Follow us on...
Follow us on G+ Follow us on Twitter Follow us on Facebook Watch us on YouTube
Register
Results 1 to 6 of 6
  1. #1
    Status
    Offline
    blakesabbath's Avatar
    Baru Gabung
    Join Date
    Jul 2010
    Posts
    2
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0

    [ask] Demiliterized Zone a.k.a DMZ

    dear suhu" sekalian....

    ane tanya nih... ini ada topologi seperti ini :

    Click here to enlarge

    public (eth1) : 202.169.37.114/28
    local (eth2) : 172.26.0.50/24
    dmz (eth3) : 192.168.11.1/24

    yang mau ane tanyain, dmz ini pake satu ip public, dan satu ip public ini bisa translate ke beberapa sub domain :
    mail.company.com : 192.168.11.2
    server1.company.com : 192.168.11.3
    server2.company.com : 192.168.11.4
    ...
    ...
    dst

    dan kalo setiap client yang ada di local mau mengakses dmz tersebut, dia tidak keluar dulu terus masuk melalui ip public dari dmz tersebut, tetapi client tersebut langsung tembak ke interface local dari mikrotik dan client tersebut menembak nya tidak menggunakan ip address tetapi menggunakan domain, misal kan mail.company.com, server1.company.com, server2.company.com..dst.

    mohon bantu nya agan2 sekalian Click here to enlargeClick here to enlarge

  2. #2
    Status
    Offline
    kambeeng's Avatar
    Member Senior
    Join Date
    Jan 2008
    Posts
    483
    Reviews
    Read 0 Reviews
    Downloads
    2
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by blakesabbath Click here to enlarge
    dear suhu" sekalian....

    ane tanya nih... ini ada topologi seperti ini :

    Click here to enlarge

    public (eth1) : 202.169.37.114/28
    local (eth2) : 172.26.0.50/24
    dmz (eth3) : 192.168.11.1/24

    yang mau ane tanyain, dmz ini pake satu ip public, dan satu ip public ini bisa translate ke beberapa sub domain :
    mail.company.com : 192.168.11.2
    server1.company.com : 192.168.11.3
    server2.company.com : 192.168.11.4
    ...
    ...
    dst

    dan kalo setiap client yang ada di local mau mengakses dmz tersebut, dia tidak keluar dulu terus masuk melalui ip public dari dmz tersebut, tetapi client tersebut langsung tembak ke interface local dari mikrotik dan client tersebut menembak nya tidak menggunakan ip address tetapi menggunakan domain, misal kan mail.company.com, server1.company.com, server2.company.com..dst.

    mohon bantu nya agan2 sekalian Click here to enlargeClick here to enlarge
    klau keinginan bro bisa mengakses email tanpa ip : contoh server1.company.com maka bro harus assign host name untuk ip tertentu.

    nah untuk memastikan silahkan bro ping ke server1.company.com apakah ip tersebut telah sesuai dengan letak DMZ bro Click here to enlarge contoh 192.168.1.1 (IP MAIL SERVER)

    mudah2an bisa membantu bro .. sekiranya bro masih perlu pertolongan silahkan PM saya Click here to enlarge Click here to enlarge

    untuk di mikrotiknya dibuatkan NAT mengarah ke Seberang ... ke DMZ Click here to enlarge

  3. #3
    Status
    Offline
    oktama's Avatar
    Forum Guru
    Join Date
    Jul 2008
    Location
    Jayapura
    Posts
    1,929
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by blakesabbath Click here to enlarge
    dear suhu" sekalian....

    ane tanya nih... ini ada topologi seperti ini :

