Académique Documents
Professionnel Documents
Culture Documents
Mtcume Des 2012
Mtcume Des 2012
User Manager
(MTCUME)
Certified Mikrotik Training - Advanced Class (MTCUME)
Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner)
Schedule - Module
Sesi 1
Hari 1
Hari 2
Hari 3
Hari 4
00-2
Sesi 2
Basic Config,
PPTP & PPPoE
L2TP &
IPSEC
Sesi 3
Sesi 4
TEST
12/5/12
Schedule
00-3
Sessi 1
Coffee Break
Sessi 2
Lunch
Sessi 3
Coffee Break
Sessi 4
08.30 10.15
10.15 10.30
10.30 - 12.15
12.15 13.15
13.15 15.00
15.00 15.15
15.15 - 17.00
5-Dec-12
00-4
5-Dec-12
Certification Test
00-5
5-Dec-12
Trainers
Novan Chris
l
l
l
l
Pujo Dewobroto
l
l
l
00-6
5-Dec-12
Perkenalkan
Perkenalkanlah :
l
l
l
l
00-7
Nama Anda
Tempat bekerja
Kota / domisili
Apa yang Anda kerjakan sehari-hari dan fiturfitur apa yang ada di Mikrotik yang Anda
gunakan
5-Dec-12
Thank You !
info@mikrotik.co.id
Diijinkan menggunakan sebagian atau seluruh materi pada modul ini, baik
berupa ide, foto, tulisan, konfigurasi, diagram, selama untuk
kepentingan pengajaran, dan memberikan kredit dan link ke
www.mikrotik.co.id
Outline
VPN Overview
PPTP
PPTP Server
PPTP Client
PPPoE
PPPoE Client
PPPoE Server
PPPoE Large Network
01-10
11/27/12
Overview
01-11
11/27/12
PPTP
01-12
Encrpytion : MPPE
Data Delivery : Multi protocol bisa dilewatkan (IP, IPX,
NetBEUI dsb)
Client Addressing
11/27/12
PPTP
01-13
11/27/12
PPTP Concept
IP HEADER
PAYLOAD
src:192.168.1.2
dst:192.168.2.2
DATA
y.y.y.y
x.x.x.x
src : y.y.y.y
dst : x.x.x.x
IP HEADER
GRE
HEADER
PPP
HEADER
ENCRYPTED PAYLOAD
PAYLOAD
192.168.1.2/24
01-14
192.168.2.2/24
Mikrotik Indonesia http://www.mikrotik.co.id
11/27/12
PPTP Client
01-15
11/27/12
PPTP Client
01-16
11/27/12
01-17
10.10.10.1/24
10.10.10.x/24
192.168.1.1/24
192.168.x.1/24
11/27/12
01-18
Make Backup :)
11/27/12
01-19
Untuk multi VPN client dalam 1 router, disarankan untuk membuat routing
statik terlebih dahulu ke server apabila IP server tidak terhubung 1 network
Mikrotik Indonesia http://www.mikrotik.co.id
11/27/12
01-20
11/27/12
11/27/12
PPP Interface
Untuk pembuatan PPTP server, bisa kita atur didalam menu PPP
Interface
PPP interface ini akan berisi interface-interface VPN baik server
ataupun client yang terhubung ke server kita
Interface PPTP server bisa dicreate dengan menggunakan 2 metode :
l
01-22
11/27/12
PPTP Server
01-23
11/27/12
PPTP Server
Parameter dalam penentuan PPTP server
01-24
11/27/12
PPP Profile
01-25
11/27/12
PPP Profile
01-26
11/27/12
PPP Profile
01-27
11/27/12
PPP Profile
Idle timeout = Koneksi akan diputus jika tidak ada trafik dalam waktu yang
ditentukan
Rate limit = limitasi / queue otomatis per client
l
01-28
11/27/12
PPP Secret
01-29
11/27/12
PPP Secret
01-30
11/27/12
PPP Secret
01-31
11/27/12
01-32
11/27/12
10.10.10.1/24
PPTP Link
192.168.1.1/24
01-33
10.10.10.x/24
192.168.x.1/24
11/27/12
Make Backup
01-34
11/27/12
PPPoE
01-35
11/27/12
PPPoE
pppoe link
ethernet
01-36
switch
11/27/12
PPPoE Discovery
PADI
PADO
PADR
PADS
LCP / ICP
PADT
01-37
11/27/12
PPPoE Discovery
01-38
11/27/12
wlan1
pppoe
wlan1
wlan1
01-39
11/27/12
Interface = wlan1
Add default route = yes
Service-name = mikrotik
01-40
Username = pppoe-x
Password = test
11/27/12
01-41
11/27/12
01-42
11/27/12
PPPoE Server
01-43
11/27/12
PPPoE Server
01-44
11/27/12
01-45
11/27/12
PPPoE Server
Wireless link
192.168.1.x/24
Ethernet link
192.168.2.x/24
01-46
192.168.3.x/24
Mikrotik Indonesia http://www.mikrotik.co.id
11/27/12
PPPoE Server
Wireless link
172.16.1.1/32
Ethernet link
172.16.1.2/32
01-47
172.16.1.3/32
Mikrotik Indonesia http://www.mikrotik.co.id
11/27/12
01-48
Paket initiate (PADI) yang berasal dari client hanya bisa terbaca
dalam sebuah broadcast network.
Apabila jaringan kita sudah bertambah besar bisa jadi antara
client dengan PPPoE server terdapat perangkat router lainnya
(misalnya wireless router)
Untuk jaringan skala besar kita bisa menggunakan beberapa
metode
1. Di masing-masing router melakukan bridging antara interface
client dengan interface yang mengarah ke PPPoE server
Resiko broadcast !!
2. Di masing-masing router membuat tunnel ke PPPoE server
dan kemudian di bridge antara interface client dengan interface
tunnel tersebut.
Mikrotik Indonesia http://www.mikrotik.co.id
11/27/12
10.10.10.1/24
ether3
01-49
10.10.10.x/24
ether3
11/27/12
01-50
11/27/12
Outline
BCP Concept
BCP Implementation
PPTP + BCP LAB
MLPPP Concept
l
l
02-52
12/5/12
02-53
12/5/12
BCP Requirement
02-54
12/5/12
BCP Example
INTERNET
VPN Client
Office 2
VPN Server
Bridged
LAN
02-55
Office 1
LAN
12/5/12
BCP Example
02-56
12/5/12
[LAB-1]
BCP Lab
PPTP
Bridged
ETHER2
ETHER2
172.16.1.X/24
02-57
172.16.1.2/24
Mikrotik Indonesia http://www.mikrotik.co.id
11/27/12
12/5/12
02-58
11/27/12
12/5/12
02-59
11/27/12
12/5/12
02-60
11/27/12
12/5/12
02-61
11/27/12
12/5/12
Server Side
02-62
11/27/12
12/5/12
02-63
11/27/12
12/5/12
MLPPP
02-64
12/5/12
MLPPP Example
INTERNET
VPN Client
Office 2
VPN Server
Multiple
Logical Data Links
LAN
02-65
Office 1
LAN
12/5/12
MLPPP Example
02-66
12/5/12
02-67
12/5/12
[LAB-2]
MLPPP Lab
PPTP
+
MLPPP
Bridged
ETHER2
ETHER2
172.16.1.X/24
02-68
172.16.1.2/24
Mikrotik Indonesia http://www.mikrotik.co.id
11/27/12
12/5/12
02-69
11/27/12
12/5/12
Server Side
02-70
11/27/12
12/5/12
Client Side
02-71
11/27/12
12/5/12
02-72
12/5/12
02-73
12/5/12
Outline
L2TP vs PPTP
L2TP Configuration (similar like PPTP)
l
l
03-75
Client
Server
IPSec
L2TP + IPSec
Configuration Example
12/5/12
03-76
12/5/12
03-77
12/5/12
03-78
Encryption: IPSec
Encryption Strength: Advanced Encryption Standard
(AES) 256, AES 192, AES 128, and 3DES
encryption algorithms
Mikrotik Indonesia http://www.mikrotik.co.id
12/5/12
03-79
12/5/12
03-80
12/5/12
12/5/12
03-82
12/5/12
L2TP Security
03-83
12/5/12
IPsec
03-84
12/5/12
IPSec Encryption
03-85
12/5/12
03-86
12/5/12
IPSec Decryption
03-87
Jika paket yang terkena enkripsi diterima oleh router host (setelah
dst-nat dan filter Input), maka router akan mencocokkan metode
enkripsi dari paket untuk melakukan proses Dekripsi.
Jika metode tidak ditemukan maka paket akan di drop tetapi jika
ditemukan maka paket akan didekripsi.
Jika proses dekripsi berjalan lancar paket akan kembali
dimasukkan melewati dst-nat dan routing table untuk kembali
didistribusikan ketujuan yang asli.
Sedikit catatan dimana paket berada sebelum chain forward dan
input paket akan dihadapkan lagi ke SPD dan dicocokkkan
kembali jika masih memerlukan enkripsi maka paket akan di drop.
Proses ini disebut Incoming Policy Check.
12/5/12
03-88
12/5/12
VPN Client
Office 2
VPN Server
L2TP + IPSec
LAN
03-89
Office 1
LAN
12/5/12
03-90
12/5/12
03-91
12/5/12
03-92
12/5/12
03-93
12/5/12
03-94
12/5/12
03-95
12/5/12
03-96
12/5/12
CLIENT
03-97
SERVER
12/5/12
L2TP/IPSec vs Windows/OSX
INTERNET
Windows
VPN Server
L2TP + IPSec
Linux / OSX
LAN
03-98
12/5/12
03-99
12/5/12
03-100
12/5/12
03-101
12/5/12
03-102
12/5/12
03-103
12/5/12
03-104
12/5/12
Dial L2TP
03-105
12/5/12
Connecting Progress
03-106
12/5/12
03-107
12/5/12
HOTSPOT
HotSpot
04-109
11/26/12
Wired Network
Hotspot Gateway
04-110
11/26/12
04-111
11/26/12
04-112
11/26/12
HotSpot features
04-113
Autentikasi User
Perhitungan
l Waktu akses
l Data dikirim atau diterima
Limitasi Data
l Berdasarkan data rate (kecepatan akses)
l Berdasarkan jumlah data
Limitasi Akses User berdasarkan waktu
Support RADIUS
Bypass!
Mikrotik Indonesia http://www.mikrotik.co.id
11/26/12
04-114
11/26/12
04-115
11/26/12
04-116
11/26/12
04-117
11/26/12
04-118
11/26/12
04-119
11/26/12
HotSpot Server
04-120
11/26/12
HotSpot Server
04-121
11/26/12
04-122
11/26/12
04-123
11/26/12
Authentication Method
11/26/12
04-125
11/26/12
AAA Hotspot
11/26/12
04-127
Hotspot User Profile digunakan untuk menyimpan konfigurasikonfigurasi umum dari User-User hotspot / Authorization. Profile
ini digunakan untuk grouping beberapa User dalam sebuah
aturan yang sama.
Pada User Profile, mampu melakukan assign pool-ip tertentu ke
group user untuk proses one to one nat.
Parameter Time-out juga bisa diaktifkan untuk melogout otomatis
user jika lupa log out.
Limitasi data rate dan lama sesi juga bisa ditentukan di UserProfile
Kita juga bisa memasangkan custom script yang akan dieksekusi
setelah user login ataupun logout
11/26/12
User Profiles
Pool IP One to One NAT
Pembatasan jumlah maksimal
multi login dengan 1 user
04-128
11/26/12
User Profiles
Address List : IP user akan ditambakan ke dalam firewall addresslist sesuai list yang ditentukan
Incoming Filter : Nama chain baru untuk trafik yang berasal dari IP
user (trafik upload)
Outgoing Filter : Nama chain baru untuk trafik yang menuju IP user
(trafik download)
Incoming Packet Mark : Nama packet-mark untuk trafik yang
berasal dari IP user (trafik upload)
Outgoing Packet Mark : Nama packet-mark untuk trafik yang
menuju IP user (trafik download)
Kelima parameter ini bisa kita gunakan untuk melakukan filtering
dan qos yang advanced
04-129
11/26/12
Advertisement
04-130
11/26/12
Advertisement
04-131
11/26/12
04-132
Trial :
Advertisement
Share bandwidth upload / download : 128k/256k
Configure Uptime : 10 minute + Uptime reset : 1week
VIP
Dedicated bandwidth upload / download 512k/512k
Reguler
Block some protocol (ex : no PING)
Share bandwidth upload / download : 512k/512k
Lakukan Backup !
Mikrotik Indonesia http://www.mikrotik.co.id
11/26/12
[LAB-1] Profile
04-133
11/26/12
04-134
11/26/12
04-135
11/26/12
04-136
11/26/12
04-137
11/26/12
04-138
11/26/12
04-139
11/26/12
04-140
11/26/12
04-141
11/26/12
04-142
11/26/12
HotSpot User
04-143
11/26/12
HotSpot users
04-144
11/26/12
User Limitation
Limit Uptime batas
waktu user dapat
menggunakan akses ke
Hotspot Network.
Limit-bytes-in, Limitbytes-out dan Limitbytes-total batas quota
trasfer data yang bisa
dilakukan oleh user.
04-145
11/26/12
04-146
11/26/12
04-147
11/26/12
04-148
11/26/12
Bypass! - IP bindings
04-149
11/26/12
HotSpot IP bindings
04-150
11/26/12
Bypass - WalledGarden
04-151
11/26/12
HTTP-level WalledGarden
04-152
11/26/12
IP-WalledGarden
04-153
11/26/12
04-154
11/26/12
Hotspot - Active
Flag (optional) :
R : Data user berasal dari Radius
B : User di Block karena proses advertisement
04-155
11/26/12
Hotspot - Host
04-156
11/26/12
Hotspot - Host
Flag yang tersedia didalam tabel Host :
S : User sudah ditentukan IP nya didalam IP
binding
H : User menggunakan IP DHCP
D : User menggunakan IP statik
A : User sudah melakukan login / Autentikasi
P : User di bypass pada IP binding
04-157
11/26/12
Hotspot Customization
04-158
11/26/12
Hotspot Customization
Untuk upload / download file html tersebut kita
bisa menggunakan FTP client (ex : filezilla)
ataupun drag-n-drop langsung ke komputer
(windows only !)
Apabila terjadi kesalahan konfigurasi file html, kita
bisa tekan tombol Reset HTML pada menu ip
hotspot server
l /ip hotspot reset-html
04-159
11/26/12
04-160
11/26/12
HTML Customization
Ada beberapa halaman html yang berinteraksi langsung dengan user antara
lain :
l
l
l
04-161
11/26/12
04-162
11/26/12
To-client !auth
Static rule
Static rule
Static rule
INPUT
From client
From !client with
TCP dst-port
64872-64875 drop
Static rule
Static rule
Static rule
04-163
HS-UNAUTH
Walled Garden IP
Protocol tcp reject with tcp reset
All packet reject with net prohibited
HS-UNAUTH-TO
Walled Garden IP
All packet reject with icmp host prohibited
HS-INPUT
All trafic
UDP dst-port 64872 accept
TCP dst-port 64872-64875 accept
11/26/12
DST-NAT
From-client
All traffic
Static NAT
Static Rule
HS-UNAUTH
Walled Garden IP
TCP dst-port 80 redirect 64874
TCP !auth
TCP auth
HS-AUTH
TCP dst-port 25
TCP dst-port 25
SRC-NAT
HS-SMTP
11/26/12
RADIUS
Certified Mikrotik Training - Advanced Class (MTCUME)
Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner)
Outline
05-166
AAA
RADIUS Protocol
RADIUS & NAS
Radius Communication
Radius Packet
Radius Component
Radius Implementation
Radius Client
Radius Incoming
Mikrotik Indonesia http://www.mikrotik.co.id
12/5/12
05-167
Authorization
Authentication
Accounting
12/5/12
AAA - Authentication
05-168
12/5/12
Authentication Challenge
INTERNET
Auth : True
Auth :
HOTSPOT / DHCP
SERVER
User +
Password
RADIUS
Auth : False
05-169
12/5/12
AAA - Authorization
05-170
12/5/12
Authorization Decision
Auth : True
Auth :
HOTSPOT / DHCP
SERVER
User +
Password
Auth : True
05-171
INTERNET
Internet
Access
No Internet
Access
RADIUS
12/5/12
AAA - Accounting
05-172
Traffic
Time
Session
Log
12/5/12
Accounting Database
Auth : True
Auth :
INTERNET
Internet
Access
HOTSPOT / DHCP
SERVER
User +
Password
Auth : True
No Internet
Access
RADIUS
User 1 : 21 min
User 2 : 17 min
05-173
12/5/12
RADIUS Protocol
05-174
12/5/12
RADIUS Benefit
05-175
12/5/12
05-176
12/5/12
INTERNET
Internet
Access
NAS
Equipment
HOTSPOT / DHCP
SERVER
Auth :
User +
Password
Auth : True
No Internet
Access
Radius Server
AAA Mechanism
05-177
RADIUS
User 1 : 21 min
User 2 : 17 min
12/5/12
RADIUS - Comunication
HOTSPOT / DHCP
SERVER
USER
RADIUS
Link Establishment
Link Establishment
User, Password
AAA Mechanism
Acknowledgement
05-178
12/5/12
RADIUS Packet
05-179
ACCESS-REQUEST (1)
ACCESS-RESPONSE (2)
ACCESS-REJECT (3)
ACCESS-CHALLENGE (11)
ACCOUNTING-REQUEST (4)
ACCOUNTING-RESPONSE (5)
STATUS-SERVER (12)
STATUS-CLIENT (13)
12/5/12
ID
Length
Authenticator
AV (Payload)
RADIUS DATA PACKET
05-180
Code : as above
ID (Identifier) : Untuk penghubungan otomatis antara
request dan reply.
Length : Valid Range 20 4096
Authenticator : untuk menyembunyikan password (MD5),
Request menggunakan random Number / Response
menggunakan Authenticator
Mikrotik Indonesia http://www.mikrotik.co.id
12/5/12
ID
(q)
Authenticator (Request)
(Random)
ID
(q)
12/5/12
05-182
12/5/12
RADIUS - Component
UDP Based
Hop by Hop Security (Secret)
Stateless
Uses MD5 for Password Hiding
A-V Pairs (Attribute Value for various Vendor)
l
05-183
12/5/12
05-184
Livingston
GNU
FreeRADIUS
Cistron
Radiator
Alepo
Juniper: Steel Belt.
Mikrotik User Manager
Mikrotik Indonesia http://www.mikrotik.co.id
12/5/12
Radius Client
05-185
RouterOS Login
Hotspot
PPP (PPTP,L2TP,PPPoE,OVPN dll)
DHCP Leases
Wireless Access List
12/5/12
05-186
12/5/12
Auth :
HOTSPOT
SERVER
User +
Password
RADIUS
User, Password,
Profile, Limit,
Accounting
05-187
12/5/12
05-188
12/5/12
Auth :
DHCP
SERVER
MACAddress
RADIUS
DHCP - Static
Lease
05-189
12/5/12
05-190
12/5/12
WIRELESS AP
RADIUS
Wireless
Access List,
Security
05-191
12/5/12
05-192
12/5/12
RADIUS - Implementation
INTERNET
User,
Password
VPN Server
RADIUS
User,
Password
PPP Secret
05-193
LAN
12/5/12
05-194
12/5/12
Radius Incoming
05-195
12/5/12
05-196
12/5/12
05-197
HOTSPOT
VPN (PPTP,PPPoE,L2TP dll)
12/5/12
Quiz !
05-198
12/5/12
Mikrotik
User Manager
Certified Mikrotik Training - Advanced Class (MTCUME)
Organized by: Citraweb Nusa Infomedia
(Mikrotik Certified Training Partner)
Outline
Mikrotik UserManager
UserManager Installation
UserManager Main Components
l
l
l
l
l
l
06-200
Customers
Routers
Users
Profile
Session
Report
12/5/12
Mikrotik UserManager
06-201
12/5/12
UserManager Features
06-202
Hotspot
VPN
DHCP
Wireless
RoS Login
12/5/12
Hardware :
l
l
l
06-203
32 MB RAM (Minimum)
2MB on hard drive (more recommended)
x86 architecture / All RouterBOARDs
UserManager Package :
12/5/12
RouterOS license;
l
l
l
l
l
l
06-204
12/5/12
RoS v6.0rc2
06-205
12/5/12
06-206
12/5/12
06-207
Default Username : Admin Password: Customer adalah Level admin dari UserManager.
UserManager tidak berhubungan dengan User di
Internal Router.
12/5/12
06-208
12/5/12
UserManager Customers
06-209
12/5/12
Customers Permissions
06-210
12/5/12
Customers (1)
06-211
12/5/12
Customers (2)
06-212
12/5/12
Customers (3)
06-213
12/5/12
UserManager - Router
06-214
dfsf
12/5/12
Router = NAS
06-215
12/5/12
UserManager Profile
06-216
12/5/12
06-217
12/5/12
06-218
12/5/12
06-219
12/5/12
06-220
12/5/12
06-221
12/5/12
06-222
12/5/12
06-223
12/5/12
UserManager Session
06-224
12/5/12
UserManager Settings
06-225
12/5/12
Settings - Logo
06-226
Untuk mengubah
Logo upload logo
anda di directory
umfiles
Mikrotik Indonesia http://www.mikrotik.co.id
12/5/12
06-227
12/5/12
UserManager Reports
06-228
12/5/12
Generated Report
06-229
12/5/12
UserManager Maintenance
06-230
12/5/12
Quiz !
06-231
12/5/12
Auth :
HOTSPOT
SERVER
User +
Password
RADIUS
User, Password,
Profile, Limit,
Accounting
06-232
12/5/12
l
l
06-233
12/5/12
06-234
12/5/12
06-235
12/5/12
New Customer
06-236
12/5/12
06-237
12/5/12
New Router
06-238
12/5/12
06-239
12/5/12
New Profile
06-240
12/5/12
06-241
12/5/12
06-242
12/5/12
06-243
12/5/12
Quiz !
06-244
12/5/12
06-245
12/5/12