Membuat dan setting Public Hotspot aman dengan VLAN Mikrotik
Hai teman-teman Linexia
sekarang gua pengen ngasih tau cara Membuat dan setting Public Hotspot aman dengan VLAN Mikrotik. yuk langsung aja
Membuat dan setting Public Hotspot aman dengan VLAN Mikrotik
Kenapa pakai VLAN?
Jika kamu mengelola jaringan untuk kantor atau perusahaan dan kamu ada tugas untuk memasang hotspot gratis untuk public,pasti kamu gk mau dong sebagai IT admin memberi kesempatan kepada pengguna public wifi yang gak jelas identitasnya masuk ke jaringan kamu,ini sangat beresiko akan serangan hacker dengan memanfaatkan wifi hotspot yang kamu buat sebagai jalan masuk.
Dengan VLAN kita tidak perlu membuat jaringan baru/narik kabel panjang-panjang dari router ke tempat mau dipasang hotspot,karena kita bisa memanfaatkan jaringan ada untuk ditumpangi VLAN,jangan kuatir walau menggunakan jaringan fisik yang sama,nantinya jaringan VLAN akan benar-benar terpisah dengan jaringan Fisik Local.
Dengan VLAN kamu bisa membuat jaringan terpisah antara jaringan kantor kamu dengan jaringan wifi hotspot,wifi hotspot akan berjalan menggunakan VLAN yang terpisah dengan jaringan kantor mu(jaringan local). orang yang masuk lewat jaringan VLAN tidak akan bisa mengakses ke jaringan kantor(Local) yang kamu kelola dan sebaliknya, sehingga kedua jaringan ini akan berjalan secara tepisah.
Kamu mungkin perlu menambahkan sedikit rule firewall di router kamu untuk membuat jaringan public wifi benar-benar terpisah dari jaringan local kantor mu.
Tutorial ini saya buat dengan detail agar yang ingin belajar tau kenapa begini dan kenapa begitu,jadi maklum rada panjangPada pembahasan setting di mikrotik router tidak saya sertakan command,supaya kamu yang ingin belajar mengerti dan familiar dengan menu dan opsi yang ada di mikrotik, karena jika cuman kopas command kamu gak bakal ngerti.
Membuat dan setting HOTSPOT dengan VLAN Mikrotik
Walau kita secara fisik menggunakan jaringan yang ada dan secara fisik terkonek ke jaringan local /private kita,tetapi dengan VLAN kita bisa membuat jaringan di dalam jaringan yang ada dengan benar-benar terpisah secara logical(perangkat di jaringan VLAN tidak bisa berkomunikasi dengan komputer di jaringan Private/LAN). dan untuk membuat benar-benar terpisah kita perlu menambahkan beberapa baris firewall rule agar berjalan sempurna 
Goal HOTSPOT kita :
- pengguna hotspot hanya bisa mengakses internet dan tidak bisa scan/konek ke jaringan private/local dan sebaliknya
- Hanya IP yang diberikan oleh DHCP server lah yang bisa terkoneksi ke network,selain IP yang telah ditentukan akan diabaikan oleh router (arp-reply only)
- Mengatur dan membatasi bandwidth Hotspot
Perangkat yang dibtuhkan :
- Mikrotik router ,Tipe apa aja bole asal bisa VLAN
- Radio Wireless dengan opsi VLAN, untuk merek bebas aja asal ada opsi VLAN nya .Disini saya menggunakan UNIFI dari UBNT
Mengamankan Hotspot dengan ARP-Table dan VLAN
Untuk melindungi pengguna hotspot kita dari tangan jahil seperti penggunaan NETCUT untuk mencuri bandwidth,kita akan mengeset ARP interface hotspot kita menjadi reply-only.Dimana Router hanya berkomunikasi dengan mac address yang terdaftar di arp-table.Dibagian hotspot nantinya kita akan set otomatis mac perangkat pengguna hotspot akan dimasukan ke arp-table.
