasi VLAN ini akan diteruskan ke MikroBits Switch Pico dengan menghubungkan Ether10 Router ke ether9 Switch.
Pada MikroBits Pico masing-masing Vlan akan didistribusikan ke interface yang berbeda. Vlan1 (Vlan-Id=50) akan didistribusikan ke ether3 dan Vlan2 (Vlan-Id=150) akan diakses melalui ether2.
Konfigurasi Tag Based VLAN di MikroBits PICO
Remote MikroBits Pico dengan menggunakan web browser pada PC, jika lupa cara melakukan remote, silakan lihat kembali artikel Review MikroBits Pico. Pengaturan VLAN di MikroBits PICO dapat dilakukan pada menu VLAN Settings. 
 
Secara default untuk mode VLAN di mikroBits PICO menggunakan Port Based. Untuk implementasi Tag Based VLAN kita bisa mengganti pada sub-menu VLAN Mode dengan klik tombol Change VLAN Mode. Secara otomatis VLAN Mode akan berubah ke mode Tag Based VLAN.
Konfigurasi pertama yang dilakukan adalah menentukan 'Tag Mode' pada interface MikroBits PICO yang akan digunakan untuk distribusi VLAN. Seperti topologi diatas kita akan menggunakan Port 9 sebagai Tag Port (Trunk) ke Router sedangkan Port2 dan Port3 sebagai UnTag-Port (Access) untuk distribusi ke arah Client.
  
Untuk kebutuhan tersebut maka pada 'Tag Mode' di MikroBits PICO, opsi pada Port 9 kita pilih 'Add Tag', sedangkan Port2 dan Port3 kita pilih 'Remove Tag'. Jika sudah klik tombol 'Update'. 
Setelah kita konfigurasi di sub-menu VLAN Mode, langkah selanjutnya kita akan konfigurasi di sub-menu VLAN MemberDisini kita akan lebih banyak mengatur VID (VLAN-ID) untuk melakukan distribusi yang sesuai dengan pengaturan VLAN di Router. Terlebih dahulu kita definisikan VLAN-ID yang akan dilewatkan pada MikroBits Pico. 
 
Seperti pada gambar topologi ada 2 VLAN-ID yang akan di teruskan yaitu VLAN 150 dan VLAN 50. Pada parameter 'VID' kita tambahkan satu per satu kedua VLAN-ID tersebut. Setelah menambahkan masing-masing VLAN-ID kita juga harus melakukan konfigurasi 'VLAN Member'.
  
Vlan Member untuk VID 50 
  
VLAN Member untuk VID 150
Dengan konfigurasi tersebut, semua perangkat yang terkoneksi ke Ether2 dan ether3 MikroBtis Pico berada pada subnet / segment IP dan juga service yang berbeda. Komunikasi antar keduanya dapat dicapai dengan Routing Layer 3.

Sumber: sahoobi.com
Konfigurasi VLAN pada CSS (Cloud Smart Switch)

Konfigurasi VLAN pada CSS (Cloud Smart Switch)


Konfigurasi VLAN pada CSS (Cloud Smart Switch)


Pada artikel sebelumnya kami telah membuat review untuk produk switch baru Mikrotik yakni CSS326-24G-2S+RM. Secara garis besar CSS326-24G-2S+RM memiliki fitur dan fungsi yang hampir sama dengan RB250GS series sebab keduanya sama-sama menggunakan SwOS. Namun pada CSS326-24G-2S+RM dibekali versi SwOS yang baru dimana di dalamnya juga ditambahkan fitur-fitur baru. Review tersebut bisa dibaca selengkapnya disini 

Seperti yang sudah kita ketahui bahwa SwOS merupakan OS dengan banyak fitur switching di dalamnya, salah satunya SwOS mendukung untuk implementasi VLAN. Walaupun keduanya sama-sama menggunakan SwOS, namun konfigurasi VLAN pada CSS326-24G-2S+RM sedikit berbeda dengan RB250GS. 
Pada RB250GS pengaturan untuk bagaimana VLAN dilewatkan kita harus menentukan Ingress dan Egress policy pada tiap port ethernet yang digunakan. 
 
Detail langkah konfigurasi VLAN pada RB250GS dapat dilihat pada artikel RB250GS sebagai Multi Fungsi Switch 
Pada CSS326-24G-2S+RM parameter tersebut diubah dengan istilah yang lebih simple dengan fungsi yang sama sehingga memudahkan kita saat melakukan konfigurasi. Pengaturan pengelolaan VLAN diubah dengan nama parameter VLAN Receive pada tiap port ether. Terdapat 3 opsi yang bisa kita gunakan yakni AnyOnly-Tagged, dan Only-Untagged
  • Only Tagged - Memfungsikan port ethernet agar dapat menerima/melewatkan trafik dengan multiple VLAN, biasa diterapkan pada trunk-port. 
  • Only Untagged - Diterapkan untuk ethernet ke arah perangkat client/host (access-port) 
  • Any - Secara otomatis sytem akan menentukan untuk menjalankan fungsi Tagged atau Untagged.
Sebagai contoh kasus, terdapat topologi seperti berikut: 

 

CSS326-24G-2S+RM menerima trafik multiple VLAN dari Router melalui Port1 (trunk-port), kemudian setiap VLAN akan didistribusikan ke perangkat client/host melalui Port2, Port3, dan Port 4 sesuai dengan VLAN-ID masing-masing sesuai topologi. 

Langkah pertama kita akan konfigurasi terlebih dahulu pada Tab VLAN. Pada menu ini kita dapat mengaktifkan VLAN-Mode, menentukan policy VLAN-Receive dan Default-VLAN-ID untuk masing-masing port ethernet. 

Agar dapat melewatkan trafik VLAN, ubah VLAN-Mode=enabled pada Port1, Port2, Port3 dan Port4.

 

Ubah VLAN Receive sesuai kebutuhan. Port1 karena berfungsi untuk trunking ke arah Router maka menggunakan VLAN-Receive=Only Tagged, sedangkan untuk Port2, Port3 dan Port4 sebagai Access-Port menggunakan VLAN-Receive=Only-Untagged

Kemudian Default VLAN-ID kita tentukan sesuai fungsi dari masing-masing port. Untuk Port1 sebagai tagged / trunk port kita biarkan default dengan nilai Default-VLAN-ID=1. Sedangkan untuk Port2, Port3, Port4 sebagai Untagged / Access Port kita isikan dengan VLAN-ID sesuai pada topologi. 

Setelah langkah di atas selesai, lanjutkan untuk setting pada Tab VLANS. Pada menu ini kita tentukan VLAN Members, yakni pengaturan untuk setiap VLAN-ID akan diforward pada port ethernet berapa saja. Setiap kotak pada parameter Members mewakili port ethernet fisik, dimulai paling kiri mewakili ether1 terurut hingga paling kanan port26 (SFP). 

 

Sesuai topologi, kita akan melewatkan 3 VLAN-ID yakni VLAN-ID=10, 20 dan 30. Karena port ether1 merupakan trunk-port yang melewatkan semua VLAN-ID, maka port ether1 menjadi Members untuk semua VLAN-ID, sedangkan untuk Port2, Port3 dan Port4 sebagai Access-Port untuk satu VLAN-ID maka sesuaikan hanya sebagai member untuk satu VLAN-ID saja. Sebagai contoh seperti yang terlihat pada gambar, untuk VLAN-ID=10 memiliki port Members port ether1 dan port ether2. Untuk kombinasi VLAN-ID dan port yang lain tinggal disesuaikan. 

Sumber: sahoobi.com