Cara Membuat Hotspot Aman di Mikrotik dengan VLAN

Lebih Aman Membuat Hotspot WiFi Dengan VLAN

Cara membuat hotspot ini agak beda dengan bisanya, saat kamu ada tugas memasang wifi hotspot public untuk kantor kamu perlu memikirkan faktor keamanan.

Pasti kamu gak mau ada orang iseng/hacker yang memanfaatkan koneksi wifi yang kamu open sebagai jalan masuk ke jaringan lokal/internal kantormu.

Dengan memanfaatkan fitur VLAN kamu tidak perlu membuat jaringan baru/narik kabel panjang-panjang dari router ke tempat mau dipasang hotspot.

Fitur VLAN akan memanfaatkan jaringan fisik yang sudah ada untuk membangun jaringan virtual sehingga jaringan WiFi yang lewat VLAN akan benar-benar terpisah dari jaringan fisik lokal/internal.

Orang yang masuk lewat jaringan VLAN tidak akan bisa mengakses ke jaringan kantor(Local) yang kamu kelola dan sebaliknya, sehingga kedua jaringan ini akan berjalan secara tepisah.

Kamu mungkin perlu menambahkan sedikit rule firewall di router kamu untuk membuat jaringan public wifi benar-benar terpisah dari jaringan local kantor mu.

Tutorial ini saya buat dengan detail agar yang ingin belajar tau kenapa begini dan kenapa begitu,jadi maklum rada panjang
Pada pembahasan setting di mikrotik router tidak saya sertakan command,supaya kamu yang ingin belajar mengerti dan familiar dengan menu dan opsi yang ada di mikrotik, karena jika cuman kopas command kamu gak bakal ngerti.

Membuat HOTSPOT Wifi  dengan VLAN  di Mikrotik ilustrasi hotspot dengan vlan

Walau secara fisik WiFi terkonek ke jaringan local /private tetapi dengan fitur VLAN kamu bisa  membuat jaringan ini benar-benar terpisah secara logical(perangkat di jaringan VLAN tidak bisa berkomunikasi dengan komputer di jaringan Private/LAN).

Untuk membuat benar-benar terpisah kamu perlu menambahkan beberapa baris firewall rule agar berjalan sempurna ūüėÄ

Goal HOTSPOT  kamu :

  • pengguna hotspot hanya bisa mengakses internet dan tidak bisa scan/konek ke jaringan private/local dan sebaliknya (guest user)
  • Hanya IP yang diberikan oleh DHCP server lah yang bisa terkoneksi ke network,selain IP yang telah ditentukan akan diabaikan oleh router (arp-reply only)
  • Mengatur dan membatasi bandwidth Hotspot

Perangkat yang dibtuhkan :

  • Mikrotik router ,Tipe apa aja bole asal bisa VLAN
  • Radio Wireless dengan opsi VLAN, untuk merek bebas aja asal ada opsi VLAN nya .Disini saya menggunakan UNIFI dari UBNT

 

Cara Mengontrol Akses Pengguna Hotspot Wifi

Untuk mengontrol dan melindungi pengguna hotspot kamu dari tangan jahil seperti penggunaan NETCUT untuk mencuri bandwidth atau hanya ngisengin user lain,maka kamu perlu mengeset ARP mode pada hotspot interface pada saat membuat hotspot.

Arp mode akan kamu setting ke reply-only agar nantinya router hanya akan berkomunikasi dengan mac address yang terdaftar di arp-table, arp table ini akan terisi oleh mac address client hotspot yang mendapatkan IP dari DHCP server.

Jika ada user nakal yang memasang IP sendiri (iseng-iseng nakal) maka ketika user mencoba konek ke jaringan hotspot ,maka akan ditolak oleh router karena ip yang dipakainya tidak diperoleh resmi dari DHCP server yang telah kamu tentukan.

 ARP-table

Kita perlu mengatur ARP mode pada interface hotspot menjadi reply-only agar client hotspot tidak bisa mengunakan IP sembarangan yang disetting manual.

Ini untuk menghindari hacker yang akan melakukan scanning dan spoofing,opsi ini jarang sekali digunakan oleh orang saat membuat hotspot,padahal opsi ini akan membuat hotspot mu lebih aman.

#1. Buat VLAN Interface

Interface> klik pada tanda + lalu pilih VLAN
isi Name dengan namaVlan kamu misal : HOTSPOT
isi VLAN ID dengan IDVLAN yang akan kamu buat bebas aja ini ngisinya pake angka misal :756
Pilih Interface dengan intrface mana yang akan kamu pakai buat VLAN Misal:1.keLAN

cara membuat vlan dan mengamankan hotspot mikrotik cara membuat vlan di mikrotik

#2. Berikan Nama untuk setiap lobang ethernet di routermu dengan nama yang mudah dipahami agar gampang pada saat perbaikan.

Pada dasarnya Vlan ini nginduk di LAN tetapi tidak bisa langsung digunakan(Konek) jika kamu tidak  memasukan IDVLAN yang sama dengan IDVLAN di mikrotik kamu.

Jadi perangkat yang akan menggunakan VLAN harus berada di interface yang sama dengan interface VLAN dibuat.

Dalam contoh diatas, perangkat yang akan menggunakan VLAN harus berada di interface 1.KeLAN

DHCP server dan IP Pool

DHCP server kamu gunakan saat membuat hotspot agar client yang terkoneksi ke hotspot kamu mendapat IP secara otomatis yang telah kamu tentukan range nya dalam IP pool , jadi dengan kata lain nanti client kamu akan mendapat IP privat otomatis dan bisa terkoneksi ke internet tanpa perlu setting.

#1.Membuat IP untuk Hotspot

Untuk IP disini bebas mau kamu kasih IP berapa dan subnet berapa,subnet dipakai untuk membatasi jumlah IP yang akan kamu pakai ,Ip Router dipakai sebagai Gateway perangkat yang terkonek ke hotspot via DHCP server.
IP >Address> klik tanda + > masukan IP Address dan subnet serta Interface hotspot kamu.

cara membuat ip hotspot mikrotik

#2.Membuat DHCP Pool IP Hotspot

IP>Pool> klik pada tanda + > masukan range ip yang akan dipakai misal: 192.168.56.2-192.168.56.25
Ip disini disesuaikan dengan alokasi IP utnuk hotspot yang kamu buat pada step sebelum nya.

cara membuat ip pool hotspot mikrotik

#3.Membuat DHCP Server untuk Hotspot

IP >DHCP Server > klik +

cara membuat hotspot dhcp server pada mikrotik


Beri nama Bebas pada kotak Name , benar-benar pilih VLAN interface dengan nama yang telah kamu tentukan,Address pool pilih dengan nama pool yang kamu buat sebelum nya.

Centang pada Add ARP for Leases agar mac address perangkat yang mendapat ip dari dhcp otomatis ditambahkan ke arp-table.

Lease Time adalah waktu yang kamu berikan kepada client untuk memakai ip dari DHCP server,jika dalam waktu tersebut client masih online maka waktu akan diperpanjang,dan jika dalam waktu yang ditentukan client nya uda gak pake/diskonek maka IP tersebut bisa digunakan oleh client lain


Firewall Untuk Mengamankan Jaringan Hotspot Wifi

Walau sudah menggunakan VLAN saat kamu membuat hotspot belumlah cukup karena  secara default pengguna hotspot bisa berkomunikasi dengan komputer yang ada di jaringan local,ini karena fungsi default router adalah untuk menghubungkan 2 atau lebih jaringan yang berbeda.

Kamu akan membatasi akses ini agar user hotspot tidak bisa berkomunikasi dengan user jaringan private LAN dan sebaliknya.

Aturan FIrewall:
Rule oleh sistem runtut dibaca dari atas kebawah bukan sebaliknya, jadi penempatan rule bisa berpengaruh ke hasil filter yang kita lakukan jadi hati-hati ya
Contoh:

-Chain:forward - src.address List:Local-Dst.Address List:Local -Action:Accept-Chain:forward -Action:Drop

Baris pertama  Artinya :mengizinkan  koneksi dari dan ke ip yang ada dalam address list dengan nama Local
Baris ke2 Artinya : Memblock semua paket forwarding dari semua IP network yang terdaftar di router

Karena rule dibaca dari atas ke bawah jika kamu kebalik maka akan beda arti , Jika kamu membalik atau menempatkan-Chain:forward -Action:Drop dipaling atas,maka rule dibawah nya gak bakal jalan. karena -Chain:forward -Action:Drop dibaca pertama dan dijalankan perintah nya.

#1 Membuat address list dan memasukan IP ke address List

Rencananya kamu akan memasukan IP yang akan kamu atur lewat Firewall kesini,biar lebih mudah ketika kamu menggunakan Firewall. IP >Firewall >pilih tab Address List

cara menambahkan ip ke address list mikrotik

Kamu bisa memasukan ip tunggal atau bisa memasukan IP network (memasukan range IP dalam 1 subnet)untuk memasukan ip dari 192.168.56.1 -192.168.56.30 kamu cukup mengetikan nya dengan 192.168.56.0/27.

Kamu bisa menambahkan IP lain dengan nama yang sama.misal jika kamu punya network local lain untuk dimasukan kesini  tinggal seperti tadi caranya,gak usa diketik pada bagian Name,tinggal kamu klik menu drop down nya saja dan pilih.

#2 Membuat Firewall Rule

Kita akan memblok komunikasi dari ip hotspot ke ip local atau sebaliknya,jika kamu punya lebih dari 1 ip network di jaringan mu,kamu bisa menambahkan di address list dengan nama yang sudah kamu tentukan misalnya “LOCAL”
chain :Forward -Src Address List: LOCAL -Dst Address List: HOTSPOT -Action:Drop
HOTSPOT dan LOCAL adalah nama address list yang telah kamu buat tadi,sesuaikan dengan nam ayang kamu buat ya.

Tempatkan rule ini disesuaikan dengan rule yang telah ada di routermu,usahakan berada di palinga tas rule untuk hotspot.

cara membuat address list di mikrotik

#3 Pengujian HOTSPOT

Setelah kamu selesai membuat hotspot,kamu perlu memastikan hotspot mu berjalan sesuai rencana,coba kamu pakai hotspot mu dan coba juga untuk ping ke komputer jaringan private local.

Jika tidak berjalan sesuai keinginan coba bersabar dan teliti dari awal lagi, namanya belajaar harus sabar ya ^_^


Mengatur Bandwidth Hotspot Wifi

Kita akan mengatur dan membatasi bandwidth untuk pengguna hotspot kamu menggunakan queue tree mikrotik

#1. Membuat Mangle 

IP >Firewall >Mangle >ikuti gambar dibawah ini secara urut.
Menandai Koneksi hotspot (Mark Connection)


cara membuat mangle untuk bandwidth management mikrotik hotspot

Menandai Paket Koneksi Hotspot (Mark Packet)

cara membuat mangle hotspot untuk bandwidth management

#2 Membuat Queue Tree

Untuk membuat queue trafik download,parent nya harus interface dimana komputer berada. dan untuk membuat upload queue parent nya harus interface yang terkoneksi ke internet.

Tentukan juga jenis pcq nya,jika upload ya upload.kalo down ya pilih download.

kamu tidak fix limit tapi diberi toleransi agar flexible dan hotspot kamu terkesan kenceng kalau dipake browsing.

Karena kecepatan akan max hanya beberapa detik saja dan kembali ke kcepatan  normal,3 detik sudah cukup untuk meload seluruh halamn website agar hotspot kamu terkesan kenceng buat browsing.

cara Membuat Queue tree mikrotik bandwidth management


Menggunakan UniFi AP Sebagai Pemancar Signal WiFi Hotspot

Setelah kamu mengkonfigurasi router untuk keperluan hotspot kamu,kini saatnya untuk mensetting perangkat wifi hotspot kamu.

Disini saya menggunakan Unifi sebagai perangkat hotspot nya,kalau kamu menggunakan perangkat lain tidak masalah kok,tinggal cari aja bagian untuk naruh VLAN ID

#1 Login ke perangkat Wifi Hotspotmu.

#2 Buat SSID untuk nama hotspot mu dan masukan VLAN ID

cara setting vlan hotspot unifi

#3 Tinggal kamu setting untuk kekuatan signal nya disesuaikan dengan jangkauan wifi spot yang kamu inginkan

Jika ada kesalahan penulisan /kurang dari tutorial ini /tutorial tidak bekerja /ada kendala,,silakan bisa ditulis di komen .
Terimakasih ^_^

ARTIKEL LANJUTAN
Cara Membuat Voucher WiFi Hotspot Tanpa UserMan

Ini adalah solusi untuk mikrotik mu yang tidak bisa diinstall/belum support userman karena model lama ataupun spek nya terlalu rendah. Read more

Cara Membuat Voucher WiFi Hotspot Sendiri Untuk Dijual

Pengen Jual WiFi Hotspot Dengan sistem Voucher Sendiri? Kamu bisa membuat sistem wifi hotspot yang bisa kamu jual eceran menggunakan Read more

Cara Membuat WiFi Hotspot Sendiri | Rumah, Kantor, Instansi dan Bisnis

Membuat WiFi Hotspot Sendiri itu Mudah Tutorial ini bersifat basic sehingga bisa kamu terapkan dan kembangkan dimanapun seperti rumah,kantor,sekolah,kampus,cafe,hotel atau Read more

Cara Akses Server Lokal Via Jaringan Internet LENGKAP

Mengakses Server Lokal Dari Internet Jika kamu punya server di rumah atau dikantor kamu bisa mengaksesnya dari luar menggunakan jaringan Read more

Halloo, Saya Arie

Saya orang biasa seperti mu, Saya suka sekali membantu orang-orang untuk belajar. Itulah sebabnya saya membuat website ini untuk membantu orang lain sepertimu agar lebih cepat dan mudah ketika belajar di internet.

9 tanggapan pada “Cara Membuat Hotspot Aman di Mikrotik dengan VLAN

    1. Cek apakah DHCP sudah ter enable dan cek juga di interface mana DHCP nya.
      harusnya di interface yang sama dengan AP hotspot anda.
      cek juga untuk IP pool nya, sudah dibuatkan atau belum.

      1. 1. Add Vlan interface ke LAN port 1 : sudah
        2. Add IP Address terpisah ke interface VLAN : sudah
        3. Add pool khusus untuk Vlan : sudah
        4. Add DHCP Server : Sudah
        5. Add DHCP Networks <– saya biasa tambahkan ini untuk gateway, di tutorial diatas tidak ada, apakah harus saya hapus ?
        *bagian firewall belum saya configure
        6. di AP unifi, masuk ke Wireles networks settings, enable Vlan, masukan ID sesuai yg dibuat : Sudah

        Mikrotik CCR-1016 v6.44
        Unifi AP AC Pro

        1. service tag untuk vlan nya tolong dimatikan/jangan dicentang.
          pastikan service DHCP berjalan di interface vlan yang anda gunakan.
          dibagian DHCP server tab Network isikan alokasi ip address sesuai pool yang anda sediakan, isiin juga untuk informasi gateway, DNS dan netmasknya yang akan dipakai di client.

          biasnaya cuman missing dibagian ini saja sih.

    1. sesuai judul,maka harus pake AP yg suport vlan,kalau gak ada vlan maka bisa pake managable switch ataupun router kecil.

      untuk AP standar kelas industri pasti sudah support vlan seperti unifi.
      daripada buat bli managable switch mending buat beli AP yang support vlan,jauh lebig murah kan?

      kalau AP kelas home memang tidak semua support vlan.

      karena kalau cuman buat rumahan sepertinya gak pake vlan juga gak papa sih,kan hanya perlu tarik kabel beberapa meter saja.

      tapi kalau sudah kelas industri kalau gak pake VLAN harus tarik kabel panjang dan perlu anggaran lagi.

    1. untuk monitoring bisa dilakukan dari sistem operasi apapun, dari windows,linux,mac hingga android.
      karena aplikasinya berbasis web.

      jadi semua gampang dan bagus. tinggal pilih mana yang lebih kamu suka.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

Kembali ke Atas