Management Bandwidth MikroTik Menggunakan Simple Queue & Queue Tree

QoS MikroTik Bagian 2
Simple Queue & Queue Tree

Pada router mikrotik sudah tersedia fitur Queue yang mampu melakukan limitasi atau pembatasan pada bandwidth.

Ada 2 jenis Queue pada mikrotik:

1. Queue Simpel : merupakan jenis bandwidth management yang dapat dikonfigurasi secara mudah. Biasanya simple queue digunakan hanya untuk pembatasan pemakaian bandwidth (upload dan download) tiap client. Jenis queue ini sangat cocok di implementasikan pada jaringan skala kecil hingga menengah.
2. Queue Tree : merupakan jenis bandwidth management yang sangat kompleks. Secara garis besar fungsinya sama dengan simple queue hanya pada queue tree bandwidth management akan di kelompokan kedalam group / parent sehingga akan terlihat seperti hirarki. Untuk menggunakan Queue ini kita harus mengaktifkan mangle di menu firewall, sehingga kita dapat melakukan limitasi atau memberikan prioritas pada lalu lintas apapun seperti email, browsing, game dll

Perbedaan Simple Queue dan Queue Tree 

• Queue Simple

1. Simple Queue melimit secara fix dan memiliki aturan yang ketat.
2. Simple Queue akan memproses dari antrian secara terurut mulai dari atas hingga ke bawah.
3. Simple Queue melakukan limit dua arah sekaligus traffic Upload dan Download.
4. Simple Queue akan lebih di proses atau prioritaskan terlebih dahulu dibandingkan Queue Tree jika digunakan secara bersamaan. 
5. Simple Queue dapat memproses antrian yang di tandai oleh paket mangle.
6. Simple Queue sangat cocok bagi admin yang tidak mau ribet dengan adanya traffic control pada mangle.

• Queue Tree

1. Queue Tree membagi bandwidth secara fixed dan tidak memiliki aturan yang ketat.
2. Queue Tree tidak memperhatikan antrian sehingga proses akan dijalankan secara bersamaan. 
3. Queue Tree melakukan limit secara directional (satu arah).
4. Queue Tree sangat bergantung pada firewall mangle jika melakukan pembatasan trafik dan membedakan proses upload/download.
5. Queue Tree akan di nomer duakan setelah simple queue.
6. Untuk melakukan konfigurasi queue tree admin harus mengetahui traffic control lalu lintas yang ada.

• Contoh Simple Queue

Membatasi user berdasarkan ip address tertentu (berdasarkan alamat ip misal 192.168.101.254), perhatikan gambar berikut:

Gambar pertama adalah konfigurasi dimana user dengan ip address 192.168.101.254 di batasi bandwidthnya dengan limit-max 512kbps Upload dan limit-max 1Mbps download, sedangkan gambar kedua adalah batas limit-min 256kbps Upload dan limit-min 512kbps download.

Bagaimana bila kita akan membatasi bandwidth dalam satu jaringan LAN, misalkan yang akan kita batasi adalah LAN dengan ip 192.168.101.1/24, maka kita hanya mengganti destination target seperti pada gambar 1 target adalah 192.168.101.254 kita ganti dengan 192.168.101.0/24. Target ip 192.168.101.0/24 adalah wakil dari seluruh user jaringan LAN subnet /24.
Simple Queue juga dapat sekaligus menentukan antrian dengan setting priotity antrian dengan nilai priority 1 (Highest priority) dan 8 (Lowest priority).

•  Contoh  Queue Tree

Merupakan fitur bandwidth management di Mikrotik yang sangat fleksibel dan cukup kompleks. Pendefinisian target yang akan dilimit pada Queue Tree tidak dilakukan langsung saat penambahan rule Queue namun dilakukan dengan melakukan marking paket data menggunakan Firewall Mangle.

Membuat Queue tree mangle untuk user jaringan 192.168.101.0/24

Membuat Mangle Connection

1. Pilih Menu IP>Firewall>Mangle>klik tanda +
2. Isi kolom chain=forward; dst address 192.168.101.0/24
3. Pindah ke tab action, isi kolom action=mark connection
4. Beri nama baru pada new connection mark=conn-dowload
5. Centang passthrough

Buatlah satu mangle lagi dengan nama new connection mark=conn-upload, isi src address dengan alamat yang tadi di dst address, kosongkan dst address. 

 
Membuat Mangle Packet
Isilah seperti pada gambar di bawah ini:

Begitu pula untuk mangle  upload tinggal mengganti connection mark= conn-upload dan new paket mark menjadi client-upload.
Dari kedua mangle Queue Tree diatas dapat kita lihat klasifikasi koneksi jaringan dan paket yang akan kita Queue Tree.

Sekarang kita mulai Queue Treenya.

Name           = Nama Konfigurasi yang di buat
Parent           = Nama interface lokal yang akan di limit
Packet Mark = Nama Mangle yang telah kita buat di atas
Limit At        = min bandwidth
Max Limit    = max Bandwidth

Buatlah 1 lagi dengan nama client-upload dan paket mark=client-upload

Oh ya dari tadi saya tidak pernah pernah bilang OK, Jangan lupa setelah bikin konfigurasi di apply kemudian di OK.

OK Queue tree selesai, untuk test hasilnya silahkan lakukan sendiri. Semoga Bermanfaat.

Read More

Teori Management Bandwith MikroTik

QoS MikroTik Bagian 1

  

   QoS tidak selalu berarti pembatasan bandwith. QoS adalah cara yang digunakan untuk  mengatur pengguna bandwidth yang ada secara rasional. QoS bisa digunakan juga untuk mengatur prioritas traffic berdasarkan parameter yang di berikan, menghindari terjadinya traffic yang memonopoli seluruh bandwidth yang tersedia.

Kita tidak dapat melakukan pembatasan traffic yang masuk ke suatu interface, ada 2 cara dalam Mikrotik untuk mengontrol traffic yaitu :

1. Rate Limiting/Dropper/Shapper à Menolak (drop) semua paket jika melebihi limit yang telah ditentukan.
2. Rate Wqualizing/Scheduller à Menahan sementara paket (buffering) traffic yang melebihi rate limit pada antrian (queue) dan apabila memungkinkan akan dilewatkan kemudian.

Apabila di gambar dalam graffic traffic terhadap waktu adalah sebagai berikut:

Pada traffic shapper untuk koneksi TCP , paket yang di drop akan dikirimkan ulang sehingga tidak ada kehilangan paket data. Pada Router OS , untuk masing-masing antrian(queue) dikenal 2 jenis batasan rate limit :

1. CIR ( Committed Information Rate) – dalam keadaan terburuk, client akan mendapatkan bandwidth sesuai dengan “limit-at” (dengan asumsi bandwidth yang tersedia cukup untuk CIR semua client).
2. MIR( Maximal Information Rate) – jika masih ada bandwidth yang tersedia setelah semua client mencapai “limit-at”, maka client mendapatkan bandwidth tambahan sebagai “max-limit”.

Brust

Burst adalah salah satu cara menjalankan QOS . Burst memungkinkan penggunaan data-rate yang melebihi max-limit untuk periode waktu tertentu. Jika data rate lebih kecil dari burst-threshold , burst dapat dilakukan hingga data-rate mencapai burst-limit.

Setiap detik router mengkalkulasi data rate rata-rata pada suatu kelas queue untuk periode waktu terakhir sesuai dengan burst-time. Burst-time tidak sama dengan waktu yang diijinkan untuk melakukan burst.

Contoh Brust Limit

Limit-at=128kbps, max-limit=256kbps, brust-time=8, brust-threshold=192kbps, brust-limit=512kbps.

Pada awalnya data rata-rata 0 kbps.

