Sign in Subscribe
mikrotik

⚠️ Block PPPoE Subscriber to Subscriber di MikroTik

Adrianus Aransina Tukan

3 min read
⚠️ Block PPPoE Subscriber to Subscriber di MikroTik

Pendahuluan

Pada jaringan berbasis PPPoE (ISP, jaringan desa, atau akses bersama), setiap subscriber diautentikasi secara individual. Namun secara default, pengguna PPPoE masih dapat saling berkomunikasi di Layer 3 jika routing dan firewall tidak membatasi.

Kondisi ini sering kali tidak diinginkan dan berbahaya, terutama pada lingkungan multi-subscriber.

Untuk itu, diperlukan konfigurasi Block PPPoE Subscriber to Subscriber, yaitu teknik firewall untuk mengisolasi setiap klien PPPoE, sehingga mereka tetap bisa mengakses internet tetapi tidak bisa berkomunikasi langsung dengan subscriber lain.

Mengapa Perlu Block PPPoE Subscriber to Subscriber

1. Isolasi Keamanan Antar Pengguna

Setiap subscriber PPPoE seharusnya diperlakukan sebagai klien individual, bukan seperti satu jaringan LAN besar.

Tanpa isolasi, subscriber dapat:

  • Melakukan scan IP subscriber lain
  • Mencoba brute-force atau exploit layanan
  • Mengakses perangkat yang salah konfigurasi

Dengan memblokir trafik antar subscriber:

  • Isolasi pengguna lebih baik
  • Permukaan serangan berkurang
  • Perilaku jaringan sesuai standar ISP

2. Mencegah Penyebaran Malware

Jika satu subscriber terinfeksi malware:

  • Worm dapat melakukan scanning ke jaringan PPPoE
  • Malware dapat menyebar secara lateral

Dengan blok subscriber ke subscriber:

  • Penyebaran malware dapat dibatasi
  • Dampak infeksi hanya pada satu pengguna

3. Mencegah Sharing dan Penyalahgunaan

Tanpa pembatasan:

  • Pengguna bisa berbagi file langsung
  • Layanan ilegal bisa di-host secara internal
  • Kebijakan trafik dapat dilewati

Blok ini memastikan model akses “internet-only”, sesuai dengan desain jaringan PPPoE.

Apa yang Terjadi Jika Tidak Diaktifkan

Jika isolasi PPPoE tidak diterapkan:

  • Subscriber dapat saling ping
  • Network scanning menjadi mungkin
  • Insiden keamanan lebih sulit dikendalikan
  • Risiko masalah hukum dan abuse meningkat
  • Jaringan terasa tidak profesional

Singkatnya: jaringan PPPoE berubah seperti LAN besar, yang sangat tidak disarankan.

Di Mana Rule Ini Diterapkan

Rule ini diterapkan pada:

  • Interface PPPoE client
  • Interface logis PPPoE-out

Arah trafik:

  • Dari subscriber PPPoE
  • Menuju subscriber PPPoE lain

Rule ini tidak mempengaruhi:

  • Akses ke internet
  • Akses ke layanan router (jika diizinkan secara eksplisit)

Konsep Dasar Implementasi

Kita memblokir trafik dengan kondisi:

  • Source interface = PPPoE
  • Destination interface = PPPoE
  • Source IP ≠ Destination IP

Dengan ini, setiap subscriber akan terisolasi.

Metode 1 – Menggunakan Interface List (Direkomendasikan)

Langkah 1 – Membuat Interface List PPPoE

/interface list
add name=PPPOE-USERS comment="Semua interface subscriber PPPoE"

Tambahkan interface PPPoE:

/interface list member
add list=PPPOE-USERS interface=pppoe-out1
Ulangi atau otomatisasi jika menggunakan banyak PPPoE server.

Langkah 2 – Firewall Rule Block Subscriber ke Subscriber

/ip firewall filter
add chain=forward in-interface-list=PPPOE-USERS out-interface-list=PPPOE-USERS \
    action=drop comment="Block PPPoE subscriber ke subscriber"

Penjelasan

  • in-interface-list=PPPOE-USERS → trafik dari subscriber PPPoE
  • out-interface-list=PPPOE-USERS → trafik menuju subscriber PPPoE lain
  • action=drop → trafik diblokir

Metode 2 – Menggunakan Address List (Alternatif)

Langkah 1 – Menandai IP Subscriber PPPoE

/ip firewall address-list
add list=PPPOE-SUBSCRIBERS address=10.10.10.0/24 comment="Pool IP PPPoE"

Langkah 2 – Drop Trafik Antar Subscriber

/ip firewall filter
add chain=forward src-address-list=PPPOE-SUBSCRIBERS \
    dst-address-list=PPPOE-SUBSCRIBERS action=drop \
    comment="Block PPPoE subscriber ke subscriber"

Catatan Penting Urutan Rule

  • Letakkan rule ini setelah established, related accept
  • Letakkan sebelum fasttrack (jika digunakan)
  • Jangan letakkan di chain input

Kesalahan urutan rule dapat menyebabkan:

  • Internet tidak jalan
  • Trafik terblokir tidak semestinya

Dampak ke Pengalaman Pengguna

✔ Akses internet tetap normal
✔ Pengguna tidak bisa saling melihat
✔ Sharing lokal dan P2P diblokir
✔ Jaringan terasa lebih aman dan profesional

Perilaku ini sesuai dengan:

  • ISP komersial
  • Jaringan enterprise

Troubleshooting

Pengguna Tidak Bisa Internet

Periksa:

  • Urutan firewall rule
  • Keanggotaan interface list
  • Rule NAT masquerade

Pengguna Masih Bisa Ping Subscriber Lain

Periksa:

  • Interface PPPoE sudah masuk ke interface list
  • Tidak ada rule accept di atas rule drop

Best Practice

  • Selalu isolasi subscriber PPPoE
  • Kombinasikan dengan:
    • Drop invalid connection
    • Connection limit per user
    • DNS rate limiting
  • Dokumentasikan rule dengan jelas

Penutup

Memblokir trafik PPPoE subscriber ke subscriber adalah praktik wajib pada jaringan PPPoE yang serius.

Manfaat utama:

  • Keamanan meningkat
  • Stabilitas jaringan lebih baik
  • Operasional lebih mudah

Jika jaringan PPPoE Anda masih mengizinkan subscriber saling berkomunikasi, sekarang adalah waktu yang tepat untuk memperbaikinya.

Ditulis berdasarkan pengalaman nyata mengelola jaringan PPPoE ISP dan jaringan desa.