Simple Port Knocking

Port Knocking adalah metode yang dilakukan untuk membuka akses ke port tertentu yang telah diblock oleh Firewall pada perangkat jaringan dengan cara mengirimkan paket atau koneksi tertentu. Koneksi bisa berupa protocol TCP, UDP maupuan ICMP

Jika koneksi yang dikirimkan oleh host tersebut sudah sesuai dengan rule knocking yang diterapkan, maka secara dinamis firewall akan memberikan akses ke port yang sudah diblock.

Dengan cara ini, perangkat jaringan seperti Router akan lebih aman, sebab admin jaringan bisa melakukan blocking terhadap port-port yang rentan terhadap serangan seperti Winbox (tcp 8291), SSH (tcp 22), Telnet (tcp 23) atau webfig (tcp 80). Jika dilakukan port scanning port-port tersebut terlihat tertutup.

Dari sisi admin jaringan tetap bisa melakukan konfigurasi dan monitoring akan tetapi dengan langkah-langkah khusus (knocking) agar bisa diijinkan oleh firewall untuk akses port Winbox, SSH,dsb.

Address-List

Untuk dapat menerapkan metode port knocking sederhana, kita bisa memanfaatkan Address-List pada Router. Fitur Address-List dapat digunakan untuk melakukan pengelompokan / grouping IP Address yang selanjutnya group IP tersebut dapat digunakan pada fitur lain seperti Firewall Filter, NAT atau Mangle.

Address-List dapat ditambahkan secara manual ataupun secara dynamic. Penambahan secara manual dapat dilakukan pada menu IP -> Firewall -> Address List

Tentukan nama group serta IP Address yang akan dimasukkan pada group tersebut.

Disamping itu Address-List dapat juga ditambahkan secara dynamic, dimana biasa diterapkan jika IP yang akan dimasukkan ke dalam group Address List belum diketahui sebelumnya atau memang sifat nya berubah-ubah.

Dalam contoh setting Simple Port Knocking inilah, akan digunakan dynamic Address-List tersebut.

Konsep

Contoh kasus port knocking yang akan dibahas kali ini adalah bagaimana host dapat melakukan Winbox (tcp 8291) ke Router hanya jika host tersebut sudah melakukan knock ICMP (ping) terlebih dahulu.

Cara kerja nya yaitu dengan memasukkan IP Address Host yang mengirimkan paket ICMP (ping) ke Router ke dalam sebuah Address-List secara otomatis. Setelahnya, hanya IP yang sudah terdaftar pada Address-List yang bisa akses Winbox ke Router. 

Konfigurasi

Untuk melakukan grouping IP secara otomatis kita bisa menggunakan fitur Firewall Filter. Pertama, lakukan konfigurasi matcher Firewall. Spesifikan hanya traffic ping (icmp) ke Router yang akan ditangkap

Setelah itu, gunakan action=add-src-to-address-list untuk memasukkan IP Address user yang melakukan ping ke Router ke dalam sebuah group.

Nama group dapat didefinisikan pada parameter Address List. Jika menghendaki IP tersebut tidak selamanya ada di dalam daftar group, maka bisa definisikan parameter Timeout.

Sampai langkah ini, jika ada host yang melakukan ping ke Router maka ip user tersebut akan dimasukkan ke dalam Address-List dengan nama=ping.

Perbedaan Address-List yang ditambahkan secara otomatis terletak pada flag "D" di depan nya. Karena sebelumnya TimeOut ditentukan maka IP Address tersebut akan dihapus otomatis dari daftar pada saat TimeOut habis.

Langkah selanjutnya yang harus dilakukan adalah membuat rule Firewall Filter untuk melakukan blocking akses Winbox ke Router dari sumber (src-address) selain dari IP Address yang sudah masuk dalam Address-List.

Tentu saja tidak hanya Winbox saja yang bisa kita definisikan pada matcher, tetapi bisa juga Telnet ,SSH,FTP dan webfig agar lebih aman.

Selanjutnya spesifikan src-address dari paket data yang akan ditangkap. Untuk kasus ini kita bisa menggunakan nama address-list yang sebelumnya ditambahkan secara otomatis.

Karena yang akan kita tangkap adalah traffic data dari selain IP yang sudah terdaftar maka kita bisa menggunakan logika NOT (!).

Langkah terakhir adalah penentuan action. Untuk tujuan blocking gunakan action=drop.

Jika dilihat keseluruhan rule Firewall Filter yang dibuat menjadi seperti berikut

Pengetesan

Setelah semua langkah selesai, lakukan pengetesan dengan akses winbox ke Router tanpa melakukan ping terlebih dahulu, maka akses akan diblock

Akan tetapi jika lakukan ping terlebih dahulu, baru akses winbox ke Router, maka akses winbox akan sukses dilakukan.

Pada artikel ini, port knocking akan berlaku pada semua interface Router, karena tidak ada rule untuk menspesifikan in-interface. Untuk implementasi di lapangan bisa sesuaikan dengan kebutuhan.  

sumber :http://www.mikrotik.co.id/artikel_lihat.php?id=105

Read More

Monitoring Paket Data dengan Traffic Flow

Mungkin ada diantara kita sebagai pengguna mikrotik tidak mengetahui apa fungsi dari fitur Traffic-Flow yang ada di MikroTik. Dan mungkin juga karena tidak banyak yang memanfaatkan fitur ini sehingga kita tidak mengetahui seberapa penting fitur ini. Traffic-Flow adalah sebuah fitur alternatif dan juga bisa jadi menjadi sangat berguna khususnya kita yang menjadi administrator sebuah jaringan. Nah, apakah itu Traffic-Flow?

Traffic-Flow merupakan sebuah sistem yang menampilkan informasi statistik akan besar atau banyaknya paket-paket yang melewati sebuah router. Maka dengan fitur ini kita bisa melakukan monitoring terhadap sebuah jaringan dan memungkinkan bagi kita untuk mengidentifikasi berbagai macam masalah yang terjadi di dalamnya. Selain itu, dengan memanfaatkan fitur ini kita dapat melakukan analisa dan meningkatkan performa dari router.

Untuk menggunakan fitur ini cukup mudah. Masuk pada menu IP > Traffic Flow, maka akan muncul tampilan berikut. Kemudian centang pada opsi Enabled, untuk mengaktifkan service Traffic-Flow.

Kemudian tentukan parameter Targets. Fungsinya adalah untuk menentukan host yang akan menerima paket data dari traffic-flow.

Disini kita mentukan alamat IP dari host yang akan menerima data statistik dari traffic-flow router. Disini kita memakai host dengan alamat IP 192.168.2.10. Kemudian untuk parameter Port isikan sesuai dengan aplikasi yang digunakan oleh host untuk sinkronisai dengan fitur traffic-flow dari router. Kita menggunakan aplikasi Darkstat v3.0.714, secara default port yang digunakan oleh apliaksi tersebut adalah 666.

Selanjutnya kita harus melakukan instalasi sebuah aplikasi yang digunakan untuk sinkronisasi dengan traffic-flow di router. Terdapat berbagai macam aplikasi untuk mendukung kebutuhan ini diantaranya seperti FlowViewer, Ntop, NetFlow Analyzer, Darkstat, NetUse, dll.

Untuk kali ini kita menggunakan aplikasi berbasis web yaitu Darkstat v3.0.714 (FreeWare) dan NetFlow Analyzer (Free Version). Setelah terinstall, kita lakukan konfigurasi pada aplikasi tersebut.  Pertama, Untuk konfigurasi pada aplikasi Darkstat cukup mudah, kita tinggal meng-edit file init.cfg pada Darkstat. Pada terminal kita ketik sebuah Command Line, contoh untuk DrarkStat berbasis Linux :

sudo nano etc/darkstat/init.cfg

Kemudian akan muncul tampilan seperti dibawah ini.

Aktifkan DrakStat dengan Setting parameter START_DARKSTAT=yes. Kemudian ubah pada parameter BINDIP ke alamat IP host yang menjalankan aplikasi Darkstat, misal pada contoh kali ini kita menggunakan 192.168.2.10. Dan ubah juga pada parameter LOCAL menjadi alamat Network dan Broadcast dari host tersebut, yaitu 192.168.2.0/255.255.255.240. Setelah selesai simpan kembali file tersebut dengan konfigurasi yang baru.

Untuk menjalankan aplikasi Darkstat, kita tinggal membuka web browser dan mengetikan pada address bar seperti berikut, yaitu http://192.168.2.10:666. Maka akan muncul tampilan seperti dibawah ini.

Kita dapat melihat grafik dari traffic-flow pada router berdasarkan waktu update terakhir. Bahkan pada aplikasi ini kita bisa melihat grafik secara real-time dengan meng-klik tombol off menjadi on pada automatic reload.  Kami juga mencoba aplikasi Netflow Analizer berbasis windows,

Ada banyak aplikasi baik yang free ataupun berbayar yang dapat dikombinasikan dengan fitur trafik flow Mikrotik. Dan tentunya Anda juga perlu setting disisi aplikasi tersebut untuk dapat menerima data dari trafik-flow Mikrotik.

sumber : http://www.mikrotik.co.id/artikel_lihat.php?id=130

Read More

Memetakan koneksi dengan Mark-Route

Pilihan mengunakan lebih dari satu koneksi internet bisa menjadi solusi bagi kebutuhan netwok yang lebih lancar dan reliable. Akan tetapi, management yang kurang baik bisa membuat munculnya permasalahan baru. Dengan adanya lebih dari satu link, koneksi yang lalu lalang akan melewati kedua link tergantung link mana yang sedang kosong. Dengan beberapa pertimbangan, admin jaringan kadang memilih untuk melewatkan sebuah koneksi ke jalur tertentu, misal koneksi tersebut merupakan koneksi aplikasi penting. 

Pada contoh kasus kali ini misalkan kita punya 2 koneksi internet dengan bandiwdth yang berbeda. Kemudian akan kita bedakan jalur IIX ke ISP dengan bandwidth yang lebih besar, sebut saja ISP 1, dan untuk koneksi ke international akan menggunakan jalur ISP dengan badwidth yang lebih kecil, sebut saja ISP 2. Jika kita gambar topologi, maka akan terlihat seperti gambar berikut :

Kita gunakan fitur Mangle pada Router MikroTik untuk menandai sebuah koneksi. Pertama, untuk membedakan traffic yang dituju oleh client adalah traffic ke IIX atau international, kita membutuhkan daftar IP yang telah di advertise di IIX (IP address yang ada di Indonesia) dengan address-list. Address list ini yang nanti akan kita gunakan utuk mengetahui apakah client mengakses ke web lokal atau international berdasarkan ip yang dituju.

Jangan khawatir, mikrotik.co.id telah menyediakan script daftar IP address IIX bernama nice.rsc yang bisa Anda copy-paste di terminal MikroTik. File nice.rsc bisa juga didownload langsung dari terminal di RouterOS. Contoh command : 

Setelah download file nice.rsc selesai, jangan lupa import ke address-list, maka router akan mebuat daftar ip address pada address-list firewall bernama "nice"

Selanjuntya kita akan menggunakan fitur mangle untuk menandai koneksi dari client, meuju ke IIX atau international. Pertama kita tandai koneksi yang menuju ke IIX.

Pada parameter in-interface silahkan pilih interface yang terkoneksi ke jaringan lokal. Kemudian kita buat mangle satu lagi untuk menandai koneksi yang selain menuju ke IIX, akan kita tandai sebagai koneksi yang menuju international.

Setelah berhasil menandai koneksi, selanjutnya adalah mengarahkan koneksi tersebut ke salah satu ISP dengan menggunakan fitur route, berdasarkan mark-router yang telah dibuat sebelumnya. Caranya cukup mudah, kita buat rule routing baru dengan dst address = 0.0.0.0/0 dengan gateway ISP 1. Jangan lupa pada bagian mark-route, kita pilih mangle untuk koneksi IIX, begitu juga untuk rule routing koneksi inernational.

Setting sudah selesai, coba cek dengan trace route ke IP address IIX dan IP address international, kemudian perhatikan gateway mana yang dilalui. Jangan lupa juga untuk melakukan setting NAT masquerade untuk kedua gateway agar client dapat terkoneksi ke internet. Penggunaan mangle nantinya juga dapat dibuat lebih custom, misal berdasarkan port dan protokol. 

sumber : http://mikrotik.co.id/artikel_lihat.php?id=86

Read More

Limitasi Hotspot dengan Sistem Quota

Mungkin Anda pernah berlangganan sebuah paket internet bulanan dengan sistem quota, kemudian apabila pemakaian internet kita melebihi quota yang telah ditentukan maka kecepatan internet yang kita gunakan akan turun. Sekarang pertanyaannya, bagaimana kalau sistem tersebut diberlakukan pada service hotspot di MikroTik ?

Untuk membuat sistem tersebut kita akan menggunakan fitur User Manager yang diintegrsikan dengan hotspot. Penjelasan mengenai Integrasi Hotspot dengan User Manager serta konfigurasi dasarnya dapat dilihat pada atikel sebelumnya disini.

Pada contoh kali ini kita akan membuat sebuah layanan hotspot dengan quota sebesar 200MB dengan bandwith 2Mbps untuk 1 jam. Dan apabila pemakaian telah mencapai limit quota sebelum 1 jam, maka kecepatan internet akan diturunkan 256kbps.

User Profile & Limitation

Pertama, kita akan membuat limitasi terlebih dahulu. Pada User Manager pilih Profiles --> Limitations --> Add (New).  Selanjutnya kita akan membuat limitasi untuk Quota 200Mb selama 1 jam dengan bandwith sebesar 2Mbps. Pada parameter name isikan nama untuk jenis limitasinya, misal disini kita akan memberi nama dengan 1JamQuota200M. Kemudian untuk parameter Download/Upload, masing-masing kita isikan dengan 200M dan pada Uptime kita isikan dengan 1h. Jangan lupa tentukan juga rate-limit dengan Rx/Tx = 2M/2M.

Selanjutnya, kita akan membuat limitasi baru untuk kecepatan dengan 256kbps apabila limitasi quota 200M telah habis. Cara pembuatan limitasinya juga sama dengan contoh yang pertama. Untuk parameter Name kita isikan dengan 1JamQuotaHabis. Kemudian pada parameter upload/download kita biarkan default saja dan pada uptime kita isikan juga dengan 1h. Nah, untuk parameter rate-limit kita isikan dengan Rx/Tx=256k/256k.

 

Kedua, kita akan membuat profile untuk user hotspot. Disini kita juga akan membuat dua profile, yaitu untuk profile dengan limitasi Quota 200M dan profile dengan limitasi bandwith.  Langkah-langkah untuk membuatnya adalah pilih Profiles > Profiles > klik tombol (+). Tentukan nama untuk profile tersebut. Disini kita akan memberi nama 1Jam-Quota.

Kemudian setelah profile dibuat, tambahkan jenis limitasi untuk profile tersebut. Klik tombol Add New Limitation dan centang opsi 1JamQuota200M. Selanjutnya simpan profile.

Selanjutnya, kita membuat profile baru untuk limitasi dengan bandwith. Klik tombol (+)

dan isikan nama untuk profile tersebut. Misal, kita beri nama dengan 1Jam-QuotaHabis.

Seperti pada contoh sebelumnya, kita tambahkan jenis limitasi untuk profile tersebut. Klik tombol Add New Limitation dan centang opsi 1JamQuotaHabis. Selanjutnya simpan profile.

Nah, langkah-langkah pembuatan User profile dan juga limitation sudah selesai. Untuk langkah berikutnya kita akan membuat autentikasi login user.

User Data

Supaya pengguna layanan hotspot dapat mengakses internet, maka kita perlu membuat sebuah autentikasi login untuk pengguna tersebut. Autentikasi tersebut berupa Username dan juga Password. Disini kita dapat menentukan jenis layanan hotspot yang diberikan kepada pengguna sesuai dengan ketentuan user profile yang telah kita buat sebelumnya.

Untuk langkah-langkah pembuatan user data adalah sebagai berikut :

Pertama, pada usermanager kita pilih menu Users > Add > pilih One. Maka, akan muncul tampilan seperti dibawah ini.

Isikan Username dan password yang akan digunakan untuk autentikasi login. Misal, kita isi username=mikrotik dan password=12345. Kemudian tentukan parameter pada Assign Profile dengan user profile yang telah kita buat sebelumnya. Isikan user profile dengan limitasi quota.

Selanjutnya konfigurasi diatas akan tersimpan didalam tabel users. Sesuai dengan pokok pembahasan kali ini, jika user telah memakai akses internet dan telah mencapai limit quota sebelum uptime (1Jam), maka kecepatan akses akan diturunkan dengan limit bandwith sebesar 256kbps. Untuk membuat fungsi tersebut kita akan menambahkan assign profile pada user data yang telah kita buat sebelumnya.

Klik dua kali pada user data yang ada pada tabel users, maka akan muncul tampilan seperti sebelumnya. Kemudian pada Assign Profile kita pilih user profile dengan 1Jam-QuotaHabis dan klik tombol (+), maka akan ditambahkan lagi sebuah Assign Profile baru.  Supaya user profile dengan limitasi quota yang aktif terlebih dahulu, maka klik pada icon lampu, sehingga statusnya menjadi aktif.

 

Sampai disini user hotspot menggunakan quota dengan kecepatan 2Mbps sudah bisa digunakan. Ketika penggunaan quota sudah mencapai limit quota dan belum mencapai uptime (1 Jam), user akan logout secara otomatis. Namun user tersebut masih tetap bisa login kembali hanya saja secara otomatis router akan menggunakan profile dengan kecepatan akses internet 256kbps.

sumber :http://mikrotik.co.id/artikel_lihat.php?id=132

Read More

Modifikasi Tampilan Login Hotspot

Kategori: Tips & Trik

Seperti yang kita ketahui bahwa pada router mikrotik memiliki sebuah fitur hotspot. Ketika kita membuat hotspot dan mencoba akses internet melalui titik hotspot tersebut maka kita akan di-redirect ke halaman login untuk proses autentikasi user. Nah, darimana halaman login tersebut berasal?
Apabila kita melihat kedalam 'Files' di storage router akan terlihat kumpulan file yang berekstensi html. Salah satunya ada file dengan nama 'login'. Dari file inilah tampilan-tampilan login hotspot itu berasal.

Kita juga bisa mengubah tampilan standart dari login hotspot menjadi lebih artistik sesuai dengan keinginan kita. Namun sebelumnya kita harus mengetahui fungsi dari masing-masing file login tersebut. Diantara file tersebut adalah login.html, alogin.html, rlogin.html, flogin.html. Untuk penjelasannya adalah sebagai berikut :

• login html – Merupakan sebuah halaman login yang ditampilkan untuk autentikasi user dengan memasukkan username dan password.
• alogin.html – Sebuah halaman yang ditampilkan setelah user berhasil di autentikasi. Halaman ini menampilkan sebuah pop-up tentang status dari halaman apakah 'Log In' atau 'Log Off' dan juga akan diredirect (otomatis/manual) ke halaman web yang diakses oleh user.
• rlogin.html – Sebuah halaman yang me-redirect user dari mengakases halaman URL ke halaman login, jika user tersebut memerlukan autorisai untuk melakukan akses.
• flogin.html – Sebuah halaman login yang ditampilkan apabila terdapat kesalahan (error) terjadi. Misal, ketika user salah memasukkan 'Username' maupun 'Password'.

Kemudian untuk cara kerja dari request halaman “/login” adalah :

- Apabila user belum terautentikasi dan melakukan akses sebuah web maka akan di-redirect ke halaman login.html.
- Apabila prosedur login gagal (baik salah memasukkan username atau password), maka akan ditampilkan halaman flogin.html; Jika halaman flogin.html tidak ditemukan maka akan ditampilkan halaman login.html.
- Apabila user telah berhasil terautentukasi (login), alogin.html akan ditampilkan; apabila alogin.html tidak ditemukan maka akan langusung di-redirect ke halaman web yang di akses oleh user tersebut atau ke halaman status.

Tampilan Login Hotspot

Pada contoh kali ini kita akan mencoba untuk mengubah tampilan dari login hotspot. Sebenarnya dari sistem hotspot telah diberikan tampilan default. Namun, mungkin diantara kita ingin mengubahnya untuk memberikan tampilan yang lebih baik.

 

Nah, untuk mengubahnya, kita akan memodifikasi script dari file login.html. File tersebut dapat kita download terlebih dahulu dari router, baik menggunakan FTP (Linux dan Mac OS) atau cukup 'Drag & Drop' untuk Windows OS.

Setelah kita download, kita bisa melakukan editing pada script tersebut menggunakan Text Editor. Karena script tersebut menggunakan file HTML, maka setidaknya kita sudah familiar dengan bahasa HTML.

Nah, setelah kita melakukan modifikasi terhadap script tersebut, kita upload kembali ke router. Caranya pun juga sama seperti kita men-download, bisa memakai FTP atau 'Drag & Drop' (Windows). Dan salah satu contoh tampilan sederhana yang kita buat adalah seperti tampilan berikut.

 
sumber : http://mikrotik.co.id/artikel_lihat.php?id=138

Read More

Forwarding DNS Server

Seperti yang telah kita ketahui, apabila kita mempunyai sebuah usaha yaitu penyedia jasa internet, seperti RT/RW Net, Internet Cafe (Warnet), atau bisa juga sebagai administrator jaringan di sebuah perusahaan. Maka sesuai dengan peraturan pemerintah atau juga kebijakan dari masing-masing pengelola untuk melakukan filtering akses dari situs-situs yang mengandung unsur SARA, Pornografi, dan situs yang memiliki konten 'negatif'.

Nah, untuk membuat sebuah 'Internet Positif' kita akan melakukan konfigurasi pada router gateway dengan menambahkan DNS Server yang memiliki Content Filtering, seperti DNS Nawala, Comodo Secure DNS, Norton ConnectSafe DNS. Namun seiring dengan perkembangan informasi teknologi, para pengguna internet pun juga tidak ketinggalan untuk update. Sebagian pengguna internet mencari cara untuk menembus dari 'Internet Positif'. Salah satunya dengan mengganti alamat DNS yang telah tersetting di perangkat si pengguna menggunakan alamat DNS tanpa Content Filtering.

Untuk mengatasi hal ini kita bisa menerapkan Forwarding DNS Server atau dengan kata lain kita 'memaksa' pengguna internet untuk melakukan resolve DNS ke DNS Server kita walaupun di perangkat si pengguna disetting dengan DNS Server yang lain. Sebelumnya kita harus melakukan konfigurasi pada DNS Sever di Mikrotik dan pastikan opsi “Allow Remote Request” dicentang. Hal ini dilakukan supaya IP Address yang ada pada interface Router selain untuk gateway juga bisa dijadikan sebagai alamat DNS Server bagi client.

Dalam membuat Forwarding DNS Server caranya pun cukup mudah. Kita bisa memanfaatkan fitur Firewall-NAT pada MikroTik.

Untuk script rulenya adalah sebagai berikut:

Pada /ip firewall nat

add chain=dstnat action=dst-nat to-addresses=192.168.1.1 to-ports=53 protocol=tcp dst-port=53

add chain=dstnat action=dst-nat to-addresses=192.168.1.1 to-ports=53 protocol=udp dst-port=53

Jadi rule ini akan meredirect semua trafik yang resolve DNS (port 53) menuju ke DNS Server lokal kita. Pastikan untuk menempatkan rule tersebut diurutan paling atas.

DNS Static

Kita juga bisa melakukan kombinasi antara rule firewall NAT dengan fitur 'DNS Static' untuk membuat filtering akses suatu alamat website. Fitur tersebut juga terdapat pada Menu /ip DNS. Untuk konfigurasinya pun juga cukup mudah. Pilih pada tombol command 'Static' kemudian 'Add (+)' dan tentukan DNS Static Entry. Misal, kali ini kita akan filtering akses dari situs www.youtube.com.

Kita juga bisa menentukan dimana situs tersebut akan di-redirect pada parameter 'Address', apakah ke halaman website yang lain atau ke mesin web server local. Dan bisa juga di-redirect ke localhost dari client yang mengakses halaman web itu sendiri.
Nah, sebagai contoh disini kita akan me-redirect ke localhost (127.0.0.1). Karena disini kita menggunakan perangkat client yang juga terinstall webserver maka kita bisa melakukan modifikasi pada tampilan halaman webserver. Apabila kita mengakses halaman www.youtube.com maka akan tampil seperti berikut.

 

sumber : http://mikrotik.co.id/artikel_lihat.php?id=141

Read More

Bypass Login Hotspot Mikrotik

Saat ini tempat-tempat umum yang ramai banyak orang sudah tersedia Hotspot, seperti pada kantor, hotel, kampus, mall dan lain sebagainya. Biasanya untuk menikmati layanan hotspot tersebut tidak dikenakan biaya alias gratis tapi ada juga yang dipungut biaya.
Sebagian layanan hotspot yang private atau dikhususkan hanya untuk karyawan perusahaan biasanya diberi halaman login hotspot. Halaman login hotspot digunakan untuk mengamankan jaringan hotspot, jadi setiap perangkat yang telah terhubung ke hotspot harus memasukkan username dan password agar bisa internatan melalui hotspot tersebut.

Semua routerOS Mikrotik jenis apapun sudah dilengkapi fitur untuk membuat hotspot. Pada fitur Hotspot yang telah disediakan pada Mikrotik terdapat diantaranya adalah Management user/pengguna, Management bandwidth setiap user, Management waktu lama pengguna akses Hotspot, Bypass user login Hotspot, Monitoring menggunaan bandwidth setiap user, dan masih banyak lagi. Fitur-fitur Hotspot Mikrotik dapat Anda lihat pada artikel berikut : http://mikrotik.co.id/artikel_lihat.php?id=49

Kali ini kita akan membahas mengenai bypass Login Hotspot pada Mikrotik. Bypass maksudnya untuk akses ke hotspot tidak perlu lagi memasukkan username dan password pada login hotspot. Pastikan bisa masuk ke routerOS Mikrotik melalui WINBOX. Setelah bisa masuk ke routerOS Mikrotik, pilih menu IP >> Hotspot.

Pada layar hotspot ada banyak sekali menu. Untuk mem-bypass login hotspot, kita bisa menggunakan IP Bindings, Walled Garden atau bisa juga menggunakan IP-Walled Garden.

IP Bindings
Bagaimana jika ada user yang diistimewakan sehingga untuk terkoneksi tidak melewati proses autentikasi dari hotspot login, hal ini bisa dilakukan dengan menggunakan fitur IP bindings. Cara menggunakannya adalah kita harus tahu Mac Address dari perangkat yang akan terkoneksi sehingga kita bisa tambahkan rule di IP bindings tersebut.
Misalkan "Mac Address 1C:C1:DE:91:AA:BE" akan di-bypass, sehingga user yang memiliki mac address tersebut jika ingin terkoneksi ke internet tidak akan melewati proses autentikasi dari hotspot login.

Pilih IP >> Hotspot >> IP Bindings. Kemudian tambahkan Mac Address dari user yang akan di-bypass.

Pada opsi type terdapat 3 macam parameter yaitu :

• Blocked = Mac address yang didaftarkan dengan type ini otomatis tidak akan mendapatkan layanan hotspot.
• Bypassed = Mac address yang didaftarkan dengan type ini akan dibypass sehingga tidak perlu melewati proses autentikasi.
• Regular = Mac address yang didaftarkan dengan type ini akan melewati proses autentikasi seperti user biasa, misalkan digunakan hanya untuk mengalokasikan ip address khusus ke host tertentu.

Kita juga bisa melakukan IP-Bindings terhadap host yang aktif. Caranya cukup mudah yaitu pilih host yang akan dilakukan IP-bindings, kemudian klik dua kali dan pilih "Make Binding"

Selanjutnya akan muncul Hotspot IP Bindings, pada parameter type pilih bypassed.

Walled Garden
User yang belum melewati proses autentikasi tapi bisa mengakses website tertentu, dalam hal ini bisa mengunakan walled garden. Misal, user yang belum terautentikasi bisa membuka website "www.mikrotik.co.id".

Pilih IP >> Hotspot >> Wallaed Garden. Kemudian pada parameter Dst.Host isikan *mikrotik.co.id dan pada Action, pilih allow.

IP-Walled Garden

Fungsinya hampir sama seperti Walled Garden tetapi dapat melakukan bypass terhadap resource yang lebih spesifik pada protocol dan port tertentu. Biasanya digunakan untuk melakukan bypass terhadap server local yang tidak memerlukan autentikasi.

Misalnya kita akan melakukan bypass terhadap trafik dengan protokol tcp dan tujuan port 20-21 (FTP)

Sumber  http://mikrotik.co.id/artikel_lihat.php?id=128

Read More