Mikrotik RB 750 + PFsense as Squid Box

chino

Setelah ngubek-ngubek om Goo*le, PF Forum n Other Forum. untuk cari resep untuk mau buat RB 750 menjadi GARANG akhirnya bisa nemu resep seperti ini :

Topologi :

ADSL(Bridge) –---------- Mikocok -------------- Switch ------------ Client
                                      | |
                          PFSense (Squid + Lusca)

Saya harap pembaca sudah paham dengan cara kerja Mikocok

Mikocok Conf :
Ether 0  = PPoE Client ke Spedol
Ether 1  = Ke Client IP 192.168.88.2-254
Ether 2  = default
Ether 3  = ke LAN PF Box IP 192.168.200.1
Ether 4  = ke WAN PF Box IP 172.3.3.2

Alat yang di butuhkan :

1 unit Mikocok RB 750 / 750G
1 unit CPU Bekas/Baru asal masih bisa nyala dengan minimum Procesor PIII
4 unit kabel LAN
1 unit modem Spedol (Set Bridge) nanti mikrotik yang dial ke Speedol

Langkah selanjutnya :

Set pada sisi PF-nya

1. Install pfbox (sesuai Manual).
2. Setelah selesai install PFbox-nya masuk ke WEB Confignya.
3. Buka menu system --> packeges --> Cari SQUID 2.7 (yang udah pasti stable) trus Install
4. ketik pada Diagnostic -> Command promt : http://pfsense-cacheboy.googlecode.com/svn/trunk/script/package.sh && chmod +x package.sh && ./package.sh
5. Buka menu system --> packeges --> Cari Lusca
6. atau Cari tut's nginstall LUSCA cache PFsense di Mbah Goo*le (Lusca cache merupakan Optional Install)
7. Buka menu Services --> Proxy Services --> Pastikan Proxy Portnya 3128
*. TAB General --> centang Allow users on interface, tranparent proxy,Enabled logging, Transparent X-Forward, & Disable VIA --> klik Save
*. TAB Cache Mgmt --> Hardisk cache system = coos+aufs (bila sudah teristal Lusca), Coss HD      cache size 50, HD cache size 100, memory cache size 8 (Sesuaikan dengan kap. MEM), Max memory object size 4 (Sesuaikan dengan kap. MEM), Minimum object size 10 (Sesuaikan dengan kap. MEM), Maximum object size 6(Sesuaikan dengan kap. MEM)--> Klik Save
*. TAB Access control --> Allowed subnets (masukkan IP 192.168.88.0/24) --> klik Save
*. TAB Traffic Mgmt --> Matiin aja "Enable delay pool" (Biarin mikocok yg ngatur BW-nya)
8. Buat yang pake add-on LUSCA Cache configurasinya di sesuaikan dengan kebutuhan aja yah..
9. Lanjut pastikan Squid Services sudah berjalan. Klik Status Sevices --> Lihat Squid jalan atau tidak
10. Restart PF Box --> setelah restart, PFBox udah Ready to work.

Set pada sisi Mik*otik-nya

1. IP --> address

Flags: X - disabled, I - invalid, D - dynamic
#  ADDRESS            NETWORK        BROADCAST      INTERFACE             
0  ;;; default configuration
    192.168.88.1/24    192.168.88.0    192.168.88.255  ether2-local-master   
1  10.10.30.6/28      10.10.30.0      10.10.30.15    ether1-gateway       
2  192.168.200.100/24 192.168.200.0  192.168.200.255 ether4-local-slave   
3  172.3.1.1/24      172.3.1.1      172.3.1.255    ether5-local-slave

2. IP --> firewall --> Nat

Flags: X - disabled, I - invalid, D - dynamic
0  ;;; Client
    chain=srcnat action=masquerade out-interface=ether1-gateway

1 X chain=dstnat action=dst-nat to-addresses=192.168.200.1 to-ports=3128
    protocol=tcp src-address=192.168.88.0/24 in-interface=ether4-local-slave
    dst-port=80

2  ;;; Proxy
    chain=srcnat action=masquerade out-interface=ether5-local-slave

3  ;;; NAT Proxy
    chain=srcnat action=masquerade src-address=192.168.200.1
    out-interface=ether1-gateway

4  ;;; Belok ke-Proxy
    chain=dstnat action=dst-nat to-addresses=192.168.200.1 to-ports=3128
    protocol=tcp in-interface=ether2-local-master dst-port=80

3. IP --> firewall --> Nat

Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0          10.10.30.6      10.10.30.1        1     
1 X S  0.0.0.0/0          192.168.200.100 192.168.200.1      1     
2 X S  0.0.0.0/0          10.10.30.6      192.168.200.1      2     
                                          10.10.30.1       
3 ADC  10.10.30.0/28      10.10.30.6      ether1-gateway    0     
4 ADC  172.3.1.0/24      172.3.1.1      ether5-local-slave 0     
5 ADC  192.168.88.0/24    192.168.88.1    ether2-local-ma... 0     
6 ADC  192.168.200.0/24  192.168.200.100 ether4-local-slave 0

---

Bagi akang-akang yang memiliki metoda yang lain mungkin dengan menggunakan 1 LAN card saja
yang menuju ke PF boxnya dapat memberikan masukkan bagaimana cara membuatnya? dan di share
disini untuk kemajuan teman-teman pecinta PFsense & Mikocok :)

ditunggu yee Commentnya

Maju terus networking indonesia

asracomp

Kalo begini gimana bos…?

Internet<--->ModemADSL(bridge)<--->(PPPoE)PFsense+LUSCA<--->RB750G(bandwidth Management)<---> Switch/HUB<--->client...dst.

chino

@asracomp:

Kalo begini gimana bos…?

Internet<--->ModemADSL(bridge)<--->(PPPoE)PFsense+LUSCA<--->RB750G(bandwidth Management)<---> Switch/HUB<--->client...dst.

Kalo gw ma.. lebih yakin kalo RB yang tampil di depan dari pada PF yang tampil di depan coz serangan dari luar banyak yang bahaya boss.. ??? ??? ???. enaknya mikocok punya Winbox yang buat qite nudah monitor traffic masuk & keluar.. jd saya lbh prefer klo mikocok yg di depan.. coba PF punya tools sprti winbox pasti ane dah tempatin dia di depan… ;D dan model kaya di atas prosesnya bisa 2x routing..

poscom

:)

kambeeng

wah kata siapa pfsense nggak secure .. malah pf lebih secure di banding MK :D coba aja buktikan

poscom

@kambeeng:

wah kata siapa pfsense nggak secure .. malah pf lebih secure di banding MK :D coba aja buktikan

nah jawaban ini yg sy tunggu2 BOS :) :) :) OK buangetttt Komandan

serangku

pada batasan tertentu om @chino benar adanya …
yang patut di diperhatikan adalah sisi banyaknya klien dari router itu sendiri

kalo klien RB750, katakanlah, 20 atau 30, dengan full setup, sepertinya
akan kolap itu RB, bukan karena os nya, tapi hardware yang sudah ngos2an
pastinya harus upgrade ke yg lebih tinggi, dan itu adalah cost yang tinggi pula.
terutama licensenya ...

untuk secure, setiap distro firewall, salah satu yang diutamakan adalah secure nya
so, nonsense kalau pf tidak secure, begitu juga sebaliknya ... it's fair enough

yang om @chino lakukan adalah kolaborasi
saling melengkapi antara 2 produk yang berbeda
sudah mahfum kalau mikrotik sangat terbatas dalam custom squidnya
pfsense sangat mudah untuk mendapatkan proxy performance
indah bukan konsep saling melengkapi ...

btw ... share nya om acungi jempol  :)
untuk single ethernet sangat bisa
om sendiri sudah mengaplikasikan single ethernet multiple interface
mangga dioprek lebih lanjut ...

kambeeng

kalau saya nggak bisa acungin jempol buat artikel seperti ini nggak ada gunanya .. langsung aja di stick hahahahah

ardy_2006

Klo sy setubuh, e' salah maksud sy se7 dengan TS. Msh Mikrotik RB 750G + PFsense as Squid Box.
emang setiap topology terkadang tidak pas/cocok dipake di setiap jaringan. klo saya :

client –------mikrotik ----------
                      |                    |
                      |                    | ------ internet
                      |                    |
                  PF (box) ----------

Mikrotik = port 1 mengarah clients
              port 2 mengarah Wan/Internet
              port 3 mengarah ke PF (box)
PF(Box) = Lan ----> port 3 mikrotik
              WAN ---> modem

intinya :

• Request destination port 80 dibelokan ke mesin PF. ( chain=dstnat action=dst-nat to-addresses=(ip address pfsense) to-ports=(port pfsense) protocol=tcp in-interface=(port 3 mengarah ke pfsense) dst-port=80 )
• Selain port 80 masuk ke mikrotik dengan management bandwidht menggunakan L7 protocol. ( idm & sodara sodaranya nggak berkutik )

Tipology ini belum tentu cocok dengan jaringan yg lain, so yg pasti buffer youtube lari kencang seperti dikejar anjing, ini yg sy suka. speedtest kecepatan LAN full speed semua ini hanya akal akalan mesin PF + LUSCA oprekan Mang Chuddy,Yg emang betul betul cocok buat kita kita yg fakir bandwidht  wk... wk.. wk....

kambeeng

@ardy_2006:

Klo sy setubuh, e' salah maksud sy se7 dengan TS. Msh Mikrotik RB 750G + PFsense as Squid Box.
emang setiap topology terkadang tidak pas/cocok dipake di setiap jaringan. klo saya :

client –------mikrotik ----------
                       |                    |
                       |                    | ------ internet
                       |                    |
                   PF (box) ----------

Mikrotik = port 1 mengarah clients
              port 2 mengarah Wan/Internet
              port 3 mengarah ke PF (box)
PF(Box) = Lan ----> port 3 mikrotik
              WAN ---> modem

intinya :

• Request destination port 80 dibelokan ke mesin PF. ( chain=dstnat action=dst-nat to-addresses=(ip address pfsense) to-ports=(port pfsense) protocol=tcp in-interface=(port 3 mengarah ke pfsense) dst-port=80 )
• Selain port 80 masuk ke mikrotik dengan management bandwidht menggunakan L7 protocol. ( idm & sodara sodaranya nggak berkutik )

Tipology ini belum tentu cocok dengan jaringan yg lain, so yg pasti buffer youtube lari kencang seperti dikejar anjing, ini yg sy suka. speedtest kecepatan LAN full speed semua ini hanya akal akalan mesin PF + LUSCA oprekan Mang Chuddy,Yg emang betul betul cocok buat kita kita yg fakir bandwidht   wk... wk.. wk....

Mas kasih yang gamblang yaaa sedetailnya :D

tks
PFSI

ardy_2006

siap komandan.  :)
mending ku buat tutorial dulu aja settingan aku.
ntar ku share disini. sapa tahu dengan dishare ada masuan sana sini & bisa makin garang konesinya.
Loading …...............................

kavari

@serangku:

pada batasan tertentu om @chino benar adanya …
yang patut di diperhatikan adalah sisi banyaknya klien dari router itu sendiri

kalo klien RB750, katakanlah, 20 atau 30, dengan full setup, sepertinya
akan kolap itu RB, bukan karena os nya, tapi hardware yang sudah ngos2an
pastinya harus upgrade ke yg lebih tinggi, dan itu adalah cost yang tinggi pula.
terutama licensenya ...

untuk secure, setiap distro firewall, salah satu yang diutamakan adalah secure nya
so, nonsense kalau pf tidak secure, begitu juga sebaliknya ... it's fair enough

yang om @chino lakukan adalah kolaborasi
saling melengkapi antara 2 produk yang berbeda
sudah mahfum kalau mikrotik sangat terbatas dalam custom squidnya
pfsense sangat mudah untuk mendapatkan proxy performance
indah bukan konsep saling melengkapi ...

btw ... share nya om acungi jempol  :)
untuk single ethernet sangat bisa
om sendiri sudah mengaplikasikan single ethernet multiple interface
mangga dioprek lebih lanjut ...

Sepakat om, masalah security lebih kepada brainware dibelakang firewall,apalagi jika enginennya masih dalam keluarga *nix ,firewallnya tidak jauh berbedalah. @chino benar bhw di mikrotik traffik monitoring lebih mudah, tapi di pfsense seharusnya juga bisa dilakukan dengan menambahkan package, baik dari pfsense sendiri maupun dari pihak ketiga.
Ada satu hal lagi mungkin yang patut dipertimbangkan o/ developer pfsense ,yakni ketersediaan hardware embed semacam routerboard mikrotik yang sangat ekonomis u/ pengguna soho. Atau jika memungkinkan pfsense bisa didevelop untuk arsitektur mips, ppc yang kompatible u/ routerboard mikrotik sehingga pfsense bisa di injek ke routerboard.
go..opensource

asepyulisman

maap, buat master yg udah pernah coba topologi seperti ini, apakah proxy hit di pfsense bisa naik ngak?? ???

sejak kenal pfsense si RB udah nganggur :D :D

Internet<--->ModemADSL(bridge)<--->(PPPoE)PFsense+LUSCA<--->RB750G(bandwidth Management)<---> Switch/HUB<--->client...dst.

di pfsense===> 1\. squid   2\. lusca  3\. unbound
RB750G  ==> management bandwidth doang  

kayaknya cuman ini satu-satunya jalan ke Roma buat aq :'( :'(

kavari

@asepyulisman:

maap, buat master yg udah pernah coba topologi seperti ini, apakah proxy hit di pfsense bisa naik ngak?? ???

sejak kenal pfsense si RB udah nganggur :D :D

Internet<--->ModemADSL(bridge)<--->(PPPoE)PFsense+LUSCA<--->RB750G(bandwidth Management)<---> Switch/HUB<--->client...dst.

di pfsense===> 1\. squid   2\. lusca  3\. unbound
RB750G  ==> management bandwidth doang  

kayaknya cuman ini satu-satunya jalan ke Roma buat aq :'( :'(

sayang kalo rb nya nganggur om :
Percaya aja bahwa masih banyak jalan keroma kok :-)

PFsense+LUSCA
                                                                                                      |
1. pfsense ===> Internet<–->ModemADSL(bridge)<--->(ppoe)RB750G(bandwidth Manage)<---> Switch/HUB<--->client...dst

2. pfsense ===> Internet<--->ModemADSL(bridge)<--->(ppoe)RB750G(bandwidth Management)<---> Switch/HUB<--->client...dst
                                                                                                                                                                                      |
                                                                                                                                                                      PFsense+LUSCA
3.pfsense ===> Internet<--->(ppoe)ModemADSL(bridge)<---> Switch/HUB<------->RB750G(bandwidth Management)<---> Switch/HUB<--->client...dst
                                                                                                                |    <-- port80                                    |                                                                       
                                                                                                      PFsense+LUSCA------------------------------------

ayo....dipilih ....dipilih......dipilih

diol

kalau saya pakai topology seperti ini

adsl –--pcmikrotik----switch--client
                |
                |
            pfsense

enggak tau setting pfsense udah tepat atau belum yg penting jalan

kambeeng

ya coba di check dilognya bro… jalan atau belon

salam
PFSI

diol

siap Ndan

kalau di proxy report rata2 hit 40%,dengan konfigurasi standar Lusca/LUSCA r14850 patched: chudy r14,dengan client 15unit

salam
PFSI

asepyulisman

adsl ----pcmikrotik----switch--client
                 |
                 |
             pfsense

om kalau boleh tau proxy hitnya nembus sampai berapa Mega ???

diol

siang om

rata2 0,5-1gb,mungkin gara2 kebiasan user kalau nonton dari youtube cepet ,jd kagak disimpan dulu.

pfsense_aja

@chino:

Setelah ngubek-ngubek om Goo*le, PF Forum n Other Forum. untuk cari resep untuk mau buat RB 750 menjadi GARANG akhirnya bisa nemu resep seperti ini :

Topologi :

ADSL(Bridge) –---------- Mikocok -------------- Switch ------------ Client
                                       | |
                          PFSense (Squid + Lusca)

Saya harap pembaca sudah paham dengan cara kerja Mikocok

Mikocok Conf :
Ether 0  = PPoE Client ke Spedol
Ether 1  = Ke Client IP 192.168.88.2-254
Ether 2  = default
Ether 3  = ke LAN PF Box IP 192.168.200.1
Ether 4  = ke WAN PF Box IP 172.3.3.2

Alat yang di butuhkan :

1 unit Mikocok RB 750 / 750G
1 unit CPU Bekas/Baru asal masih bisa nyala dengan minimum Procesor PIII
4 unit kabel LAN
1 unit modem Spedol (Set Bridge) nanti mikrotik yang dial ke Speedol

Langkah selanjutnya :

Set pada sisi PF-nya

1. Install pfbox (sesuai Manual).
2. Setelah selesai install PFbox-nya masuk ke WEB Confignya.
3. Buka menu system --> packeges --> Cari SQUID 2.7 (yang udah pasti stable) trus Install
4. ketik pada Diagnostic -> Command promt : http://pfsense-cacheboy.googlecode.com/svn/trunk/script/package.sh && chmod +x package.sh && ./package.sh
5. Buka menu system --> packeges --> Cari Lusca
6. atau Cari tut's nginstall LUSCA cache PFsense di Mbah Goo*le (Lusca cache merupakan Optional Install)
7. Buka menu Services --> Proxy Services --> Pastikan Proxy Portnya 3128
*. TAB General --> centang Allow users on interface, tranparent proxy,Enabled logging, Transparent X-Forward, & Disable VIA --> klik Save
*. TAB Cache Mgmt --> Hardisk cache system = coos+aufs (bila sudah teristal Lusca), Coss HD      cache size 50, HD cache size 100, memory cache size 8 (Sesuaikan dengan kap. MEM), Max memory object size 4 (Sesuaikan dengan kap. MEM), Minimum object size 10 (Sesuaikan dengan kap. MEM), Maximum object size 6(Sesuaikan dengan kap. MEM)--> Klik Save
*. TAB Access control --> Allowed subnets (masukkan IP 192.168.88.0/24) --> klik Save
*. TAB Traffic Mgmt --> Matiin aja "Enable delay pool" (Biarin mikocok yg ngatur BW-nya)
8. Buat yang pake add-on LUSCA Cache configurasinya di sesuaikan dengan kebutuhan aja yah..
9. Lanjut pastikan Squid Services sudah berjalan. Klik Status Sevices --> Lihat Squid jalan atau tidak
10. Restart PF Box --> setelah restart, PFBox udah Ready to work.

Set pada sisi Mik*otik-nya

1. IP --> address

Flags: X - disabled, I - invalid, D - dynamic
#   ADDRESS            NETWORK         BROADCAST       INTERFACE             
0   ;;; default configuration
     192.168.88.1/24    192.168.88.0    192.168.88.255  ether2-local-master   
1   10.10.30.6/28      10.10.30.0      10.10.30.15     ether1-gateway         
2   192.168.200.100/24 192.168.200.0   192.168.200.255 ether4-local-slave     
3   172.3.1.1/24       172.3.1.1       172.3.1.255     ether5-local-slave

2. IP --> firewall --> Nat

Flags: X - disabled, I - invalid, D - dynamic
0   ;;; Client
     chain=srcnat action=masquerade out-interface=ether1-gateway

1 X chain=dstnat action=dst-nat to-addresses=192.168.200.1 to-ports=3128
     protocol=tcp src-address=192.168.88.0/24 in-interface=ether4-local-slave
     dst-port=80

2   ;;; Proxy
     chain=srcnat action=masquerade out-interface=ether5-local-slave

3   ;;; NAT Proxy
     chain=srcnat action=masquerade src-address=192.168.200.1
     out-interface=ether1-gateway

4   ;;; Belok ke-Proxy
     chain=dstnat action=dst-nat to-addresses=192.168.200.1 to-ports=3128
     protocol=tcp in-interface=ether2-local-master dst-port=80

3. IP --> firewall --> Nat

Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0          10.10.30.6      10.10.30.1         1       
1 X S  0.0.0.0/0          192.168.200.100 192.168.200.1      1       
2 X S  0.0.0.0/0          10.10.30.6      192.168.200.1      2       
                                           10.10.30.1       
3 ADC  10.10.30.0/28      10.10.30.6      ether1-gateway     0       
4 ADC  172.3.1.0/24       172.3.1.1       ether5-local-slave 0       
5 ADC  192.168.88.0/24    192.168.88.1    ether2-local-ma... 0       
6 ADC  192.168.200.0/24   192.168.200.100 ether4-local-slave 0

---

Bagi akang-akang yang memiliki metoda yang lain mungkin dengan menggunakan 1 LAN card saja
yang menuju ke PF boxnya dapat memberikan masukkan bagaimana cara membuatnya? dan di share
disini untuk kemajuan teman-teman pecinta PFsense & Mikocok :)

ditunggu yee Commentnya

Maju terus networking indonesia

kalo adsl nya ga mode bridge kk…  tapi dengan topologi yang sama... ada panduan ga kk...

thx for share