Follow us on...
Follow us on G+ Follow us on Twitter Follow us on Facebook Watch us on YouTube
Register
Results 1 to 6 of 6
  1. #1
    Status
    Offline
    Endry's Avatar
    Baru Gabung
    Join Date
    Oct 2009
    Posts
    9
    Reviews
    Read 0 Reviews
    Downloads
    4
    Uploads
    0
    Feedback Score
    0

    Saran Untuk memBypass HIT Proxy Client Hotspot

    Hallo rekan-rekan FMI semua,
    Saya baru saja menyelesaikan installasi dan konfigurasi pada Squid Proxy yang saya gunakan sebagai proxy eksternal MikroTik.
    Dikarenakan keterbatasan resource ( Perangkat ) yang saya gunakan, maka dari itu saya memutuskan untuk menggunakan topologi sebagai berikut :

    Click here to enlarge

    Sedikit penjelasan kenapa saya menggunakan topologi yang sebenarnya saya juga tidak "sreg" dengan topologi seperti ini.

    1. RB450 G lisensi level 5, sementara saya membutuhkan lisensi level 6 untuk mendukung unlimited active sesion hotspot
    2. PC x86 hanya memiliki 2 port lancard, lisensi level 6
    2. PC Proxy hanya memiliki 1 port lancard ( Onboard Rusak )
    Dan berikut ini penjelasan singkat mengenai fungsi dari Masing-masing perangkat dalam topologi tersebut :

    Modem ADSL : Berfungsi sebagai Link Internet
    RB450G : Sebagai Gateway untuk PC x86 dan PC Proxy
    PCx86 : Sebagai Hotspot gateway ( Database user Menggunakan Usermanager )
    Proxy : Sebagai Proxy Server yang melayani client PCx86 ( Client Hotspot )
    Code:
    Network address RB450G :
    192.168.1.2/30 to Modem
    192.168.2.1/30 to x86 
    192.168.3.1/30 to Proxy
    
    Network address x86 :
    192.168.2.2/30 to RB450G
    192.168.12.0/23 to Client Hotspot
    
    Network address Proxy :
    192.168.3.2/30 to RB450G
    Saat ini proxy bekerja dengan baik dan dapat melakukan caching dengan baik, transparent proxy juga bekerja pada client Hotspot.
    Proses NAT Proxy saya lakukan di sisi RB450G, sedangkan NAT di sisi x86 hanya masqurade network Client Hotspot saja.
    Yang menjadi kendala user yang dibuat di usermanager belum bisa membypass Proxy HIT, atau dengan katalain selain user tanpa limitasi di profile hotspot, HIT Proxy masih terlimit oleh que.

    Saya sudah mencoba trik untuk mengatasi dynamic que dengan menggunakan script dan tentu saja dengan menandai paket proxy hit terlebih dahulu di mangle dan membuat simple que dengan paket mark proxy hit tersebut. Script dynamic que berjalan dengan baik..namun client masih belum bisa membypass trafic HIT Proxy

    Saya juga sudah mencoba dengan menggunakan quee tree, namun hasilnya tetap sama

    Berikut Mangle yang saya gunakan untuk menandai paket Proxy Hit :

    Code:
    /ip firewall mangle add action=mark-packet chain=prerouting comment="PROXY HIT" disabled=no dscp=12 new-packet-mark=proxy-hit passthrough=no
    Dengan Que tree:
    Code:
    /queue tree add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=pmark packet-mark=proxy-hit parent=global-out priority=1 queue=default
    Dengan Simplequeu:
    Code:
    /queue simple
    add max-limit=100M/100M name="Proxy-HIT" packet-marks=proxy-hit priority=1 interface=all
    NAT Proxy Transparent disisi RB:
    Code:
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-port=80,8080,3128 protocol=tcp src-address=!192.168.3.2 to-addresses=192.168.3.2 to-ports=3128
    add action=masquerade chain=srcnat comment="Masqurade To x86" out-interface=WAN
    Demikian beberapa keterangan mengenai kondisi jaringan saya..
    Mohon rekan-rekan FMI memberikan masukan dan saran untuk mengatasi kendala tersebut yang belum bisa saya pecahkan sendiri, sekedar informasi sebelum membuat thread ini tentu saja saya sudah melakukan uji coba berbagai trik yang telah dibahas di FMI dengan rekan-rekan yang memiliki kendala seperti saya dan melakukan beberapa penyesuaian, namun tentu saja saya tidak akan memposting jika trik tersebut berhasil untuk diterapkan pada jaringan saya meski dikasus yang lain trik-trik yang telah dibahas berhasil di implementasikan.

    Saya ucapkan terimakasih kepada rekan-rekan FMI yang bersedia berbagi masukan dan saran untuk kasus saya dengan topologi dan keterangan yang telah saya sampaikan seperti diatas.

    Jika ada hal yang perlu diketahui untuk melengkapi penjelasan saya diatas, saya akan melengkapinya kemudian.
    Terimakasih

  2. #2
    Status
    Offline
    Anto.PJ's Avatar
    Forum Guru
    Join Date
    May 2011
    Location
    macz
    Posts
    1,696
    Reviews
    Read 0 Reviews
    Downloads
    7
    Uploads
    0
    Feedback Score
    0
    untuk hit packet hotspot, sebaiknya di check dulu, apa betul pake dscp 12? dimangle HIT ada packet tercounter ga?
    ROS yang digunakan versi berapa? karena ada perubahan banyak setelah v6 diluncurkan, agak2 beda di packet flow

    om bisa bermain VLAN aja untuk mengatasi kekurangan interface
    VLAN kan bisa di bridge dengan interface fisik..
    jika klien >500 user, topologi diatas udah cucook buat ane.. Click here to enlarge
    RB450G mungkin mabok handle client sebanyak itu

  3. #3
    Status
    Offline
    Endry's Avatar
    Baru Gabung
    Join Date
    Oct 2009
    Posts
    9
    Reviews
    Read 0 Reviews
    Downloads
    4
    Uploads
    0
    Feedback Score
    0
    Hallo Pak Anto,
    Terimakasih sudah merespons dan memberi masukan.

    Saya lupa menginformasikan lebih detil mengenai ROS yang saya gunakan , saya menggunakan ROS V6.7
    Sepertinya yang Pak Anto sampaikan mengenai paket flow v6 yang mungkin menjadi kendala, untuk DSCP TOS sudah benar menggunakan DSCP 12 dan ZPH pada squid menggunakan mode TOS pula

    zph_mode tos
    zph_local 0x30
    zph_parent 0
    zph_option 136
    Saya sempat utak-atik kembali..dan berhasil membypass HIT Proxy dari client Hotspot dan trafic tercounter dengan baik, namun hasilnya membuat koneksi tidak stabil dan sering RTO jika cache HIT dalam kapasitas 10-20Mb dibypass
    Saya setuju juga dengan saran Pak Anto untuk menggunakan Vlan, namun saat ini perangkat yang berjalan untuk sementara saya ubah fungsinya saja. Kedepan Vlan mungkin bisa dipertimbangkan untuk di implementasikan.

    Saat ini Topologi masih sama seperti gambar di atas kecuali client hotspot yang sekarang tidak lagi dilewatkan dari x86 , saya merubah beberapa fungsi perangkat. Berikut detailnya :

    RB450G : yang sebelumnya hanya berfungsi sebagai Gateway untuk PC x86 dan PC Proxy, sekarang bertambah fungsi sebagai Hotspot Server
    PCx86 : Yang sebelumnya berfungsi Sebagai Hotspot gateway berubah fungsi menjadi Database Userman
    Jadi autentifikasi Client hotspot melalui database userman yang ada di x86, di RB450G hanya bertindak sebagai hotspot server. Mengingat kemampuan 450G dengan beban kerja yang besar, skenario ini hanya bersifat temporary saja. Untuk sementara resource 450G berkisar 30-60 % dengan full trafic dan user

    Sama seperti Pak Anto tentu lebih baik menggunakan x86 untuk semua service yang dibutuhkan tersebut ( Hotspot server, Firewall, userman dll ), kedepan opsi untuk mengimplementasikan Vlan pada jaringan saya akan menjadi prioritas. Untuk sementara menggunakan skenario seperti yang sedang berjalan sambil melakukan observasi dengan kondisi sekarang. Dan tentu saja sambil menyiapkan skenario VLAN dan plan lainya.

    Sekali lagi terimakasih saya sampaikan untuk Pak Anto,

    Salam

  4. #4
    Status
    Offline
    Anto.PJ's Avatar
    Forum Guru
    Join Date
    May 2011
    Location
    macz
    Posts
    1,696
    Reviews
    Read 0 Reviews
    Downloads
    7
    Uploads
    0
    Feedback Score
    0
    kalo soal RTO akibat trafik 20-30 Mbps itu karena trafik sebesar itu terlalu di "utilisasi" oleh firewall

  5. #5
    Status
    Offline
    Endry's Avatar
    Baru Gabung
    Join Date
    Oct 2009
    Posts
    9
    Reviews
    Read 0 Reviews
    Downloads
    4
    Uploads
    0
    Feedback Score
    0
    Terimakasih Pak Anto, akan saya review kemali konfigurasinya Click here to enlarge

  6. #6
    Status
    Offline
    Noeg Waskito's Avatar
    Member Senior
    Join Date
    Aug 2012
    Location
    Jogja
    Posts
    405
    Reviews
    Read 0 Reviews
    Downloads
    1
    Uploads
    0
    Feedback Score
    0
    mengapa pc x86 ga dijadiin backbone router? semua rule firewall, queue, userman, radius ditaruh di sana?
    450g sebagai switch aja

 

 

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Similar Threads

  1. [ASK] Rule apa untuk membypass simple queue pada mikrotik ?
    By eteve in forum General Networking
    Replies: 4
    Last Post: 09-10-2013, 23:09
  2. hotspot membypass login pake ip address lain yg lupa logout
    By chandragpln in forum General Networking
    Replies: 28
    Last Post: 11-02-2013, 03:30
  3. [ASK] Membypass 1 Ip agar tidak melalui proxy
    By jeffry christopher in forum General Networking
    Replies: 7
    Last Post: 25-09-2012, 17:20
  4. [ASK] client hotspot tidak bisa lewat proxy
    By silasdrang in forum Wireless Networking
    Replies: 2
    Last Post: 17-01-2012, 12:55
  5. [ask]proxy jalan tapi mikrotik tidak mau membypass situs tertentu
    By troyPollux in forum General Networking
    Replies: 0
    Last Post: 24-05-2010, 13:11

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •