Skenario perancangan jaringan lokal SOHO

       

Bahan:
  1. Satu unit router mikrotik Rb750
  2. dua unit managed switch 24port
  3. Empat unit Access point
  4. 25 unit pc windows
  5. 4 unit printer
  6. 1 unit NAS server.
Skenarionya ada 4 divisi yaitu admin IT(2PC), finance(3PC),
marketing(8PC), Teknik(12PC) dan satu jaringan untuk Guest.
alamat jaringan adalah 192.168.1.0/24

A. Basic Network Scheme

1. Topologi Fisik (Physical Layer)

Dalam skenario ini, Mikrotik RB750 akan bertindak sebagai "otak" atau Gateway. Karena kita tidak menggunakan VLAN, kedua Managed Switch akan berfungsi sebagai Unmanaged (semua port berada di default VLAN 1).

  • Mikrotik RB750: Port 1 (Internet/ISP), Port 2 (Ke Switch 1).

  • Switch 1 & 2: Hubungkan salah satu port di Switch 1 ke Switch 2 (Trunking/Uplink).

  • Access Point: Hubungkan ke port mana saja di kedua switch tersebut. Sebarkan di area kantor untuk cakupan sinyal maksimal.

  • Endpoint (PC, Printer, NAS): Hubungkan secara merata ke port switch yang tersedia.

2. Alokasi Alamat IP (IP Addressing Plan)

Karena kita menggunakan satu subnet $192.168.1.0/24$, kita harus sangat rapi dalam membagi blok IP secara manual agar tidak terjadi konflik IP. Berikut adalah rekomendasi alokasinya:

Kelompok PerangkatRentang IP AddressKeterangan
Gateway (Mikrotik)192.168.1.1Alamat utama keluar jaringan.
Server (NAS)192.168.1.2Static IP (Agar mudah diakses).
Network Devices192.168.1.3 - 192.168.1.10IP untuk Managed Switch & AP.
Printers192.168.1.11 - 192.168.1.15Static IP (Wajib agar printer tidak 'hilang').
Static PC (Admin IT)192.168.1.20 - 192.168.1.21Khusus tim IT.
DHCP Pool (User)192.168.1.100 - 192.168.1.254Untuk Finance, Marketing, Teknik, & Guest.

3. Langkah Konfigurasi Mikrotik

Berikut adalah urutan konfigurasi dasar pada Mikrotik RB750 Anda:

A. IP Address & Gateway

Berikan alamat pada interface yang mengarah ke Switch (misal: ether2):

IP > Address > Add Address=192.168.1.1/24 Interface=ether2

B. DHCP Server

Agar 25 PC dan tamu (Guest) mendapatkan IP otomatis:

  1. Buka IP > DHCP Server > DHCP Setup.
  2. Pilih interface ether2.
  3. Address space: 192.168.1.0/24.
  4. Gateway: 192.168.1.1.
  5. Address to Give Out: 192.168.1.100-192.168.1.254.

C. Internet Access (NAT)

Agar semua perangkat bisa browsing:

IP > Firewall > NAT > Add Chain=srcnat Out-Interface=ether1 Action=masquerade

4. Analisis & Catatan Penting

Karena saat ini kita tidak menggunakan VLAN atau Subnetting, maka:

  1. Keamanan: Semua divisi (Marketing, Finance, bahkan Guest) bisa saling melihat data satu sama lain. Contoh: Orang luar di jaringan Guest bisa mencoba mengakses NAS atau Printer Finance.

  2. Broadcast Traffic: Dengan total sekitar 35-40 perangkat, trafik broadcast masih aman, namun performa mungkin sedikit menurun jika ada aktivitas transfer data besar di bagian Teknik.

  3. Printer & NAS: Pastikan diatur dengan Static IP. Jangan biarkan Printer menggunakan DHCP karena jika IP berubah, PC tidak akan bisa melakukan printing.


B. Scheme 2: Firewall "Restricted Access Control"

Membatasi siapa yang boleh mengakses aset krusial (NAS dan Printer) dan mengisolasi perangkat Guest agar tidak bisa mengutak-atik router.

1. Amankan Akses ke NAS (Server)

NAS berisi data penting perusahaan. Kita harus membatasi agar hanya divisi terkait yang bisa mengaksesnya. Dalam skenario ini, kita asumsikan Guest tidak boleh menyentuh NAS.

  • Rule: Izinkan IP Admin IT dan Staff (IP tertentu), Drop sisanya.

  • Alasan: Mencegah tamu atau pengguna yang tidak berwenang mencoba masuk ke database perusahaan.

2. Proteksi Router (Input Chain)

Router adalah gerbang utama. Kita tidak ingin pengguna Guest atau user iseng mencoba login ke Winbox Mikrotik.

  • Rule: Hanya izinkan IP Admin IT (192.168.1.20-21) untuk mengakses servis Mikrotik (Winbox/Webfig).

  • Alasan: Jika router ditembus, seluruh jaringan dalam bahaya. Ini adalah lapisan pertahanan pertama.

3. Blocking Malware Common Ports

Meskipun dalam satu LAN, kita bisa menyaring trafik yang keluar menuju internet untuk mencegah aktivitas virus/malware dari PC user.

  • Rule: Drop trafik pada port-port berbahaya (seperti port 445 SMB jika mengarah ke internet).

Konfigurasi Langkah-demi-Langkah (Mikrotik CLI)

Berikut adalah perintah yang bisa Anda terapkan di terminal Mikrotik:

# 1. Membuat Address List untuk Admin agar mudah dikelola
/ip firewall address-list
add address=192.168.1.20-192.168.1.21 list=Admin-IT
add address=192.168.1.100-192.168.1.150 list=Staff-Internal

# 2. Filter Chain INPUT (Melindungi Router)
# Izinkan Admin IT akses Router, Drop yang lain.
/ip firewall filter
add chain=input src-address-list=Admin-IT action=accept comment="Allow Admin to Router"
add chain=input connection-state=established,related action=accept comment="Allow established connections"
add chain=input protocol=icmp action=accept comment="Allow Ping (untuk monitoring)"
add chain=input action=drop comment="Drop all other access to Router"

# 3. Filter Chain FORWARD (Melindungi NAS)
# Misal NAS ada di 192.168.1.2, hanya Staff & Admin yang boleh akses.
/ip firewall filter
add chain=forward dst-address=192.168.1.2 src-address-list=Admin-IT action=accept comment="Admin to NAS"
add chain=forward dst-address=192.168.1.2 src-address-list=Staff-Internal action=accept comment="Staff to NAS"
add chain=forward dst-address=192.168.1.2 action=drop comment="Block Guest/Others to NAS"

Mengapa ini yang "Terbaik" untuk kondisi sekarang?

  1. Zero Trust (Semi): Kita mulai membangun kebiasaan bahwa tidak semua orang harus bisa mengakses semua hal.

  2. Mencegah Brute Force: Dengan membatasi akses ke IP Router, Anda menutup celah bagi siapa pun yang mencoba menebak password Winbox Anda melalui WiFi Guest.

  3. Manajemen Terpusat: Menggunakan address-list memudahkan Anda di masa depan. Jika ada PC baru di divisi Teknik yang butuh akses NAS, Anda cukup menambahkan IP-nya ke dalam list tanpa merubah rule firewall.

Kelemahan Skenario Tanpa VLAN

Perlu diingat, karena ini masih satu subnet, user yang "pintar" bisa saja mengganti IP PC mereka secara manual ke rentang IP Staff agar bisa mengakses NAS. Firewall berbasis IP di dalam satu subnet sangat mudah dikelabui dengan teknik IP Spoofing.

Skenario Serangan IP Spoofing

Bayangkan seorang tamu (Guest) terhubung ke WiFi dan mendapatkan IP otomatis 192.168.1.200. Berdasarkan aturan firewall yang kita buat tadi, Guest ini diblokir untuk mengakses NAS (192.168.1.2).

Namun, si Guest tahu (mungkin dengan teknik scanning sederhana menggunakan aplikasi seperti Advanced IP Scanner atau Fing) bahwa IP 192.168.1.20 adalah milik Admin IT yang punya akses penuh ke NAS.

Langkah-langkah Simulasi (Cara Penyerang Bekerja)

  1. Scanning Jaringan: Penyerang melihat IP mana saja yang aktif dan memiliki hak akses ke server.

  2. Mengubah Identitas (Spoofing): Penyerang secara manual mengubah pengaturan IP di perangkatnya (misal di Windows melalui Network and Sharing Center) dari 192.168.1.200 menjadi 192.168.1.20.

  3. Conflict Management: Jika PC Admin asli sedang mati (misal malam hari), penyerang bisa masuk tanpa hambatan. Jika PC Admin sedang nyala, akan muncul peringatan "IP Address Conflict", namun penyerang yang gigih bisa menggunakan teknik ARP Poisoning untuk memaksa router mengirimkan paket data ke perangkat mereka, bukan ke Admin asli.

Mengapa Firewall Kita "Terkecoh"?

Mikrotik Anda hanya melihat paket data. Ketika paket datang dengan label "Dari: 192.168.1.20", Mikrotik akan mencocokkannya dengan Address List "Admin-IT" dan berkata: "Silahkan lewat, Anda adalah Admin." Mikrotik di level Firewall Filter (Layer 3) tidak secara otomatis memverifikasi apakah IP itu benar-benar berasal dari kabel atau perangkat yang sah, kecuali kita menambahkan pengamanan ekstra.


C. Skenario dengan VLAN

kita akan memecah satu broadcast domain besar tadi menjadi beberapa segmen kecil yang terisolasi secara logik di dalam switch dan router yang sama.

Secara teknis, meskipun semua kabel tercolok ke switch yang sama, PC Finance tidak akan pernah bisa "melihat" PC Guest, seolah-olah mereka berada di gedung yang berbeda.

1. Perancangan Segmentasi VLAN

Kita akan membagi jaringan menjadi 5 VLAN. Setiap VLAN akan memiliki subnet (blok IP) tersendiri agar manajemennya mudah.

Nama DivisiVLAN IDSubnet IPDeskripsi
Admin IT10192.168.10.0/24Akses penuh ke seluruh jaringan.
Finance20192.168.20.0/24Terisolasi, hanya bisa akses NAS.
Marketing30192.168.30.0/24Akses internet dan NAS.
Teknik40192.168.40.0/24Akses internet dan NAS.
Guest50192.168.50.0/24Hanya Internet, tidak bisa akses internal.

2. Konfigurasi pada Mikrotik RB750 (Router-on-a-Stick)

Mikrotik akan bertindak sebagai inter-VLAN routing. Kita akan membuat interface virtual di atas port fisik (misal Ether2).

A. Membuat Interface VLAN

/interface vlan
add name=vlan10-IT vlan-id=10 interface=ether2
add name=vlan20-FIN vlan-id=20 interface=ether2
add name=vlan30-MKT vlan-id=30 interface=ether2
add name=vlan40-TEK vlan-id=40 interface=ether2
add name=vlan50-GST vlan-id=50 interface=ether2

B. Menentukan IP Gateway per VLAN

/ip address
add address=192.168.10.1/24 interface=vlan10-IT
add address=192.168.20.1/24 interface=vlan20-FIN
add address=192.168.30.1/24 interface=vlan30-MKT
add address=192.168.40.1/24 interface=vlan40-TEK
add address=192.168.50.1/24 interface=vlan50-GST

3. Konfigurasi pada Managed Switch

Di sinilah peran penting 2 unit Managed Switch Anda. Anda harus mengatur port-portnya:

  1. Trunk Port: Port yang menghubungkan Switch ke Mikrotik dan Switch ke Switch. Port ini harus mengizinkan (Allow) semua VLAN ID (10, 20, 30, 40, 50).

  2. Access Port: Port yang terhubung langsung ke PC user.

    • Port untuk Finance diatur ke VLAN 20.

    • Port untuk Teknik diatur ke VLAN 40, dan seterusnya.

4. Keunggulan Keamanan Skenario Ini

Setelah VLAN diterapkan, serangan IP Spoofing yang kita simulasikan tadi tidak akan bekerja lagi karena:

  • Isolasi Layer 2: Jika Guest di VLAN 50 mencoba mengubah IP menjadi 192.168.10.20 (IP Admin IT), paket data tersebut tetap akan berada di dalam "pipa" VLAN 50.

  • Routing Drop: Mikrotik akan melihat bahwa paket dari VLAN 50 menggunakan sumber IP yang tidak sesuai dengan subnet VLAN 50, sehingga paket tersebut akan langsung dibuang (invalid source).

  • Broadcast Terjaga: Jika ada virus di komputer tim Marketing, virus tersebut tidak akan bisa menyebar ke PC Finance secara otomatis karena perbedaan segmen jaringan.


D. Skenario VLAN Hardening (Best Practise)

Kita akan menggunakan fitur Firewall Filter di MikroTik untuk mengatur lalu lintas data antar VLAN (Inter-VLAN Routing).

Kuncinya adalah pada urutan rule (aturan). Di MikroTik, aturan firewall dibaca dari atas ke bawah. Kita akan "mengizinkan" yang perlu dulu, baru "menutup" sisanya.

Berikut adalah langkah-langkah konfigurasinya:

1. Menyiapkan Address List

Agar konfigurasi lebih rapi, kita masukkan dulu semua segmen VLAN kantor (IT, Finance, Marketing, Teknik) ke dalam satu grup, kecuali Guest.


/ip firewall address-list
add list=VLAN-KANTOR address=192.168.10.0/24
add list=VLAN-KANTOR address=192.168.20.0/24
add list=VLAN-KANTOR address=192.168.30.0/24
add list=VLAN-KANTOR address=192.168.40.0/24

2. Konfigurasi Firewall Filter (Chain Forward)

Kita akan menerapkan aturan pada chain=forward karena ini mengatur lalu lintas yang melintasi router (antar VLAN).

Langkah A: Izinkan Akses ke NAS (Target 1)

Misalkan IP NAS Server Anda adalah 192.168.1.2 (atau jika sudah masuk VLAN, sesuaikan IP-nya).

# Izinkan semua VLAN Kantor mengakses NAS Server
/ip firewall filter
add chain=forward action=accept dst-address=192.168.1.2 src-address-list=VLAN-KANTOR comment="SEMUA DIVISI BISA AKSES NAS"

Langkah B: Matikan Komunikasi Antar VLAN Kantor (Target 1)

Setelah akses ke NAS diizinkan, kita kunci agar antar divisi tidak bisa saling "ping" atau intip data PC lain.

# Drop koneksi jika sumber dan tujuan sama-sama ada di list VLAN-KANTOR tapi berbeda subnet
/ip firewall filter
add chain=forward action=drop src-address-list=VLAN-KANTOR dst-address-list=VLAN-KANTOR comment="MATIKAN KOMUNIKASI ANTAR VLAN KANTOR"

Langkah C: Isolasi Total Guest (Target 2)

Kita ingin Guest (192.168.50.0/24) hanya bisa ke internet. Artinya, dia tidak boleh mengakses subnet kantor mana pun.

# Drop semua paket dari Guest yang tujuannya ke arah jaringan internal kantor
/ip firewall filter
add chain=forward action=drop src-address=192.168.50.0/24 dst-address=192.168.0.0/16 comment="GUEST BUTA TERHADAP JARINGAN KANTOR"

Analisis Hasil Konfigurasi

  1. Akses NAS: PC Teknik (192.168.40.5) ingin akses NAS (192.168.1.2). Paket akan cocok dengan Rule pertama (Accept). Berhasil.

  2. Blokir Antar Divisi: PC Finance (192.168.20.3) mencoba masuk ke PC Marketing (192.168.30.10). Paket akan melewati Rule pertama (tidak cocok), lalu terkena Rule kedua (Drop). Gagal.

  3. Isolasi Guest: Perangkat Guest mencoba melakukan scanning IP atau mengakses NAS. Paket akan langsung terkena Rule ketiga karena tujuannya adalah IP lokal (192.168.x.x). Guest hanya akan bisa mengirim paket ke IP Publik (Internet).

Tips Tambahan dari Ahli:

Untuk membuat Guest "benar-benar buta", pastikan Anda juga menutup akses Guest ke Router (Winbox/Webfig) pada Chain Input:

/ip firewall filter
add chain=input action=drop src-address=192.168.50.0/24 dst-address=192.168.50.1 co

DOKUMENTASI LAMA