Siddiqngeblog's Blog

Mikrotik + Transparent Proxy Terpisah + Web Filtering

siddiqngeblog — Fri, 20 Nov 2009 17:39:29 +0000

Pekerjaan saya yang tertunda selama ini adalah membangun sebuah Proxy Server terpisah dari Mikrotik yang sudah dilengkapi dengan Web Filtering.

Untuk Proxy Server yang terpisah saya kali ini menggunakan Red Hat Linux sebagai operating system dan Squid sebagai aplikasi proxy serta Dansguardian sebagai aplikasi Web Filtering

Kesulitan saya selama ini adalah membuat agar semua akses web browsing via port 80 agar terfilter terlebih dahulu pada Proxy Server.

copas from

http://komunitaskami.com/komunitas-linux/mikrotik-transparent-proxy-terpisah-web-filtering/

Beberapa kali saya mencoba menggunakan fitur Web Proxy Mikrotik lalu saya parent kan dengan Proxy Server yang saya bangun terpisah. Kegagalannya adalah selain mikrotik menjadi tambah berat, kesalahan setting Access Control List yang membuat Mikrotik dapat digunakan sebagai proxy dari user diluar jaringan, sudah barang tentu hal ini dapat membuat bandwidth terkuras.

Akhirnya saya berkeinginan agar user dalam jaringan hanya menggunakan proxy diluar fasilitas yang tersedia di Mikrotik. Proxy server ini saya sejajarkan dengan ip user sehingga menggunakan ip local.

Adapun kesulitan saya selama ini adalah melakukan redirect request dari user ke mikrotik melalui port 80 menuju proxy server. Saya beruntung membaca blog http://cangkirkopi.wordpress.com yang mengajarkan saya teknik redirect port 80 ke ip tertentu.

Adapun detailnya sbb :

Mikrotik : 192.168.0.1

Internet : eth1

Lan : eth2

Proxy : 192.168.0.254

port : 3128

———–

di asumsikan bahwa transparent proxy sudah berjalan normal pada Proxy Server

1. Table NAT ( IP > Firewall > NAT )

dst-nat, src-address = !192.168.0.254 protocol=tcp dst-port=80 in-interface=ether2 action=dstnat to-addresses=192.168.0.254 to-port=3128

src-nat, src-address=192.168.0.0/24 out-interface=ether2 action=srcnat to-addresses=192.168.0.1 to-port=0-65535

2. Table Filter Rules

chain=forward src-address=192.168.0.0/24 dst-address=192.168.0.254 dst-port=3128 in-interface=ether2 out-interface=ether1 action=accept

dengan script ini akhirnya transparent proxy tanpa menggunakan fitur proxy Mikrotik dapat berjalan dengan sempurna.

Ulasan pengalaman setting Dansguradian sebagai web filtering akan saya lanjutkan pada tulisan berikutnya.

[ mikrotik how-to ] Mikrotik Dengan 2 ISP ( non fail over )

siddiqngeblog — Fri, 20 Nov 2009 17:37:57 +0000

Kasus ini terjadi di kantor saya dimana didalam LAN terdapat berbagai macam client, antara lain Internal ( staff perusahaan ) dan Management ( kelompok managemen ).

Walaupun berada dalam satu jaringan fisik, namun mereka berada pada sub net yang berbeda :

Internal = 192.168.0.0/24

Management = 192.168.1.0/24

Sekarang timbul permasalahan saat pihak management meminta akses Internet dari ISP yang berbeda dengan kapasitas yang berbeda pula. Sebelumnya adalah menggunakan satu ISP saja. Penggabungan Dua ISP ini tidak menggunakan metode FAIL OVER.

Akhirnya saya putuskan untuk memasang tambahan 1 LAN Card pada router menjadi 3 LAN Card dari sebelumnya hanya 2 LAN Card saja :

eth1 = xx.xx.xx.xx/xx ( ISP 1 )

eth2 = 192.168.0.0/24 ( LAN Internel )

eth2 = 192.168.1.0/24 ( LAN Management )

eth3 = yy.yy.yy.yy/yy ( ISP 2 )

keterangan.

eth2 di set duplicate IP untuk menggabung jaringan LAN pada jaringan fisik yang sama.

Setting Dua ISP pada mikrotik saya temukan pada blog Jauh Dimata dengan sedikit modifikasi penyesuaian. Source asli dapat dilihat di sini.

Berikut langkah – langkah setting :

1. Set IP pada eth1 ( ISP 1 )

/ip address add address=xx.xx.xx.xx/xx interface=eth1

2. Set IP pada eth2 ( LAN Internal )

/ip address add address=192.168.0.1/24 interface=eth2

3. Set IP pada eth2 ( LAN Management )

/ip address add address=192.168.1.1/24 interface=eth2

4. Set IP pada eth3 ( ISP 2 )

/ip address add address=yy.yy.yy.yy/yy interface=eth3

5. Setting Gateway Utama ( gateway dari ISP 1 )

/ip route add gateway=xxx.xxx.xxx.xxx/xx routing-mark=LB-RM check-gateway=ping

6. Setting Gateway Kedua ( gateway dari ISP 2 )

/ip route add gateway=yyy.yyy.yyy.yyy/yy

7. Memberi tanda pada routing dari LAN Internal ( 192.168.0.0/24 ) agar menggunakan Gateway Utama

/ip firewall mangle add chain=prerouting src-address=192.168.0.0/24 action=mark-routing new-routing-mark=LB-RM

8. Setting Masquerade pada eth2 untuk jaringan LAN Internal agar jalur Internet via ISP 1 di eth1

/ip firewall nat add chain=srcnat out-interface=ether1 src-address=192.168.0.0/24 action=masquerade

9. Setting Masquerade pada eth2 untuk jaringan LAN Management agar jalur Internet via ISP 2 di eth3

chain=srcnat out-interface=ether3 src-address=192.168.1.0/24 action=masquerade

Saat saya coba teknik ini, internet berjalan normal di kedua subnet, begitu juga dengan check ip public yang berjalan pada masing – masing sub net saat akses internet sudah sesuai.

IP ISP 1 = xx.xx.xx.xx pada subnet LAN Internal

IP ISP 2 = yy.yy.yy.yy pada subnet LAN Management

Untuk mengetahui IP Public yang kita gunakan saat melakukan akses pada Internet seperti uji coba diatas, anda dapat menggunakan Tool What My IP Is

Saya sendiri belum yakin akan benar atau salahnya teknik ini, tapi setidak – tidaknya akses internet berjalan normal dan sesuai dengan keiginan kami.

Untuk sesepuh senior, mohon pencerahan. CMIIW

original from

http://komunitaskami.com/komunitas-networking/mikrotik-how-to-mikrotik-dengan-2-isp-non-fail-over/

Menggunakan 2 ISP pakai mikrotik

siddiqngeblog — Fri, 20 Nov 2009 17:36:27 +0000

Sesuaikan skenario dengan yang anda hadapi. Baca dahulu dengan teliti. Diasumsikan server Mikrotik memiliki 3 (tiga)

buah interfaces (NIC) dan dalam kondisi fresh install.

Skenario:

1. ISP Telkom-Speedy (ADSL)

IP Router ADSL(LAN): 192.168.0.254

copas from

http://mellasaeblog.blogspot.com/2008/05/mikrotik.html

IP DNS1: 202.134.0.155

IP DNS2: 202.134.2.5

2. ISP Diginet (Wireless)

IP: 203.81.187.62

IP Gateway: 203.81.187.62

IP DNS1: 203.81.185.12

IP DNS2: 203.81.185.13

Jumlah Komputer Internet: 50 pc –>

Network: 192.168.3.0/26 (Ip Address: 192.168.3.1 – 192.168.3.63 Netmask: 255.255.255.192)

Jumlah Komputer Games: 50 pc –>

Network: 192.168.3.64/26 (Ip Address: 192.168.3.65 – 192.168.3.128 Netmask: 255.255.255.192)

Skema Network:

Diginet—, ,—Speedy

| |

203.81.187.62(ether2) 192.168.0.253(ether1)

[M i k r o t i k 2 . 9 . 6]

192.168.3.254/24 (ether3)

192.168.3.0/24

| |

Games: Internet:

192.168.3.64/26 192.168.3.0/26

Langkah-langkah:

1. Beri nama Interfaces Ether1-3 di [Interfaces]

Command:

/interface set ether1

/interface set ether2

/interface set ether3

admin@BlueSky.Net] > interface print

Flags: X – disabled, D – dynamic, R – running

# NAME TYPE RX-RATE TX-RATE MTU

0 R Telkom ether 0 0 1500

1 R Diginet ether 0 0 1500

2 R Local ether 0 0 1500

2. Beri IP Address untuk masing-masing ethernet. [Ip - Interfaces]

Command:

/ip address add address=192.168.0.253/24 interface=Telkom

/ip address add address=203.81.187.62/24 interface=Diginet <— karena gak tahu netmasknya brp..

/ip address add address=192.168.3.0/24 interface=Local

[admin@BlueSky.Net] > ip address print

Flags: X – disabled, I – invalid, D – dynamic

# ADDRESS NETWORK BROADCAST INTERFACE

0 192.168.0.253/24 192.168.0.0 192.168.0.255 Telkom

1 192.168.3.254/24 192.168.3.0 192.168.3.255 Local

2 203.81.187.62/24 203.81.187.0 203.81.187.255 Diginet

3. Buat rule di [IP – Firewall - Mangle]:

- chain=prerouting src-address=192.168.3.0/26 action=mark-routing new-routing-mark=Internet

“untuk menandai paket yang berasal dari 192.168.3.0/26 dengan nama=Internet”

- chain=prerouting src-address=192.168.3.64/26 action=mark-routing new-routing-mark=Games

“untuk menandai paket yang berasal dari 192.168.3.64/26 dengan nama=Games”

Command:

/ip firewall mangle add chain=prerouting src-address=192.168.3.0/26 \

action=mark-routing new-routing-mark=Internet

/ip firewall mangle add chain=prerouting src-address=192.168.3.64/26 \

action=mark-routing new-routing-mark=Games

[admin@BlueSky.Net] ip firewall mangle> print

Flags: X – disabled, I – invalid, D – dynamic

0 chain=prerouting src-address=192.168.3.0/26 action=mark-routing

new-routing-mark=Internet passthrough=yes

1 chain=prerouting src-address=192.168.3.64/26 action=mark-routing

new-routing-mark=Games passthrough=yes

4. Set Gateway untuk masing-masing network. [IP - Route]

Command:

/ip route add gateway=192.168.0.254 dst-address=0.0.0.0/0 routing-mark=Internet

/ip route add gateway=203.81.187.1 dst-address=0.0.0.0/0 routing-mark=Games

[admin@BlueSky.Net] > ip route print

Flags: X – disabled, A – active, D – dynamic,

C – connect, S – static, r – rip, b – bgp, o – ospf

# DST-ADDRESS PREFSRC G GATEWAY DIS INTE…

0 ADC 192.168.0.0/24 192.168.0.253 Telkom

1 ADC 192.168.3.0/24 192.168.3.254 Local

2 ADC 203.81.187.0/24 203.81.187.62 Diginet

3 A S 0.0.0.0/0 r 192.168.0.254 Telkom

4 A S 0.0.0.0/0 r 203.81.187.1 Diginet

5. Buat rule nat-masquerade untuk network 192.168.3.0/24 [IP - Firewall - Nat]

Command:

/ip firewall nat add chain=srcnat src-address=192.168.3.0/24 action=masquerade

[admin@BlueSky.Net] > ip firewall nat print

Flags: X – disabled, I – invalid, D – dynamic

0 ;;; Masquerade Network 192.168.3.0/24

chain=srcnat src-address=192.168.3.0/24 action=masquerade

6. Buat script untuk melakukan cek gw dengan tools netwatch:

command

/system script add-gw source={

:local R1

:local R2

:if ([/tool netwatch get R1 status]=up) do={:set R1 192.168.0.254}

:if ([/tool netwatch get R2 status]=up) do={:set R2 203.81.187.1}

/ip route set [/ip route find dst-address=0.0.0.0/0] \

gateway=($R1 . , . $R2)

}

/tool netwatch add comment=R1 host=192.168.0.254 interval=5s up-script=check-gw \

down-script=check-gw

/tool netwatch add comment=R2 host=203.81.187.1 interval=5s up-script=check-gw \

down-script=check-gw

Setting di Mikrotik sudah selesai.

Berikutnya, isikan IP address untuk tiap client Internet dengan IP Address mulai dari: 192.168.3.1 sampai 192.168.3.63.

Gunakan Netmask 255.255.255.192 agar workgroup terpisah dengan Games.

Jangan lupa berikan IP DNS Telkom di network-properties client Internet sesuai skenario di atas (202.134.0.155 dan

202.134.2.5).

Gateway diarahkan ke: 192.168.3.254.

Untuk Client Games isikan IP Address mulai dari: 192.168.3.65 sampai dengan 192.168.3.128.

Gunakan juga Netmask 255.255.255.192 jika menginginkan workgroup yang terpisah dengan Client untuk Internet.

Berikan IP DNS Diginet (203.81.185.12 dan 203.81.185.13) di network-propertiesnya.

Gateway diisikan dengan 192.168.3.254.

Selamat mencoba…

Mikrotik Web Proxy Setting for Transparant proxy

siddiqngeblog — Fri, 20 Nov 2009 17:29:41 +0000

1. first se t web proxy
/ ip web-proxy
set enabled=yes –>> to make ip web proxy enable
set src-address=0.0.0.0 –>> to make source address to access web proxy will allow
set port=8080 –>> to make port for web proxy
set hostname=”proxy.war.net.id” –>> setting for visble hostname web proxy
set transparent-proxy=yes –>> make transparant proxy enable
set parent-proxy=0.0.0.0:0–>> if we used parent proxy x
set cache-administrator=”support@somethink.org” –>> make set administrator info support
set max-object-size=4096KiB –>> maximal object can cacth with the proxy server
set cache-drive=system –>> where drive position that cache wil be saved
set max-cache-size=unlimited –>> maximal harddrive we used for cache
set max-ram-cache-size=unlimited –>> maximal ram we used for cache

2. add nat for redirect port for squid to make transparant

/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080 –>> setting can redirect port 80 to 8080 for proxy server
/ip firewall nat add chain=dstnat protocol=tcp dst-port=3128 action=redirect to-ports=8080 –>> setting can redirect port 3128 to 8080 for proxy server
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8080 action=redirect to-ports=8080 –>> setting can redirect port 8080 to 8080 for proxy server