Follow us on...
Follow us on G+ Follow us on Twitter Follow us on Facebook Watch us on YouTube
Register
Results 1 to 9 of 9
  1. #1
    Status
    Offline
    bulugading's Avatar
    Baru Gabung
    Join Date
    Jun 2010
    Location
    Jember, Jatim
    Posts
    9
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0

    Smile Mikrotik Untuk Accesslist Cabang Perkantoran

    Dh Mas Sekalian,

    Kami termasuk nubie di belantara FMI, mohon bantun mas sekalian untuk permasalahan yang belum bisa kami solved. Saat ini kami sedang RND policy firewall baru untuk di implementasikan di kantor cabang, ada sekian cabang dan masing-masing cabang menggunakan Mikrotik RB-750 sebagai routernya. Link data anatr cabang ke pusat menggunakan link MPLS/VPN Ip dari Telkom.

    Policy yang kami maksudkan adalah : cabang di kondisikan hanya bisa mengakses beberapa ip server yang ada di pusat, akses ke server tsb hanya boleh melalui port yang sudah kami define sebelumnya. Walaupun ip server tsb sudah di allow namun cabang masuk melalui port diluar yang kami pasangkan untuk server tsb, maka akses akan di drop/reject.

    Saat ini policy yg kami implementasikan adalah sebatas pembatasan port yg bisa diakses dari cabang ke pusat, belum membatasi ip server yang bisa di akses. Nah setingan ini kami input di # ip\firewall\filter.


    Mudah2-an topologi ini mewakili apa yg coba kami implementasikan :
    Click here to enlarge
    keterangan 1 :
    "Kantor cabang hanya bisa mengakses IP 192.168.0.1 via port 80, selain ip dan port tsb tidak bisa di akses dari kantor cabang"
    Semua setingan policy tersebut terdapat di Mikrotik yang ada di kantor cabang. Tujuan polciy ini, untuk memastikan bahwa cabang hanya bisa mengakses server yang sudah kita allow melalui port yang sudah kita buat. So semua traffik dari cabang sudah hampir kami pastikan bersih dari hal2 yang tdk kami inginkan.
    Kami sudah mencari petunjuk terkait konfigurasi ini ke berbagai sumber, namun sampai saat ini belum mendapatkan petunjuk yang pas untuk rencana tsb diatas. Mohon bantuan mas-mas sekalian.

  2. #2
    Status
    Offline
    m3tr0mini's Avatar
    Member Super Senior
    Join Date
    Sep 2007
    Posts
    660
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    sudah dicoba pake VPN /PPtP??? [tunnel]??

  3. #3
    Status
    Offline
    bulugading's Avatar
    Baru Gabung
    Join Date
    Jun 2010
    Location
    Jember, Jatim
    Posts
    9
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by m3tr0mini Click here to enlarge
    sudah dicoba pake VPN /PPtP??? [tunnel]??
    Ooh kita tidak memakai itu mas, soalnya kondisi link saat ini sudah memakai vpn-ip, paket komunikasi data corporate dari telkom yang memang sengaja kita sewa. Jadi antara cabang dan pusat sudah 1 cloud WAN. Saat ini saya mu membatasi apa2 yang bisa di-akses dari cabang ke pusat via mikrotik. Seperti ilustrasi yang digambarkan diatas.

    Cabang dan pusat beda segment, tapi tetep dalam 1 cloud WAN yang bisa saling berhubungan.

  4. #4
    Status
    Offline
    pos_ronda's Avatar
    VIP Member
    Join Date
    Aug 2009
    Location
    Sleman, Indonesia
    Posts
    887
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    kalau isp nya udah mpls brarti bisa pakai vpls.

    asal udah bisa ping 192.168.0.1 dari klien di cabang, tinggal di mikrotik cabang di seting untuk
    /ip fi fi ad ch=forward dst-add=192.168.0.1 pro=tcp port=80 action=allow
    /ip fi fi ad ch=for acti=drop

    hal di atas jika routing nya sudah benar ya gan..

    kuncinya routing dah bener, baru seting firewall nya. semoga membantu.

  5. #5
    Status
    Offline
    bulugading's Avatar
    Baru Gabung
    Join Date
    Jun 2010
    Location
    Jember, Jatim
    Posts
    9
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by pos_ronda Click here to enlarge
    kalau isp nya udah mpls brarti bisa pakai vpls.

    asal udah bisa ping 192.168.0.1 dari klien di cabang, tinggal di mikrotik cabang di seting untuk
    /ip fi fi ad ch=forward dst-add=192.168.0.1 pro=tcp port=80 action=allow
    /ip fi fi ad ch=for acti=drop

    hal di atas jika routing nya sudah benar ya gan..
    kuncinya routing dah bener, baru seting firewall nya. semoga membantu.
    waaah makasih mas broe, pengetahuan baru nii "VPS" baru denger, tak cari tahu dan tak coba triks dari mas broe ini .. makasih mas broe, hasilnya saya update lagi disini ...

  6. #6
    Status
    Offline
    pos_ronda's Avatar
    VIP Member
    Join Date
    Aug 2009
    Location
    Sleman, Indonesia
    Posts
    887
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    bukan VPS tapi VPLS bro, Virtual Private Lan Service.
    Kelebihan MPLS VPLS sbb,

    • Overhead lebih kecil (IP+label)
    • Bisa diatur garansi bandwidth VPLS
    • Administrasi dilakukan di level ISP
    • Penambahan node baru tidak sulit

  7. #7
    Status
    Offline
    bulugading's Avatar
    Baru Gabung
    Join Date
    Jun 2010
    Location
    Jember, Jatim
    Posts
    9
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Hehehe, saya belum dapet solusi yg pas untuk konfigurasi diatas mas Broee,

  8. #8
    Status
    Offline
    p4w1r0's Avatar
    Member
    Join Date
    Jul 2007
    Location
    dimana_mana_hatiku_senang
    Posts
    252
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by pos_ronda Click here to enlarge
    asal udah bisa ping 192.168.0.1 dari klien di cabang, tinggal di mikrotik cabang di seting untuk
    /ip fi fi ad ch=forward dst-add=192.168.0.1 pro=tcp port=80 action=allow
    /ip fi fi ad ch=for acti=drop

    hal di atas jika routing nya sudah benar ya gan..
    sebenernya hanya dgn rule tsbut sudah beres kok..

  9. #9
    Status
    Offline
    bulugading's Avatar
    Baru Gabung
    Join Date
    Jun 2010
    Location
    Jember, Jatim
    Posts
    9
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by bulugading Click here to enlarge
    Dh Mas Sekalian,

    Kami termasuk nubie di belantara FMI, mohon bantun mas sekalian untuk permasalahan yang belum bisa kami solved. Saat ini kami sedang RND policy firewall baru untuk di implementasikan di kantor cabang, ada sekian cabang dan masing-masing cabang menggunakan Mikrotik RB-750 sebagai routernya. Link data anatr cabang ke pusat menggunakan link MPLS/VPN Ip dari Telkom.

    Policy yang kami maksudkan adalah : cabang di kondisikan hanya bisa mengakses beberapa ip server yang ada di pusat, akses ke server tsb hanya boleh melalui port yang sudah kami define sebelumnya. Walaupun ip server tsb sudah di allow namun cabang masuk melalui port diluar yang kami pasangkan untuk server tsb, maka akses akan di drop/reject.

    Saat ini policy yg kami implementasikan adalah sebatas pembatasan port yg bisa diakses dari cabang ke pusat, belum membatasi ip server yang bisa di akses. Nah setingan ini kami input di # ip\firewall\filter.


    Kami sudah mencari petunjuk terkait konfigurasi ini ke berbagai sumber, namun sampai saat ini belum mendapatkan petunjuk yang pas untuk rencana tsb diatas. Mohon bantuan mas-mas sekalian.
    Seep mas broe, permasalahan diatas sudah solved, adapun langkah2 yang saya lakukan adalah sbb :
    1. memastikan cabang bisa ping server yang ada di pusat
    2. membuat address list server-server yang boleh di akses dari cabang, sbb :
    ip firewall address-list add list=APP-1 address=192.168.0.1
    ip firewall address-list add list=APP-2 address=192.168.0.2

    3. membuat & mendefinisikan mangle untuk menandai paket yang boleh di akses, sbb :
    ip firewall mangle add chain=forward action=mark-packet new-packet-mark=APP-1-MARK-PACKET passthrough=yes protocol=tcp dst-address-list=CONFINS-1 dst-port=80 comment=APP-1 disabled=yes
    ip firewall mangle add chain=forward action=mark-packet new-packet-mark=APP-2-MARK-PACKET passthrough=yes protocol=tcp dst-address-list=CONFINS-2 dst-port=8080 comment= APP-2 disabled=yes

    4. membuat filtering untuk aktivasi beberapa mangle yang sebelumnya sudah di buat, sbb :
    ip firewall filter add chain=forward action=accept in-interface=LAN packet-mark=APP-1-MARK-PACKET comment=APP-1-POLICY disabled=yes
    ip firewall filter add chain=forward action=accept in-interface=LAN packet-mark=APP-2-MARK-PACKET comment=APP-2-POLICY disabled=yes
    ip firewall filter add chain=forward action=reject reject-with=icmp-network-unreachable protocol=tcp in-interface=LAN comment=CLOSED-ALL disabled=yes


    Sekian mas broe sekalian, saat ini semua policy sudah berjalan sebagaimana yg di inginkan.. Therimakasih...
    Last edited by bulugading; 09-12-2011 at 10:32.

 

 

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Similar Threads

  1. [Jual] ARTHANET promo internet dedicated warnet,game center,perkantoran..
    By setan_kecil in forum ISP / Network Link
    Replies: 56
    Last Post: 20-10-2016, 10:15
  2. [Lowongan] Manager Cabang DCS
    By xeon in forum Lowongan
    Replies: 19
    Last Post: 18-04-2011, 16:53
  3. [Jual] ISP BiGnet cabang Bandung
    By herry abdillah in forum ISP / Network Link
    Replies: 0
    Last Post: 22-11-2010, 05:59
  4. Internet untek RT/RWnet, warnet, perkantoran Murah.
    By d4m4n6 in forum ISP / Network Link
    Replies: 56
    Last Post: 07-02-2010, 21:57
  5. Adaptasi di lingkunga Perkantoran
    By putra A in forum Articles
    Replies: 0
    Last Post: 03-02-2010, 12:08

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •