Membatasi Akses Ke Wireless Mikrotik Hanya Untuk Client DHCP

Beberapa tipe router Mikrotik mempunyai fitur Wireless yang dapat difungsikan sebagai Access Point untuk membuat WLAN. Salah satu cara untuk mengamankan Wireless di Mikrotik adalah dengan membatasi akses hanya untuk Client DHCP. Artikel ini menjelaskan cara membatasi akses ke Wireless Mikrotik hanya untuk Client DHCP.

Berikut adalah topologi jaringan yang menjadi rujukan dalam penjelasan artikel ini. Komputer NB1 dan NB2 adalah perangkat yang akan terhubung ke internet melalui router Mikrotik.
Membatasi Akses Ke Wireless Mikrotik Hanya Untuk Client DHCP

 

Mengonfigurasi “ARP: reply-only” Interface Wireless

Tujuan konfigurasi adalah supaya interface Wireless merespon permintaan ARP hanya dari perangkat yang alamat IP dan MAC Address-nya sudah terdaftar di ARP List.
Cara konfigurasnya adalah dengan membuka interface Wireless, aktifkan “General”, kemudian konfigurasi “ARP: reply-only”.

Membatasi Akses Ke Wireless Mikrotik Hanya Untuk Client DHCP

 

Mengonfigurasi “Add ARP For Leases” DHCP Server

Buka DHCP Server, kemudian konfigurasi sebagai berikut.
Membatasi Akses Ke Wireless Mikrotik Hanya Untuk Client DHCP

Penjelasan

  • Address Pool: dhcp_pool0. Alamat IP yang diberikan oleh DHCP Server kepada perangkat adalah diambil dari dhcp_pool0. Alamat IP tersebut adalah dapat berupa Dynamic Lease atau Static Lease. Dynamic Lease artinya perangkat akan mendapat Alamat IP yang berubah-rubah. Static Lease artinya perangkat akan mendapat Alamat IP yang sama.
  • Add ARP For Leases: Yes. Alamat IP yang diberikan kepada perangkat, akan didaftarkan di ARP List beserta dengan MAC Address perangkat, dengan flag “DCH”. Kode “H” berarti bahwa ARP berasal dari DHCP Server.

 

Memblokir Perangkat

Ketika suatu perangkat dikonfigurasi sebagain DHCP Client, maka perangkat tersebut akan langsung bisa terhubung ke router. Untuk memblokir suatu perangkat, maka buat sebuat Static Lease untuk perangkat tersebut, kemudian aktifkan “Block Access”.

Buka “DHCP Server”, aktifkan “Leases”, klik “+” untuk menambah Lease. Contoh berikut adalah konfigurasi Static Lease untuk komputer NB2.
Membatasi Akses Ke Wireless Mikrotik Hanya Untuk Client DHCP

Hasil konfigurasi.
Membatasi Akses Ke Wireless Mikrotik Hanya Untuk Client DHCP

 

Pengujian

Pengujian #1:
Pengujian pertama adalah dengan mengkonfigurasi komputer NB1 sebagai DHCP Client.
Membatasi Akses Ke Wireless Mikrotik Hanya Untuk Client DHCP

Hasilnya, komputer NB1 terhubung ke internet.
Membatasi Akses Ke Wireless Mikrotik Hanya Untuk Client DHCP


Berikut adalah konfigurasi ARP List dan Lease.
Membatasi Akses Ke Wireless Mikrotik Hanya Untuk Client DHCP

Penjelasan

  1. Karena komputer NB1 dikonfigurasi sebagai DHCP Client, maka DHCP Server berperan untuk menentukan Alamat IP berdasarkan MAC Address komputer NB1.
  2. Karena konfigurasi “Address Pool: dhcp_pool0”, maka DHCP Server mengambil Alamat IP yang belum terpakai dari dhcp_pool0.
  3. Karena konfigurasi “Add ARP For Leases”, maka DHCP Server mendaftarkan Alamat IP 10.10.22.99 dan MAC Address 74:DA:38:99:3B:FA di ARP List dengan kode “DCH”. PENTING: Kode “H” berarti bahwa Alamat IP dan MAC Address hanya bisa didapat dari DHCP Server.
  4. Karena konfigurasi “ARP: reply-only” interface Wireless, maka router hanya akan merespon permintaan ARP dari perangkat yang Alamat IP dan MAC Address-nya sudah terdaftar di ARP List.
  5. Karena Alamat IP 10.10.22.99 dan MAC Address 74:DA:38:99:3B:FA terdaftar di ARP List, maka permintaan ARP dari Alamat IP dan MAC Address tersebut direspon oleh router.


Pengujian #2:
Pergujian berikutnya adalah memberi NB1 alamat IP statis, dengan alamat IP yang sama dengan alamat IP dinamis, yaitu 10.10.22.99.

Hasilnya adalah NB1 tidak bisa terhubung ke internet.


Berikut adalah konfigurasi ARP List dan Leases.

Penjelasan

  1. Karena komputer NB1 dikonfigurasi Alamat IP Statis, , maka perah DHCP Server tidak diperlukan.
  2. Komputer NB1 meminta informasi ARP.
  3. Karena interface Wireless dikonfigurasi “ARP: reply-only”, maka permintaan ARP dari Alamat IP 10.10.22.99 dan MAC Address 74:DA:38:99:3B:FA ditolak (karena Alamat IP dan MAC Address tersebut tidak terdaftar di ARP List), sehingga komputer NB1 tidak bisa terhubung ke internet.

 

Pengujian #3:
Pengujian berikutnya adalah dengan membuat Static Lease di DHCP Server untuk komputer NB1.


Hasilnya.


Kemudian mengonfigurasi komputer NB1 sebagai DHCP Client.

 

Hasilnya adalah komputer NB1 dapat terhubung ke internet.


Berikut adalah konfigurasi ARP List dan Leases

Penjelasan

  1. Karena komputer NB1 dikonfigurasi sebagai DHCP Client, maka DHCP Server berperan untuk menentukan Alamat IP berdasarkan MAC Address komputer NB1.
  2. Karena konfigurasi “Address Pool: dhcp_pool0”, maka DHCP Server mengambil Alamat IP yang belum terpakai dari dhcp_pool0.
  3. Karena sudah ada Static Lease dengan MAC Address 74:DA:38:99:3B:FA, maka bisa ditentukan Alamat IP-nya yaitu 10.10.22.99.
  4. Karena konfigurasi “Add ARP For Leases” interface Wireless, maka DHCP Server mendaftarkan Alamat IP 10.10.22.99 dan MAC Address 74:DA:38:99:3B:FA di ARP List dengan kode “DCH”. PENTING: Kode “H” berarti bahwa Alamat IP dan MAC Address hanya bisa didapat dari DHCP Server.
  5. Karena konfigurasi “ARP: reply-only” interface Wireless, maka router hanya akan merespon permintaan ARP dari perangkat yang Alamat IP dan MAC Address-nya sudah terdaftar di ARP List.
  6. Karena Alamat IP 10.10.22.99 dan MAC Address 74:DA:38:99:3B:FA terdaftar di ARP List, maka permintaan ARP dari Alamat IP dan MAC Address tersebut direspon oleh router.


Pengujian #4:
Pengujian berikutnya adalah memblokir komputer NB2.

Di penjelasan sebelumnya, sudah dilakukan pembuatan Static Lease untuk komputer NB2 dan mengaktifkan “Block Access”.

Konfigurasi komputer NB2 sebagai DHCP Client.


Hasilnya komputer NB2 tidak dapat terhubung ke internet.


Berikut konfigurasi ARP List dan Lease

Penjelasan

  1. Karena komputer NB2 dikonfigurasi sebagai DHCP Client, maka DHCP Server berperan untuk menentukan Alamat IP berdasarkan MAC Address komputer NB2.
  2. Karena konfigurasi “Address Pool: dhcp_pool0”, maka DHCP Server mengambil Alamat IP yang belum terpakai dari dhcp_pool0.
  3. Karena sudah ada Static Lease dengan MAC Address 00:E0:20:30:35:09, maka bisa ditentukan Alamat IP-nya yaitu 10.10.22.98.
  4. Karena konfigurasi “Block Access” adalah aktif, maka permintaan Alamat IP dari komputer NB2 ditolak.

 

Kesimpulan

Kelebihan

  • Meningkatkan keamanan jaringan karena perangkat hanya bisa dikonfigurasi sebagai DHCP Client untuk dapat terhubung ke internet.
  • Mendukung perangkat yang tidak menyediakan fasilitas pemasangan Alamat IP, misal: beberapa jenis perangkat IP Camera tidak menyediakan fasilitas untuk mengonfigurasi Alamat IP.
  • Dapat mengombinasikan Dynamic Lease dan Static Lease. Contoh: Di suatu perkantoran, semua IP Camera diberi Static Lease untuk memudahkan pengontrolan, sedangkankan komputer Karyawan cukup diberi Dynamic Lease.


Kekurangan

  • Tidak bisa digunakan di situasi dimana beberapa jenis Server, misal Database Server/File Server, lazim diberi Alamat IP Static.


Demikian penjelasan cara membatasi akses ke Wireless Mikrotik hanya untuk Client DHCP, semoga bermanfaat.

 

Baca juga cara memblokir MAC Address ke Wireless Mikrotik

 

Leave a Reply