Follow us on...
Follow us on G+ Follow us on Twitter Follow us on Facebook Watch us on YouTube
Register
Results 1 to 15 of 15
  1. #1
    Status
    Offline
    Nitroman's Avatar
    Baru Gabung
    Join Date
    Jun 2012
    Posts
    7
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0

    Configurasi Mikrotik Firewall Tanpa NAT

    Halo teman-teman mikrotik,

    Saya mau tanya donk Mikrotik sanggup ga sih bekerja sebagai "FIREWALL SAJA" dengan mengandalkan "FILTER RULES" saja tanpa NAT sama sekali

    Saya sudah melihat beberapa tutorial yang menggunakan IP Public /30 atau memiliki 1 block IP hingga Gateway --> Tentu saja hal ini sangat tidak mungkin bagi User Biasa seperti kita kan?

    Ada solusi lain ga selain memiliki Block IP Public?

    1. Pada intinya saya hanya ingin menggunakan Mikrotik sebagai "FIREWALL HARDWARE" yang mengandalkan "FILTER RULES" saja
    2. Saat ini saya sudah menggunakan NAT dan ternyata CPU Usage mencapai 89-99% per detiknya dan koneksi menjadi lambat ketika CPU Usage mencapai 99%
    3. Sepertinya terlalu berat karena terlalu banyaknya Koneksi yang berlalu-lalang di NAT dan Queue nya tinggi
    4. Network Plannernya seperti ini:
    User Membuka Web --> IP Provider/Web (e.g.: 114.11.23.8) ---> Mikrotik ---> CPU Server WebHost
    Ini digunakan untuk WebHosting jadi User akan banyak koneksi masuk ke arah 114.11.23.8, kalau menggunakan NAT akan over CPU Usage nya soalnya Usernya cukup banyak per detik nya.
    Gimana yah solusinya supaya CPU Usage kecil alias NAT mati (menurut informasi jika NAT mati = CPU Usage berkurang jauh, karena tidak Routing NAT lagi melainkan Direct Route)

    Berikut saya sertakan Gambar Profiling dan CPU Usage nya:
    Click here to enlarge
    Last edited by Nitroman; 29-06-2012 at 02:26.

  2. #2
    Status
    Offline
    dhopack's Avatar
    Forum Guru
    Join Date
    Dec 2010
    Location
    KUDUS
    Posts
    1,919
    Reviews
    Read 0 Reviews
    Downloads
    2
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by Nitroman Click here to enlarge
    ...
    2. Saat ini saya sudah menggunakan NAT dan ternyata CPU Usage mencapai 89-99% per detiknya dan koneksi menjadi lambat ketika CPU Usage mencapai 99%
    ...
    kalau boleh tahu pake RB atau pcrouter?kalau pcrouter mungkin bisa cb ganti prosesornya dengan clock yang lebih tinggi kalau tidak salah semakin tinggi kecepatan prosesor maka paket yang diproses semakin cepat, mungkin bisa coba pake AMD fx-8150(buldozer) dengan clock speed 3,6Ghz atau intel core i7 2700k 3,8Ghz atau sekalian prosesor khusus server,
    CMIIW lho hehehe
    Click here to enlarge

  3. #3
    Status
    Offline
    Nitroman's Avatar
    Baru Gabung
    Join Date
    Jun 2012
    Posts
    7
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    berarti sama saja anda menyarankan saya ganti Router donk yah, padahal baru beli ini mikrotik RB T_T ? Baruu aja bergabung ke mikrotik alias baru beli masa langsung harus beli baru T_T

    Saya pake RB masalahnya bukan PCrouter

  4. #4
    Status
    Offline
    pos_ronda's Avatar
    VIP Member
    Join Date
    Aug 2009
    Location
    Sleman, Indonesia
    Posts
    887
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    spec jaringan nya gimana? berapa komputer? bandwidth berapa?
    Gunakan FreeRadius sebagai pengganti user manager

  5. #5
    Status
    Offline
    Nitroman's Avatar
    Baru Gabung
    Join Date
    Jun 2012
    Posts
    7
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by pos_ronda Click here to enlarge
    spec jaringan nya gimana? berapa komputer? bandwidth berapa?
    wah spec jaringan sih kayak pada umumnya provider aja kali yah, ga gitu penting kan?

    pertanyaan gw cuma bisa ga Mikrotik dijadikan Firewall Tanpa NAT
    Last edited by Nitroman; 29-06-2012 at 12:25.

  6. #6
    Status
    Offline
    Anto.PJ's Avatar
    Forum Guru
    Join Date
    May 2011
    Location
    macz
    Posts
    1,696
    Reviews
    Read 0 Reviews
    Downloads
    7
    Uploads
    0
    Feedback Score
    0
    tergantung berapa BW dan PPS yang harus dilewatkan.. karena sebagai firewall, berarti mikrotik harus mengechek setiap paket yang keluar masuk, melakukan drop-reject-return kepada paket yang ditolak. dan itu membutuhkan kemampuan penuh processor.
    struktur firewall yang bagus akan menghasilkan pertahanan yang baik dan secukupnya tanpa menguras resource
    untuk RB, ane ngasih suggest
    -uninstall package yang ga terlalu dibutuhkan,
    -jika PPS diatas 10ribu, mulailah melirik PowerPC

    untuk sekelas provider,core router minimal banget RB450G..
    walau BW hanya 5Mbps, tapi kalo koneksi parallel yang terjadi sampai 10-50ribuan, Firewall manapun pasti sangat sibuk..

    Berikut saya sertakan Gambar Profiling dan CPU Usage nya:
    Click here to enlarge
    ane liat, disitu juga terpakai untuk queue..
    mungkin bisa begini.. tambahkan saja router serupa untuk tugasnya masing-masing
    Firewall+LB+Router utama=1 RB
    BW management=1 RB

    beres..
    Last edited by Anto.PJ; 29-06-2012 at 13:00.

  7. #7
    Status
    Offline
    Nitroman's Avatar
    Baru Gabung
    Join Date
    Jun 2012
    Posts
    7
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by Anto.PJ Click here to enlarge
    tergantung berapa BW dan PPS yang harus dilewatkan.. karena sebagai firewall, berarti mikrotik harus mengechek setiap paket yang keluar masuk, melakukan drop-reject-return kepada paket yang ditolak. dan itu membutuhkan kemampuan penuh processor.
    struktur firewall yang bagus akan menghasilkan pertahanan yang baik dan secukupnya tanpa menguras resource
    untuk RB, ane ngasih suggest
    -uninstall package yang ga terlalu dibutuhkan,
    -jika PPS diatas 10ribu, mulailah melirik PowerPC

    untuk sekelas provider,core router minimal banget RB450G..
    walau BW hanya 5Mbps, tapi kalo koneksi parallel yang terjadi sampai 10-50ribuan, Firewall manapun pasti sangat sibuk..



    ane liat, disitu juga terpakai untuk queue..
    mungkin bisa begini.. tambahkan saja router serupa untuk tugasnya masing-masing
    Firewall+LB+Router utama=1 RB
    BW management=1 RB

    beres..
    eh ia bro Anton bener juga solusi lu... Pinter jg bro!!! oke gw coba dulu bro Click here to enlarge

  8. #8
    Status
    Offline
    pos_ronda's Avatar
    VIP Member
    Join Date
    Aug 2009
    Location
    Sleman, Indonesia
    Posts
    887
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by Nitroman Click here to enlarge
    wah spec sih kayak pada umumnya provider aja kali yah ga gitu penting kan?

    pertanyaan gw cuma bisa ga Mikrotik dijadikan Firewall Tanpa NAT
    Click here to enlarge Originally Posted by dhopack Click here to enlarge
    kalau boleh tahu pake RB atau pcrouter?kalau pcrouter mungkin bisa cb ganti prosesornya dengan clock yang lebih tinggi kalau tidak salah semakin tinggi kecepatan prosesor maka paket yang diproses semakin cepat, mungkin bisa coba pake AMD fx-8150(buldozer) dengan clock speed 3,6Ghz atau intel core i7 2700k 3,8Ghz atau sekalian prosesor khusus server,
    CMIIW lho hehehe
    Click here to enlarge
    saya hanya menekankan pertanyaan bro dhopack, sebagai perbandingan disini pakai 450g b/w 10 mbps untuk handle 170 komputer berjalan normal2 saja. kalau diliat dari profile, mungkin saja queue dan ip filter nya bejibun..
    mungkin yang di bawah bisa membantu..

    CPU RB 450, warnet, LB 2x2mbps 40 komputer

    Click here to enlarge
    Gunakan FreeRadius sebagai pengganti user manager

  9. #9
    Status
    Offline
    Nitroman's Avatar
    Baru Gabung
    Join Date
    Jun 2012
    Posts
    7
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by pos_ronda Click here to enlarge
    saya hanya menekankan pertanyaan bro dhopack, sebagai perbandingan disini pakai 450g b/w 10 mbps untuk handle 170 komputer berjalan normal2 saja. kalau diliat dari profile, mungkin saja queue dan ip filter nya bejibun..
    mungkin yang di bawah bisa membantu..

    CPU RB 450, warnet, LB 2x2mbps 40 komputer

    Click here to enlarge

    oh beda bro gw buat Proteksi Firewall koneksi per menit bisa 1000 user
    tapi emang sih klo queue gw matiin jadi berkurang 30% CPU Usage tpai masi 70% an kerjanya agak "rawan"
    Last edited by Nitroman; 29-06-2012 at 13:35.

  10. #10
    Status
    Offline
    yosanpro's Avatar
    Co-Admin
    Join Date
    Nov 2007
    Location
    Bantul, Bantul, Yogyakarta
    Posts
    2,548
    Reviews
    Read 0 Reviews
    Downloads
    11
    Uploads
    4
    Feedback Score
    1 (100%)
    Ane lihat disini pembahasan mulai bergeser ke "CPU resource" karena ternyata inti permasalahan TS ada di sana. Tetapi daripada tidak ada yang menjawab pertanyaan asli TS, ane coba kasih gambaran dikit deh.

    Konfigurasi Firewall tanpa NAT/Masquerade bisa dilakukan jika anda memiliki blok IP publik sebanyak klien anda, artinya tiap klien mendapat 1 IP publik. Routing bisa dilakukan dengan static routing ataupun dynamic routing (untuk dynamic routing semacam BGP membutuhkan CPU resource yang tinggi pada saat peering). Jika anda tidak memiliki range IP public sebanyak klien anda, anda masih bisa mengkonfigurasi Mikrotik tanpa NAT (hanya dengan routing) jika anda mengalihkan NAT ke router lain (artinya anda membutuhkan router tambahan untuk menangani NAT). Jadi, jika anda masih menggunakan IPv4 dan jumlah klien anda lebih banyak daripada alokasi IP publik anda, maka anda tetap memerlukan NAT untuk menerjemahkan alamat IP lokal ke alamat IP publik di suatu tempat di jaringan anda.

    Dan sesuai saran rekan-rekan lain, jika CPU resource anda telah berada di titik rawan, saya sarankan untuk mengganti router anda dengan router yang lebih powerful (atau seperti saran bro Anto.Pj, memisahkan tugas router). Optimasi rule bisa dilakukan, tetapi jika trafik (bandwidth & pps) yang dilewatkan cukup besar, saya kira optimasi rule tidak banyak membantu mengurangi CPU resource.
    Last edited by yosanpro; 29-06-2012 at 23:25.
    A person's junk is another person's treasure.

  11. #11
    Status
    Offline
    dhopack's Avatar
    Forum Guru
    Join Date
    Dec 2010
    Location
    KUDUS
    Posts
    1,919
    Reviews
    Read 0 Reviews
    Downloads
    2
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by Nitroman Click here to enlarge
    wah spec jaringan sih kayak pada umumnya provider aja kali yah, ga gitu penting kan?

    ...
    sekelas provider kok masih pake RB(entah itu provider beneran/provider lokal/provider2an), jika memang jaringannya membutuhkan resource cpu yang tinggi kenapa gak ngelirik selain RB,
    Click here to enlarge

  12. #12
    Status
    Offline
    Nitroman's Avatar
    Baru Gabung
    Join Date
    Jun 2012
    Posts
    7
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by dhopack Click here to enlarge
    sekelas provider kok masih pake RB(entah itu provider beneran/provider lokal/provider2an), jika memang jaringannya membutuhkan resource cpu yang tinggi kenapa gak ngelirik selain RB,
    Click here to enlarge
    Sorry bro dhopack keliatannya anda ga mengerti yang saya maksud. Spec jaringan karena saya hosting. Brarti jaringan saya ngikut provider saya. Jadi saya kurang jelas tepatnya berapa. Tapi saya yakin pada umumnya provider webhosting saja jaringannya seberapa. Untuk saya sendiri cuma Customer dari provider tersebut. Bukan saya = provider bro.

    Click here to enlarge Originally Posted by yosanpro Click here to enlarge
    Ane lihat disini pembahasan mulai bergeser ke "CPU resource" karena ternyata inti permasalahan TS ada di sana. Tetapi daripada tidak ada yang menjawab pertanyaan asli TS, ane coba kasih gambaran dikit deh.

    Konfigurasi Firewall tanpa NAT/Masquerade bisa dilakukan jika anda memiliki blok IP publik sebanyak klien anda, artinya tiap klien mendapat 1 IP publik. Routing bisa dilakukan dengan static routing ataupun dynamic routing (untuk dynamic routing semacam BGP membutuhkan CPU resource yang tinggi pada saat peering). Jika anda tidak memiliki range IP public sebanyak klien anda, anda masih bisa mengkonfigurasi Mikrotik tanpa NAT (hanya dengan routing) jika anda mengalihkan NAT ke router lain (artinya anda membutuhkan router tambahan untuk menangani NAT). Jadi, jika anda masih menggunakan IPv4 dan jumlah klien anda lebih banyak daripada alokasi IP publik anda, maka anda tetap memerlukan NAT untuk menerjemahkan alamat IP lokal ke alamat IP publik di suatu tempat di jaringan anda.

    Dan sesuai saran rekan-rekan lain, jika CPU resource anda telah berada di titik rawan, saya sarankan untuk mengganti router anda dengan router yang lebih powerful (atau seperti saran bro Anto.Pj, memisahkan tugas router). Optimasi rule bisa dilakukan, tetapi jika trafik (bandwidth & pps) yang dilewatkan cukup besar, saya kira optimasi rule tidak banyak membantu mengurangi CPU resource.
    Permasalahannya kan gw sewa hosting, jadi kalau gw tambah router yang lebih besar apa lagi pakai PC-Router (2U) cukup mahal penambahannya lebih dari server itu sendiri malah. Karena itu masuk program Collocation. Dan terlebih lagi saat ini saya benar2 baru 1 bulan membeli RB kalau sudah di suruh mengganti router agak gmn yah bro. Harusnya sih di coba diusahakan dulu kan kalau bisa. Makanya saya bertanya di sini. Tapi klo mikrotik ga bisa yah sudah mau gmn lagi.

    Kalau menggunakan cara pemisahan saat ini saya sudah coba menggunakan 2 RB:
    1. Queue dan Bandwith Management
    2. NAT + Firewall

    Akan tetapi, yang NAT+Firewall saja sudah mencapai 70% sedangkan Queue mencapai 60%. Jadi dalam kurun waktu 1-2 bulan ketika user mulai bertambah sepertinya saya sudah harus ganti lagi Routernya. Ga ada abisnya ganti terus T_T

    Jadi kesimpulannya Mikrotik ataupun Firewall lain akan selalu menggunakan NAT untuk menterjemahkan IP. Berarti pilihan terakhir adalah Mikrobits atau PC-Router yah. Karena Blok IP /30 tidak mungkin di dapatkan hanya dengan Hosting.
    Last edited by Nitroman; 30-06-2012 at 10:56.

  13. #13
    Status
    Offline
    xeon's Avatar
    Verified Account - Partner
    Join Date
    Mar 2008
    Location
    DKI Jakarta
    Posts
    1,539
    Reviews
    Read 0 Reviews
    Downloads
    3
    Uploads
    0
    Feedback Score
    2 (100%)
    Click here to enlarge Originally Posted by Nitroman Click here to enlarge
    Halo teman-teman mikrotik,

    Saya mau tanya donk Mikrotik sanggup ga sih bekerja sebagai "FIREWALL SAJA" dengan mengandalkan "FILTER RULES" saja tanpa NAT sama sekali
    Pertanyaannya simple, jawabannya juga simple. Bisa.

  14. #14
    Status
    Offline
    Anto.PJ's Avatar
    Forum Guru
    Join Date
    May 2011
    Location
    macz
    Posts
    1,696
    Reviews
    Read 0 Reviews
    Downloads
    7
    Uploads
    0
    Feedback Score
    0
    warnet aja banyak yang pake pc-router kok..

    ane pake ini
    Click here to enlarge


    buat gantiin ini
    Click here to enlarge

    hanya gara2 ethernet kurang..
    Last edited by Anto.PJ; 30-06-2012 at 22:05.

  15. #15
    Status
    Offline
    Nitroman's Avatar
    Baru Gabung
    Join Date
    Jun 2012
    Posts
    7
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    bro Anto PJ

    permasalahannya tidak bisa seperti itu.

    Di sini kan Webhosting. Saya sewa hosting. Jadi klo tambah PC router (sewa tempat) dan cukup mahal perbulannya.

 

 

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Similar Threads

  1. [ASK] liat script firewall atau configurasi keseluruhan?
    By arzhi in forum Scripting @ Mikrotik
    Replies: 7
    Last Post: 01-05-2012, 05:17
  2. configurasi wireless outdoor RB600
    By kiszza in forum Wireless Networking
    Replies: 5
    Last Post: 02-12-2009, 03:15
  3. Configurasi Hotspot di RB433
    By purwanto in forum Wireless Networking
    Replies: 9
    Last Post: 17-11-2009, 09:32
  4. Mohon Bantuannya (IP Configurasi)
    By cryz in forum Scripting @ Mikrotik
    Replies: 5
    Last Post: 06-12-2008, 16:59

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •