Thursday, January 06, 2011

Akses Mikrotik Internal via Internet

Awalnya bingung juga bagaimana cara mengakses Router Board yang berada di Internal Private Network dari Public Network (dari rumah). Setelah bertanya ke situs www.mikrotik.co.id, akhirnya ada sedikit pencerahan. Intinya adalah dengan memanfaatkan NAT (Network Address Translation) yang tersedia pada RouterOS. Berdasarkan situs yang direkomendasikan Mikrotik Indonesia, kita dapat mengakses sebuah host di jaringan pribadi melalui jaringan publik melaui sebuah IP Public. Tapi sayangnya tutorial ini tidak menjelaskan bagaimana jika host di jaringan pribadi ada beberapa buah, tidak hanya satu.
Dengan sedikit modifikasi, tutorial tersebut menjadi sangat bermanfaat. Yang dimodifikasi adalah port yang akan diakses dari jaringan publik. Dalam situs Mikrotik dikatakan bahwa Winbox Console menggunakan port 8291/TCP. Sehingga isian "To Ports" pada Destination NAT diubah dari "0-65535" menjadi "8291". Isian "To Ports" pada Source NAT diubah dari "0-65535" menjadi "1002". Port 1002 bisa Anda ganti sesuai keinginan Anda.

Asumsi yang digunakan adalah :
10.140.1.30 : alamat IP Public dari si RB Utama
192.168.1.1 : alamat IP Private dari si RB Utama
192.168.1.2 : alamat IP RB Internal #1
192.168.1.3 : alamat IP RB Internal #2

Setting pada Destination NAT :
1. Setelah WinBox terbuka, masuk ke menu IP --> Firewall --> tab NAT --> Add
2. Tab General
Chain : dstnat
Dst. Address : 10.140.1.30
Protocol : tcp
Dst. Port : 1002
3. Tab Action
Action : dst-nat
To Address : 192.168.1.2
To Ports : 8291
4. OK

Setting pada Source NAT :
1. Setelah WinBox terbuka, masuk ke menu IP --> Firewall --> tab NAT --> Add
2. Tab General
Chain : srcnat
Src. Address : 192.168.1.2
Protocol : tcp
Src. Port : 8291
3. Tab Action
Action : src-nat
To Address : 10.140.1.30
To Ports : 1002
4. OK

Untuk RB Internal #2, silahkan ganti IP Address 192.168.1.2 menjadi 192.168.1.3 dan port 1002 menjadi 1003.

Dengan pengaturan seperti ini maka alamat IP Public untuk akses ke RB Internal #1 dengan WinBox menjadi 10.140.1.30:1002. Sedangkan untuk RB Internal #2, alamatnya menjadi 10.140.1.30:1003. Sekarang Router Board internal bisa diakses dari manapun dari Internet menggunakan WinBox.

Lihat :
http://wiki.mikrotik.com/wiki/NAT_Tutorial
http://www.mikrotik.com/testdocs/ros/2.9/guide/winbox.php

Cara Berhenti dari Milis Yahoo Group

Untuk berhenti dari milis di Yahoo! Group cukup mudah. Kirim email kosong ke nama_milis-unsubscribe@yahoogroups.com. Tunggu balasan atau konfirmasi dari Yahoo! Group dalam orde menit untuk memastikan bahwa anda benar-benar ingin keluar dari milis. Replay kembali e-mail tersebut. Tunggu balasan dari Yahoo! Group (dalam hitungan menit) yang menyatakan bahwa anda sudah tidak menjadi anggota milis.

Isi jawaban dari Yahoo! Group sebagai bentuk konfirmasi keluar dari milis, kira-kira seperti di bawah ini :

From: "Yahoo! Groups Notification"
Subject: Please reply to unsubscribe from lowongan-manager
Date: Thu, January 6, 2011 5:08 am
To: msmunir@batan.go.id

Hello,

We have received a request from you to unsubscribe from the
lowongan-manager group. Please confirm your request by
replying to this message. If you do not wish to unsubscribe from
lowongan-manager, please ignore this message.

Regards,

Yahoo! Groups Customer Care

Your use of Yahoo! Groups is subject to http://docs.yahoo.com/info/terms/


Replay-lah e-mail di atas secara langsung, tanpa dimodifikasi apa-apa.

Isi jawaban dari Yahoo! Group yang menyatakan bahwa Anda sudah berhasil keluar dari milis adalah sbb :

From: "Yahoo! Groups Notification"
Subject: You have been unsubscribed from lowongan-manager
Date: Thu, January 6, 2011 5:10 am
To: msmunir@batan.go.id

Hello,

This is to inform you that your request to unsubscribe from
lowongan-manager has been completed.

Regards,

Yahoo! Groups Customer Care

Your use of Yahoo! Groups is subject to http://docs.yahoo.com/info/terms/


Format alamat email untuk berhenti berlanggaan baku. nama_milis-unsubscribe@yahoogroups.com. nama_milis bersifat variabel, sesuai nama milis-nya.
Semoga bermanfaat.

Wednesday, January 05, 2011

Migrasi ISP

Hampir satu dekade terakhir, kami tidak pernah pindah ISP. Baru awal tahun 2011 ini kami merasakan pindah ISP. Di satu sisi dapat menimba pengalaman baru, namun disisi lain menambah pekerjaan baru. Pengalaman dan pekerjaan seperti dua sisi mata uang. Konsekuensi pindah ISP adalah rekonfigurasi topologi, pengaturan kembali IP Address internal, relokasi server-server ke data center baru, penggantian server DNS (Domain Name Service), rekonfigurasi server-server. Rekonfigurasi topologi diperlukan dalam rangka efisiensi bandwidth, begitu juga relokasi server. Jika server masih tetap di kawasan, bandwitdh kawasan akan tersita untuk server. Padahal bandwitdh untuk server sudah dialokasikan secara tersendiri. Sayang jika tidak dimanfaatkan.

Server yang direlokasi ke Data Center ISP :
  1. Mail Server HP ProLiant DL380 G5, serpong11, 70.162, HDD 4 x 300 GB SAS, RAM 10 GB
  2. Mail Server HP ProLiant DL380 G4, serpong4, 70.163, HDD 3 x 300 GB UltraSCSI, RAM 2 GB
  3. Web Server HP ProLiant ML370 G3, serpong6, 70.164, HDD 4 x 146 GB UltraSCSI (hanya 2 yang di-mount)
Server yang direlokasi ke Data Center Kuningan :
  1. Gateway : 67.1
  2. Router : 67.2
  3. Digilib (serpong8) : 67.3
  4. NHC : 67.4
  5. SIPL : 67.5
  6. Komputasi : 67.6
  7. Proxy
  8. PTNBR
Server Intranet :
  1. dl1 : 192.168.1.x
  2. IP Cam R. Server SRP : 192.168.1.x
  3. IP Cam R. Kabid SJK : 192.168.1.x
  4. IP Cam R. Workshop Bid. SJK : 192.168.1.x
  5. IP Cam Aula Gd. 71 : 192.168.1.x
  6. BrikerBox : 192.168.1.x
  7. NMS : 192.168.1.7
  8. CCTV : 192.168.1.x

Monday, January 03, 2011

Akses Webmail via HTTPS

Untuk lebih mengamankan akses ke webmail, webmail telah dilengkapi dengan protokol HTTPS. Namun sayangnya HTTPS membutuhkan sertifikat keamanan yang dapat dipercaya seperti VeriSign. Namun sayangnya juga, sertifkat keamanan butuh biaya yang besarnya belum diketahui dan belum tahu harus kemana untuk mendapatkannya. Masih banyak informasi yang harus dikumpulkan terkait dengan penggunaan sertifikat kemanan. Untuk itu sistem webmail belum sampai taraf menggunakan sertifikat keamanan yang valid seperti halnya Internet Banking. Namun demikian, show must go on.

Ketika mengakses halaman webmail http://serpong11.batan.go.id/ atau http://webmail.batan.go.id/ untuk yang pertama kali, anda akan dihadapkan pada halaman konfirmasi sertifikat keamanan dengan tulisan "Sambungan Ini Tidak Terpercaya", atau "This Connection is Untrusted". Pilihlah link yang terbawah dengan tulisan "Saya Paham Resiko Masalah Ini", atau "I Understand the Risks".

Setelah di-klik, akan muncul informasi lanjutan yang berbunyi :
Jika Anda paham apa yang sedang terjadi, Anda dapat mengatur Firefox agar mempercayai identifikasi situs ini. Walaupun Anda mempercayai situs ini, pesan kesalahan ini masih dapat berarti pihak tertentu sedang memodifikasi sambungan Anda.
Jangan menambahkan pengecualian kecuali Anda paham dan mengerti mengapa situs ini tidak menggunakan jenis sambungan aman.


Abaikan pesan ini dengan meng-klik "Tambah Pengecualian", atau "Add Exception...". Kalau anda tidak merasa aman dengan situs ini, silahkan gunakan situs mail lain yang aman.

Setelah tombol "Tambah Pengecualian" di-klik, akan tampil jendela "Tambahkan Pengecualian Keamanan". Klik tombol yang terletak di bagian bawah, yaitu "Konfirmasi Pengecualian Keamanan", atau "Confirm Security Exception". Sekarang anda sudah bisa mengakses webmail kami. Meskipun ada perasaan tidak aman, webmail yang sekarang jauh lebih aman dibanding sebelumnya. Per Januari 2011, webmail sudah dimigrasi dengan menggunakan server baru, dengan spek hardware dan software lebih tinggi. Mudah-mudahan unjuk kerjanya juga lebih tinggi.

Kami akan terus meningkatkan keamanan webmail server sambil jalan (rawat jalan). Mohon maaf jika kurang nyaman. Aman dan nyaman kadang kala berbanding terbalik.

Beberapa pertanyaan yang masih menggelitik. Sertifikat keamanan sebagai fungsi user atau host? Dimana sertifikat keamanan diinstalasi, sisi server, sisi client atau kedua sisi? Dimana bisa mengambil contoh penggunaan serifikat keamanan, Yahoo, BCA atau situs apa? Bagaimana menguji keamanan website setelah menggunakan HTTPS?

Lihat juga :
http://en.wikipedia.org/wiki/HTTP_Secure
http://www.verisign.com/
http://www.thawte.com/

Memisahkan Routing di Mikrotik

Salah satu fitur yang dibutuhkan di router Mikrotik adalah kemampuannya untuk memisahkan routing ke Internasional dan ke IIX atau lokal. Kalau menggunakan panduan BGP-Peer nya Mikrotik Indonesia, kita harus pernah beli di www.mikrotik.co.id dengan nilai minimal Rp 2jt. Sayangnya setiap kali saya beli router board, yang mewakili saya adalah rekanan kantor. Dan tampaknya rekanan membelinya secara langsung, tidak secara online. Kalau tahu BGP Peer harus beli dulu secara online baru bisa mendapatkan layanan dari BGP Router nya Mikrotik, sudah sejak kemaren-kemaren saya beli secara online saja.

Untuk mengatasi hal ini saya mencoba men-download table nice dari Mikrotik Indonesia secara manula. Table di-download dari : http://ixp.mikrotik.co.id/download/nice.rsc. Buka file ini lalu copy isi file mulai baris "/ip firewall address-list" sampai akhir file. Lalu paste ke terminalnya Winbox. Setelah selesai, coba cek melalui menu IP --> Firewall --> tab Address Lists. Di sini akan terlihat alamat-alamat IP lokal Indonesia.

Isi file nice.rsc nya Mikrotik Indonesia adalah :
# Script untuk menambahkan IP Address BGP yang terdaftar di Router NICE(OIXP)
# ke RouterOS dalam ADDRESS-LIST dengan nama "nice"
# Script created by: Valens Riyadi @ www.mikrotik.co.id
# Generated at 3 January 2011 03:18:06 WIB ... 899 lines
# Generated in 65.544 seconds
# How-to: http://www.mikrotik.co.id/artikel_lihat.php?id=23

/sys note set show-at-login=yes note="Using nice.rsc from www.mikrotik.co.id, 3 January 2011 03:18:06 WIB, 899 lines."

/ip firewall address-list
add list=nice address="1.2.3.4"
remove [find list="nice"]
add list=nice address="182.0.0.0/12"
add list=nice address="114.120.0.0/13"
add list=nice address="120.168.0.0/13"

....
add list=nice address="210.247.240.0/24"
add list=nice address="216.244.94.0/24"
add list=nice address="220.247.172.0/24"


Untuk keperluan pemisahan routing secara manual, file di atas harus dimodifikasi agar bisa menjadi file untuk menambah static routing. Perintah menambah static route pada prinsipnya adalah

/ip route
add dst-address=182.0.0.0/12 gateway=ether2-iix

Tadinya mau pakai

/ip route
add dst-address=182.0.0.0/12 gateway=ether2-iix routing-mark=nice

Malah jadi gak bisa.

Sebagai contoh kita akan mencoba melihat traceroute ke www.cbn.net.id. Sebelum diatur :
[root@localhost ~]# traceroute www.cbn.net.id
traceroute to www.cbn.net.id (210.210.145.202), 30 hops max, 60 byte packets
1 192.168.42.1 (192.168.42.1) 0.253 ms 0.280 ms 0.247 ms
2 192.168.1.1 (192.168.1.1) 0.479 ms 0.529 ms 0.584 ms
3 183.91.85.129 (183.91.85.129) 1.188 ms 1.158 ms 1.162 ms
4 202.152.1.113 (202.152.1.113) 1.084 ms 1.173 ms 1.174 ms
5 jktcbrigr1.idola.net.id (202.152.1.2) 1.650 ms 1.642 ms 1.699 ms
6 cbn.openixp.net (218.100.27.165) 2.068 ms 2.770 ms 2.771 ms
7 ip31-131.cbn.net.id (202.158.31.131) 2.697 ms 2.672 ms 2.755 ms
8 202.158.31.214 (202.158.31.214) 2.691 ms 1.614 ms 1.668 ms
9 ccard.cbn.net.id (210.210.145.202) 1.685 ms 1.667 ms 1.635 ms
[root@localhost ~]#


IP 183.91.85.129 adalah interface Internasional. Meskipun CBN adalah situs lokal, kenapa masih lewat interface Internasional?

Kemudian ditambahkan perintah baris sbb :

/ip route
add dst-address=182.0.0.0/12 gateway=ether2-iix

Setelah diatur static route nya, dengan menambahkan 2 baris di atas ini, hasil traceroute menjadi :
[root@localhost ~]# traceroute www.cbn.net.id
traceroute to www.cbn.net.id (210.210.145.202), 30 hops max, 60 byte packets
1 192.168.1.1 (192.168.1.1) 0.178 ms 0.159 ms 0.192 ms
2 183.91.67.1 (183.91.67.1) 1.277 ms 1.207 ms 1.187 ms
3 202.152.1.113 (202.152.1.113) 1.285 ms 1.258 ms 1.269 ms
4 jktcbrigr1.idola.net.id (202.152.1.2) 1.842 ms 1.876 ms 1.906 ms
5 cbn.openixp.net (218.100.27.165) 1.846 ms 2.050 ms 2.059 ms
6 ip127-131.cbn.net.id (202.158.127.131) 1.823 ms 1.894 ms 1.894 ms
7 net30.mgl-6500-2.cbn.net.id (202.158.127.242) 1.893 ms 1.876 ms 1.860 ms
8 ccard.cbn.net.id (210.210.145.202) 1.803 ms 1.966 ms 1.967 ms
[root@localhost ~]#


Sekarang ke CBN sudah lewat interface IIX.

Lihat :
Aturan BGP-Peer