Seri Lengkap Setup Gateway Debian Open Source untuk PPPoE, Billing, DNS Filtering, dan Monitoring

Mei 20, 2025 Rufaidah-network No comments


Topologi Dasar:

  • eth0 (WAN1): 192.168.1.1 — konek ke ISP 1 (PPPoE1)

  • eth1 (WAN2): 192.168.2.1 — konek ke ISP 2 (PPPoE2)

  • eth2 (WAN3): 192.168.3.1 — konek ke ISP 3 (PPPoE3)

  • LAN via VLAN di satu interface trunk (misal br0):

    • VLAN10 → 192.168.10.1 (PPPoE1 untuk klien VLAN10)

    • VLAN11 → 192.168.11.1 (PPPoE2 untuk klien VLAN11)

    • VLAN12 → 192.168.12.1 (PPPoE3 untuk klien VLAN12)

1. Konfigurasi Debian Gateway

Instalasi paket dasar

apt update && apt install -y pppoe ppp iptables isc-dhcp-server vlan bridge-utils ifupdown net-tools

Aktifkan IP forwarding

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

Setup interfaces (/etc/network/interfaces)

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
  address 192.168.1.1
  netmask 255.255.255.0

auto eth1
iface eth1 inet static
  address 192.168.2.1
  netmask 255.255.255.0

auto eth2
iface eth2 inet static
  address 192.168.3.1
  netmask 255.255.255.0

# Trunk interface untuk VLAN LAN
auto br0
iface br0 inet manual
  bridge_ports none
  bridge_stp off

# VLAN10
auto vlan10
iface vlan10 inet static
  vlan-raw-device br0
  address 192.168.10.1
  netmask 255.255.255.0

# VLAN11
auto vlan11
iface vlan11 inet static
  vlan-raw-device br0
  address 192.168.11.1
  netmask 255.255.255.0

# VLAN12
auto vlan12
iface vlan12 inet static
  vlan-raw-device br0
  address 192.168.12.1
  netmask 255.255.255.0

2. Setup PPPoE Server

Lanjutkan setup PPPoE untuk masing-masing VLAN (misalnya menggunakan rp-pppoe-server atau accel-ppp).

Pastikan setiap VLAN hanya mengarah ke gateway yang sesuai (routing & mark).

Contoh rp-pppoe-server.conf:

pppoe-server -I vlan10 -L 192.168.10.1 -R 192.168.10.100 -N 100 -C VLAN10
pppoe-server -I vlan11 -L 192.168.11.1 -R 192.168.11.100 -N 100 -C VLAN11
pppoe-server -I vlan12 -L 192.168.12.1 -R 192.168.12.100 -N 100 -C VLAN12

3. Integrasi PHPNuxBill

  • Install PHPNuxBill di server

  • Atur radius client Debian untuk autentikasi PPPoE

  • Sinkronisasi dengan VLAN tag & interface mapping

  • Konfigurasi DHCP server disable, hanya via PPPoE

  • Aktifkan fitur: auto isolir, auto reconnect setelah bayar

4. DNS Filtering: AdGuard Home + BIND

  • BIND digunakan sebagai authoritative internal DNS

  • AdGuard Home sebagai DNS filter di port 53

  • Atur iptables agar semua trafik port 53 dari klien diarahkan ke AdGuard:

iptables -t nat -A PREROUTING -i vlan10 -p udp --dport 53 -j DNAT --to 172.16.0.1:53
iptables -t nat -A PREROUTING -i vlan11 -p udp --dport 53 -j DNAT --to 172.16.0.1:53
iptables -t nat -A PREROUTING -i vlan12 -p udp --dport 53 -j DNAT --to 172.16.0.1:53

  • Gunakan resolv.conf klien PPPoE diarahkan ke IP gateway VLAN

5. Monitoring Trafik: Prometheus + Grafana

  • Install exporter seperti node_exporter, ppp_exporter

  • Buat dashboard per-VLAN (VLAN10, VLAN11, VLAN12)

  • Tambahkan alert:

    • Bandwidth usage lebih dari batas

    • User PPPoE disconnect atau offline

    • Notifikasi ke Telegram/email

Catatan Penting:

  • Semua klien HARUS konek via PPPoE, tidak ada IP statik manual.

  • Pembeda jalur koneksi adalah VLAN ID, bukan interface fisik.

  • Tidak ada load balancing: tiap VLAN/PPPoE mengarah ke jalur ISP yang berbeda (dedicated).

  • Disarankan menggunakan firewall iptables-persistent

  • Cek log PPPoE via /var/log/syslog

Fitur Selanjutnya yang Bisa Ditambahkan:

  • Isolasi user per VLAN berdasarkan IP range/mark

  • Backup otomatis PHPNuxBill (rsync/crontab)

  • Notifikasi Telegram untuk:

    • Status koneksi PPPoE

    • Pelanggan jatuh tempo

    • Klien yang melebihi kuota

Dokumen ini bisa digunakan sebagai panduan dasar setup Debian Gateway multi-ISP dengan segmentasi VLAN + PPPoE + Billing + Monitoring modern berbasis open source.

Read more »

"Panduan Lengkap Setup Hotspot & PPPoE Server dengan Billing dan Otomatisasi di Debian"

Mei 17, 2025 Rufaidah-network No comments

 

BAB 1: Pendahuluan dan Arsitektur

Deskripsi lengkap mengenai arsitektur jaringan:

  • WAN masuk ke satu interface Debian

  • LAN menggunakan bridge (br0) untuk distribusi layanan

  • Di atas bridge tersebut berjalan PPPoE dan Hotspot

  • Semua distribusi akses menggunakan FreeRADIUS sebagai backend autentikasi

  • Billing menggunakan PHP berbasis Radius Manager open source atau custom

  • Tidak ada akses IP statik, semua user harus melalui autentikasi

BAB 2: Instalasi Dasar Debian

  1. Pasang Debian minimal (CLI Only)

  2. Konfigurasi IP statik untuk WAN (misal eth0)

  3. Instalasi tools dasar: apt install sudo net-tools iproute2 curl wget nano

  4. Update system: apt update && apt upgrade -y

BAB 3: Setup Bridge LAN + Interface

Instal bridge-utils:

apt install bridge-utils -y

Edit /etc/network/interfaces atau gunakan systemd-networkd/Netplan tergantung versi Debian. Contoh (interfaces):

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
  address 192.168.88.2
  netmask 255.255.255.0
  gateway 192.168.88.1

auto br0
iface br0 inet static
  address 172.16.0.1
  netmask 255.255.252.0
  bridge_ports eth1 eth2 wlan0

BAB 4: Instalasi dan Konfigurasi PPPoE Server

  1. Instalasi PPPoE Server:

apt install pppoe ppp -y

  1. Konfigurasi /etc/ppp/pppoe-server-options

require-pap
login
lcp-echo-interval 10
lcp-echo-failure 2
ms-dns 172.16.0.1
asyncmap 0
auth
crtscts
lock
hide-password
modem
mtu 1492
mru 1492

  1. File /etc/ppp/chap-secrets (gunakan radius nantinya)

  2. Aktifkan dengan:

pppoe-server -I br0 -L 172.16.0.1 -R 172.16.1.2 -N 100

BAB 5: Setup Hotspot dengan CoovaChilli

  1. Instalasi CoovaChilli:

apt install coova-chilli -y

  1. Edit /etc/chilli/defaults

HS_WANIF=eth0
HS_LANIF=br0
HS_NETWORK=172.16.100.0
HS_NETMASK=255.255.252.0
HS_UAMLISTEN=172.16.100.1
HS_UAMPORT=3990
HS_RADIUS=127.0.0.1
HS_RADIUS2=127.0.0.1
HS_RADSECRET=testing123
HS_UAMALLOW=www.google.com
HS_UAMSECRET=testing123

  1. Aktifkan dan jalankan coova:

systemctl enable chilli
systemctl start chilli

BAB 6: Billing dan Autentikasi

  1. Instalasi FreeRADIUS:

apt install freeradius freeradius-mysql -y

  1. Setup database MySQL dan integrasikan dengan FreeRADIUS

  2. Gunakan billing berbasis PHP seperti:

    • DaloRADIUS (open source)

    • RadiusDesk (open source)

    • Custom PHP + Bootstrap

  3. Semua user harus login via PPPoE atau Hotspot, tanpa IP statik langsung

BAB 7: Pengamanan dan Pemantauan

7.1 Proteksi Dasar Firewall

Konfigurasi awal firewall dengan iptables atau UFW untuk membatasi akses hanya pada port yang dibutuhkan (misalnya, port 22, 80, 443, 1812 untuk FreeRADIUS).

7.2 IDS/IPS dengan Suricata

Instalasi Suricata dan konfigurasi rule set untuk mendeteksi dan mencegah serangan pada port publik dan servis penting seperti FreeRADIUS, CoovaChilli, dan antarmuka web.

7.3 Tambahan Pengamanan Server

a. Instalasi dan Konfigurasi Fail2Ban

Fail2Ban melindungi dari brute force login:

apt install fail2ban -y

Salin konfigurasi default:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Aktifkan untuk SSH dan Freeradius:

[sshd]
enabled = true

[freeradius-auth]
enabled = true
port = 1812
protocol = udp
logpath = /var/log/freeradius/radius.log

Restart service:

systemctl restart fail2ban
systemctl enable fail2ban

b. Konfigurasi UFW (Uncomplicated Firewall)

Instal dan konfigurasi UFW:

apt install ufw -y
ufw default deny incoming
ufw default allow outgoing

Buka port penting:

ufw allow ssh
ufw allow 80
ufw allow 443
ufw allow 1812/udp    # Freeradius
ufw allow 3990/tcp    # CoovaChilli UAM
ufw allow 3000/tcp    # AdGuard Home UI (opsional)

Aktifkan UFW:

ufw enable

c. Hardening SSH

Edit /etc/ssh/sshd_config:

PermitRootLogin no
PasswordAuthentication no
PermitEmptyPasswords no
AllowUsers adminuser

Restart SSH:

systemctl restart ssh

Gunakan login SSH dengan SSH key:

ssh-keygen -t rsa -b 4096
ssh-copy-id user@server_ip

BAB 8: Konfigurasi DNS: BIND dan AdGuard Home

8.1 Instalasi dan Setup DNS BIND untuk Cache Resolver

  1. Instalasi paket:

apt install bind9 dnsutils -y

  1. Konfigurasi named.conf.options:

options {
    directory "/var/cache/bind";

    recursion yes;
    allow-query { any; };

    forwarders {
        8.8.8.8;
        1.1.1.1;
    };

    dnssec-validation auto;
};

  1. Restart layanan BIND:

systemctl restart bind9
systemctl enable bind9

8.2 Instalasi dan Setup AdGuard Home untuk Blokir Konten Dewasa

  1. Unduh dan instal AdGuard Home:

curl -s -S -L https://static.adguard.com/adguardhome/release/AdGuardHome_linux_amd64.tar.gz | tar xz
cd AdGuardHome
./AdGuardHome -s install

  1. Akses antarmuka web di http://IP:3000 dan selesaikan wizard

  2. Tambahkan filter:

    • Gunakan filter blokir konten dewasa dari AdGuard atau EasyList

    • Tambahkan rule blokir manual jika diperlukan

  3. Setup redirect konten dewasa:

    • Arahkan DNS domain tertentu ke IP lokal, misal 172.16.0.5

    • Jalankan web server (nginx/lighttpd) di 172.16.0.5 untuk menampilkan halaman peringatan atau edukasi

  4. Integrasi DNS AdGuard dan BIND:

    • BIND sebagai resolver internal dan caching

    • Forward DNS dari BIND ke AdGuard Home untuk filtering:

Edit named.conf.options:

forwarders {
    127.0.0.1 port 5353;
};

AdGuard Home bisa dikonfigurasi listen di port 5353 agar tidak konflik dengan BIND.

BAB 8,2: Isolasi Otomatis dan Pembukaan Otomatis PPPoE

Fitur ini memungkinkan pelanggan diisolasi secara otomatis pada saat jatuh tempo, dan akan dibuka kembali secara otomatis 1 menit setelah melakukan pembayaran yang tervalidasi oleh sistem billing.

Konsep dan Mekanisme:

  • Sistem billing (misalnya DaloRADIUS atau custom PHP) mencatat tanggal jatuh tempo setiap user.

  • Setiap hari atau setiap jam, cron job mengecek user yang jatuh tempo.

  • Sistem menghapus akun PPPoE atau memindahkan user ke profil terbatas (jika menggunakan MikroTik).

  • Setelah pembayaran terverifikasi, akun diaktifkan kembali, dan sistem mengirim sinyal ke Mikrotik/Server PPPoE untuk reconnect.

Implementasi dengan Skrip Otomatis:

Skrip isolasi otomatis (isolasi_pppoe.py):

#!/usr/bin/env python3

import mysql.connector

import os

import datetime


conn = mysql.connector.connect(

    host="localhost",

    user="radius",

    password="password_db",

    database="radius"

)

cursor = conn.cursor()


today = datetime.date.today().isoformat()

query = "SELECT username FROM users WHERE expire_date <= %s AND active = 1"

cursor.execute(query, (today,))

users = cursor.fetchall()


for (username,) in users:

    os.system(f"radclient -x localhost:3799 disconnect secret <<EOF\nUser-Name = \"{username}\"\nEOF")

    cursor.execute("UPDATE users SET active = 0 WHERE username = %s", (username,))

    print(f"Isolated: {username}")


conn.commit()

conn.close()

Skrip buka otomatis setelah pembayaran (open_pppoe.py):

#!/usr/bin/env python3
import mysql.connector
import os

conn = mysql.connector.connect(
    host="localhost",
    user="radius",
    password="password_db",
    database="radius"
)
cursor = conn.cursor()

query = "SELECT username FROM users WHERE paid = 1 AND active = 0"
cursor.execute(query)
users = cursor.fetchall()

for (username,) in users:
    cursor.execute("UPDATE users SET active = 1 WHERE username = %s", (username,))
    print(f"User reactivated: {username}")

conn.commit()
conn.close()

Tambahkan ke crontab:

# Isolasi user setiap jam
0 * * * * /usr/bin/python3 /opt/scripts/isolasi_pppoe.py

# Buka user setiap 5 menit
*/5 * * * * /usr/bin/python3 /opt/scripts/open_pppoe.py

Integrasi dengan Billing PHP:

  • Tambahkan kolom expire_date, active, dan paid ke tabel users.

  • Pastikan sistem billing otomatis mengubah paid=1 saat pembayaran berhasil.

  • Tambahkan opsi untuk mengatur tanggal jatuh tempo pada saat registrasi atau pembayaran.


Read more »

Deteksi & Blokir VPN/Proxy (Psiphon, Shadowsocks, OpenVPN) Menggunakan Firewall MikroTik

Mei 05, 2025 Rufaidah-network No comments




Deskripsi:

Tutorial ini bertujuan untuk membantu Anda sebagai admin jaringan RT/RW Net atau sekolah dalam mencegah penggunaan VPN/Proxy oleh klien. Kita akan menggunakan fitur firewall MikroTik untuk mendeteksi signature TLS abnormal, port yang tidak biasa, dan traffic VPN umum.

1. Tujuan

  • Mencegah akses internet melalui VPN/Proxy seperti Psiphon, Shadowsocks, OpenVPN, dll.

  • Mengamankan bandwidth dan menjaga kontrol konten.

2. Persiapan

  • Router MikroTik dengan versi RouterOS 6.45+ atau 7+

  • Akses Winbox/SSH/WebFig

  • Interface internet dan LAN sudah disetup

3. Deteksi VPN Berdasarkan Port Umum

VPN sering menggunakan port tertentu, seperti:

  • OpenVPN: TCP/UDP 1194

  • Shadowsocks: TCP 8388, 8389

  • Psiphon: TCP 443, 80 dengan TLS/SSH abnormal

Tambahkan rule berikut:

/ip firewall filter
add chain=forward protocol=tcp dst-port=1194 action=drop comment="Block OpenVPN TCP"
add chain=forward protocol=udp dst-port=1194 action=drop comment="Block OpenVPN UDP"
add chain=forward protocol=tcp dst-port=8388-8390 action=drop comment="Block Shadowsocks"
add chain=forward protocol=tcp dst-port=443 content="psiphon" action=drop comment="Block Psiphon TLS Signature"

4. Deteksi Berdasarkan TLS SNI atau Payload (Layer 7)

Buat L7 rule untuk mendeteksi SNI atau hostname VPN:

/ip firewall layer7-protocol
add name=vpn-https regexp="(vpn|psiphon|shadow|openvpn|tunnel|tor|hotspotshield|ultrasurf|secure|anonym)"
/ip firewall filter
add chain=forward protocol=tcp dst-port=443 layer7-protocol=vpn-https action=drop comment="Block VPN HTTPS TLS SNI"

5. Blokir DNS VPN Domain (Optional)

Jika Anda menggunakan DNS MikroTik atau AdGuard:

/ip dns static
add name="psiphon3.com" address=127.0.0.1 ttl=1h comment="Block Psiphon"
add name="openvpn.net" address=127.0.0.1 ttl=1h comment="Block OpenVPN"
add name="shadowsocks.org" address=127.0.0.1 ttl=1h comment="Block Shadowsocks"

6. Tambahkan Logging (Opsional)

Agar bisa menganalisis jika ada upaya VPN:

/ip firewall filter
add chain=forward protocol=tcp dst-port=443 layer7-protocol=vpn-https action=log log-prefix="VPN Attempt: " comment="Log VPN TLS"

7. Blokir Port Abnormal/Random (>50000)

/ip firewall filter
add chain=forward protocol=tcp dst-port=50000-65535 action=drop comment="Block abnormal VPN port"
add chain=forward protocol=udp dst-port=50000-65535 action=drop comment="Block abnormal VPN UDP port"

8. Tambahan untuk Blokir SSH Tunnel

/ip firewall filter
add chain=forward protocol=tcp dst-port=22 action=drop comment="Block SSH Tunnel"

9. Penutup & Tips Tambahan

  • Gunakan AdGuard Home atau Pi-hole untuk memblokir domain DNS VPN

  • Update daftar Layer7 dan domain block secara berkala

  • Gunakan mikrotik-script scheduler untuk otomatisasi pemantauan

Dengan setup ini, Anda dapat secara efektif mencegah pengguna menyembunyikan trafik mereka menggunakan VPN dan proxy, sangat cocok untuk jaringan RT/RW Net, sekolah, warnet, atau kantor yang ingin menjaga kendali atas trafik internet pengguna.

Read more »

Implementasi ZTNA (Zero Trust Network Access) dengan MikroTik dan Debian Linux

Mei 05, 2025 Rufaidah-network No comments


Deskripsi Singkat:
ZTNA adalah pendekatan keamanan yang memastikan bahwa tidak ada perangkat atau pengguna yang dipercaya secara otomatis, baik dari dalam maupun luar jaringan. Akses diberikan berdasarkan identitas, perangkat, dan kebijakan yang terkontrol. Di bawah ini adalah panduan implementasi dasar ZTNA menggunakan MikroTik dan server Debian Linux.

1. Topologi Dasar

  • Client (Laptop/HP)Router MikroTikDebian Gateway (ZTNA Agent/Verifier)Internal Resource (DB/Web Server)

  • Semua trafik dari klien tidak langsung ke server, tetapi diverifikasi dulu oleh gateway Debian.

2. Komponen Utama

  • MikroTik RouterOS

  • Debian Linux (ZTNA Gateway)

  • Firewall, NAT, dan tagging koneksi di MikroTik

  • Autentikasi token atau sertifikat

  • (Opsional) VPN untuk tunneling traffic internal

3. Langkah Implementasi

A. MikroTik Setup (Edge)

a. Buat VLAN/Subnet untuk pengguna

/ip address add address=192.168.100.1/24 interface=bridge-user
/ip pool add name=ztna-pool ranges=192.168.100.10-192.168.100.254
/ip dhcp-server add name=ztna-dhcp interface=bridge-user address-pool=ztna-pool
/ip dhcp-server network add address=192.168.100.0/24 gateway=192.168.100.1

b. Routing ke Debian Gateway (ZTNA Verifier)

/ip route add dst-address=10.99.99.0/24 gateway=192.168.100.2

c. Drop semua koneksi langsung ke internal

/ip firewall filter add chain=forward src-address=192.168.100.0/24 dst-address=10.99.99.0/24 action=drop comment="ZTNA enforce"

B. Debian Linux Setup (ZTNA Gateway)

a. Install Firewall dan Proxy Gateway

sudo apt install iptables netfilter-persistent squid openssl

b. Generate sertifikat untuk autentikasi klien

openssl req -x509 -newkey rsa:2048 -keyout ztna.key -out ztna.crt -days 365 -nodes

c. Konfigurasi Proxy yang hanya izinkan klien valid

Contoh squid.conf:

https_port 3128 cert=/etc/ssl/ztna.crt key=/etc/ssl/ztna.key
acl allowed_users ssl::certCN clients.allowed.local
http_access allow allowed_users
http_access deny all

4. Mekanisme Kerja

  • Klien mendapatkan IP dari MikroTik.

  • Semua trafik ke internal diblok oleh MikroTik kecuali yang melalui Debian.

  • Debian bertindak sebagai proxy/gateway dan memverifikasi identitas klien.

  • Jika valid, Debian meneruskan trafik ke resource internal.

5. Penambahan Keamanan

  • Gunakan JWT atau mTLS untuk autentikasi per klien.

  • Tambahkan Fail2ban di Debian untuk brute force detection.

  • Integrasikan Grafana + Loki untuk logging request klien.

6. Manfaat ZTNA dengan MikroTik + Debian

  • Tidak ada akses langsung ke internal.

  • Akses berdasarkan identitas (bukan hanya IP).

  • Bisa diperluas ke sistem monitoring, IoT, dan remote work.

Catatan Tambahan:

  • Untuk skala besar, bisa pakai HashiCorp Boundary atau OpenZiti di sisi Debian.

  • Bisa juga kombinasikan dengan WireGuard untuk secure tunnel.

Selesai. Dengan pendekatan ini, jaringan Anda lebih aman dari lateral movement dan internal compromise.

Read more »

Tutorial: Membangun Centralized Logging Server dengan Syslog-ng di Debian Linux

Mei 03, 2025 Rufaidah-network No comments

 

Topologi: Centralized Logging System

+----------------+   +----------------+   +----------------+
|   VPN Server   |   | Payload Server |   | Phishing Server|
+--------+-------+   +--------+-------+   +--------+--------+
         |                    |                    |
         |                    |                    |
         |                    |                    |
         |      +-------------+--------------------+--------+
         |      |                                      |     |
+--------v------+   +----------------+   +-------------v--+  |
|  Mail Server  |   | HTTP Redirector|   | Short Term C2  |  |
+--------+------+   +--------+-------+   +--------+--------+  |
         |                  |                    |           |
         |                  |                    |           |
         +------------------+--------------------+-----------+
                                      |
                                      v
                         +------------+-------------+
                         |       Logging Server     |
                         |  (Syslog-ng Listener)    |
                         +------------+-------------+
                                      |
                                      v
                             +--------+--------+
                             |     Dashboard     |
                             |   (OSSEC/Graylog) |
                             +--------+--------+
                                      |
                                      v
                                  +---+---+
                                  |Operator|
                                  +-------+


Topologi:

  • Semua server (VPN, Payload, Phishing, Mail, dll) mengirim log ke satu Logging Server.

  • Logging Server menampilkan log dalam dashboard via OSSEC atau tool lain.

1. Persiapan

a. Update Sistem

sudo apt update && sudo apt upgrade -y

b. Install Syslog-ng

sudo apt install syslog-ng -y

2. Konfigurasi Logging Server (Syslog-ng sebagai Penerima Log)

a. Buka konfigurasi utama

sudo nano /etc/syslog-ng/syslog-ng.conf

b. Tambahkan sumber log dari jaringan:

source s_network {
    tcp(ip(0.0.0.0) port(514));
    udp(ip(0.0.0.0) port(514));
};

c. Tambahkan tujuan penyimpanan log berdasarkan host:

destination d_remote_logs {
    file("/var/log/remote/$HOST/$YEAR$MONTH$DAY.log"
        create-dirs(yes)
        owner(root) group(root) perm(0644));
};

d. Tambahkan rule log:

log {
    source(s_network);
    destination(d_remote_logs);
};

e. Restart syslog-ng

sudo systemctl restart syslog-ng

3. Konfigurasi Server Klien (Pengirim Log)

a. Install syslog-ng

sudo apt install syslog-ng -y

b. Tambahkan tujuan log ke logging server:

# Edit /etc/syslog-ng/syslog-ng.conf

destination d_loghost {
    udp("IP_LOGGING_SERVER" port(514));
};

log {
    source(s_src);
    destination(d_loghost);
};

c. Restart syslog-ng

sudo systemctl restart syslog-ng

4. Monitoring dengan OSSEC (opsional)

a. Install OSSEC server

wget -q -O - https://updates.atomicorp.com/installers/atomic | sudo bash
sudo apt install ossec-hids-server -y

b. Konfigurasikan agent di masing-masing server dan tambahkan ke OSSEC Manager.

c. Akses dashboard melalui web browser jika menggunakan Web UI (Kibana, Graylog, atau OSSEC Web UI).

5. Troubleshooting

  • Periksa log: /var/log/syslog, /var/log/remote/

  • Tes konektivitas port 514 dari klien ke server:

nc -vzu IP_LOGGING_SERVER 514

Penutup

Dengan setup ini, kamu bisa memusatkan semua log ke satu server untuk dianalisis dan dipantau secara real-time melalui dashboard OSSEC atau tool lainnya.

Read more »

Tutorial Konfigurasi IPSec VPN MikroTik ke SAP HANA Enterprise Cloud (HEC)

Mei 03, 2025 Rufaidah-network No comments

 

Topologi:

+-------------------+                 +---------------------------+
|                   |                 |                           |
|  Customer Network |                 | SAP HANA Enterprise Cloud |
|   (MikroTik)      |                 |         (HEC)             |
|   192.168.88.0/24 |                 |     10.10.0.0/16          |
|   IP:198.51.100.2 |                 |     IP:203.0.113.1        |
+--------+----------+                 +-----------+---------------+
         |                                        |
         |             Internet                  |
         +----------------+-----------------------+
                          |
                    IPSec VPN Tunnel
                          |
         +----------------+-----------------------+
         |                                        |
+--------v----------+                 +-----------v---------------+
| VPN Gateway       |                 |    L3 Router              |
| (203.0.113.1)     |---------------->|                           |
+-------------------+                 +-----------+---------------+
                                                 |
                                  +--------------+-------------+
                                  |                            |
                     +------------v------+       +-------------v-----+
                     |  SAP App Server   |       |   SAP DB Server    |
                     +------------------+       +--------------------+

Tujuan:
Membangun koneksi IPSec Site-to-Site VPN yang aman antara MikroTik (Customer) dan SAP HEC, dengan keamanan tingkat tinggi.

1. Persiapan Data yang Dibutuhkan:

Dari SAP HEC:

  • IP Publik VPN Gateway SAP HEC: 203.0.113.1

  • Network di SAP HEC: 10.10.0.0/16

  • Pre-shared key (PSK): StrongSAPvpnKey123

Dari Customer:

  • IP Publik MikroTik: 198.51.100.2

  • Network lokal Customer: 192.168.88.0/24

2. Konfigurasi di MikroTik (Customer Network)

a. Konfigurasi Phase 1 (IKE Policy)

/ip ipsec proposal
add name="sap-proposal" auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048 lifetime=1h

/ip ipsec peer
add address=203.0.113.1/32 name=sap-peer exchange-mode=ike2 secret=StrongSAPvpnKey123 \
policy-template-group=default send-initial-contact=yes nat-traversal=yes dpd-interval=2m \
dpd-maximum-failures=5 ike-version=2

/ip ipsec identity
add peer=sap-peer auth-method=pre-shared-key secret=StrongSAPvpnKey123 generate-policy=port-strict

b. Konfigurasi Phase 2 (IPSec Policy)

/ip ipsec policy
add src-address=192.168.88.0/24 dst-address=10.10.0.0/16 sa-dst-address=203.0.113.1 sa-src-address=198.51.100.2 \
proposal=sap-proposal tunnel=yes action=encrypt

c. Firewall Configuration (Optional but recommended)

/ip firewall filter
add chain=input protocol=udp port=500,4500 src-address=203.0.113.1 action=accept comment="Allow IPSec VPN"
add chain=input protocol=ipsec-esp src-address=203.0.113.1 action=accept comment="Allow IPSec ESP"
add chain=input protocol=ipsec-ah src-address=203.0.113.1 action=accept comment="Allow IPSec AH"

3. Validasi dan Monitoring

/ip ipsec active-peers
/ip ipsec installed-sa

Pastikan status tunnel = established dan paket dapat mengalir ke network SAP.

4. Security Tips:

  • Gunakan PSK yang kuat dan rahasiakan.

  • Batasi akses VPN hanya dari IP Gateway SAP.

  • Monitor trafik dan log koneksi IPsec secara berkala.

  • Gunakan firewall rule untuk membatasi akses antar subnet.

  • Pertimbangkan penggunaan certificate (X.509) jika SAP mendukung, untuk keamanan tambahan.

Selesai.
Kini jaringan lokal Anda bisa berkomunikasi dengan layanan SAP HEC secara aman dan terenkripsi via IPSec VPN.

Untuk peningkatan visibilitas, bisa digabungkan dengan monitoring tools seperti The Dude, Zabbix, atau Prometheus-Grafana untuk tunnel status.

Read more »

 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | coupon codes