MikroTik : LAB BGP 1 - iBGP Peering (Physical)

 Topologi :

 

Tujuan lab ini adalah menghubungkan kedua router BGP dengan membentuk peering menggunakan IP Address gateway (IP yang terpasang diinterface fisik). Setelah peering terbentuk masing-masing router menadvertise networknya agar dapat diakses dari luar jaringan.

Buat konfigurasi pada masing-masing router :

1. Konfigurasi pada router R1

Konfigurasi interface kemudian konfigurasi IP Address sesuai dengan topologi diatas

/system identity set name=R1 /interface bridge add name=loopback /ip address add address=172.16.12.1/24 interface=ether1 add address=10.0.0.1/32 interface=loopback

Konfigurasi routing BGP :
➤ Konfigurasi BGP instance , set as=12 dan router id menggunakan IP loopback
➤ Advertise network loopback
➤ Konfigurasi BGP peer, set remote-address=(IP gateway) dan remote-as=12

/routing bgp instance set default as=12 router-id=10.0.0.1 /routing bgp network add network=10.0.0.1/32 /routing bgp peer add name=peer1 remote-address=172.16.12.2 remote-as=12

2. Konfigurasi pada router R2

Konfigurasi R2 dengan cara yang sama seperti pada R1, hanya saja pastikan parameternya sesuai dengan topologi diatas.

/system identity set name=R2 /interface bridge add name=loopback /ip address add address=172.16.12.2/24 interface=ether1 add address=10.0.0.2/32 interface=loopback /routing bgp instance set default as=12 router-id=10.0.0.2 /routing bgp network add network=10.0.0.2/32 /routing bgp peer add name=peer1 remote-address=172.16.12.1 remote-as=12

Setelah router-router dikonfigurasi kemudian verifikasi status routing BGP :

➤ Verifikasi bgp peer, pastikan status peering sudah establishment

[admin@R1] > routing bgp peer print detail Flags: X - disabled, E - established  0 E name="peer1" instance=default remote-address=172.16.12.2 remote-as=12        tcp-md5-key="" nexthop-choice=default multihop=no route-reflect=no        hold-time=3m ttl=255 in-filter="" out-filter="" address-families=ip        default-originate=never remove-private-as=no as-override=no passive=no

➤ Verifikasi bahwa router telah mengadvertise networknya. Nantinya network tersebut akan muncul pada tabel routing router R2 (router neighbors).

[admin@R1] > routing bgp advertisements print PEER     PREFIX               NEXTHOP          AS-PATH    ORIGIN     LOCAL-PREF peer1   10.0.0.1/32       172.16.12.1                        igp               100

➤ Verifikasi tabel routing, pastikan terdapat dynamic route dengan destination addressnya network dari router R2 dengan informasi flag ADb (Active Dynamic bgp).

[admin@R1] > ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit  #           DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE  0 ADC   10.0.0.1/32              10.0.0.1              loopback                0  1 ADb   0.0.0.2/32                                     172.16.12.2         200  2 ADC   172.16.12.0/24        172.16.12.1        ether1                    0

➤ Verifikasi konektifitas antar node BGP, lakukan test ping dari R1 ke R2 (Gunakan src-address) :

[admin@R1] > ping 10.0.0.2 src-address=10.0.0.1   SEQ HOST                                     SIZE TTL TIME  STATUS                   0    10.0.0.2                                   56  64    1ms          1    10.0.0.2                                   56  64    1ms       sent=2 received=2 packet-loss=0% min-rtt=1ms avg-rtt=1ms max-rtt=1ms

Apa itu Autonomous System, BGP, Path-vector Algoritma

Autonomous System

Autonomous system adalah kumpulan Internet Protocol (IP), Routing Prefix, router, yang berada dibawah kontrol satu atau lebih operator jaringan, atas nama satu entitas/domain yang memiliki kebijakan routing yang didefinisikan dengan jelas ke internet.

BGP (Border Gateway Protocol)

BGP (Border Gateway Protocol) adalah routing protocol antar autonomous sytem (bertukar informasi routing antar as). Fungsi utama sistem BGP adalah untuk bertukar informasi network yang dapat dijangkau (reacheability) oleh sistem BGP lain, termasuk didalamnya informasi-informasi yang terdapat dalam list autonomous system (AS). 

Ini berbeda dengan distance-vector (RIP) dan network state (OSPF), setiap entry route pada tabel routingnya bersisi network destination, next router dan jalur yang digunakan untuk mencapai destination networknya.

Untuk merutekan packet antar AS intenal, router membutuhkan Interior Gateway Protocol, sementara untuk merutekan packet antar AS lain (ASN berbeda) router membutuhkan Exterior Gateway Protocol. 

Path-vector Algorithma

BGP menggunakan algoritma path-vector, yang mana BGP hanya akan menadvertise jalur yang diperlukan untuk mencapai network tujuan tertentu. Path-vector akan memperbaharui information path secara dinamis. Misalkan router BGP edge memiliki 2 link upstream, dan terjadi pembaharuan information path maka network yang telah diadvertise oleh route BGP edge akan kembali ke lagi ke BGP edge tersebut(loop network), tetapi cukup mudah untuk mendeteksi loop dan melalukan filter.

Untuk saat ini routing protocol yang dapat digunakan untuk menangani network yang sangat besar (Internet Size) hanya lah BGP.

Backup Configuration MikroTik RouterOS

Backup merupakan suatu hal yang sangat penting untuk dilakukan, backup berguna untuk menyimpan salinan konfigurasi ketempat yang lebih aman, dengan backup  konfigurasi kita bisa me restore atau re-applied konfigurasi ke device yang sama atau berbeda.

File backup akan dibutuhkan antara lain ketika :

॰ Router direset konfigurasi

॰ Mengkonfigurasi banyak device router

॰ Kesalahan router atau administrator yang menyebabkan hilangnya data config

MikroTik menyediakan 2 jenis file backup yang berbeda :

॰ File backup dengan ekstensi ".backup" - File tersebut melakukan full backup dan hanya bisa di restore di device yang sama.

॰ File export dengan ekstensi ".rsc" - File tersebut bisa melakukan full backup atau backup partial (backup sebagian konfigurasi), file ini bisa direstore pada device yang sama atau berbeda

* Catatan

File backup berisi informasi sensitif tentang device dan konfigurasi, maka kita  harus selalu mempertimbangkan encrypsi file backup tersebut, dan menempatkan file backup ditempat yang aman.

1.0 Backup File (.backup)

File backup ini diperuntukan untuk direstore pada router yang sama dimana file tersebut dibuat, bisa direstore dirouter lain dengan catatan nama/nomor model harus sama.File ini membackup seluruh konfigurasi termasuk username & password.

Membuat file backup bisa menggunakan GUI atau CLI, detail langkahnya simak lab dibawah ini :

॰ Pergi ke Files > Backup,

    - Don't Encrypt - Default:no, *catatan pada RouterOS v6.43 +tidak akan menyediakan password untuk file backup ketika file tidak dienkripsi (Don't Encrypt:yes)

    - File backup tanpa password, Don't Encryp;no, akan tetap melakukan enceypsi terhadap file backup, tetapi masih ada informasi yang masih bisa dilihat

Use the text editor for open file

    - File backup dengan password, Don't Encryp:no, akan melakukan full encrypsi, hampir tidak ada sama sekali informasi yang bisa dibaca oleh manusia.

/ system backup save name=(your backup name) password=(your password)

॰ Untuk melihat file backup yang disimpan, File >

/ file print

॰ Setelah itu, download file pastikan tempatkan file ke tempat yang penyimpanan yang aman

॰ Kemudian untuk verifikasi file backup,

    ॰ Reset configuration

    ॰ Upload file or Ftp file or drag & drop file to router

    ॰ Restore file backup

/ system backup load name=pahrial.backup password=(your password)

॰ otomatis reboot

॰ dan ketika login gunakan username & password sebelumnya, bukan default user & password

2.0 Export File (.rsc)

File ini hanya bisa dibuat dibuat di CLI, file ini cocok untuk diterapkan dirouteros lain, walaupun berbeda model.

Secara default perintah export hanya akan menampilkan kumpulan perintah konfigurasi pada terminal. Tetapi kumpulan perintah yang ditampilkan perintah export juda bisa disimpan dalam bentuk file dengan menambahkan parameter "file". Pada routeros v5.12 keatas memiliki fitur menarik di fitur export/import, yaitu "compact". Dengan fungsi compact, maka hanya konfigurasi yang ditambahkan secara manual yang ditampilkan atau disimpan.

/ export compact file=(your backup name)

Untuk melihat file yang disimpan

/ file print

Untuk re-applied atau restore file backup

/ import file-name=(your backup name)

Jika dilihat menggunakan text editor isi filenya berisi seperti berikut :

Membuat export partial

/ interface wireless export compact file=(your backup name)

*perintah tersebut hanya akan membuat file export untuk interface wireless

Selamat mencoba.

RouterOS Service Pada MikroTik

Pada menu / ip service kita bisa lihat daftar protokol dan port yang digunakan untuk bisa terhubung ke MikroTik RouterOS. Secara default semua protokol dalam keadaan aktif.

Service berperan penting terhadap keamanan router, karena pada service lah berbagai cara untuk turhubung ke layanan & MikroTik RouterOS didefinisikan, jika dibiarkan default akan berbahaya bagi keamanan router. Untuk itu kita perlu manajemen service yang ada untuk meminimalisir kerentanan.

Kita hanya bisa mengedit service yang ada, kita tidak bisa menambah atau menghapus service yang ada.

Perlu diingat manajemen keamanan RouterOS service hanya akan berjalan pada layer network (3), tidak akan berpengaruh ketika kita login lewat MAC adress (Data Link Layer).

Berikut protokol yang ada pada RouterOS service :

Protokol	Deskripsi
API	Application Programing Interface
Telnet	Insecure Command Line Infterface
SSH	Secure Command Line Interface
FTP	For Upload & Download File to/from the RouterOS
Webfig	Access form Web Browser
Winbox	Access GUI
Webgif ssl	Webfig melalui layanan ssl
API ssl	API melalui layanan ssl

karena alasan keamanan tadi ada hal-hal yang perlu dilakukan pada RouterOS service, sebagai berikut :

॰ Disable protokol yang tidak digunakan

॰ Ubah port keport yang belum digunakan, untuk mencegah port dalam keadaan terbuka (open)

॰ Open protokol hanya pada satu atau beberapa ip address yang dipercaya.

Pada lab kali ini kita akan disable semua protokol kecuali winbox dan mengubah port dari winbox protokol, sehingga kita hanya akan bisa akses melalui winbox.

॰ Pergi ke IP > Service, disable semua protokol kecuali winbox

॰ Ubah default port winbox

॰ Kemudian verfikasi perubahan yang dilakukan berhasil diterapkan dengan cara,

॰ Disconnect winbox, Setting > Disconnect

॰ Login kembali seperti sebelumnya,

Terlihat ketika kita lakukan login seperti sebelum dilakukan perubahan pada service maka hanya akan muncul "Error", karena apa ? karena default port sudah diubah oleh karna itu kita juga harus menuliskan port disamping ip address dipisah ":" dengan port yang sesuai pada / ip service.

॰ Kemudian coba kembali untuk login,

Terlihat diatas pada judul session terdapat port yang muncul disamping ip address.

Dengan begitu orang lain yang tidak memiliki hak akses secara sah tidak akan bisa akses sembarangan ke router kita, dan dengan mengubah port default dari protokol juga akan meminimalisir percobaan hacker, karena ketika hacker melakukan scan port yang terbuka maka itu tidak akan menghasilkan apa-apa alias zonkkkkkk.

Selamat mencoba.

Users, Password & Group pada MikroTik RouterOS

Mengatur users & password pada Mikrotik Router adalah salah satu cara yang bisa kita lakukan untuk mengamankan router dari akses yang tidak dikenal.

Pada MikroTik Router kita bisa atur user dengan hak akses yang sedemikian rupa dan flexible didalam implementasinya.

Secara default MikroTik Router memiliki user = admin  & password = [kosong], user tersebut memiliki group full yang artinya semua hal bisa dilakukan termasuk hak atas baca dan tulis terhadap RouterOS.

Group adalah suatu aturan yang dibuat untuk menentukan apa saja yang bisa dilakukan oleh user tersebut,  terdapat 3 default group pada RouterOS yaitu :

॰ Full, Semua bisa dilakukan termasuk read & write RouterOS

॰ Read, Hanya memiliki hak akses baca dan tidak bisa menambahkan atau mengubah konfigurasi yang ada

॰ Write, Hanya bisa menambah atau mengubah konfigurasi tetapi tidak bisa melihat konfigurasi yang ada

Disamping itu kita juga bisa costum sendiri group dengan hak akses yang kita atur sendiri.

Supaya semakin manambah pemahaman, kita akan coba untuk ngelab;

॰ Buat user untuk admin jaringan dengan group full tentunya

॰ Buat user yang hanya bisa melakukan reboot yang diperuntukan misalnya untuk OB kantor, yang mana ada kalanya ketika router harus direboot, kita bisa beri akses kepada OB untuk melakukan itu, tetapi dengan jaminan OB hanya bisa melakukan reboot, dengan begitu admin tidak harus turun tangan, cukup mas ob saja.

Langkah-langkah akan sebagai berikut :

॰ Buat user untuk admin jaringan

/ user add name=[name your admin] group=full password=[your password]

*catatan

    MikroTik Router tidak ada jumlah minimal charakter untuk password.

॰ Pastikan default user sudah kita disable atau diremove, untuk memastikan pengguna hanya login menggunakan user yang sudah dibuat.

॰ Disconect winbox kemudian login kembali dengan user untuk admin jaringan.

॰ Sekarang saatnya membuat user reboot untuk OB kantor,

॰ Buat costum group,

/user group add name=groupmasob policy=reboot,winbox

ehhh tapi ko ada dua yang dicentang? bukannya kita cuma butuh reboot?, Yupps memang kita hanya butuh reboot tapi kita perlu centang winbox (atau media sejenis untuk akses routeros), karena logikanya kita harus bisa akses routeros dulu baru bisa lakukan hal lainnya. Oleh karena itu kita centang winbox agar mas ob kantor bisa akses routeros untuk kemudian melakukan reboot.

॰ Baru kemudian buat user untuk mas ob kantor,

/ user add name=masobkantor group=groupmasob password=[your password]

॰ Sekarang kita uji coba user untuk ob kantor tersebut, pastikan hanya bisa melakukan reboot.

॰ Pergi ke IP > Address, Untuk memverifikasi bahwa user ob kantor tidak bisa melihat ataupun melakukan konfigurasi apapun,

Terlihat disitu hanya menampilkan informasi "ERROR: not permitted" yang artinya error karna tidak ada izin.

॰ Setelah verifikasi kembali bahwa user ob bisa melakukan reboot router, System > Reboot,

॰ Pastikan proses berjalan yang artinya konfigurasi benar dan berhasil diterapkan.

Selamat mencoba.

Merubah Identity MikroTik Router

Mengubah identitas router menjadi sangat penting ketika kita menangani lebih dari satu router. coba bayangkan saja ketika anda memiliki 10 router dengan identitas yang sama, dan suatu waktu anda ingin melakukan konfigurasi atau monitoring sudah pasti anda akan kebingungan karena identitas yang sama. Maka dari itu merubah identitas menjadi hal yang sangat penting.

Untuk mengubahnya kita bisa gunakan winbox ataupun konsol, berikut detail langkah-langkah nya:

/ system identity set name=[your name]

Setelah mengubahnya kita bisa verifikasi perubahan yang telah diterapkan dengan beberapa cara :

॰ Melihatnya di bagian judul atas

॰ Melihatnya di login winbox

॰ Melihatnya di prompt konsol

Oleh karna itu jangan sampai lupa untuk mengubah identitas router ya.

Selamat mencoba 😇.

Konfigurasi MikroTik Router menggunakan CLI

Command Line Interface (CLI) adalah baris perintah text yang digunakan untuk melakukan konfigurasi MikroTik Router dan manajemen, dengan menggunakan CLI otomatis kita menggunakan konsol sebagai media untuk mengakses MikroTik Router, secara teknis baris perintah text di masukan/ketik pada konsol sehingga akan direspon oleh MikroTik RouterOS sebagai konfigurasi atau manajemen terhadapnya, tak hanya baris pentah text, konsol juga bisa digunakan untuk menulis skrip terhadap MikroTik Router.

Pada lab kali ini kita akan bahas konsep dari CLI MikroTik Router.

Karena ada banyak sekali perintah yang tersedia, maka perintah-perintah tersebut dibagi kedalam tingkatan-tingkatan menu hirarki. Tingkatan menu hirarki nya sama seperti yang terlihat atau tersedia Winbox. Nama dari tingkatan menu hirarki tersebut mencerminkan informasi konfigurasi yang dapat diakses secara relevan, misalnya / ip address.

