Pengaturan Proxy Eksternal Dengan Mikrotik

12 April 2012 Fajar R. Mikrotik 191

Mikrotik routerboard memiliki built-in proxy didalamnya, namun memiliki kendala yakni keterbatasan kapasitas penyimpanan. Oleh karena itu, kebanyakan administrator jaringan yang menggunakan mikrotik akan menggunakan proxy eksternal untuk mengatasi kendala ini.

Program atau daemon yang paling banyak digunakan untuk proxy eksternal adalah squid atau turunannya (lusca). Ada beberapa keuntungan dalam penggunaan squid proxy eksternal antara lain :

  1. Mudah untuk di sesuaikan konfigurasinya sesuai dengan kebutuhan.
  2. Penggunaan access control lists (ACL) yang dapat digunakan untuk keperluan tertentu.
  3. Squid (khususnya versi 2.7) dapat “dipersenjatai” dengan url redirector. Pada suatu kondisi, redirector dapat digunakan untuk menangani akses konten dinamik (seperti video Youtube).
  4. Kapasitas penyimpanan yang lebih besar karena pada umumnya komputer menggunakan harddisk sebagai media penyimpanan.

Dalam posting ini, saya akan sedikit menjabarkan integrasi proxy eksternal dengan mikrotik menggunakan pengaturan NAT atau mangle dengan diagram jaringan seperti gambar berikut ini :

ext proxy mikrotik

Keterangan :

  • IP address mikrotik menuju proxy : 192.168.90.1
  • IP address proxy menuju mikrotik : 192.168.90.2
  • IP address klien-klien : 192.168.1.0/24

Skenario pertama : menggunakan NAT.

Kita dapat menggunakan NAT untuk “membelokkan” akses browsing klien (port 80/HTTP) menuju IP dan port proxy eksternal. Monggo di copas script berikut ini :

/ip firewall address-list
add address=192.168.90.0/24 list=ip-proxy
/ip firewall nat
add action=dst-nat chain=dstnat comment="transparent proxy" dst-port=80 protocol=tcp src-address-list=!ip-proxy to-addresses=192.168.90.2 to-ports=3128

Keterangan :

Terlebih dahulu kita mendeskripsikan kelas IP address yang digunakan untuk komunikasi antara mikrotik – proxy.

/ip firewall address-list
add address=192.168.90.0/24 list=ip-proxy

Kemudian, akses browsing klien (HTTP port 80) kita belokkan menuju proxy eksternal port 3128

/ip firewall nat
add action=dst-nat chain=dstnat comment=”transparent proxy” dst-port=80 protocol=tcp src-address-list=!ip-proxy to-addresses=192.168.90.2 to-ports=3128

Skenario kedua : menggunakan mangle.

Saya secara pribadi menyukai penggunaan skenario kedua ini. Berikut script nya :

/ip route
add check-gateway=ping distance=1 gateway=192.168.90.2 routing-mark=to-ext-proxy
/ip firewall mangle
add action=mark-routing chain=prerouting comment="mark routing to proxy" dst-port=80 new-routing-mark=to-ext-proxy protocol=tcp src-address=192.168.1.0/24

Keterangan :

Sebelumnya, tambahkan route menuju proxy eksternal untuk routing yang akan kita tandai di mangle.

/ip route
add check-gateway=ping distance=1 gateway=192.168.90.2 routing-mark=to-ext-proxy

Setelah itu, akses browsing klien kita tandai dengan routing mark pada mangle, sehingga semua akses browsing akan “bermuara” langsung ke proxy eksternal sebagaimana telah kita tentukan sebelumnya pada route.

/ip firewall mangle
add action=mark-routing chain=prerouting comment=”mark routing to proxy” dst-port=80 new-routing-mark=to-ext-proxy protocol=tcp src-address=192.168.1.0/24

Catatan :

Jangan lupa menambahkan pengaturan pada proxy eksternal agar akses klien dapat berjalan dengan baik antara lain menentukan default gateway proxy dan mengizinkan akses port 3128 pada iptables. Simpan baris-baris berikut ini kedalam file /etc/rc.local :

route add default gateway 192.168.90.1
iptables -A PREROUTING -t nat -j REDIRECT -p tcp -s 192.168.1.0/24 -d 0/0 --dport 80 --to-ports 3128
iptables -A INPUT -p tcp -s 0.0.0.0/0 -d 192.168.90.2 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.90.2 --sport 3128 -d 0.0.0.0/0 -m state --state ESTABLISHED -j ACCEPT

Semoga bermanfaat…

About Fajar R. 297 Articles
Seseorang yang antusias terhadap dunia internet, IT, networking dan komputer. Tipikal introvert tapi suka berorganisasi dan adventuring ke tempat-tempat baru.

19 Komentar

    • coba periksa kembali packet marks nya dan coba letakkan rule squid hit di simple queue menjadi posisi paling atas.

      Balas

  2. Kok gak Jalan ya Mas Fazar, saya menggunakan RB 750 dan Squid Lusca dari FMI.. Nah setelah mencoba tutorial di atas malah gak bs browsing.. selama ini pakai NAT tapi BW limiter ngak bekerja Optimal dan sering kebocoran… Mohon Pencerahannya Mas Fazar.. Ty…

    Balas

  3. “InsyaAllah kalo sempat nanti saya coba bikinkan ebook setup proxy untuk ubuntu yg lengkap, dari proses install sampe running.”

    Mas Fajar, Tutorial-nya saya tunggu ya..segera dibuat dong… hehe.

    Cerdaskanlah anak bangsa, semoga ilmu yang di sharing barokah… Aamiin.

    Balas

  4. gan , kalo yg pake mangle misalkan proxy kita lagi masalah, g bsa diaksess atau lagi error…

    apakah cient” masih bsa browsing?

    Thanks

    Balas

    • kalo proxy nya shutdown / nggak bisa di ping masih bisa diakalin pake failover di mikrotik. tapi kalo internal proxy nya yg error.. rada susah nih. :)

      Balas

    • kalo pake mangle dan proxynya bermasalah emang gak bisa browsing disable aja gatway yg ke arah proxy, otomatis bisa internet lagi,, #pengalaman saya#

      Balas

  5. mas mau tanya cara menonaktifkan video you tube agar tidak tercache,karena kalo buka youtube,yg keluar video yg sama, gimana ya apa yg harus di ubah atau di hapus di squid ubuntu saya, mohon bantuannya  terimakasih

    Balas

    • kalo muncul access denied, berarti masbro lupa untuk menambahkan acl allow untuk kelas IP address klien di proxy. misalnya…

      acl klien src 192.168.1.0/24
      http_access allow klien

      Balas

  7. mas mau tanya cara menonaktipkan video you tube agar tidak tercache gimana ya apa yg harus di ubah atau di hapus di squid ubuntu saya, mohon bantuannya  terimakasih

    Balas

    • fazar
      March 19, 2013 at 11:08 am

      acl nocacheyt dstdomain youtube.com googlevideo.com
      cache deny nocacheyt

      Balas

  8. pertanyaannya sangat simpel banget mas fazar… ane pengen bikin web proxy pakai internal web proxy punya mikrotik.. rencana pakai SSD… nah, kira2 bisa ga mas, jika instalasi mikrotik plus cachenya di taruh di SSD??  takut2 ga support pas instal mikrotiknya…

    untuk komputer pentium dualcore memory 1GB, plus SSD 60 gb..

    menurut mas fazar bagaimana??

    Balas

  9. nanya mas, disini kan dijelaskan ttg proxy eksternal, sedangkan di sekolahan kami masih terkendala dg hardwer yg terbatas. misalkan kami make internal proxy, gimana mas???

    mohon bimbingane

    Balas

    • bisa pake internal proxy mikrotik, tapi kudu pake mikrotik PC/x86 bukan yg routerboard. kalo yg di routerboard kapasitas cache untuk proxy nya sangat kecil.

      Balas

  10. Terima kasih atas replynya mas, supaya bisa release settingnya dimana ya mas? karena timeoutnya tiap buka website (semisal google) lalu ditutup adalah 24 jam, mohon untuk stepnya kalo boleh karena nyari2 tutorial untuk atur timeout ini gak dapet2 mas…

     

    Trims.

    Balas

Leave a Reply

Alamat email Anda tidak akan dipublikasikan.


*