    Click here to enlarge

    public (eth1) : 202.169.37.114/28
    local (eth2) : 172.26.0.50/24
    dmz (eth3) : 192.168.11.1/24

    yang mau ane tanyain, dmz ini pake satu ip public, dan satu ip public ini bisa translate ke beberapa sub domain :
    mail.company.com : 192.168.11.2
    server1.company.com : 192.168.11.3
    server2.company.com : 192.168.11.4
    ...
    ...
    dst

    dan kalo setiap client yang ada di local mau mengakses dmz tersebut, dia tidak keluar dulu terus masuk melalui ip public dari dmz tersebut, tetapi client tersebut langsung tembak ke interface local dari mikrotik dan client tersebut menembak nya tidak menggunakan ip address tetapi menggunakan domain, misal kan mail.company.com, server1.company.com, server2.company.com..dst.

    mohon bantu nya agan2 sekalian Click here to enlargeClick here to enlarge
    tambahkan static route pada setiap PC-Client dan arahkan static route 192.168.11.0/24 dengan gateway 172.26.0.50
    untuk DNS gunakan static DNS entry pada mikrotik, jangan lupa enable remote request, juga tambahkan entry DNS mikrotik pada setiap PC klien, pasti jalan deh cuman kerjaan jadi repot

    kl ngga mau repot pake DHCP server pada mikrotik tapi arahkan gatewaynya melalui default gateway ISP 2 jangan lewat-kan mikrotik, dan dns masukkan dns dari mikrotik, agar client secara otomatis akan menggunakan static DNS mikrotik, dibawah-nya baru gunakan DNS dari ISP 2, tapi ingat bahwa static route yang saya sebutkan diatas tetap harus ditambahkan kesetiap PC dijaringan local, tanpa itu ngga bakalan bisa terbuka deh tuh DMZ tanpa harus melalui ISP 2 dan penambahan dst-nat

  4. #4
    Status
    Offline
    blakesabbath's Avatar
    Baru Gabung
    Join Date
    Jul 2010
    Posts
    2
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    dari dns luar udah aku arahin ke ip public dari mikrotik tersebut misal

    company.com IN A 202.123.123.123


    nah setelah itu di mikrotik udah aku tambahin static dns nya :

    server1.company.com => 192.168.11.2
    server2.company.com => 192.168.11.3
    server3.company.com => 192.168.11.4
    ..
    dst

    setiap server2 tersebut aku bikinin content2 web yang membedakan seperti :
    server1.company.com isinya ini webserver1
    server2.company.com isinya ini webserver2
    server3.company.com isinya ini webserver3
    ..
    dst


    udah aku nat ke dalam, dari ip public ke private (dmz)

    nah permasalahan nya ketika aku request pake browser dari jaringan luar.
    misal buka server1.company.com ke buka isi nya "ini webserver1" terus server2.company.com kebuka isi nya "ini webserver1" terus yang server3.company.com kebuka isi nya "ini webserver1".. begitu seterus nya..

    seperti nya mikrotik nya ini membaca rule forwarding yang paling atas, yaitu dari 202.123.123.123 => 192.168.11.2, yang rule2 lain nya ga kebaca.

    itu gimana yah suhu2 sekalian ?

  5. #5
    Status
    Offline
    adiputrolds's Avatar
    Forum Guru
    Join Date
    Oct 2008
    Posts
    1,485
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by blakesabbath Click here to enlarge
    dari dns luar udah aku arahin ke ip public dari mikrotik tersebut misal

    company.com IN A 202.123.123.123


    nah setelah itu di mikrotik udah aku tambahin static dns nya :

    server1.company.com => 192.168.11.2
    server2.company.com => 192.168.11.3
    server3.company.com => 192.168.11.4
    ..
    dst

    setiap server2 tersebut aku bikinin content2 web yang membedakan seperti :
    server1.company.com isinya ini webserver1
    server2.company.com isinya ini webserver2
    server3.company.com isinya ini webserver3
    ..
    dst


    udah aku nat ke dalam, dari ip public ke private (dmz)

    nah permasalahan nya ketika aku request pake browser dari jaringan luar.
    misal buka server1.company.com ke buka isi nya "ini webserver1" terus server2.company.com kebuka isi nya "ini webserver1" terus yang server3.company.com kebuka isi nya "ini webserver1".. begitu seterus nya..

    seperti nya mikrotik nya ini membaca rule forwarding yang paling atas, yaitu dari 202.123.123.123 => 192.168.11.2, yang rule2 lain nya ga kebaca.

    itu gimana yah suhu2 sekalian ?
    iya iya dong selama anda menggunakan port 80 untuk membuka keseluruhan web server ya gk mungkin bisa karena anda menggunakan 1 Public IP

    jika ingin menggunakan 1 IP Public untuk mengakses ketiga web server anda
    anda harus menpesifikasikan port yg berbeda2 yg akan di tangkap oleh mikrotik, agar mikrotik tau arah dan tujuan kemana harus di arahkan.

    contohnya :
    jika ada inbound connection dari eth1 hanya dengan port 80 mikrotik gk akan tau mau diarahkan kemana...
    jadi anda harus membuat port yg spesifik untuk masing2 web server

    inbound dari eth1 port 81 arahkan ke webserver1 port 80
    inbound dari eth1 port 82 arahkan ke webserver2 port 80
    inbound dari eth1 port 83 arahkan ke webserver3 port 80

    walaupun webserver anda semua menggunakan port 80

    kelemahannya untuk mengakses webserver anda dari luar jaringan
    anda harus mengetikan juga port yg akan di tuju
    misal :
    ---->webserver1
    ---->webserver2
    ---->webserver3

    yang saya agak heran pada topologi anda...
    kenapa ISP 2 tidak anda sertakan ke dalam Mikrotik ?
    yg jadi masalah gateway lokal anda sebenernya mengarah kemana ???

    Click here to enlarge
    Last edited by adiputrolds; 20-07-2010 at 14:42.

  6. #6
    Status
    Offline
    akbar_lana's Avatar
    VIP Member
    Join Date
    Aug 2007
    Location
    Jakarta, Indonesia, Indonesia
    Posts
    735
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    1 (100%)
    Click here to enlarge Originally Posted by blakesabbath Click here to enlarge
    dear suhu" sekalian....

    ane tanya nih... ini ada topologi seperti ini :

    Click here to enlarge

    public (eth1) : 202.169.37.114/28
    local (eth2) : 172.26.0.50/24
    dmz (eth3) : 192.168.11.1/24

    yang mau ane tanyain, dmz ini pake satu ip public, dan satu ip public ini bisa translate ke beberapa sub domain :
    mail.company.com : 192.168.11.2
    server1.company.com : 192.168.11.3
    server2.company.com : 192.168.11.4
    ...
    ...
    dst

    dan kalo setiap client yang ada di local mau mengakses dmz tersebut, dia tidak keluar dulu terus masuk melalui ip public dari dmz tersebut, tetapi client tersebut langsung tembak ke interface local dari mikrotik dan client tersebut menembak nya tidak menggunakan ip address tetapi menggunakan domain, misal kan mail.company.com, server1.company.com, server2.company.com..dst.

    mohon bantu nya agan2 sekalian Click here to enlargeClick here to enlarge
    Simple sebenarnya tuk proses DMZ di mikrotik jadi di buat aja IP Alias terlebih dahulu tuk masing2 server, misalnya:
    mail.company.com : 192.168.11.2 -> IP Public 202.169.37.120

    Disini saya akan kasih satu contoh tuk DMZ satu server...Click here to enlarge

    Buat IP Alias di IP Address Mikrotik pada bagian Interface publicnya:
    Code:
    /ip address
    add address=202.169.37.120/28 interface=<public>
    Dan buat rule di NAT nya tuk SRC-NAT dan DST-NAT masing2 server:
    Code:
    /ip firewall nat
    add chain=srcnat src-address=192.168.11.2 action=src-nat to-addresses=202.169.137.120 comment="mail.company.com"
    add chain=dstnat dst-address=202.169.37.120 action=dst-nat to-addresses=192.168.11.2
    sudah jadi deh DMZ nya dan server2 berikutnya silahkan di coba sendiri..Click here to enlarge

 

 

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •