Translate

IDN Networking Competition 2017 Write-Up (MikroTik)

IDN Networking Competition 2017 Write-Up
(MikroTik)
Michael Takeuchi

0. Tahap 0 – Menggambar Topologi
Diatas ini adalah topologi perlombaan yang digambarkan oleh juri perlombaan dan dibawah ini adalah topologi perlombaan yang saya gambar sendiri

1. Tahap 1 – Membuat RoMON
/tool romon
set enabled=yes secrets=idncompetition2017
Pada semua router memiliki config yang sama dan romon ini berfungsi agar kita bisa mengakses semua router yang terhubung secara Layer 2 ini dari router ISP

2. Tahap 2 – Konfigurasi VLAN Core-JKT
/interface bridge
add name=VLAN10
add name=VLAN20
add name=VLAN30
add name=VLAN40
add name=VLAN99
/interface vlan
add interface=ether3 name=vlan10-LT1 vlan-id=10
add interface=ether4 name=vlan10-LT2 vlan-id=10
add interface=ether3 name=vlan20-LT1 vlan-id=20
add interface=ether4 name=vlan20-LT2 vlan-id=20
add interface=ether3 name=vlan30-LT1 vlan-id=30
add interface=ether4 name=vlan30-LT2 vlan-id=30
add interface=ether5 name=vlan30-LT3 vlan-id=30
add interface=ether4 name=vlan40-LT2 vlan-id=40
add interface=ether5 name=vlan40-LT3 vlan-id=40
add interface=ether3 name=vlan99-LT1 vlan-id=99
add interface=ether4 name=vlan99-LT2 vlan-id=99
add interface=ether5 name=vlan99-LT3 vlan-id=99
/interface bridge port
add bridge=VLAN10 interface=vlan10-LT1
add bridge=VLAN10 interface=vlan10-LT2
add bridge=VLAN20 interface=vlan20-LT1
add bridge=VLAN20 interface=vlan20-LT2
add bridge=VLAN30 interface=vlan30-LT1
add bridge=VLAN30 interface=vlan30-LT2
add bridge=VLAN30 interface=vlan30-LT3
add bridge=VLAN40 interface=vlan40-LT3
add bridge=VLAN40 interface=vlan40-LT2
add bridge=VLAN99 interface=vlan99-LT1
add bridge=VLAN99 interface=vlan99-LT2
add bridge=VLAN99 interface=vlan99-LT3
/ip address
add address=192.168.10.1/24 interface=VLAN10 network=192.168.10.0
add address=192.168.20.1/24 interface=VLAN20 network=192.168.20.0
add address=192.168.30.1/24 interface=VLAN30 network=192.168.30.0
add address=192.168.40.1/24 interface=VLAN40 network=192.168.40.0
add address=192.168.99.1/24 interface=VLAN99 network=192.168.99.0
add address=20.20.20.2/30 interface=ether1 network=20.20.20.0
add address=30.30.30.2/30 interface=ether2 network=30.30.30.0
/ip pool
add name=dhcp_pool1 ranges=192.168.20.2-192.168.20.254
add name=dhcp_pool2 ranges=192.168.30.2-192.168.30.254
add name=dhcp_pool3 ranges=192.168.40.2-192.168.40.254
add name=hs-pool-9 ranges=192.168.10.2-192.168.10.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=VLAN20 name=dhcp2
add address-pool=dhcp_pool2 disabled=no interface=VLAN30 name=dhcp3
add address-pool=dhcp_pool3 disabled=no interface=VLAN40 name=dhcp4
add add-arp=yes address-pool=hs-pool-9 disabled=no interface=VLAN10 lease-time=1h name=dhcp5
/ip dhcp-server network
add address=192.168.10.0/24 comment="hotspot network" gateway=192.168.10.1
add address=192.168.20.0/24 gateway=192.168.20.1
add address=192.168.30.0/24 gateway=192.168.30.1
add address=192.168.40.0/24 gateway=192.168.40.1
Ditahap 2 ini kita mengkonfigurasikan semua VLAN dan DHCP Server pada Core Router Jakarta

3. Tahap 3 – Konfigurasi VLAN Pada JKT-LT1
/interface bridge
add name=br-vlan10
add name=br-vlan20
add name=br-vlan30
/interface bridge port
add bridge=br-vlan10 interface=vlan10
add bridge=br-vlan10 interface=ether2
add bridge=br-vlan20 interface=vlan20
add bridge=br-vlan20 interface=ether3
add bridge=br-vlan30 interface=vlan30
add bridge=br-vlan30 interface=ether4
/interface vlan
add interface=ether1 name=vlan10 vlan-id=10
add interface=ether1 name=vlan20 vlan-id=20
add interface=ether1 name=vlan30 vlan-id=30
add interface=ether1 name=vlan99 vlan-id=99
/ip address
add address=192.168.99.2/24 interface=vlan99 network=192.168.99.0
/ip route
add gateway=192.168.99.1


Ditahap 3 ini kita mengkonfigurasikan VLAN pada Router Jakarta Lantai 1 agar trunking dengan Core Jakarta dan memberikan akses ke end-devices yang ada dibawahnya

4. Tahap 4 – Konfigurasi VLAN JKT-LT2-1
/interface bridge
add name=br-vlan10
add name=br-vlan20
add name=br-vlan30
add name=br-vlan40
add name=br-vlan99
/interface vlan
add interface=ether1 name=vlan10 vlan-id=10
add interface=ether1 name=vlan20 vlan-id=20
add interface=ether3 name=vlan20toDist vlan-id=20
add interface=ether1 name=vlan30 vlan-id=30
add interface=ether3 name=vlan30toDist vlan-id=30
add interface=ether1 name=vlan40 vlan-id=40
add interface=ether3 name=vlan40toDist vlan-id=40
add interface=ether1 name=vlan99 vlan-id=99
/ip address 
add address=192.168.99.3/24 interface=vlan99 network=192.168.99.0
/ip route 
add distance=1 gateway=192.168.99.1

Pada tahap 4 ini kita juga mengkonfigurasikan VLAN namun pada beda router, yaitu Router Jakarta Lantai 2 dan pada Lantai 2 ini juga memiliki router tambahan dibawahnya ada 2 port yang trunking disini dan ada 1 port access pada VLAN10

5. Tahap 5 – Konfigurasi VLAN Pada JKT-LT2-2
/interface bridge
add name=br-vlan30
add name=br-vlan40
/interface vlan
add interface=ether1 name=vlan30 vlan-id=30
add interface=ether1 name=vlan40 vlan-id=40
add interface=ether1 name=vlan99 vlan-id=99
/interface bridge port
add bridge=br-vlan30 interface=vlan30
add bridge=br-vlan30 interface=ether2
add bridge=br-vlan40 interface=vlan40
add bridge=br-vlan40 interface=ether3
/ip address
add address=192.168.99.4/24 interface=vlan99 network=192.168.99.0
/ip route
add distance=1 gateway=192.168.99.1

Pada tahap ini kita harus mengkonfigurasi VLAN pada Router Jakarta Lantai 2 yang kedua dan memastikan PC bisa mendapatkan IP DHCP dari Core

6. Tahap 6 – Konfigurasi VLAN Pada JKT-LT3
/interface bridge
add name=br-vlan30
add name=br-vlan40
/interface vlan
add interface=ether1 name=vlan30 vlan-id=30
add interface=ether1 name=vlan40 vlan-id=40
add interface=ether1 name=vlan99 vlan-id=99
/interface bridge port
add bridge=br-vlan30 interface=vlan30
add bridge=br-vlan30 interface=ether2
add bridge=br-vlan40 interface=vlan40
add bridge=br-vlan40 interface=ether3
/ip address
add address=192.168.99.5/24 interface=vlan99 network=192.168.99.0
Pada tahap ini kita diharuskan untuk mengkonfigurasi Router Jakarta Lantai 3 dan untuk Lantai 3 ini tidak seperti Lantai 2 yang lebih rumit, tapi Lantai 3 ini mirip seperti Lantai 1 yang hanya harus trunking ke Core Router dan memberikan VLAN access ke network dibawahnya

7. Tahap 7 – Konfigurasi Core-JKT untuk Share Internet Connection
/ip address
add address=192.168.10.1/24 interface=VLAN10 network=192.168.10.0
add address=192.168.20.1/24 interface=VLAN20 network=192.168.20.0
add address=192.168.30.1/24 interface=VLAN30 network=192.168.30.0
add address=192.168.40.1/24 interface=VLAN40 network=192.168.40.0
add address=192.168.99.1/24 interface=VLAN99 network=192.168.99.0
add address=20.20.20.2/30 interface=ether1 network=20.20.20.0
add address=30.30.30.2/30 interface=ether2 network=30.30.30.0
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=192.168.10.0/24 list=ISP-1
add address=192.168.20.0/24 list=ISP-1
add address=192.168.30.0/24 list=ISP-2
add address=192.168.40.0/24 list=ISP-2
/ip firewall mangle
add chain=input comment="LAN Connection" dst-address-list=LAN src-address-list=LAN
add chain=output comment="LAN Connection" dst-address-list=LAN src-address-list=LAN
add chain=forward comment="LAN Connection" dst-address-list=LAN src-address-list=LAN
add chain=prerouting comment="LAN Connection" dst-address-list=LAN src-address-list=LAN
add chain=postrouting comment="LAN Connection" dst-address-list=LAN src-address-list=LAN
add action=mark-routing chain=output comment="Outbound ISP-1" connection-mark=incomingISP-1 new-routing-mark=ISP-1 passthrough=no
add action=mark-routing chain=output comment="Outbound ISP-2" connection-mark=incomingISP-2 new-routing-mark=ISP-2 passthrough=no
add action=mark-routing chain=prerouting comment="Inbound ISP-1" dst-address-list=!LAN dst-address-type=!local new-routing-mark=ISP-1 passthrough=no src-address-list=ISP-1
add action=mark-routing chain=prerouting comment="Inbound ISP-2" dst-address-list=!LAN dst-address-type=!local new-routing-mark=ISP-2 passthrough=no src-address-list=ISP-2
add action=mark-routing chain=prerouting comment="ISP-1 Route-Mark" new-routing-mark=ISP-1 passthrough=no src-address-list=ISP-1
add action=mark-routing chain=prerouting comment="ISP-2 Route-Mark" new-routing-mark=ISP-2 passthrough=no src-address-list=ISP-2
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether2
/ip route
add distance=1 gateway=20.20.20.1 routing-mark=ISP-1
add distance=1 gateway=30.30.30.1 routing-mark=ISP-2
add comment="OTHER & BACKUP" distance=1 gateway=20.20.20.1,30.30.30.1


Pada tahap ini kita membuat load balancing dengan cara Policy-Based Route (PBR) berdasarkan src-address yang kita buat pada mangle dan bisa kita test melalui traceroute

8. Tahap 8 – Konfigurasi Hotspot di Core-JKT
/ip hotspot profile
add dns-name=guest.idn.id hotspot-address=192.168.10.1 login-by=http-chap name=hsprof1
/ip hotspot
add address-pool=hs-pool-9 disabled=no interface=VLAN10 name=hotspot1 profile=hsprof1
/ip hotspot user profile
add address-pool=hs-pool-9 insert-queue-before=bottom name=guest rate-limit=256k/512k shared-users=20
/ip hotspot user
add name=guest password=guest profile=guest
/ip pool
add name=hs-pool-9 ranges=192.168.10.2-192.168.10.254
/ip dhcp-server
add add-arp=yes address-pool=hs-pool-9 disabled=no interface=VLAN10 lease-time=1h name=dhcp5
/ip dhcp-server network
add address=192.168.10.0/24 comment="hotspot network" gateway=192.168.10.1
Pada tahap ini kita diminta untuk membuat hotspot sederhana pada VLAN10

9. Tahap 9 – Konfigurasi Hotspot Advanced
/ip hotspot walled-garden
add dst-host=idn.id server=hotspot1 src-address=192.168.10.0/24
Pada tahap ini kita diminta untuk membuat walled garden agar ketika user ingin mengakses idn.id, tidak memerlukan login hotspot terlebih dahulu

10. Tahap 10 – Konfigurasi Schedule
/ip firewall
add action=drop chain=forward in-interface=VLAN10 out-interface=ether1 src-address=192.168.10.0/24 time=17h-23h59m59s,sun,mon,tue,wed,thu,fri,sat
add action=drop chain=forward in-interface=VLAN10 out-interface=ether1 src-address=192.168.10.0/24 time=0s-6h,sun,mon,tue,wed,thu,fri,sat
Pada tahap ini kita diminta untuk memblokir akses VLAN10 pada jam tertentu dan untuk ini kita bisa memakai menu time pada firewall filter

11. Tahap 11 – Konfigurasi DHCP Security
/ip dhcp-server
add add-arp=yes address-pool=hs-pool-9 disabled=no interface=VLAN10 lease-time=1h name=dhcp5
/ip dhcp-server network
add address=192.168.10.0/24 comment="hotspot network" gateway=192.168.10.1
/interface bridge
add arp=reply-only name=VLAN10
Pada tahap ini kita harus memaksa semua user hotspot pada VLAN10 menggunakan IP yang didapat dari DHCP dan untuk ini kita bisa memainkan ARP

12. Tahap 12 – Konfigurasi QoS
/queue simple
add max-limit=13M/13M name="TOTAL VLAN20 & VLAN30" target=192.168.30.0/24,192.168.40.0/24
add limit-at=4M/4M max-limit=7M/7M name=VLAN20 parent="TOTAL VLAN20 & VLAN30" target=192.168.20.0/24
add limit-at=3M/3M max-limit=6M/6M name=VLAN30 parent="TOTAL VLAN20 & VLAN30" target=192.168.30.0/24
Pada tahap ini kita diminta untuk membuat queue dengan metode HTB (read more about HTB: http://www.mikrotik.co.id/artikel_lihat.php?id=29)

13. Tahap 13 – Konfigurasi Filtering
/ip firewall filter
add action=add-src-to-address-list address-list=PINGER address-list-timeout=10m chain=input protocol=icmp src-address=192.168.10.0/24
add action=drop chain=input src-address-list=PINGER
add action=drop chain=forward src-address-list=PINGER


Pada tahap ini kita diminta untuk user pada VLAN10 jika ada yang melakukan PING maka akan di drop seluruh koneksinya selama 10 menit, untuk ini kita bisa menggunakan firewall filter dengan statement if ada ping dari VLAN10 ke router maka add-src-to-address-list yang ping itu selama 10 menit dan buatkan kembali rule untuk mendrop koneksi dari address yang masuk kedalam address-list yang terbuat oleh rule yang kita buat sebelumnya

14. Tahap 14 – Konfigurasi Core-SMG
/ip pool
add name=dhcp_pool0 ranges=123.123.123.2-123.123.123.6
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=ether2 name=dhcp1
/ip address
add address=40.40.40.2/30 interface=ether1 network=40.40.40.0
add address=123.123.123.1/29 interface=ether2 network=123.123.123.0
/ip dhcp-server network
add address=123.123.123.0/29 dns-server=8.8.8.8,8.8.4.4 gateway=123.123.123.1
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/ip route
add distance=1 gateway=40.40.40.1
Pada tahap ini kita hanya diminta untuk setting router Core-SMG agar bisa mengakses internet

15. Tahap 15 – Konfigurasi DHCP Options Pada Core-SMG
/ip dhcp-server option
add code=121 name=static-route value=0x1cca9f0a007b7b7b02007b7b7b01


Pada tahap ini kita diminta untuk membuat DHCP Options pada DHCP Server agar nanti client yang men-request IP bisa mendapatkan static route otomatis, pada tahap ini juga saya membuat kesalahan yang seharusnya gateway ke server 123.123.123.2 menjadi 123.123.123.1 dan membuat "kegeser" dan untuk value dari DHCP Options bisa kalian buat dulu static route secara manual seperti biasanya lalu bisa di convert menggunakan script dari: 
/ip dhcp-client
add disabled=no interface=ether1
Pada tahap ini kita hanya perlu me-request IP secara DHCP dari Core-SMG

17. Tahap 17 – Konfigurasi Internet di Site SMG
Core-SMG:
/ip route
add dst-address=202.159.10.0/28 gateway=123.123.123.2
add dst-address=172.16.0.0/24 gateway=123.123.123.6
SMG-R1:
/ip pool
add name=dhcp_pool0 ranges=202.159.10.2-202.159.10.14
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=ether2 name=dhcp1
/ip address
add address=123.123.123.2/29 interface=ether1 network=123.123.123.0
add address=202.159.10.1/28 interface=ether2 network=202.159.10.0
/ip dhcp-server network
add address=202.159.10.0/28 gateway=202.159.10.1
/ip dns
set servers=8.8.8.8
/ip route
add distance=1 gateway=123.123.123.1
/system identity
set name=SMG-R1
SMG-R2:
/ip pool
add name=dhcp_pool0 ranges=172.16.1.2-172.16.1.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=ether2 name=dhcp1
/ip address
add address=172.16.1.1/24 interface=ether2 network=172.16.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=172.16.1.0/24 gateway=172.16.1.1
/system identity
set name=SMG-R2

Pada tahap ini kita harus bisa men-setting Router Semarang agar bisa terkoneksi internet tanpa NAT di router tersebut, dan untuk ini kita bisa membangun routing IGP (disini saya menggunakan static routing) didalam jaringan semarang dan bisa dilakukan NAT di Core-SMG

18. Tahap 18 – Konfigurasi L2TP Tunnel
Server:
/interface l2tp-server server
set enabled=yes
/ppp secret
add local-address=10.17.17.1 name=ppp-s3m@r@ng password=idnmantab-s3m@r@ng remote-address=10.17.17.2 service=l2tp

Client:
/interface l2tp-client
add connect-to=30.30.30.2 disabled=no name=l2tp-To-Jakarta password=idnmantab-s3m@r@ng user=ppp-s3m@r@ng
Pada tahap ini kita hanya diminta untuk membuat tunnel L2TP dengan spefisikasi Core-JKT dengan koneksi ISP2 menjadi L2TP Server dan kemudian di dial oleh Core-SMG

19. Tahap 19 – Konfigurasi Static Routing
Jakarta:
/ip route
add distance=1 dst-address=123.123.123.0/29 gateway=10.17.17.2
add distance=1 dst-address=202.159.10.0/28 gateway=10.17.17.2
Semarang:
/ip route
add distance=1 dst-address=192.168.30.0/24 gateway=10.17.17.1
add distance=1 dst-address=192.168.40.0/24 gateway=10.17.17.1
Pada tahap ini kita harus mengkonfigurasikan static routing agar kedua site ini bisa saling berkomunikasi dan melakukan pembatasan untuk akses ini hanya bisa dilakukan oleh jaringan VLAN30 & VLAN40 saja, Walaupun pada Jakarta tidak dikonfigurasi mangle untuk VLAN 30 & VLAN 40 saja, pada Semarang saya konfigurasikan routing kembalinya hanya pada VLAN 30 & VLAN 40 sehingga untuk network lainnya tidak bisa berkomunikasi dengan server yang ada di Semarang

20. Tahap 20 – Konfigurasi NAT
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=20.20.20.2 dst-port=2017 protocol=tcp to-addresses=192.168.99.2 to-ports=22

Pada tahap terakhir ini kita diminta untuk melakukan port forwarding saja untuk membuka akses SSH ke Router Jakarta Lantai 1 melalui ISP1 milik Core-JKT dengan port 2017


Sekian Write-Up yang saya buat ini bisa digunakan untuk dibaca, sebelumnya mohon maaf kepada yang PM saya dan saya kacangin karena saat itu fokus mengerjakan soal dan untuk PM meminta laporan saya setelah perlombaan bisa membuka blog saya ini, mohon maaf tidak langsung saya kirimkan karena laporan saya saat itu masih berantakan dan masih ada yang harus saya perbaiki terutama pada DHCP Options yang membuat saya gagal mendapatkan score 100% dan membuat saya "kegeser" hehehe

Akhir kata saya ucapkan Terima Kasih.






4 Comment: