Thread: Mikrotik Untuk Accesslist Cabang Perkantoran

Dh Mas Sekalian,

Kami termasuk nubie di belantara FMI, mohon bantun mas sekalian untuk permasalahan yang belum bisa kami solved. Saat ini kami sedang RND policy firewall baru untuk di implementasikan di kantor cabang, ada sekian cabang dan masing-masing cabang menggunakan Mikrotik RB-750 sebagai routernya. Link data anatr cabang ke pusat menggunakan link MPLS/VPN Ip dari Telkom.

Policy yang kami maksudkan adalah : cabang di kondisikan hanya bisa mengakses beberapa ip server yang ada di pusat, akses ke server tsb hanya boleh melalui port yang sudah kami define sebelumnya. Walaupun ip server tsb sudah di allow namun cabang masuk melalui port diluar yang kami pasangkan untuk server tsb, maka akses akan di drop/reject.

Saat ini policy yg kami implementasikan adalah sebatas pembatasan port yg bisa diakses dari cabang ke pusat, belum membatasi ip server yang bisa di akses. Nah setingan ini kami input di # ip\firewall\filter.

Mudah2-an topologi ini mewakili apa yg coba kami implementasikan :

keterangan 1 :
"Kantor cabang hanya bisa mengakses IP 192.168.0.1 via port 80, selain ip dan port tsb tidak bisa di akses dari kantor cabang"
Semua setingan policy tersebut terdapat di Mikrotik yang ada di kantor cabang. Tujuan polciy ini, untuk memastikan bahwa cabang hanya bisa mengakses server yang sudah kita allow melalui port yang sudah kita buat. So semua traffik dari cabang sudah hampir kami pastikan bersih dari hal2 yang tdk kami inginkan.

Kami sudah mencari petunjuk terkait konfigurasi ini ke berbagai sumber, namun sampai saat ini belum mendapatkan petunjuk yang pas untuk rencana tsb diatas. Mohon bantuan mas-mas sekalian.

sudah dicoba pake VPN /PPtP??? [tunnel]??

Originally Posted by m3tr0mini

sudah dicoba pake VPN /PPtP??? [tunnel]??

Ooh kita tidak memakai itu mas, soalnya kondisi link saat ini sudah memakai vpn-ip, paket komunikasi data corporate dari telkom yang memang sengaja kita sewa. Jadi antara cabang dan pusat sudah 1 cloud WAN. Saat ini saya mu membatasi apa2 yang bisa di-akses dari cabang ke pusat via mikrotik. Seperti ilustrasi yang digambarkan diatas.

Cabang dan pusat beda segment, tapi tetep dalam 1 cloud WAN yang bisa saling berhubungan.

kalau isp nya udah mpls brarti bisa pakai vpls.

asal udah bisa ping 192.168.0.1 dari klien di cabang, tinggal di mikrotik cabang di seting untuk
/ip fi fi ad ch=forward dst-add=192.168.0.1 pro=tcp port=80 action=allow
/ip fi fi ad ch=for acti=drop

hal di atas jika routing nya sudah benar ya gan..

kuncinya routing dah bener, baru seting firewall nya. semoga membantu.

Originally Posted by pos_ronda

kalau isp nya udah mpls brarti bisa pakai vpls.

asal udah bisa ping 192.168.0.1 dari klien di cabang, tinggal di mikrotik cabang di seting untuk
/ip fi fi ad ch=forward dst-add=192.168.0.1 pro=tcp port=80 action=allow
/ip fi fi ad ch=for acti=drop

hal di atas jika routing nya sudah benar ya gan..
kuncinya routing dah bener, baru seting firewall nya. semoga membantu.

waaah makasih mas broe, pengetahuan baru nii "VPS" baru denger, tak cari tahu dan tak coba triks dari mas broe ini .. makasih mas broe, hasilnya saya update lagi disini ...

bukan VPS tapi VPLS bro, Virtual Private Lan Service.
Kelebihan MPLS VPLS sbb,

• Overhead lebih kecil (IP+label)
• Bisa diatur garansi bandwidth VPLS
• Administrasi dilakukan di level ISP
• Penambahan node baru tidak sulit

Hehehe, saya belum dapet solusi yg pas untuk konfigurasi diatas mas Broee,

Originally Posted by pos_ronda

asal udah bisa ping 192.168.0.1 dari klien di cabang, tinggal di mikrotik cabang di seting untuk
/ip fi fi ad ch=forward dst-add=192.168.0.1 pro=tcp port=80 action=allow
/ip fi fi ad ch=for acti=drop

hal di atas jika routing nya sudah benar ya gan..

sebenernya hanya dgn rule tsbut sudah beres kok..