Cara Membatasi Internet Jam Kantor dengan Mikrotik

Membatasi koneksi internet di kantor terutama pada jam kerja kantor dapat dilakukan dengan menggunakan Mikrotik. Ada beberapa cara yang dapat digunakan untuk membatasi koneksi internet di Kantor dengan Mikrotik. Disini saya akan coba share Cara Membatasi Internet Jam Kantor dengan Mikrotik yang pernah saya pasang di kantor. Topologi nya seperti ini :

Sistem yang saya buat yaitu dengan membatasi akses ke situs-situs sosial media, porno, video streaming, dll pada saat jam kerja (08.00 - 12.00 & 13.30 - 16.00). Untuk detail nya sebagai berikut :

Membatasi akses :
Jam kerja pagi (08.00 – 12.00)

Membuka akses :
Jam istirahat (12.00 – 13.30)

Membatasi akses :
Jam kerja siang (13.30 – 16.00)

Membuka akses :
Jam luar kerja (16.00 – 08.00)

Pembatasan ini dimaksudkan agar karyawan dapat memanfaatkan waktu nya pada saat jam kerja untuk mengerjakan pekerjaan nya bukan untuk hal yang lain.  

Untuk membangun sistem ini, saya menggunakan beberapa tools di Mikroik dan juga bantuan dari DNS external yaitu OpenDNS dan Nawala. Disini saya menggunakan perangkat Mikrotik RB 951Ui-2Hnd yang memiliki port USB sehingga bisa menggunakan modem USB sebagai jalur internet cadangan (untuk failover).

Secara umum konfigurasi yang dilakukan adalah sebagai berikut :

1. Mengatur konfigurasi IP Address untuk jaringan Wi-Fi dan LAN pada mikrotik.

2. Menambahkan konfigurasi NTP (Network Time Protocol) Server untuk sinkronisasi waktu supaya mikrotik dapat berkerja tepat waktu. Ini sangat penting supaya script dapat dieksekusi tepat waktu.  Untuk konfigurasi NTP nya bisa lihat di gambar berikut atau bisa baca di artikel ini : Apa itu NTP? Setting NTP Client di Mikrotik

3. Konfigurasi jaringan internet di Mikrotik. Pastikan koneksi internet sudah jalan di Mikrotik. Untuk memastikannya silakan ping ke Google.com

4. Setting interface wireless mikrotik untuk share koneksi internet melalui Wi-Fi.

5. Menambahkan konfigurasi DNS Server dari OpenDNS dan Nawala sebagai filter dan memblokir konten berbahaya. Tutrorial nya silakan baca disini : Cara Mudah Memblokir Situs-situs Dewasa dengan DNS di Mikrotik

6. OpenDNS dapat digunakan untuk memfilter situs berbahaya dan memblokir akses ke situs tertentu sepeti social media, video streaming, dan lain - lain. Sementara untuk DNS Nawala hanya memblokir akses ke situs berbahaya.

7. OpenDNS digunakan saat jam kerja. DNS Nawala digunakan diluar jam kerja. Pengaturan nya menggunakan Script & Scheduller. Seting inilah yang akan dibahas pada artikel ini.

8. Mengaktifkan fitur Web Proxy untuk mempercepat koneksi internet (cache) dan memonitor konten yang diakses client. Silakan baca tutorial nya disini : Cara Membuat Transparent Proxy Mikrotik

9. Menambahkan konfigurasi firewall mikrotik untuk keamanan. Ada beberapa konfigurasi firewall yang saya gunakan :

• Memblokir Port Virus di Mikrotik Menggunakan Firewall
• Cara Memblokir Penggunaan Web Proxy External di Mikrotik 
• Cara Mencegah Client Mengganti DNS secara Manual
• Cara Menangkal & Mengatasi Netcut dengan Mikrotik

10. Menambahkan konfigurasi fail over, untuk menambah jalur akses internet cadangan (backup) menggunakan modem USB dan mengaktifkannya saat koneksi jalur utama mati. Silakan lihat tutorialnya disini :

Tutorial Failover 2 Koneksi Internet di Mikrotik

Oke, kembali ke point nomor 7 di atas, disini saya akan bahas Script & Scheduller nya. Silakan simak step-by-step nya berikut ini :

11. Yang pertama, kita akan membuat Script dulu. Pada Winbox, masuk ke System --> Scripts. Ada beberapa Script yang akan kita buat seperti gambar berikut :

12. Untuk Script back2main dan failover digunakan untuk konfigurasi failover menggunakan jalur cadangan modem USB. Silakan lihat point nomor 10 di atas.

13. Script pertama yang kita buat yaitu script jam kerja. Script ini akan memberikan perintah ke Mikrotik untuk mengganti setingan DNS ke IP DNS nya OpenDNS, kemudian melakukan flush cache DNS. Script nya sebagai beriku (masukkan ke kolom Source)

/ip dns set servers=208.67.220.220,208.67.222.222
/ip dns cache flush

14. Script selanjutnya digunakan untuk mengganti IP DNS ke Nawala.

/ip dns set servers=180.131.144.144,180.131.145.145
/ip dns cache flush

15. Hari libur yaitu Sabtu dan Minggu koneksi internet tidak dibatasi, tetapi masih menggunakan DNS Nawala. Caranya dengan mematikan penjadwalan (Scheduler) yang nanti akan kita buat.

/system scheduler disable 0
/system scheduler disable 1

 

16. Ketika masuk lagi ke hari kerja yakni hari senin, maka aturan nya kembali seperti semula dengan pembatasan internet pada jam kerja. Caranya dengan mengaktifkan kembali scheduler nya.

/system scheduler enable 0
/system scheduler enable 1

17. Script yang sudah kita buat sebelumnya akan dijalankan secara otomatis berdasarkan waktu (jam). Pastikan anda membuat scheduler nya urutan nya sama seperti gambar berikut ini; supaya script pada point 15 dan 16 bisa berjalan.

18.  Buat scheduler untuk mengeksekusi script jam kerja (pagi). 

Name : Filter Jam Kerja Pagi

Start Date : Pilih tanggal kapan script akan mulai dieksekusi secara otomatis

Start Time : Jam berapa script akan dieksekusi

Interval : 1 hari

On Event : nama script yang dieksekusi (jam kerja)

19. Buat scheduler lagi untuk jam kerja sore yakni pukul 13.30 (sesuaikan jam nya dengan jam kantor anda). Lihat gambar berikut :

20. Ketika masuk jam istirahat, pegawai dapat mengakses social media, video streaming, dll kecuali web dan konten porno. Caranya dengan mengganti ke DNS Nawala. Buat scheduler pada jam 12.00 dengan script luar jam kerja (LJK).

21.  Ketika masuk jam pulang kerja, maka koneksi akan sama seperti pada jam istirahat. Disini diasumsikan jam pulang kantor pukul 16.00.

22. Pada hari libur (Sabtu & Minggu) script libur akan dieksekusi secara otomatis pada Jum'at malam pukul 23.59 dengan interval waktu 7 hari. Jadi script ini akan dieksekusi seminggu sekali yakni hari Jum'at malam. 

Jadi, Pastikan Start Date nya adalah hari jum'at

23. Pada hari senin koneksi akan kembali dibatasi secara otomatis dengan script senin yang akan dieksekusi pada senin dini hari pukul 00.00. lebih 50 detik dengan interval 7 hari.

Pastikan start date nya hari senin.

Sampai disini konfigurasi script dan scheduler sudah selesai. Jika setingan nya benar seperti di atas maka script nya akan berjalan dengan baik secara otomatis.

Oke sekian dulu tutorial Cara Membatasi Internet Jam Kantor dengan Mikrotik. Silakan dicoba, semoga berhasil, dan semoga bermanfaat :)

Tutorial Failover 2 Koneksi Internet di Mikrotik

Teknik Failover adalah suatu teknik jaringan dengan memberikan dua jalur koneksi atau lebih dimana ketika salah satu jalur mati, maka koneksi masih tetap berjalan dengan disokong oleh jalur lainnya. Teknik failover ini cukup penting ketika kita menginginkan adanya koneksi jaringan internet yang handal.

Tutorial Failover 2 Koneksi Internet di Mikrotik yang akan saya bahas kali ini sedikit spesial, karena bukan seperti failover yang biasanya. Jadi disini saya akan membuat jaringan internet dengan menggunakan 2 koneksi, yaitu koneksi utama menggunakan Fiber Optic dan koneksi cadangan dengan Modem USB. Secara umum topologi jaringannya seperti berikut :

Teknik failover yang akan saya gunakan kali ini adalah dengan membuat koneksi dari Fiber Optic sebagai Jalur utama dan ketika jalur utama mati (down) maka koneksi akan langsung pindah ke jalur cadangan. Dan jika koneksi utama kembali normal (up) maka koneksi akan kembali pindah ke jalur utama. Hal ini tidak dapat dilakukan dengan menggunakan teknik Failover biasa yang hanya menggunakan ping check gateway pada Route.

Untuk menerapkan teknik ini saya menggunakan perpaduan beberapa tools di Mikrotik, yakni Script, Netwatch, dan Check gateway pada Route. Oke langsung saja menuju Tutorial Failover 2 Koneksi Internet di Mikrotik. Disini saya tidak akan membahas caranya dari awal, tapi langsung ke inti cara failover nya. 

1. Pastikan kedua koneksi internet yang akan anda gunakan sudah berjalan dengan baik di Mikrotik.

2. Masuk ke System --> Script --> Add. Tambahkan 2 Script Mikrotik berikut :

Script Failover :

:if ([/ip route get [/ip route find comment="utama"] disabled]=yes) do={/ip route enable [/ip route find comment="utama"]} else={/ip route disable [/ip route find comment="utama"]}

Script kembali ke jalur utama :

:if ([/ip route get [/ip route find comment="utama"] disabled]=yes) do={/ip route enable [/ip route find comment="utama"]}

3. Buat rule Netwatch. Masuk ke Tools --> Netwatch --> Add. Buat dua rule berikut :

Netwatch Failover :

[Tab Host]

- Host : 8.8.8.8

- Interval : 00:00:03

- Timeout : 1000 ms

[Tab Down]

On Down : failover (sesuaikan dengan nama script nya)

Netwatch Kembali ke jalur utama :

[Tab Host]

- Host : 8.8.8.8

- Interval : 00:00:03

- Timeout : 1000 ms

[Tab Up]

On Up: back2main (sesuaikan dengan nama script nya)

4. Edit tabel routing mikrotik. Masuk ke IP --> Routes. Buat seperti gambar berikut ini :

Route untuk jalur utama :

Buat secara manual route untuk jalur utama dengan konfigurasi :

- Dst Address : 0.0.0.0/0

- Gateway : ether1 (pilih interface yang terhubung ke jalur utama)

- Distance : 1

- Check Gateway : ping

- Yang paling penting adalah buat comment. Klik menu Comment --> isikan : utama

Route untuk jalur cadangan :

Buat secara manual route untuk jalur utama dengan konfigurasi :

- Dst Address : 0.0.0.0/0

- Gateway : smartfren (pilih interface yang terhubung ke jalur cadangan)

- Distance :2

- Yang paling penting adalah buat comment. Klik menu Comment --> isikan : cadangan

Route untuk ping netwatch :

Buat route untuk jalur ping Netwatch dengan konfigurasi :

- Dst Address : 0.0.0.0/0

- Gateway : ether1 (pilih interface yang terhubung ke jalur utama)

- Distance : 1

5. Konfigurasi sudah selesai. Sekarang coba cek konfigurasi nya sudah bisa berjalan dengan baik apa belum. Caranya dengan lakukan ping ke google, dan coba matikan koneksi jalur utama. Jika konfigurasi benar, maka ping akan timeout untuk beberapa saat kemudian reply lagi yang mengindikasikan kalau failover bekerja. Hidupkan lagi koneksi jalur utama, maka jika konfigurasi benar, koneksi akan langsung berpindah kembali ke jalur utama.

Untuk lebih jelasnya silakan lihat video Failover Mikrotik berikut ini :

 

Oke, cukup sekian Tutorial Failover 2 Koneksi Internet di Mikrotik ini. Silakan dicoba dan semoga bermanfaat :)

Menambah Cache Proxy Mikrotik Menggunakan USB Flashdisk

Salah satu fitur dari Mikrotik adalah Web Proxy. Namun, jika menggunakan web proxy internal Mikrotik, kadang kurang maksimal karena ukuran cache drive internal nya terbatas, menyesuaikan ukuran memori internal Mikrotik nya. Jika anda menggunakan PC sebagai Mikrotik, bisa memanfaatkan harddisk nya untuk ditambahkan sebagai cache drive web proxy Mikrotik. Namun, jika Mikrotik nya berupa Router Board tidak bisa dilakukan. Tapi jangan khawatir, pada Router Board tipe-tipe tertentu yang sudah mendukung port USB bisa ditambahkan memori external sebagai cache drive web proxy Mikrotik.

Nah, kali ini saya akan membahas tentang penggunaan memori external USB berupa Flashdisk / Harddisk external sebagai cache drive tambahan pada Web Proxy Mikrotik yang support port USB. Ada beberapa tipe Router Board yang sudah support USB, seperti RB750UP, RB751U-2HnD, RB951Ui-2HnD, dsb. Dalam hal ini saya menggunakan RB951Ui-2HnD dan USB Flashdisk 8 GB sebagai cache drive Web Proxy.

Sebelumnya, pastikan web proxy anda sudah diaktifkan. Jika belum, silakan baca tutorial berikut ini :

Tutorial Cara Membuat Transparent Proxy Mikrotik

Jika sudah, silakan siapkan Router Board anda dan sebuah USB Flashdisk. Anda juga bisa menggunakan hard disk external, tapi pastikan tidak ada data penting yang ada di dalamnya. Karena USB ini harus di format ulang dulu oleh Mikrotik agar dapat digunakan.