1. Detik ke 1, data rata-rata adalah (0+0+0+0+0+0+0+512)/8=64kbps,masih lebih kecil dari brust-threshold (192kbps), brust dapat dilakukan. 
2. Detik ke 2, data rata-rata adalah (0+0+0+0+0+0+512+512)/8=128kbps,brust masih boleh.
3. Detik ke 3, data rata-rata adalah (0+0+0+0+0+512+512+512)/8=192kbps,brust masih boleh.
4. Detik ke 4, data rata-rata adalah (0+0+0+0+512+512+512+512)/8=256kbps,tibalah pada saat dimana data rate lebih besar dari brust -threshold(192kbps). Brust tidak dapat dilakukan lagi, dan data rate turun menjadi max-limit (256kbps).

Cara  termudah melakukan queue di RouterOS adalah menggunakan simple queue.
Dengan simple-queue,kita dapat melakukan :

Limit tx-rate client (upload)

Limit rx-rate client (download)

Limit tx+rx-rate client (akumulasi)

Scheduler queues:

1. BFIFO (Bytes First- In First-Out)
2. PFIFO ( Packets First-In First-Out)
3. RED( Random Early Detect)
4. SFQ ( Stochastic Fairness Queuing)

Shaper queues:

1. PCQ ( Per Connection Queue)
2. HTB (Hierarchical Token Bucket)

Untuk pengaturan Queue  Kinds dapat dilakukan pada menu Queue Type

• FIFO (First In Fist Out)

PFIFO dan BFIFO keduanya menggunakan algoritma FIFO, dengan buffer yang kecil. FIFO tidak mengubah urutan paket data, hanya menahan dan menyalurkan bila sudah memungkinkan. Jika buffer penuh maka paket data akan di drop. FIFO baik digunakan bila jalur data tidak congested. Parameter pfifo-limit dan bfifo-limit menentukan jumlah data yang bisa diantrikan di buffer.

• RED (Random Early Detect)

RED tidak melimit berdasarkan urutan paket, tetapi bila buffer sudah penuh, maka secara tidak langsung akan menyeimbangkan data rate setiap user. Saat ukuran queue rata-rata mencapai min-threshold, RED secara random akan memilih paket data untuk di drop. Saat ukuran queue rata-rata mencapai max-threshold, paket data akan di drop.

Jika ukuran Queue sebenarnya (bukan rata-ratanya) jauh lebih besar dari red-max-threshold maka semua paket yang melebihi red-limit akan di drop.

RED digunakan jika kita memiliki traffic yang congested. Sangat sesuai untuk trafik TCP, tetapi kurang baik digunakan untuk trafik UDP.

• SFQ ( Stochastic Fairness Queuing)

SFQ sama sekali tidak dapat melimit trafik. Fungsi utamanya menyembaingkan Flow trafik jika link telah benar-benar penuh. SFQ dapat digunakan untuk TCP maupun UDP. SFQ menggunakan metode hasing dan round robin dimana membagi trafik menjadi 1024 sub queue, dan jika terdapat lebih maka akan dilewati. Algoritma round robin akan melakukan queue ulang sejumlah bandwidth (allot) dari setiap queue. Total SFQ queue terdiri dari 128 paket.

Saat pertub mencapai waktu yang ditentukan algoritma hashing akan membagi traffic ke sub-queue berikutnya.

• PCQ (Per Connection Queue)

PCQ dibuat penyempurnaan SFQ, PCQ tidak membatasi jumlah sub-queue. Karena itu PCQ membutuhkan memori yang cukup besar.

PCQ akan membuat sub-queue, berdasarkan parameter pcq-classifier, yaitu src-address, dst-address, src-port,dst-port, sehingga memungkinkan untuk membatasi maksimal data rate untuk setiap sub-queue (pcq-rate) dan jumlah paket data(pcq-limit). Total ukuran queue pada PCQ tidak bisa melebihi jumlah paket sesuai pcq-total-limit.

Contoh ilustrasi PCQ
PCQ Rate =128

PCQ Rate = 0

• HTB ( Hierarchical Token Bucket)

HTB adalah classfull queuing discipline yang dapat digunakan untuk mengaplikasikan handling yang berbeda untuk beberapa jenis trafik.

Secara umum, kita hanya dapat membuat 1 tipe queue untuk setiap interface namun dengan HTB RouterOS,kita dapat mengaplikasikan perlakuan yang berbeda untuk jenis traffic yang berbeda.

HTB memungkinkan kita membuat queue menjadi lebih terstruktur, dengan melakukan pengelompokkan-pengelompokkan bertingkat.

Kita harus membuat tiga langkah besar untuk mengaplikasikan HTB.

1. Match and mark traffic- mengklasifikasikan traffic untuk digunakan lebih lanjut . Terdiri dari satu atau lebih parameter untuk memilih paket yang cocok untuk kelas tertentu.
2. Create rules (policy) to mark traffic – menempatkan kelas traffic tertentu ke dalam antrian yang spesifik dan untuk menentukan tindakan yang diambil untuk setiap kelas.
3. Attach policy for specific interface(-s) – menambahkan kebijakan pada semua interface(global-in, global-out atau global-total), untuk interface tertentu atau untuk parent queue tertentu.

Connection Mark&Mangle

Koneksi pada paket data protocol TCP, nomor portnya seringkali berubah, misal pada koneksi HTTP, port 80 hanya digunakan pada request pertama, setelah itu koneksi akan diubah dan dialihkan ke port yang lain tanpa kita ketahui.
Untuk melakukan tracking terhadap perubahan tersebut dibutuhkanlah connection mark. Connection mark akan mengingatkan koneksi yang terbentuk dan tepat bisa mengenali meskipun terjadi perubahan nomor port.
Setelah melakukan connection mark,barulah kita menandai paket-paketnya dengan melakukan packet mark berdasarkan nama dari connection mark yang telah dilakukan sebelumnya.
Connection mark dalam Mikrotik ada fitur Mangle, Mangle menandai paket-paket data tertentu, dan kita akan menggunakan tanda tersebut pada fitur lainnya, misalnya filter , routing, NAT ataupun queue.
Pada mangle kita juga bisa melakukan pengubahan beberapa parameter pada IP header,misalnya TOS (DSCP) dan TTL fields.
Tanda mangle ini hanya bisa digunakan pada router yang sama dan tidak terbaca pada router lainnya. Pembacaan rule mangle akan dilakukan dari atas ke bawah secara berurutan.

Read More

MikroTik Firewall Raw Feature

Menggunakan MikroTik Firewall Raw Feature untuk melindungi Router dari DDOS dan berbagai macam aksi hacker.

Dari pengalaman menggunakan router mikrotik, sering sekali terjadi penetrasi gangguan, baik dari para pencuri password wifi, pencurian koneksi seperti via netcut, pencurian data pribadi melalui ARP Poisoning  atau orang yang sengaja mengganggu dengan mengirim paket flooding (DDOS).

Mungkin semua hal tersebut di atas dapat kita kurangi menggunakan feature mikrotik firewall filter, akan tetapi akan timbul permasalahan baru yaitu mengurangi space ram (semakin banyak firewall filter maka semakin berkurang  space ram router). 

Firewall filter mikrotik bekerja setelah masuk di zona routing table

Gambar saya peroleh dari literature MUM Presentation-3938147937282-milik Achmad Mardiansyah, untuk file pdf, silahkan download disini 

Lihat dan pelajari baik - baik gambar di bawah ini :

Saya tidak akan menjelaskan paket flow di atas, akan tetapi memperlihatkan bahwa firewall filter bekerja setelah melewati routing table, sehingga akan sangat mempengaruhi CPU Load dari router.

Kita akan bandingkan dengan Firewall filter raw, simak baik-baik gambar berikut :

Firewall filter raw bertugas memutus aliran paket sebelum masuk ke routing table, sehingga apabila teridentifikasi paket yang mencurigakan tidak akan di masukkan ke dalam routing table, atau di blok, tentunya dalam membuat Firewall filter raw kita harus mengetahui karakteristik  aksi penetrasi ke router, misalkan kita dapat memutus aksi dns mitigation dengan mengenali, port yang di pakai  jenis paket (udp/tcp) dan sebagainya.

Untuk  Router yang saya configurasi biasanya sudah saya pindahkan terlebih  dahulu  ip servicenya dan kemudian menggunakan firewall raw untuk bloking di port yang biasa di pakai untuk  melakukan aksi serangan. Dengan demikian firewall raw yang saya  buat selain menurunkan CPU load juga saya gunakan sebagai monitoring flow attacking packet.

Contoh firewall raw dapat anda lihat di  www.gregsowell.com/?p=5286

Maaf bukan saya tidak mau berbagi script firewall raw yang saya punya, akan tetapi hal ini saya lakukan agar  pembaca tidak sekedar copy paste saja akan tetapi mengetahui fungsi kerja firewall raw dengan jelas. 

Sekian gambaran firewall raw, mungkin artikel ini dapat bermanfaat. Terima kasih   

Read More

OpenVpn Encription Auth:sha1,md5 ,Cipher : Blowfish 128,aes192,aes 256

OPTIMIZING OPENVPN OVER PPPoE CLIENT TELKOM AND MPLS OVPN OVER PPPoE CLIENT ON MIKROTIK ROUTER 

Teknologi di era digital saat ini berkembang sangat pesat, kebutuhan akan transfer data yang cepat sangat berpengaruh dalam pertumbuhan bisnis, tidak hanya di sektor jasa tapi juga di semua sektor bisnis.

Hampir semua instansi pemerintah dan swasta di Indonesia menggunakan layanan ISP (Internet Service Provider) PT.Telkom Indonesia, dimana setiap pelanggan yang terhubung ke internet dengan metode PPPoE Client berarti setiap pelanggan akan terhubung ke internet menggunakan ip dinamis (ip publik berubah) ). Pertanyaannya bisakah sektor bisnis menggunakan koneksi yang aman untuk kebutuhan transaksi keuangan dengan cepat? Hal ini membuat penulis mencari solusi terbaik bagaimana meningkatkan pertumbuhan bisnis dengan menggunakan teknologi informasi.

Solusinya adalah dengan mengoptimalkan fitur MikroTik ip Cloud, OVPN Mikrotik dan MPLS plus Aplikasi OpenVPN android dan OpenVPN GUI for Windows Application. Lihatlah gambar topologi di atas.

Setiap koneksi vpn dimungkinkan dibuat di mikrotik namun hanya Ovpn yang bisa mencapai konektivitas saat terhubung dengan menggunakan data GSM. Karena semua provider GSM di Indonesia diblokir beberapa koneksi port VPN.

Penulis menerapkan topologi gadget ini, hal yang penting adalah mengamankan jaringan lokal Anda terlebih dahulu dan kemudian Anda bisa membuat Ovpn Connection.

Ex. Koneksi Dari Android menggunakan OpenVpn Mikrotik, On Condition Device Connected Dengan Wifi Hotspot dengan Jaringan Lain dengan lokasi yang berbeda dengan server. Langsung dari perangkat ke Server OpenVpn menggunakan aplikasi OpenVpn untuk Android. Penulis mencoba mengakses youtube.

Ini adalah contoh koneksi saat Anda terhubung dengan server menggunakan OpenVpn Mikrotik. Untuk koneksi lain Anda bisa mencoba sendiri.

Apa manfaat menggunakan OpenVpn?

Jika Anda berada di perhotelan, Anda dapat dengan cepat menawarkan hotel Anda hanya dengan gadget dan koneksi internet, dan Anda hanya menempatkan karyawan Anda di bandara, stasiun kereta api atau transportasi umum tanpa membuat kantor dan peralatan pendukungnya.

Jika Anda berada di institusi pemerintah tentunya Anda lebih mudah mengakses data center Anda yang terkait dengan file kerja atau dokumen penting Anda.

Jika Anda menggunakannya untuk berdagang, tentunya penjualan dan pembelian Anda akan lebih mudah untuk menjual barang dan mengirimkannya dengan cepat.

Terimakasih jika ada kekurangan penulis silahkan masukan pendapatnya. Semoga bermanfaat.

Read More