Untuk lebih memahami konsep perhatikan contoh-contoh dibawah ini:

Misalnya, ketika kita ingin melihat informasi route, / ip router print

Tidak seperti perintah diatas yang mengetikan full path, kita bisa ketikan / ip router sekali untuk berpindah kehirarki selanjutnya, sehingga perintahnya akan menjadi seperti berikut

Terlihat disisitu prompt menunjukan dimana hirarki saat ini berada

Untuk kembali ke satu tingkat hirarki sebelumnya gunakan ".."

Untuk kembali ke tingkat hirarki yang paling awal sebelumnya gunakan "/"

Kita juga bisa gunakan "/" dan ".." untuk bisa menjalan menu lain tanpa harus mengubah level saat ini.

Mode bantuan

CLI pada MikroTik Router juga dilengkapi alat bantuan, yang membantu pengguna untuk lebih mudah menggunakan CLI.

॰ [tab] menekan tab satu kali akan menampilkan apa yang bisa diketik dihirarki dimana kita berada.

॰ [tab] menakan tab dua kali akan melengkapi perintah yang belum lengkap, misalnya kita ketik / int kemudian [tab][tab] maka perintahnya akan menjadi / interface

॰ [?] ketik otomatis akan menampilkan apa yang bisa diketik dihirarki dimana kita berada ditambah dengan penjelasan , contoh :

Tanpa menulis perintah secara lengkap pun perintah tersebut masih bisa dijalankan, misal kita ingin menampilkan informasi route kita bisa ketikan perintah dengan format yang singkat / ip ro p,

Dengan menguasai CLI, kita bisa mempersingkat waktu kerja kita karna semua konfigurasi bisa dilakukan disatu interface dengan mengetikan perintah-perintahnya.

Selamat mencoba.

Menghubungkan LAN ke Internet di MikroTik RouterOS via Kabel

Terhubung ke internet merupakan hal penting bagi sebagian orang, karena banyak yang bisa kita lakukan dengan adanya internet seperti terhubung dengan teman-teman, mengerjakan tugas kuliah secara daring, ataupun melakukan pekerjaan dan lain sebagainya.

Untuk itu pada lab kali ini kita akan praktek bagaimana menghubungkan router ke Internet dengan tujuan memberikan akses internet kepada device client ataupun router itu sendiri.

Sebelum itu pastikan router kita terhubung kepenyedia akses internet misalnya indihome , ataupun bisa juga router lain yang memiliki akses internet, dengan asumsi penyedia internet memberikan layanan DHCP-Server.

॰ Open MikroTik RouterOS

॰ Pergi ke IP > DHCP-Client > add

Terlihat pada gambar diatas ada beberapa opsi yang bisa di atur:

॰ Interface, Menunjukan interface yang terhubung ke DHCP-Server

॰ Use Peer DNS, jika dicentang akan secara otomatis menambahkan informasi DNS yang didapat dari DHCP-Server

॰ User Peer NTP, jika dicentang akan secara otomatis menambahkan informasi NTP yang didapat dari DHCP-Server

॰Add Default Router, jika yes secara otomatis akan menambahkan informasi default router.

Jika berhasil maka router akan memdapatkan pinjaman ip yang ditandai dengan status bound.

॰Pergi ke IP > Firewall > Nat > add, buat rule nat yang mengizinkan komputer di LAN bisa terhubung ke internet.

Tekan OK untuk menyimpan pengaturan

॰ Buat ip address untuk interface yang terhubung ke LAN, IP > Address > add,

॰ Kita tambahkan DHCP-Server untuk meminjamkan ip secara otomatis ke device client, sehingga device client tidak perlu lagi mengatur ip secara manual, cukup atur sebagai DHCP-Client(DHCP), IP > DHCP Server > DHCP Setup,

Pastikan pilih interface yang terhubung ke LAN kemudian Next

॰ Setelah konfigurasi di router selesai, kemudian  pergi ke pengaturan interface di komputer atau laptop atur ke mode DHCP.

॰ Jika sudah kita lanjut ketahap akhir yaitu uji konektivitas, dengan lakukan ping ke www.mikrotik.com dari laptop.

Selamat kita sudah bisa berselancar diinternet, dan selamat untuk mencoba.