Tuesday, November 15, 2016

Tutorial HandyCache transparent MikroTik

Ada dua metode untuk menggabungan HandyCache dengan MikroTik yaitu sejajar dengan klien dan sejajar dengan MikroTik

sejajar dengan klien
Pertama saya akan membahas metode sejajar dengan klien, gambar topologinya sebagai berikut
sebelum melangkah lebih lanjut silahkan simak dahulu tutorial dasar penggunaan handycache disini :
Tutorial dasar HC-REGES007
setelah tahap dasar tersebut sukses baru melangkah ke berikut :

Sejajar dengan klien





Seperti tampak pada gambar saya ambil contoh untuk IP lan atau klien menggunakan 192.168.3.xx
192.168.3.1 untuk ip mikrotiknya
192.168.3.2 untuk ip server handycache atau billing/diskless jika mau digabung dengan handycache dan
192.168.3.xx adalah untuk ip range kliennya.

buat NAT masquerade dahulu di mikrotik seperti ini (copas saja ke terminal mikrotik)

/ip firewall nat
add action=masquerade chain=srcnat


Setelah itu buat redirectnya untuk membelokan trafik port 80,8080 dan 3128
(harap dicatat untuk redirect proxy hanya support traffik http saja untuk https tetap manual dari browser klien)

/ip firewall nat
add action=dst-nat chain=dstnat comment="redirect to hc" dst-port=\
   3128,8080,80 protocol=tcp src-address=!192.168.3.2 to-addresses=\
   192.168.3.2 to-ports=3128


Penjelasan code diatas sebagai berikut :
src-address=!192.168.3.2 dengan tanda pentung artinya membaca semua source address yang akan dibelokan ke handycache kecuali ip handycache yaitu 192.168.3.2

Jika jaringan Anda terdapat hotspot atau jaringan lan lainnya sebaiknya untuk rule "redirect to hc" di seleksi dari in-interface nya supaya tidak mengganggu jaringan lainnya. caranya cukup pilih in-interface dimana yg terdapat lan dng ip 192.168.3.xx


Jika tidak ada kendala maka ini sudah selesai untuk transparent port httpnya dan untuk https tetap manual jadi untuk settingan di tiap browser klien cukup di isi ip proxynya hanya pada kolom secure/https/SSL

untuk internet option (sama juga buat google chrome) :

Setting IP PROXY Internet Option hanya pada kolom secure saja

untuk firefox :

Setting IP PROXY Firefox hanya pada kolom SSL Proxy saja

 

Kelebihan sejajar dengan klien adalah untuk traffik HIT https bisa langsung full speed karena tanpa lewat MikroTik
Kekurangannya traffik klien menjadi terpusat hanya pada pc Handycache, jadi queue klien tidak akan jalan

sejajar dengan MikroTik
Metode kedua yaitu sejajar dengan MikroTik, gambar topologinya sebagai berikut :

Sejajar dengan MikroTik

 

Seperti tampak pada gambar saya ambil contoh untuk IP lan atau klien menggunakan 192.168.3.xx
192.168.3.1 untuk ip mikrotiknya
192.168.3.2 untuk ip server billing/diskless
192.168.3.xx adalah untuk ip range kliennya dan ada penambahan ether Hc
jadi silahkan buat address baru untuk interface yang masih kosong untuk digunakan buat HandyCache
192.168.4.1 untuk ip mikrotik pada interface HC
192.168.4.2 untuk ip server HandyCache

nah untuk redirectnya kurang lebih sama dengan metode pertama tadi cuma berbeda tanpa src.address dan nilai to-address saja
(sebelum asal copas harap disesuaikan dahulu nama in-interfacenya)

/ip firewall nat  
add action=dst-nat chain=dstnat comment="redirect to hc" dst-port=\  
   3128,8080,80 in-interface=ether5-lan protocol=tcp to-addresses=\  
   192.168.4.2 to-ports=3128


penjelasaan :
kenapa koq tidak memakai src.address? karena sudah menggunakan seleksi in-interface jadi cukup itu saja nanti semua traffik port 80,8080,3128 dari interface lan akan dibelokan ke "to-address" 192.168.4.2 dengan port 3128 sesuai ip dan port pc handycache.

Untuk metode kedua ini bisa dipasangin script untuk fail over proxy, jadi jika pc handycache off otomatis "redirect to hc" menjadi off \disable dan internetan akan tetap jalan tanpa terganggu, pasang dahulu script untuk membelokan port 3128 ke proxy internal atau web-proxynya mikrotik.

/ip firewall nat
add action=redirect chain=dstnat comment=fail.over.https disabled=yes \
   dst-port=3128 in-interface=ether5-lan protocol=tcp to-ports=8080


Jangan lupa untuk posisi rule "fail.over.https" harus berada diatas rule "redirect to hc"


Lalu cek ip -> webproxy usahakan diset no cache atau disable cache dan port 8080 seperti pada gambar berikut :

Dan yang terakhir adalah memasang script Netwacth untuk memonitoring ping ke pc handychacenya, jika pc handycache posisi off maka akan terjadi rto dan mengaktifkan web-proxy mikrotik sebagai fail over proxy port 3128 yang digunakan untuk httpsnya


/tool netwatch
add down-script="/ip firewall nat disable [/ip firewall nat find comment=\"redirect to hc\"]\r\
    \n/ip firewall nat enable [/ip firewall nat find comment=\"fail.over.https\"]\r\
    \n/ip proxy set enabled=yes\r\
    \n/ip proxy set port=8080" host=192.168.3.2 interval=1s timeout=3s up-script="/ip firewall nat enable [/ip firewall nat find comment=\"\
    redirect to hc\"]\r\
    \n/ip firewall nat disable [/ip firewall nat find comment=\"fail.over.https\"]\r\
    \n/ip proxy set enabled=no\r\
    \n"



Satu lagi mangle loss hit yang hanya work untuk http saja :

/ip firewall mangle
add action=mark-connection chain=prerouting comment=Proxy-Hit content=\
    "HTTP/1.1 302" new-connection-mark=hc.con307 passthrough=no protocol=tcp
add action=mark-connection chain=prerouting connection-mark=!hc.con307 \
    content=HandyCache new-connection-mark=hc.con passthrough=no protocol=tcp
add action=mark-packet chain=prerouting connection-mark=hc.con \
    new-packet-mark=proxy-hit passthrough=no protocol=tcp



lalu bikin simple queue untuk hitnya dan taruh paling atas

/queue simple  
add max-limit=10M/10M name=a.hit packet-marks=proxy-hit target=""


Metode kedua ini juga masih tetap tidak bisa transparent https jadi untuk https caranya masih sama yaitu setting manual pada tiap browser klien seperti cara metode pertama tadi cm berbeda ip saja, kalau cara pertama di isi ip 192.168.3.2 maka metode kedua ini harus di isi sesuai ip pc handycache yaitu 192.168.4.2

Kelebihan memakai metode sejajar dengan MikroTik adalah bisa fail over https, queue per klien tetap bekerja dan 
cocok untuk jaringan diatas 20 pc klien. 
Kekurangannya untuk loss hit terbatas pada kekuatan Mikrotiknya apabila memakai router-board yang hanya mampu sekitar 10-50Mbps saja, kecuali memakai router pc bisa full loss hit.

Silahkan dipelajari pelan-pelan dan semoga dapat membantu Anda :)

4 comments:

  1. Kelebihan dan kekurangan metode hc sejajar mikrotik belum di jabarkan mbah.

    ReplyDelete
  2. untuk hit https nya apa bisa om, atau memang tidak bisa?

    ReplyDelete
    Replies
    1. https gk bisa dibaca headernya tapi main loss traffik saja yg dari ip hc

      Delete