Ok, berikut langkah-langkah cara Menambah Cache Proxy Mikrotik Menggunakan USB Flashdisk :

1. Colokan USB Flashdisk ke port USB RouterBoard anda

2. Nyalakan Mikrotik RouterBoard anda

3. Buka Winbox, masuk ke menu System --> Stores --> Masuk tab Disks --> Pilih USB nya --> Klik Format Drive. 

Jika berhasil maka status USB drive nya akan berubah menjadi Ready

4. Pindah ke tab Store --> Klik [+] 

> Beri nama terserah

> Type : web-proxy

> Disk : pilih usb1

> centang Acrivate

> Ok

5. Coba cek di menu Web Proxy : IP --> Web Proxy --> Cek bagian Cache Drive seharusnya sudah berubah dari system ke usb1

6. Cek di tab Status, Jika web proxy sudah digunakan seharusnya Cache Used nya akan mulai dari 0 lagi dan terus bertambah ketika digunakan browsing.

Nah, sekarang memori yang digunakan untuk menyimpan cache Web Proxy Mikrotik sudah bertambah besar. Jadi akan lebih banyak file yang bisa ditampung di cache proxy nya. 

Silakan anda coba sendiri cara Menambah Cache Proxy Mikrotik Menggunakan USB Flashdisk ini. 

Semoga bermanfaat :)

Cara Memblokir Website (Facebook) Menggunakan Layer 7 Mikrotik

Di bawah ini saya akan share Tutorial Mikrotik untuk memblokir facebook menggunakan Mikrotik L7 Protokol (Layer 7). Protokol Layer7 adalah metode untuk mencari pola dalam ICMP / TCP / UDP stream, atau istilah lainnya regex pattern.

Cara kerja L7 adalah mencocokan (mathcer) 10 paket koneksi pertama atau 2KB koneksi pertama dan mencari pola/pattern data yang sesuai dengan yang tersedia. Jika pola ini tidak ditemukan dalam data yang tersedia, matcher tidak memeriksa lebih lanjut. Dan akan dianggap unknown connections. Anda harus mempertimbangkan bahwa banyak koneksi secara signifikan akan meningkatkan penggunaan memori pada RB maupun PC Router anda. Untuk menghindari itu tambahkan regular firewall matchers (pattern) untuk mengurangi jumlah data yang dikirimkan ke layer-7 filter.

Layer7 matcher harus melihat kedua arah lalu lintas (masuk dan keluar). Untuk memenuhi persyaratan ini rule l7  harus diatur dalam chain Forward. Jika rule pada chain input/prerouting maka aturan yang sama harus diatur juga dalam chain output/postrouting , jika tidak maka data mungkin dianggap tidak lengkap sehingga pola/pattern dianggap tidak benar /cocok.

Oke udah tau kan tentang Layer 7 Protocol? Kita lanjut aja ya. Jadi skenario yang akan kita gunakan adalah seperti gambar berikut ini :

Tutorial ini ada dua bagian :

1. Block facebook website buat semua orang yang konek ke local network.

Pertama, kita cek dulu situs Facebook bisa dibuka apa tidak.

Cek IP address client yang tidak boleh buka Facebook

Selanjutnya, masuk ke Winbox Mikrotik, masuk ke menu IP --> Firewall --> Layer 7 Protocols. Buat rule regexp baru untuk memblokir Facebook.

Langkah nya seperti pada gambar berikut ini :

Beri nama rule tersebut facebook, masukkan script regexp berikut ini :

^.+(facebook.com).*$

Selanjutnya, buat Firewall Rule baru dengan :

Chain : forward

Src Address : alamat jaringan dari client (172.16.10.0/24)

Masuk tab Advanced, pada Layer 7 Protocol pilih "facebook"

Masuk tab Action, pilih Action drop.

Sekarang coba tes setingan tadi berhasil apa tidak.

Cek juga apa setingan ini ngeblok situs selain facebook

Oke bisa, setingannya berjalan dengan lancar gan

2. Membuat facebook hanya bisa dibuka oleh beberapa user saja.

Oke lanjut ya, kali ini kita coba buka koneksi salah satu client biar bisa buka facebook untuk client kedua (172.16.10.199/24) tapi masih tetap memblokir akses ke facebook buat client lainnya.

Buat Filter rule keduadengan Src Address spesifik ke IP address client nya yaitu 172.16.10.199 bukannya alamat jaringannya (network address).

Jangan lupa Action nya pilih accept.

Pindah rule yang baru dibuat tadi ke paling atas ya.

Coba tes setingan ini pada client kedua (172.16.10.199/24):

Detail pada rule nya ada paket dan data yang lewat.

Cek juga pada client lainnya pada network yang sama apakah facebook bisa diakses apa tidak.

Coba lihat lagi rule nya

Drop packets rate nya naik kan. Ini berarti setingan kita berhasil memblokir Facebook menggunakan Layer 7 Protocol Mikrotik.

Kita juga bisa lakukan hal yang sama untuk memblokir situs youtube, dll. Silakan anda coba dan terapkan sendiri.

Semoga bermanfaat :)