Penggunaan opsi reply-only pada interface juga berguna untuk memastikan client yang masuk ke jaringan hotspot diatur oleh DHCP server sepenuhnya,sehingga IP diluar yang telah ditentukan oleh DHCP server tidak bisa masuk ke jaringan hotspot.
Karena sangat bahaya jika ada orang yang tau IP private nework kita dan menggunakan nya dan masuk lewat jaringan hotspot dan menscann perangkat yang ada di local private network.walau kita sudah menerapan firewall untuk memblock trafic alangkah baiknya kita berhati-hati dari celah sekecil lobang semut
- Buat VLAN InterfaceInterface> klik pada tanda + lalu pilih VLANisi Name dengan namaVlan kamu misal : HOTSPOTisi VLAN ID dengan IDVLAN yang akan kamu buat bebas aja ini ngisinya pake angka misal :756Pilih Interface dengan intrface mana yang akan kamu pakai buat VLAN Misal:1.keLAN
- Berikan Nama untuk setiap lobang ethernet di routermu dengan nama yang mudah dipahami agar gampang pada saat perbaikan.Pada dasarnya Vlan ini nginduk di LAN tetapi tidak bisa langsung digunakan(Konek) jika kita tidak memasukan IDVLAN yang sama dengan IDVLAN di mikrotik kita.Jadi perangkat yang akan menggunakan VLAN harus berada di interface yang sama dengan interface VLAN dibuat. dalam contoh diatas, perangkat yang akan menggunakan VLAN harus berada di interface 1.KeLAN
Setting hotspot DHCP server dan IP pool mikrotik
- Membuat IP untuk HotspotUntuk IP disini bebas mau kamu kasih IP berapa dan subnet berapa,subnet dipakai untuk membatasi jumlah IP yang akan kita pakai ,Ip Router dipakai sebagai Gateway perangkat yang terkonek ke hotspot via DHCP server.IP >Address> klik tanda + > masukan IP Address dan subnet serta Interface hotspot kamu.
- Membuat DHCP Pool IP HotspotIP>Pool> klik pada tanda + > masukan range ip yang akan dipakai misal: 192.168.56.2-192.168.56.25Ip disini disesuaikan dengan alokasi IP utnuk hotspot yang kita buat pada step sebelum nya.
- Membuat DHCP Server untuk HotspotIP >DHCP Server > klik +Beri nama Bebas pada kotak Name , benar-benar pilih VLAN interface dengan nama yang telah kamu tentukan,Address pool pilih dengan nama pool yang kamu buat sebelum nya,Centang pada Add ARP for Leases agar mac address perangkat yang mendapat ip dari dhcp otomatis ditambahkan ke arp-table.Lease Time adalah waktu yang kita berikan kepada client untuk memakai ip dari DHCP server,jika dalam waktu tersebut client masih online maka waktu akan diperpanjang,dan jika dalam waktu yang ditentukan client nya uda gak pake/diskonek maka IP tersebut bisa digunakan oleh client lain
Memisahkan Jaringan VLAN dan jaringan Local dengan Firewall mikrotik
Walau menggunakan VLAN tetapi secara default pengguna hotspot bisa berkomunikasi dengan komputer yang ada di jaringan local,ini karena fungsi default router adalah untuk menghubungkan 2 atau lebih jaringan yang berbeda. kita akan membatasi akses ini agar user hotspot tidak bisa berkomunikasi dengan user jaringan private LAN.
Aturan FIrewall:Rule oleh sistem runtut dibaca dari atas kebawah bukan sebaliknya, jadi penempatan rule bisa berpengaruh ke hasil filter yang kita lakukan jadi hati-hati yaContoh:
- -Chain:forward - src.address List:Local-Dst.Address List:Local -Action:Accept
- -Chain:forward -Action:Drop
Baris pertama Artinya :mengizinkan koneksi dari dan ke ip yang ada dalam address list dengan nama LocalBaris ke2 Artinya : Memblock semua paket forwarding dari semua IP network yang terdaftar di router
Karena rule dibaca dari atas ke bawah jika kamu kebalik maka akan beda arti , Jika kamu membalik atau menempatkan-Chain:forward -Action:Drop dipaling atas,maka rule dibawah nya gak bakal jalan. karena -Chain:forward -Action:Drop dibaca pertama dan dijalankan perintah nya.
- Membuat address list dan memasukan IP ke address ListRencananya kita akan memasukan IP yang akan kita atur lewat Firewall kesini,biar lebih mudah ketika kita menggunakan FirewallIP >Firewall >pilih tab Address ListKamu bisa memasukan ip tunggal atau bisa memasukan IP network (memasukan range IP dalam 1 subnet)untuk memasukan ip dari 192.168.56.1 -192.168.56.30 kamu cukup mengetikan nya dengan 192.168.56.0/27Kamu bisa menambahkan IP lain dengan nama yang sama.misal jika kamu punya network local lain untuk dimasukan kesini tinggal seperti tadi caranya,gak usa diketik pada bagian Name,tinggal kamu klik menu drop down nya saja dan pilih.
- Membuat Firewall RuleKita akan memblok komunikasi dari ip hotspot ke ip local atau sebaliknya,jika kamu punya lebih dari 1 ip network di jaringan mu,kamu bisa menambahkan di address list dengan nama yang sudah kamu tentukan misalnya “LOCAL”chain :Forward -Src Address List: LOCAL -Dst Address List: HOTSPOT -Action:DropHOTSPOT dan LOCAL adalah nama address list yang telah kita buat tadi,sesuaikan dengan nam ayang kamu buat ya.Tempatkan rule ini disesuaikan dengan rule yang telah ada di routermu,usahakan berada di palinga tas rule untuk hotspot.
- Pengujian HOTSPOTUntuk memastikan hotspot kita berjalan sesuai dengan yang kita inginkan,coba kamu pakai hotspot mu dan coba juga untuk ping ke komputer jaringan private local.Jika tidak berjalan sesuai keinginan coba bersabar dan teliti dari awal lagi, namanya belajaar harus sabar ya ^_^
Membuat Hotspot Bandwidth management Sederhana dengan Queue Tree
Kita akan mengatur dan membatasi bandwidth untuk user hotspot kita menggunakan queue tree mikrotik
- Membuat MangleIP >Firewall >Mangle >ikuti gambar dibawah ini secara urut.Menandai Koneksi hotspot (Mark Connection)
Menandai Paket Koneksi Hotspot - Membuat Queue TreeUntuk membuat queue trafik download,parent nya harus interface dimana komputer berada. dan untuk membuat upload queue parent nya harus interface yang terkoneksi ke internet.tentukan juga jenis pcq nya,jika upload ya upload.kalo down ya pilih download.Kita tidak fix limit tapi diberi toleransi agar flexible dan hotspot kita terkesan kenceng kalau dipake browsing. karena kecepatan akan max hanya beberapa detik saja dan kembali ke kcepatan normal,3 detik sudah cukup untuk meload seluruh halamn website agar hotspot kita terkesan kenceng buat browsing.
Setting Unifi Wifi Hotspot menggunakan VLAN
Setelah kita mengkonfigurasi router untuk keperluan hotspot kita,kini saatnya untuk mensetting perangkat wifi hotspot kita.
Disini saya menggunakan Unifi sebagai perangkat hotspot nya,kalau kamu menggunakan perangkat lain tidak masalah kok,tinggal cari aja bagian untuk naruh VLAN ID
- Login ke perangkat Wifi Hotspotmu.
- Buat SSID untuk nama hotspot mu dan masukan VLAN ID
- Tinggal kamu setting untuk kekuatan signal nya disesuaikan dengan jangkauan wifi spot yang kamu inginkan
Jika ada kesalahan penulisan /kurang dari tutorial ini /tutorial tidak bekerja /ada kendala,,silakan bisa ditulis di komen
0 komentar: