(Agar Murid Tidak Bingung dan Guru Tidak Panik 😄)

Pendahuluan

Saat mengajar MikroTik, sering kali kita sebagai guru atau praktisi sudah paham tujuannya, tetapi lupa bahwa murid belum punya peta berpikir yang sama.

Saya sendiri pernah mengalami:

• Konfigurasi jalan
• Internet hidup
• Tapi penjelasan terasa lompat-lompat
• Murid bingung mengikuti

Setelah refleksi, ternyata masalahnya bukan di MikroTik, tapi di urutan berpikir dan urutan konfigurasi.

Artikel ini menjelaskan urutan paling dasar dan paling logis saat mengatur IP Address dan DHCP Server di MikroTik, khususnya untuk pembelajaran.

Konsep Dasar yang Harus Dipahami Murid

Sebelum klik apa pun di Winbox, murid harus memahami satu hal penting:

DHCP Server adalah layanan, dan layanan selalu membutuhkan IP Address terlebih dahulu.

Artinya:

• Router tidak bisa memberi IP kalau dia sendiri belum punya IP

Dari sini, semua akan masuk akal.

Urutan Konfigurasi yang BENAR dan Mudah Dipahami

1. IP → Addresses

Router harus punya IP terlebih dahulu

Langkah:

• Masuk ke IP → Addresses
• Tambahkan IP ke interface LAN (misalnya ether2)

Contoh:

• Address: 192.168.10.1/24
• Interface: ether2

Penjelasan ke murid:

• IP ini adalah gateway
• Ini identitas router di jaringan LAN
• Tanpa IP ini, router “tidak ada” di jaringan

Kalimat sederhana untuk murid:
Kalau router tidak punya IP, dia tidak bisa melayani siapa pun.

2. IP → DHCP Server

Sekarang router bisa memberi IP ke client

Setelah IP Address ada, baru lanjut ke:

• IP → DHCP Server
• Klik DHCP Setup
• Pilih interface LAN (ether2)
• Next sampai selesai

Yang otomatis dibuat oleh MikroTik:

• IP Pool
• DHCP Network
• Gateway
• DNS

Penekanan penting:

• DHCP tidak membuat jaringan
• DHCP menggunakan jaringan yang sudah ada

Kalimat kunci untuk murid:
DHCP Server bekerja di atas IP Address, bukan sebaliknya.

3. Client Mendapat IP

Bukti bahwa konfigurasi berhasil

Sekarang sambungkan:

• PC
• Laptop
• atau HP

Cek:

• Client mendapat IP 192.168.10.x
• Gateway = 192.168.10.1
• Bisa ping router
• Bisa akses internet (jika NAT sudah ada)

Ini adalah momen penting karena:

• Murid melihat hasil nyata
• Konsep berubah jadi pengalaman

Kenapa Tidak Langsung DHCP Dulu?

Banyak pemula (termasuk saya dulu 😄) mencoba:

• Masuk DHCP Setup dulu
• Baru heran kenapa harus tambah IP manual

Alasannya sederhana:

• MikroTik tidak mau menebak IP gateway
• RouterOS mengharuskan kita paham apa yang kita buat

Ini bukan kelemahan MikroTik — justru kelebihannya.

Urutan Emas untuk Mengajar (Ringkas)

Tuliskan ini di papan tulis sebelum praktik:

IP → Addresses
Router needs an IP first

IP → DHCP Server
Now router can give IP to clients

Client gets IP
Proof it works

Urutan ini:

• Logis
• Tenang
• Mudah diikuti
• Cocok untuk pemula

Penutup

Sebagai guru atau praktisi:

• Kita sering paham tujuannya
• Tapi murid butuh urutan dan sebab–akibat

Dengan urutan yang benar:

• Penjelasan jadi rapi
• Murid lebih cepat paham
• Kelas lebih tenang
• Guru tidak perlu panik 😄

Kadang, bukan ilmunya yang salah, tapi cara menyusunnya.

Semoga tulisan ini membantu sesama pengajar dan pemula MikroTik.

Pendahuluan

MikroTik RouterOS adalah sistem operasi router yang kaya fitur. Saat membeli router MikroTik baru atau ingin memulai konfigurasi ulang, setup pertama adalah langkah penting untuk memastikan router siap digunakan.

Setup pertama meliputi:

• Reset router ke default
• Menghubungkan sumber internet
• Konfigurasi IP dasar dan masquerade
• Setting akses administrasi
• Optional: DHCP server untuk LAN

Tujuan setup pertama:

• Router siap terhubung ke internet
• LAN bisa diakses user
• Aman dan stabil untuk penggunaan awal

1. Reset MikroTik ke Konfigurasi Default

Reset diperlukan jika:

• Router baru
• Konfigurasi sebelumnya kacau
• Ingin setup dari awal

Cara Reset MikroTik

a. Menggunakan tombol reset fisik:

1. Matikan router
2. Tekan tombol reset
3. Nyalakan router sambil menahan tombol ±5–10 detik
4. Lepaskan tombol saat LED tertentu berkedip

b. Menggunakan Winbox / Terminal:

Setelah reset:

• Username: admin
• Password: kosong
• IP default bisa menggunakan DHCP client

2. Menghubungkan Sumber Internet

1. Sambungkan kabel internet (LAN/Modem) ke interface MikroTik, misal ether1
2. Interface ini akan dijadikan WAN

3. Setup IP Dasar dan DHCP Client (WAN)

Jika internet menggunakan DHCP:

Jika IP statis:

4. Setup LAN dan DHCP Server

Misal LAN menggunakan interface ether2.

Set IP LAN:

Setup DHCP Server:

5. Setup NAT / Masquerade

6. Akses Router

• Winbox → scan MAC address / IP
• WebFig → buka IP router di browser
• SSH / Terminal → optional

Jangan lupa ganti password admin:

7. Best Practice Setup Pertama

• Ganti password admin segera
• Update RouterOS ke versi terbaru
• Pastikan interface LAN/WAN jelas dan diberi nama
• Aktifkan firewall dasar (drop invalid, accept established/related)
• Dokumentasikan konfigurasi awal

8. Troubleshooting Awal

• Tidak bisa akses internet:
  • Cek IP WAN (/ip address print)
  • Cek DHCP client
  • Cek NAT / Masquerade rule
• Tidak bisa akses router dari LAN:
  • Cek IP LAN
  • Pastikan firewall tidak memblokir LAN
• Kabel LAN/Modem tidak terdeteksi:
  • Cek port dan kabel
  • Pastikan link up di interface (/interface print)

Kesimpulan

Setup pertama MikroTik mencakup:

• Reset router
• Hubungkan internet ke WAN
• Setup IP dasar & DHCP server LAN
• Masquerade agar LAN akses internet
• Ganti password admin & aktifkan firewall dasar

Setelah ini, router siap untuk konfigurasi lanjutan seperti hotspot, PPPoE, firewall rules, connection limit, dan pengaturan

Dalam jaringan LAN, hotspot, maupun jaringan desa, tidak semua perangkat boleh bebas mengakses internet. Ada kondisi tertentu di mana perangkat harus tetap terhubung ke jaringan lokal, tetapi tidak diizinkan keluar ke internet.

Salah satu metode yang efektif dan sederhana untuk kasus ini adalah memblokir akses internet berdasarkan MAC Address perangkat. Metode ini sangat berguna ketika IP address perangkat sering berubah (DHCP) dan perangkat tidak bisa dikontrol langsung oleh pengguna.

Kenapa Menggunakan MAC Address?

Apa itu MAC Address?

MAC Address adalah identitas unik hardware yang dimiliki setiap perangkat jaringan (NIC). Contoh:

DC:21:5C:9A:7F:11

Karakteristik MAC Address:

• Unik per perangkat
• Tidak berubah walaupun IP berubah
• Mudah diidentifikasi di MikroTik

Alasan Memblokir Berdasarkan MAC Address

Pendekatan ini cocok digunakan jika:

• Perangkat menggunakan DHCP
• IP address sering berubah
• Tidak ingin membuat static IP
• Perangkat hanya boleh akses LAN lokal

Contoh kasus nyata:

• CCTV hanya boleh akses NVR lokal
• Mesin absensi hanya kirim data ke server lokal
• TV / IoT tidak boleh akses internet
• Perangkat user melanggar kebijakan jaringan

Skenario Implementasi

Topologi sederhana:

[ Device ] → [ Switch / AP ] → [ MikroTik ] → [ Internet ]

Kondisi:

• Perangkat terhubung normal ke LAN
• DHCP aktif
• Ingin block internet saja
• Akses LAN tetap berjalan

Apa yang Terjadi Jika Tidak Diblok?

Jika perangkat tidak dibatasi:

• Perangkat dapat mengunduh update otomatis
• Streaming dan konsumsi bandwidth berlebih
• Risiko malware / botnet
• Mengganggu kualitas jaringan pengguna lain

Metode Blocking MAC Address di MikroTik

Prinsip Dasar

Langkah umum:

1. Identifikasi MAC Address perangkat
2. Buat firewall rule
3. Blokir trafik ke arah internet (WAN)
4. Trafik LAN tetap diizinkan

1. Mengetahui MAC Address Perangkat

Melalui DHCP lease:

/ip dhcp-server lease print

Atau dari ARP table:

/ip arp print

Catat MAC Address perangkat yang ingin diblokir.

2. Block Internet Berdasarkan MAC Address (Recommended)

Firewall filter pada chain forward:

/ip firewall filter
add chain=forward src-mac-address=DC:21:5C:9A:7F:11 \
    out-interface-list=WAN action=drop \
    comment="[BLOG] Block Internet by MAC Address"

Penjelasan:

• chain=forward → trafik client ke internet
• src-mac-address → MAC Address target
• out-interface-list=WAN → hanya trafik ke internet
• Trafik LAN tetap berjalan normal

3. Block Total Perangkat (Opsional)

Jika ingin memutus seluruh akses jaringan:

/ip firewall filter
add chain=forward src-mac-address=DC:21:5C:9A:7F:11 \
    action=drop \
    comment="[BLOG] Block Total Device by MAC"

⚠ Tidak direkomendasikan untuk perangkat penting.

Kelebihan Block Berdasarkan MAC Address

• IP berubah tidak berpengaruh
• Cepat diterapkan
• Tidak perlu static DHCP
• Cocok untuk perangkat IoT
• Mudah dikelola

Kekurangan dan Batasan

• MAC Address bisa di-spoof oleh user berpengalaman
• Tidak cocok untuk jaringan publik besar
• Tidak scalable jika terlalu banyak perangkat

Disarankan dikombinasikan dengan:

• Address List
• VLAN
• Hotspot profile
• PPPoE profile

Best Practice

• Letakkan rule setelah accept established, related
• Gunakan out-interface-list=WAN
• Beri comment yang jelas
• Dokumentasikan MAC Address dan pemilik perangkat
• Jangan block di chain=input untuk klien

Monitoring dan Troubleshooting

Cek hit rule:

/ip firewall filter print stats

Cek koneksi aktif perangkat:

/ip firewall connection print where src-mac-address=DC:21:5C:9A:7F:11

Kesimpulan

Memblokir akses internet berdasarkan MAC Address di MikroTik adalah solusi praktis dan efektif untuk mengontrol perangkat tertentu tanpa mengganggu jaringan lokal.

Metode ini sangat cocok digunakan sebagai kontrol tambahan, solusi cepat, dan kebijakan internal jaringan kecil hingga menengah.

Pada jaringan berbasis PPPoE (ISP, jaringan desa, atau akses bersama), setiap subscriber diautentikasi secara individual. Namun secara default, pengguna PPPoE masih dapat saling berkomunikasi di Layer 3 jika routing dan firewall tidak membatasi.

Kondisi ini sering kali tidak diinginkan dan berbahaya, terutama pada lingkungan multi-subscriber.

Untuk itu, diperlukan konfigurasi Block PPPoE Subscriber to Subscriber, yaitu teknik firewall untuk mengisolasi setiap klien PPPoE, sehingga mereka tetap bisa mengakses internet tetapi tidak bisa berkomunikasi langsung dengan subscriber lain.

Mengapa Perlu Block PPPoE Subscriber to Subscriber

1. Isolasi Keamanan Antar Pengguna

Setiap subscriber PPPoE seharusnya diperlakukan sebagai klien individual, bukan seperti satu jaringan LAN besar.

Tanpa isolasi, subscriber dapat:

• Melakukan scan IP subscriber lain
• Mencoba brute-force atau exploit layanan
• Mengakses perangkat yang salah konfigurasi

Dengan memblokir trafik antar subscriber:

• Isolasi pengguna lebih baik
• Permukaan serangan berkurang
• Perilaku jaringan sesuai standar ISP

2. Mencegah Penyebaran Malware

Jika satu subscriber terinfeksi malware:

• Worm dapat melakukan scanning ke jaringan PPPoE
• Malware dapat menyebar secara lateral

Dengan blok subscriber ke subscriber:

• Penyebaran malware dapat dibatasi
• Dampak infeksi hanya pada satu pengguna

3. Mencegah Sharing dan Penyalahgunaan

Tanpa pembatasan:

• Pengguna bisa berbagi file langsung
• Layanan ilegal bisa di-host secara internal
• Kebijakan trafik dapat dilewati

Blok ini memastikan model akses “internet-only”, sesuai dengan desain jaringan PPPoE.

Apa yang Terjadi Jika Tidak Diaktifkan

Jika isolasi PPPoE tidak diterapkan:

• Subscriber dapat saling ping
• Network scanning menjadi mungkin
• Insiden keamanan lebih sulit dikendalikan
• Risiko masalah hukum dan abuse meningkat
• Jaringan terasa tidak profesional

Singkatnya: jaringan PPPoE berubah seperti LAN besar, yang sangat tidak disarankan.

Di Mana Rule Ini Diterapkan

Rule ini diterapkan pada:

• Interface PPPoE client
• Interface logis PPPoE-out

Arah trafik:

• Dari subscriber PPPoE
• Menuju subscriber PPPoE lain

Rule ini tidak mempengaruhi:

• Akses ke internet
• Akses ke layanan router (jika diizinkan secara eksplisit)

Konsep Dasar Implementasi

Kita memblokir trafik dengan kondisi:

• Source interface = PPPoE
• Destination interface = PPPoE
• Source IP ≠ Destination IP

Dengan ini, setiap subscriber akan terisolasi.

Metode 1 – Menggunakan Interface List (Direkomendasikan)

Langkah 1 – Membuat Interface List PPPoE

/interface list
add name=PPPOE-USERS comment="Semua interface subscriber PPPoE"

Tambahkan interface PPPoE:

/interface list member
add list=PPPOE-USERS interface=pppoe-out1

Ulangi atau otomatisasi jika menggunakan banyak PPPoE server.

Langkah 2 – Firewall Rule Block Subscriber ke Subscriber

/ip firewall filter
add chain=forward in-interface-list=PPPOE-USERS out-interface-list=PPPOE-USERS \
    action=drop comment="Block PPPoE subscriber ke subscriber"

Penjelasan

• in-interface-list=PPPOE-USERS → trafik dari subscriber PPPoE
• out-interface-list=PPPOE-USERS → trafik menuju subscriber PPPoE lain
• action=drop → trafik diblokir

Metode 2 – Menggunakan Address List (Alternatif)

Langkah 1 – Menandai IP Subscriber PPPoE

/ip firewall address-list
add list=PPPOE-SUBSCRIBERS address=10.10.10.0/24 comment="Pool IP PPPoE"

Langkah 2 – Drop Trafik Antar Subscriber

/ip firewall filter
add chain=forward src-address-list=PPPOE-SUBSCRIBERS \
    dst-address-list=PPPOE-SUBSCRIBERS action=drop \
    comment="Block PPPoE subscriber ke subscriber"

Catatan Penting Urutan Rule

• Letakkan rule ini setelah established, related accept
• Letakkan sebelum fasttrack (jika digunakan)
• Jangan letakkan di chain input

Kesalahan urutan rule dapat menyebabkan:

• Internet tidak jalan
• Trafik terblokir tidak semestinya

Dampak ke Pengalaman Pengguna

✔ Akses internet tetap normal
✔ Pengguna tidak bisa saling melihat
✔ Sharing lokal dan P2P diblokir
✔ Jaringan terasa lebih aman dan profesional

Perilaku ini sesuai dengan:

• ISP komersial
• Jaringan enterprise

Troubleshooting

Pengguna Tidak Bisa Internet

Periksa:

• Urutan firewall rule
• Keanggotaan interface list
• Rule NAT masquerade

Pengguna Masih Bisa Ping Subscriber Lain

Periksa:

• Interface PPPoE sudah masuk ke interface list
• Tidak ada rule accept di atas rule drop

Best Practice

• Selalu isolasi subscriber PPPoE
• Kombinasikan dengan:
  • Drop invalid connection
  • Connection limit per user
  • DNS rate limiting
• Dokumentasikan rule dengan jelas

Penutup

Memblokir trafik PPPoE subscriber ke subscriber adalah praktik wajib pada jaringan PPPoE yang serius.

Manfaat utama:

• Keamanan meningkat
• Stabilitas jaringan lebih baik
• Operasional lebih mudah

Jika jaringan PPPoE Anda masih mengizinkan subscriber saling berkomunikasi, sekarang adalah waktu yang tepat untuk memperbaikinya.

Ditulis berdasarkan pengalaman nyata mengelola jaringan PPPoE ISP dan jaringan desa.

Dalam lingkungan jaringan bersama seperti homelab, hotspot, atau jaringan desa / ISP kecil, salah satu masalah yang sering terjadi adalah penggunaan koneksi yang tidak adil. Beberapa pengguna atau perangkat dapat membuka terlalu banyak koneksi, baik disengaja maupun tidak, sehingga menyebabkan:

• Beban CPU router meningkat
• Tabel NAT / connection tracking penuh
• Latensi tinggi dan packet loss
• Pengguna lain merasakan internet lambat atau tidak stabil

Untuk mengatasi hal ini, MikroTik menyediakan fitur yang sangat kuat bernama connection-limit, yang memungkinkan kita membatasi jumlah koneksi TCP dan UDP aktif per pengguna (alamat IP).

Mengapa Perlu Connection Limit

1. Mencegah Satu Pengguna Menghabiskan Sumber Daya

Aplikasi seperti:

• Download manager
• Torrent client
• Aplikasi mobile yang agresif
• Perangkat IoT yang salah konfigurasi

Dapat membuka ratusan hingga ribuan koneksi.

Tanpa pembatasan, satu pengguna saja bisa merusak kualitas jaringan untuk semua orang.

2. Melindungi Performa Router

Setiap koneksi mengonsumsi sumber daya pada:

• Connection tracking
• Proses firewall
• Tabel NAT

Dengan membatasi koneksi, kita membantu menjaga:

• CPU router tetap stabil
• Penggunaan memori terkendali
• Perilaku jaringan lebih konsisten

3. Meningkatkan Keadilan dan Stabilitas

Dengan connection limit:

• Setiap pengguna mendapat jatah yang adil
• Disconnect acak berkurang
• Hotspot keepalive menjadi lebih stabil

Apa yang Terjadi Jika Tidak Dibatasi

Jika tidak menerapkan pembatasan koneksi TCP/UDP:

• Satu perangkat bisa membuka koneksi berlebihan
• Router mulai menjatuhkan koneksi secara acak
• Pengguna sering logout sendiri
• Panggilan WhatsApp / Telegram menjadi patah-patah atau terputus
• Browsing dan DNS terasa lambat

Singkatnya: bandwidth mungkin cukup, tetapi pengalaman pengguna buruk.

Strategi Implementasi

Kita akan menerapkan connection limit dalam tiga tahap:

1. Menambahkan pengguna aktif ke address list
2. Membatasi koneksi TCP per pengguna
3. Membatasi koneksi UDP per pengguna

Pendekatan ini membuat rule lebih rapi, mudah dibaca, dan mudah dirawat.

Langkah 1 – Menambahkan Pengguna ke Address List

Pertama, kita membuat address list yang secara otomatis mencatat pengguna aktif.

Contoh: menambahkan pengguna dari jaringan LAN atau hotspot.

/ip firewall filter
add chain=forward src-address=192.168.1.0/24 action=add-src-to-address-list \
    address-list=ACTIVE-USERS address-list-timeout=1h \
    comment="Menambahkan pengguna aktif ke address list"

Penjelasan

• src-address → subnet pengguna
• ACTIVE-USERS → daftar dinamis pengguna aktif
• timeout=1h → pengguna akan otomatis dihapus jika tidak aktif

Langkah 2 – Pembatasan Koneksi TCP per Pengguna

Selanjutnya kita batasi jumlah koneksi TCP aktif per IP.

/ip firewall filter
add chain=forward protocol=tcp src-address-list=ACTIVE-USERS \
    connection-limit=100,32 action=drop \
    comment="Limit koneksi TCP per pengguna"

Penjelasan

• connection-limit=100,32
  • Maksimal 100 koneksi TCP per IP
  • /32 berarti dihitung per alamat IP individual
• Koneksi yang melebihi batas akan langsung di-drop

Langkah 3 – Pembatasan Koneksi UDP per Pengguna

Walaupun UDP bersifat connectionless, MikroTik tetap melakukan tracking.

/ip firewall filter
add chain=forward protocol=udp src-address-list=ACTIVE-USERS \
    connection-limit=60,32 action=drop \
    comment="Limit koneksi UDP per pengguna"

Penjelasan

• Batas UDP sebaiknya lebih kecil dari TCP
• Mencegah penyalahgunaan dari:
  • Flood QUIC
  • Game atau streaming yang tidak normal
  • Lalu lintas mencurigakan

Rekomendasi Nilai (Panduan Umum)

Selalu pantau dan sesuaikan berdasarkan perilaku trafik nyata.

Catatan Penting

• Letakkan rule ini setelah rule accept untuk established/related
• Jangan menerapkan connection-limit pada chain input untuk pengguna
• Pantau koneksi dengan:
  /ip firewall connection print count-only

Penutup

Connection limit bukan untuk menyiksa pengguna, tetapi untuk:

• Keadilan
• Stabilitas
• Performa yang dapat diprediksi

Bahkan dengan bandwidth kecil, jaringan yang dituning dengan baik akan terasa cepat dan stabil.

Konfigurasi ini sangat direkomendasikan untuk:

• Jaringan hotspot
• Akses internet bersama
• Jaringan desa atau komunitas

Didokumentasikan berdasarkan pengalaman nyata mengelola homelab dan jaringan desa menggunakan MikroTik.

Halo teman-teman, kali ini saya akan membahas tentang pentingnya menggunakan Drop Invalid Input dan Drop Invalid Forward pada firewall MikroTik, termasuk apa itu invalid input dan invalid forward, serta dampaknya jika kita tidak mengaktifkannya. Saya akan membahas ini dari pengalaman saya di homelab dan jaringan desa saya.

1️⃣ Apa Itu Invalid Input dan Invalid Forward?

Dalam konteks firewall MikroTik, setiap paket data yang masuk ke router atau melewati router memiliki state. State ini menunjukkan kondisi koneksi paket tersebut. Salah satu state yang umum adalah:

• Invalid Input: Paket masuk ke router tapi tidak sesuai dengan koneksi yang valid. Contohnya, paket korup, checksum salah, atau paket yang tidak memiliki sesi koneksi yang sah.
• Invalid Forward: Paket yang melewati router (bukan untuk router itu sendiri) tapi tidak sesuai dengan koneksi yang valid, misalnya paket yang tiba-tiba muncul di jalur yang salah atau paket yang korup.

Dengan kata lain, paket invalid adalah paket yang mencurigakan dan bisa menimbulkan gangguan pada jaringan.

2️⃣ Mengapa Perlu Drop Invalid Input dan Drop Invalid Forward?

Saya selalu mengaktifkan drop invalid input dan drop invalid forward karena beberapa alasan:

1. Keamanan: Paket invalid bisa menjadi percobaan serangan, misalnya spoofing atau DoS attack.
2. Stabilitas jaringan: Paket invalid bisa membuat router sibuk memproses paket yang tidak valid, yang akhirnya memperlambat jaringan.
3. Mengurangi traffic sampah: Paket invalid sering kali tidak berguna dan hanya membebani jaringan.

Dari pengalaman saya, setelah mengaktifkan kedua rule ini di MikroTik, performa hotspot dan throughput village network saya menjadi lebih stabil dan konsisten.

3️⃣ Apa yang Terjadi Jika Tidak Mengaktifkannya?

Jika kita tidak mengaktifkan drop invalid input/forward:

• Router akan memproses paket-paket invalid.
• Bisa menyebabkan CPU router naik, terutama jika ada flood paket invalid.
• Potensi keamanan lebih tinggi karena paket invalid bisa dimanfaatkan penyerang.

Jika kita mengaktifkannya:

• Router langsung membuang paket invalid.
• CPU router lebih ringan, jaringan lebih stabil.
• Potensi serangan dari paket invalid berkurang.

Jadi, sangat penting untuk mengaktifkannya, terutama di jaringan publik atau hotspot seperti yang saya kelola.

4️⃣ Script / Command untuk Mengaktifkan Drop Invalid Input dan Drop Invalid Forward di MikroTik

Berikut adalah command yang saya gunakan di router MikroTik:

/ip firewall filter
add chain=input connection-state=invalid action=drop comment="Drop invalid input"
add chain=forward connection-state=invalid action=drop comment="Drop invalid forward"

Penjelasan:

• chain=input: Untuk paket yang ditujukan ke router itu sendiri.
• chain=forward: Untuk paket yang melewati router.
• connection-state=invalid: Menargetkan paket dengan state invalid.
• action=drop: Langsung membuang paket.
• comment: Memberi catatan agar mudah diingat dan terdokumentasi.

Setelah menambahkan rule ini, saya biasanya menaruhnya di atas rule lain agar paket invalid langsung dibuang sebelum memproses aturan lain.

5️⃣ Kesimpulan dari Pengalaman Saya

Dari pengalaman saya, mengaktifkan drop invalid input dan drop invalid forward adalah langkah sederhana tapi sangat efektif untuk:

• Meningkatkan keamanan router.
• Menurunkan beban CPU router.
• Mengurangi trafik yang tidak berguna.
• Membuat jaringan hotspot dan village network saya lebih stabil.

Ini adalah salah satu tip dasar namun krusial yang saya terapkan setiap kali saya men-setup MikroTik di jaringan saya.

Semoga teman-teman juga bisa menerapkannya di jaringan masing-masing. Dengan langkah kecil ini, jaringan menjadi lebih aman dan stabil.

Kalau kalian sering utak-atik jaringan, pasti tahu dong betapa pentingnya DHCP dan DNS. Nah, di homelab saya—dan juga di jaringan desa yang saya kelola—dua layanan ini tuh nyaris jadi nyawa jaringan. DHCP itu yang ngasih alamat IP otomatis ke perangkat, sementara DNS yang bikin perangkat bisa terhubung ke internet pakai nama domain, bukan cuma IP.

Tapi masalahnya, kalau firewall di router nggak diatur dengan benar, dua layanan ini bisa gampang terganggu. Saya pernah ngalamin sendiri, client nggak bisa dapet IP otomatis atau nggak bisa buka website karena DNS diblokir. Ribet banget, deh. Makanya saya belajar pentingnya mengizinkan DHCP dan DNS di firewall MikroTik.

Kenapa DHCP itu Penting

Di jaringan saya, DHCP itu hidupnya di UDP port 67 dan 68. Konsepnya simple:

• Port 67 → Server DHCP
• Port 68 → Client DHCP

Kalau port ini diblokir, dampaknya langsung kerasa:

• Perangkat nggak bisa dapet IP otomatis
• Koneksi ke jaringan internal terganggu
• Layanan internal yang butuh IP jadi nggak bisa diakses

Jadi intinya, DHCP itu harus jalan kalau nggak mau semua perangkat ribet harus dikonfigur manual.

Kenapa DNS itu Nggak Bisa Dilewatkan

DNS ini juga nggak kalah penting. Kalau DHCP cuma ngasih IP, DNS yang bikin IP itu bisa “dimengerti” sama manusia lewat nama domain. Di MikroTik saya, DNS pakai UDP dan TCP port 53:

• UDP 53 → Query standar
• TCP 53 → Transfer zone besar / fallback query

Kalau DNS diblokir, ya… client nggak bisa akses internet pakai domain, dan banyak layanan lain bakal error, misalnya HTTPS, email, atau layanan cloud.

Studi Kasus di Jaringan Saya

Di lab saya dan jaringan desa, saya punya topologi interface kayak gini:

• ether1 → ISP / Internet
• ether2 → Server DHCP / DNS
• ether3 → Client PPPoE
• ether4 → CCTV
• ether5 → Access Point / User

Target saya cuma simple:

1. Semua client boleh request IP dari DHCP server
2. Semua client boleh resolve domain via DNS server
3. Firewall tetap aman dari trafik nggak dikenal

Implementasi di MikroTik

Setelah saya riset dan tes, akhirnya rule firewall saya bikin kayak gini:

Allow DHCP (UDP 67-68):

/ip firewall filter add \
    chain=input \
    protocol=udp \
    dst-port=67-68 \
    action=accept \
    comment="Allow DHCP request and reply"

Allow DNS UDP (port 53):

/ip firewall filter add \
    chain=input \
    protocol=udp \
    dst-port=53 \
    action=accept \
    comment="Allow DNS UDP queries"

Allow DNS TCP (port 53):

/ip firewall filter add \
    chain=input \
    protocol=tcp \
    dst-port=53 \
    action=accept \
    comment="Allow DNS TCP queries"

Urutannya juga penting, lho. Di firewall saya urutannya begini:

1. Allow established, related
2. Allow trusted
3. Allow DHCP dan DNS
4. Drop all other input

Kalau urutannya salah, DHCP dan DNS bisa nggak jalan meskipun rule udah ada.

Hasil Setelah Implementasi

Setelah diterapin, hasilnya enak banget:

• Semua client dapat IP otomatis tanpa drama
• Semua client bisa resolve domain dengan lancar
• Layanan jaringan internal dan internet nggak terganggu
• Router tetap aman dari trafik nggak sah

Kalau ada yang nanya ke saya, “Ini penting banget nggak sih?” Jawaban saya: Super penting! Tanpa DHCP dan DNS yang jalan mulus, homelab atau jaringan desa bisa kacau balau.

Kesimpulan

Dari pengalaman saya, mengizinkan DHCP dan DNS di firewall itu langkah dasar tapi krusial. Dengan konfigurasi yang tepat, jaringan homelab dan jaringan desa nggak cuma stabil tapi juga lebih aman dan andal. Jadi kalau kalian lagi setup MikroTik atau jaringan lain, jangan lupa cek dua layanan ini dulu sebelum ngeluh kenapa semua device bermasalah.

Dalam membangun jaringan homelab dan jaringan desa, saya belajar bahwa tidak semua perangkat perlu akses internet. Salah satu contoh paling jelas adalah jaringan CCTV. Awalnya, saya membiarkan interface CCTV bisa mengakses internet seperti jaringan lain. Namun, seiring waktu, saya menyadari bahwa ini adalah risiko keamanan dan pemborosan bandwidth.

Dari pengalaman tersebut, saya akhirnya memutuskan untuk memblokir akses internet dari interface CCTV, tanpa mengganggu fungsi utama CCTV itu sendiri (rekaman lokal, akses dari server, dan monitoring internal).

Artikel ini saya tulis sebagai dokumentasi pengalaman saya, sekaligus panduan praktis bagaimana cara mengimplementasikannya di MikroTik.

Kenapa Interface CCTV Tidak Perlu Akses Internet?

1. CCTV Tidak Membutuhkan Internet untuk Fungsi Utama

CCTV pada dasarnya berfungsi untuk:

• Merekam video
• Mengirim stream ke NVR / server
• Menyimpan rekaman lokal

Semua fungsi ini berjalan di jaringan lokal, bukan internet. Memberi akses internet ke CCTV tidak menambah manfaat, justru menambah risiko.

2. Risiko Keamanan Perangkat CCTV

Banyak perangkat CCTV dan IoT:

• Menggunakan firmware lama
• Jarang mendapatkan update keamanan
• Memiliki port terbuka dan service tersembunyi

Jika CCTV bisa mengakses internet:

• Perangkat bisa dikontrol dari luar tanpa disadari
• Bisa menjadi pintu masuk malware ke jaringan
• Bisa digunakan sebagai bagian dari botnet

3. Menghemat Bandwidth Jaringan Desa

Di jaringan desa, bandwidth adalah sumber daya yang sangat berharga. Jika CCTV:

• Melakukan update otomatis
• Mengirim telemetry ke cloud vendor

maka bandwidth akan terbuang untuk hal yang tidak berkontribusi langsung ke pengguna.

4. Prinsip Least Privilege

Saya menerapkan prinsip:

Perangkat hanya boleh mendapatkan akses yang benar-benar dibutuhkan.

CCTV hanya perlu:

• Akses ke NVR / server
• Akses internal monitoring

Tidak lebih dari itu.

Studi Kasus Jaringan Saya

Pembagian interface di MikroTik yang saya gunakan:

• ether1 : ISP / Internet
• ether2 : Server (Proxmox, VM, LXC)
• ether3 : PPPoE Client
• ether4 : CCTV
• ether5 : Access Point / User

Target konfigurasi:

• Interface CCTV tidak bisa akses internet
• CCTV tetap bisa berkomunikasi dengan server dan NVR
• Segmentasi jaringan tetap terjaga

Konsep Teknis Pemblokiran Internet

Di MikroTik, akses internet biasanya keluar melalui:

• Interface WAN (ether1)
• NAT masquerade

Strategi saya:

1. Identifikasi subnet CCTV
2. Blokir trafik dari subnet CCTV ke interface WAN
3. Pastikan trafik internal tetap diizinkan

Implementasi: Memblokir Internet untuk Interface CCTV

1. Pastikan Subnet CCTV

Contoh subnet CCTV yang saya gunakan:

• CCTV Network: 192.168.40.0/24

Jika interface CCTV belum diberi IP:

/ip address add address=192.168.40.1/24 interface=ether4 comment="CCTV Network"

2. (Opsional) Tambahkan Address List CCTV

Agar rule lebih rapi dan mudah dikelola:

/ip firewall address-list add \
    list=cctv_network \
    address=192.168.40.0/24 \
    comment="CCTV Subnet"

3. Blokir Akses Internet dari CCTV (Forward Chain)

Rule utama ada di forward chain, karena ini trafik melewati router menuju internet.

/ip firewall filter add \
    chain=forward \
    src-address-list=cctv_network \
    out-interface=ether1 \
    action=drop \
    comment="Block CCTV access to Internet"

Dengan rule ini:

• Semua trafik dari CCTV
• Yang menuju interface WAN

akan langsung diblokir.

4. Pastikan Akses Internal Tetap Jalan

Jika sebelumnya sudah ada rule:

Allow established, related
Allow trusted full access

maka komunikasi CCTV ke server internal tetap berjalan normal.

Urutan Rule Sangat Penting

Urutan rule yang saya gunakan:

1. Allow established, related
2. Allow trusted
3. Block CCTV to Internet
4. Rule forward lainnya

Jika urutan salah:

• CCTV bisa lolos ke internet
• Atau malah tidak bisa akses server internal

Hasil Setelah Implementasi

Setelah saya menerapkan konfigurasi ini:

• CCTV tidak bisa ping internet
• CCTV tidak bisa update ke cloud vendor
• Server dan NVR tetap bisa mengakses CCTV
• Penggunaan bandwidth lebih stabil

Yang paling penting: jaringan jadi lebih aman dan terkontrol.

Penutup

Menghalangi interface CCTV untuk mengakses internet adalah langkah kecil, tapi berdampak besar. Dari pengalaman saya:

• Keamanan meningkat
• Bandwidth lebih efisien
• Risiko dari perangkat IoT berkurang drastis

Router bukan hanya alat penghubung jaringan, tapi juga penjaga gerbang keamanan. Dengan memahami fungsi setiap interface, kita bisa membuat jaringan yang jauh lebih sehat dan profesional.

Semoga pengalaman saya ini bisa membantu kamu yang sedang membangun homelab atau jaringan desa 🤝

1. Kesalahan Awal yang Pernah Saya Lakukan

Dulu, waktu jaringan masih kecil, saya berpikir:

“Ah, router kan cuma satu, biarin aja semua device bisa akses.”

Hasilnya?

• Router sering kena scan
• Login attempt aneh di Winbox & SSH
• CPU naik padahal user tidak banyak
• Connection list penuh hal tidak jelas

Dari situ saya belajar satu hal penting:

Router bukan server umum. Router adalah otak jaringan.

Dan otak tidak boleh disentuh sembarang device.

2. Memahami Input Chain (Versi Bahasa Manusia)

Di MikroTik, input chain artinya:

Traffic yang menuju router itu sendiri, bukan lewat router.

Contohnya:

• Winbox
• SSH
• WebFig
• API
• SNMP
• Ping ke IP router

Kalau rule input salah:

• Router bisa di-scan
• Bisa kena brute force
• Bisa habis resource

3. Prinsip yang Saya Terapkan

Prinsip saya sangat sederhana:

1. Koneksi yang sudah sah jangan diganggu
2. Hanya device trusted yang boleh akses router
3. Untrusted tidak perlu tahu router itu ada

Trusted ≠ sombong, tapi realistis.

4. Kenapa Untrusted Tidak Boleh Akses Router

Untrusted yang saya maksud:

• AP / Wi‑Fi client
• CCTV
• User PPPoE

4.1 Mereka Tidak Butuh Akses Router

Jujur saja:

• HP user tidak perlu Winbox
• Kamera tidak perlu SSH
• User PPPoE tidak perlu ping router

Kalau mereka tidak butuh, kenapa dibuka?

4.2 Mengurangi Attack Surface

Setiap port terbuka = peluang masalah.

Dengan menutup akses:

• Scan berhenti di firewall
• Brute force langsung drop
• Router lebih tenang

Saya tidak menunggu router diserang dulu baru bertindak.

4.3 Menghemat Resource Router

Router kecil itu CPU & RAM terbatas.

Kalau semua device bebas kirim:

• ICMP
• TCP SYN
• Login attempt

Router capek sendiri.

5. Konsep Trusted Device (Versi Saya)

Trusted itu:

• Server network
• Laptop admin
• IP saya sendiri

Artinya:

Device yang memang punya alasan sah untuk akses router.

6. Rule Paling Wajib: Allow Established & Related

Ini rule nomor satu di input chain.

Kenapa?

Karena:

• Kalau saya sudah login via Winbox
• Kalau router sudah jawab ping

Maka koneksi itu harus dilanjutkan.

Kalau tidak:

• Session putus
• Router terasa error

Command

/ip firewall filter
add chain=input connection-state=established,related action=accept comment="Allow Established & Related Input"

Rule ini bikin router tidak memutus koneksi sah.

7. Mengizinkan Trusted Akses ke Router

Setelah koneksi lama aman, langkah berikutnya:

Siapa yang boleh masuk ke router?

Jawaban saya:

Hanya trusted.

Command

/ip firewall filter
add chain=input src-address-list=trusted action=accept comment="Allow Trusted Access to Router"

Dengan rule ini:

• Server boleh akses router
• Laptop admin boleh login
• Monitoring tetap jalan

8. Bagaimana Nasib Untrusted?

Setelah dua rule di atas:

Semua traffic input lain tidak saya izinkan.

/ip firewall filter
add chain=input action=drop comment="Drop All Other Input"

Artinya:

• AP tidak bisa scan router
• CCTV tidak bisa ping router
• PPPoE user tidak bisa brute force

Router saya menghilang dari mereka.

9. Urutan Rule Itu Penting (Ini Tidak Bisa Ditawar)

Urutan saya:

1. Allow established & related
2. Allow trusted
3. Drop sisanya

Kalau dibalik:

• Router bisa lock diri sendiri
• Admin ikut terblokir

Saya selalu ingat ini sebelum klik Apply.

10. Hasil Nyata yang Saya Rasakan

Setelah rule ini aktif:

• CPU router lebih stabil
• Connection table lebih bersih
• Tidak ada login attempt aneh
• Saya lebih tenang 😄

Dan yang paling penting:

User tidak sadar router diamankan — artinya konfigurasi berhasil.

11. Penutup

Mengamankan input chain bukan soal paranoia.

Ini soal:

• Melindungi otak jaringan
• Mengurangi beban tidak perlu
• Mempersiapkan jaringan untuk tumbuh

Buat saya pribadi:

Router yang baik adalah router yang tidak menarik perhatian.

Ditulis dari pengalaman nyata mengelola homelab dan jaringan desa.

1. Gambaran Interface di Router Saya

Di router MikroTik yang saya gunakan, setiap port sengaja saya beri peran yang jelas, bukan asal colok:

• ether1 – ISP
  Jalur internet utama dari provider
• ether2 – Server
  Proxmox (VM & LXC), Ghost Blog, database, monitoring, Jellyfin, dan service internal lain
• ether3 – PPPoE User
  User jaringan desa yang login via PPPoE
• ether4 – CCTV
  IP camera dan NVR
• ether5 – AP / Wi‑Fi
  HP, laptop, user wireless, tamu

Awalnya mungkin muncul pertanyaan:

“Kenapa tidak semua interface saja bebas saling akses?”

Saya juga dulu berpikir begitu. Sampai akhirnya mulai muncul masalah.

2. Masalah yang Saya Temui di Lapangan

Beberapa hal nyata yang saya alami:

• CCTV tiba‑tiba kirim traffic aneh
• User Wi‑Fi coba scan IP server
• Beban router naik tanpa sebab jelas
• Server terasa "berisik" walaupun bandwidth kecil

Dari sini saya sadar satu hal penting:

Tidak semua device pantas punya akses ke server.

3. Prinsip yang Saya Pakai

Prinsip saya sederhana:

• Server harus bisa akses semua jaringan
• Tapi jaringan lain tidak boleh bebas masuk ke server

Artinya:

• Server (ether2):
  • Bisa ke ISP
  • Bisa ke PPPoE
  • Bisa ke CCTV
  • Bisa ke AP
• PPPoE, CCTV, AP:
  • Boleh saling komunikasi
  • Boleh ke internet
  • ❌ Tidak boleh inisiasi koneksi ke server

Server saya anggap sebagai zona inti (trusted).

4. Kenapa Ini Penting (Versi Jujur Saya)

4.1 Keamanan

Server menyimpan:

• Credential
• Database
• Panel admin

Kalau satu kamera atau HP user kena malware:

• Saya tidak mau dia bisa scan Proxmox
• Saya tidak mau brute force dashboard

Firewall bukan bikin kebal, tapi membatasi dampak.

4.2 Stabilitas

Device murah (CCTV, HP, IoT):

• Sering kirim packet aneh
• Kadang flood broadcast

Dengan isolasi:

• Traffic server tetap bersih
• Latency lebih stabil

4.3 Biar Saya Sendiri Tidak Bingung

Jujur saja 😄

Kalau jaringan sudah besar dan tidak disegmentasi:

• Troubleshooting jadi neraka
• Lupa kenapa rule dibuat

Dengan model ini:

• Alur traffic jelas
• Firewall gampang dibaca

5. Konsep Trusted vs Untrusted

Daripada ribet pakai rule per‑interface, saya pakai address list.

Trusted (Dipercaya)

Isinya:

• Subnet server (contoh: 192.168.10.0/24)
• Device admin (opsional)

Artinya:

Device ini boleh ke mana saja.

Untrusted (Tidak Dipercaya)

Isinya:

• Pool PPPoE
• Subnet CCTV
• Subnet Wi‑Fi

Artinya:

Device ini dibatasi, bukan dilarang total.

6. Implementasi Address List

6.1 Trusted Address List

/ip firewall address-list
add list=trusted address=192.168.10.0/24 comment="Server Network"

Jika ada IP admin:

/ip firewall address-list
add list=trusted address=192.168.10.5 comment="Admin Laptop"

6.2 Untrusted Address List

/ip firewall address-list
add list=untrusted address=192.168.20.0/24 comment="WiFi AP"
add list=untrusted address=192.168.30.0/24 comment="CCTV"
add list=untrusted address=pppoe-pool comment="PPPoE Users"

7. Logika Firewall (Bahasa Manusia)

Urutan berpikir saya sebelum bikin rule:

1. Koneksi lama jangan diganggu
2. Trusted bebas ke mana saja
3. Untrusted tidak boleh ke trusted
4. Untrusted boleh ke untrusted
5. Semua boleh ke internet

Urutan ini tidak boleh dibalik.

8. Firewall Rule (Forward Chain)

8.1 Allow Established & Related

/ip firewall filter
add chain=forward connection-state=established,related action=accept comment="Allow Established"

8.2 Trusted Full Access

/ip firewall filter
add chain=forward src-address-list=trusted action=accept comment="Trusted Full Access"

8.3 Block Untrusted ke Trusted

Ini rule paling penting.

/ip firewall filter
add chain=forward src-address-list=untrusted dst-address-list=trusted action=drop comment="Block Untrusted to Server"

8.4 Allow Untrusted Communication

/ip firewall filter
add chain=forward src-address-list=untrusted dst-address-list=untrusted action=accept comment="Allow Untrusted to Untrusted"

9. Hasil yang Saya Rasakan

Setelah rule ini aktif:

• Server lebih tenang
• Bandwidth lebih bersih
• CPU router turun
• Tidak ada user komplain

Buat saya pribadi:

Kalau user tidak sadar ada perubahan, berarti konfigurasi berhasil.

10. Penutup

Konfigurasi ini bukan soal sok jago security.

Ini soal:

• Jaringan yang rapi
• Mudah dikembangkan
• Tidak bikin saya stres di masa depan

MikroTik itu kuat, tapi hanya kalau kita punya niat dan logika yang jelas.

Ditulis dari pengalaman nyata homelab & jaringan desa.

Saya sudah lama tertarik dengan dunia e-learning. Ketika mulai mengelola homelab, saya ingin punya platform pembelajaran daring sendiri untuk menyimpan materi, kursus, dan catatan. Dari berbagai pilihan, saya akhirnya memilih Moodle sebagai LMS (Learning Management System) utama yang saya self-hosting.

🧩 Apa Itu Moodle?

Moodle adalah platform open-source e-learning yang sangat populer di sekolah, kampus, dan lembaga pelatihan. Dengan Moodle, saya bisa membuat kursus online, kuis, forum diskusi, repositori materi, dan manajemen pengguna dengan kontrol penuh.

Beberapa fitur Moodle yang saya sukai:

✅ Sistem manajemen kursus lengkap.

✅ Modul kuis, tugas, dan aktivitas interaktif.

✅ Support plugin dan tema yang sangat banyak.

✅ Dokumentasi komunitas yang sangat luas.

🛠️ Kenapa Saya Memilih Moodle?

🎯 Kontrol Penuh – Semua data dan konfigurasi 100% berada di server saya.

🎯 Kustomisasi Bebas – Bisa pasang plugin dan tema sesuai kebutuhan.

🎯 Skalabilitas – Mendukung banyak user sekaligus.

🎯 Integrasi Mudah – Bisa diintegrasikan dengan LDAP, Google, dan sistem lain.

⚙️ Cara Instalasi Moodle di Docker

Saya menginstall Moodle menggunakan Docker dan Docker Compose agar lebih mudah dikelola.

Contoh docker-compose.yml yang saya gunakan:

version: '3'

services:
  moodle:
    image: moodlehq/moodle-php-apache:latest
    ports:
      - "8080:80"
    environment:
      - MOODLE_URL=https://moodle.kicap-karan.com
      - MOODLE_DOCKER_DBTYPE=mariadb
      - MOODLE_DOCKER_DBNAME=moodle
      - MOODLE_DOCKER_DBUSER=moodle
      - MOODLE_DOCKER_DBPASS=moodlepass
      - MOODLE_DOCKER_DBHOST=db
    volumes:
      - moodledata:/bitnami/moodle

  db:
    image: mariadb:10.5
    environment:
      - MYSQL_ROOT_PASSWORD=rootpass
      - MYSQL_DATABASE=moodle
      - MYSQL_USER=moodle
      - MYSQL_PASSWORD=moodlepass
    volumes:
      - dbdata:/var/lib/mysql

volumes:
  moodledata:
  dbdata:

Langkah instalasi:

1️⃣ Buat folder project dan simpan docker-compose.yml.

2️⃣ Jalankan docker-compose up -d.

3️⃣ Akses http://<IP-server>:8080 untuk konfigurasi pertama kali.

4️⃣ Selesai, Moodle sudah berjalan.

🌟 Kelebihan Moodle

✅ Gratis dan open-source.

✅ Fitur lengkap untuk pembelajaran daring.

✅ Dukungan komunitas besar.

✅ Mendukung plugin dan integrasi.

❌ Kekurangan Moodle

❌ Tampilan default cukup sederhana (perlu tema tambahan).

❌ Banyak fitur sehingga awalnya terasa rumit.

❌ Butuh server dengan resource lumayan jika user banyak.

🔗 Link Moodle Saya

Kalau ingin melihat contoh implementasi Moodle yang saya pakai, ini linknya:

🌐 moodle.kicap-karan.com

🎯 Penutup

Dengan Moodle, saya bisa membangun platform belajar online yang sepenuhnya dikelola sendiri. Jika kamu juga ingin self-hosting LMS untuk komunitas, organisasi, atau belajar mandiri, Moodle di Docker sangat layak dicoba. 🚀

Saat pertama kali mencoba remote desktop, saya memakai RDP bawaan Windows. Namun, performanya tidak pernah memuaskan untuk tugas berat seperti bermain game atau mengedit video. Lalu saya menemukan Parsec, software remote desktop yang benar-benar memanfaatkan hardware GPU sehingga latency sangat rendah.

🧩 Apa Itu Parsec?

Parsec adalah aplikasi remote desktop berperforma tinggi yang dirancang khusus untuk streaming desktop dengan kualitas visual tinggi dan latency minimal. Awalnya populer di kalangan gamer yang ingin bermain dari jarak jauh, sekarang juga banyak dipakai profesional kreatif.

🛠️ Kenapa Saya Memerlukan Parsec

✅ Saya ingin mengakses VM Windows dengan GPU passthrough dari laptop atau tablet.

✅ Saya sering bermain game AAA dari jarak jauh.

✅ Saya butuh editing video dengan akselerasi GPU tanpa harus duduk di depan server.

✅ RDP dan VNC tidak bisa memberikan pengalaman mulus.

⚡ Kelebihan Parsec Dibanding RDP

🎮 Latency Sangat Rendah

Parsec menggunakan teknologi streaming canggih yang bisa menghasilkan latency di bawah 20 ms di jaringan lokal.

🎨 Kualitas Visual Tinggi

Bitrate tinggi dan codec H.265 membuat gambar tetap tajam bahkan di resolusi tinggi.

🖥️ Akselerasi GPU Sebenarnya

Proses encoding video dilakukan langsung oleh GPU, bukan CPU.

🎧 Dukungan Audio Dua Arah

Suara game atau aplikasi tetap jernih.

✅ Bisa dijalankan di Windows, macOS, Linux.

🛠️ Cara Instalasi dan Setup Parsec

1️⃣ Download Parsec di situs resminya.

2️⃣ Install Parsec pada mesin host (VM Windows dengan GPU passthrough).

3️⃣ Login akun Parsec.

4️⃣ Atur pengaturan resolusi dan bitrate.

5️⃣ Install Parsec di client device (laptop, tablet, smartphone).

6️⃣ Login dengan akun sama dan koneksi siap digunakan.

🎯 Pengalaman Saya Menggunakan Parsec

Saya sudah mencoba banyak solusi remote desktop, mulai dari RDP, VNC, Moonlight, sampai AnyDesk. Namun, Parsec yang paling stabil untuk streaming game dan editing. Dengan GPU passthrough dan koneksi LAN, saya nyaris tidak merasakan perbedaan dibanding duduk di depan PC fisik.

❌ Kekurangan Parsec

❌ Membutuhkan akun cloud Parsec (meskipun gratis).

❌ Tidak mendukung semua GPU lama.

❌ Butuh jaringan yang stabil.

🏷️ Alternatif Parsec

🎯 Penutup

Bagi saya, Parsec adalah solusi remote desktop terbaik untuk memanfaatkan GPU passthrough Proxmox. Jika kamu ingin merasakan gaming atau editing dari sofa rumah dengan kualitas nyaris native, Parsec wajib dicoba. 🚀

Dulu saya menganggap virtual machine hanya cocok untuk aplikasi ringan seperti server web atau database. Tapi ternyata, dengan teknologi passthrough GPU, saya bisa menjalankan VM Proxmox yang memanfaatkan kartu grafis fisik sepenuhnya. Dari render video hingga gaming, semua terasa seperti di mesin native.

🧩 Apa Itu Passthrough di Proxmox?

Passthrough (PCI passthrough) adalah teknik yang memungkinkan hardware fisik—misalnya GPU, kartu jaringan, atau storage controller—diakses langsung oleh VM. Dengan ini, VM "mengambil alih" hardware seolah-olah tidak sedang berbagi dengan host.

Pada Proxmox, fitur ini didukung menggunakan KVM (Kernel-based Virtual Machine) dan modul IOMMU.

⚙️ Kelebihan GPU Passthrough

✅ VM bisa menggunakan driver asli GPU (NVIDIA atau AMD).

✅ Performa grafis hampir setara bare metal.

✅ Bisa menjalankan software 3D rendering, CAD, dan machine learning.

✅ Bisa digunakan untuk game streaming.

✅ VM Windows/Linux lebih fleksibel.

🛠️ Kenapa Saya Menggunakan GPU Passthrough

Saya memakai GPU passthrough terutama untuk dua alasan:

🎬 Video Editing dan Rendering: Proses encoding jauh lebih cepat.

🎮 Gaming dan Game Streaming: Saya bisa bermain game modern langsung dari VM Windows lalu stream ke laptop lain.

Selain itu, VM dengan GPU juga cocok untuk eksperimen machine learning dengan CUDA.

🧩 Proses Setup Singkat

Secara garis besar, langkahnya:

1️⃣ Aktifkan IOMMU di grub boot loader.

intel_iommu=on atau amd_iommu=on

2️⃣ Update grub dan reboot Proxmox.

3️⃣ Cek apakah IOMMU aktif:

dmesg | grep -e DMAR -e IOMMU

4️⃣ Identifikasi PCI ID GPU:

lspci

5️⃣ Tambahkan PCI device ke VM via Proxmox GUI.

6️⃣ Pastikan VM memakai BIOS OVMF (UEFI) jika diperlukan.

7️⃣ Install driver GPU di dalam VM.

Biasanya saya juga mengisolasi GPU agar tidak di-claim driver host.

✅ Kekurangan GPU Passthrough

❌ Proses setup lumayan teknis.

❌ Jika salah konfigurasi, host bisa gagal boot.

❌ Tidak semua GPU mendukung passthrough sempurna.

❌ Beberapa driver NVIDIA memblokir virtualisasi (terutama kartu non-quadro).

🎯 Penutup

GPU passthrough di Proxmox adalah solusi luar biasa untuk saya yang ingin satu server menjalankan semua workload—dari web server sampai workstation grafis. Dengan setup yang tepat, performanya nyaris setara komputer fisik. Jika kamu tertarik memaksimalkan server, fitur ini sangat layak dicoba. 🚀

Awalnya saya hanya menggunakan Proxmox untuk Linux VM dan container Docker. Namun, ada beberapa aplikasi Windows yang tetap saya perlukan, seperti software desain tertentu atau aplikasi akuntansi yang tidak berjalan mulus di Wine. Dari situlah saya memutuskan mencoba membuat Windows VM di Proxmox.

🧩 Kenapa Saya Menginstall Windows di VM

✅ Beberapa software hanya tersedia di Windows.

✅ Bisa diakses dari mana saja melalui Remote Desktop.

✅ Latency lebih rendah dibanding akses komputer fisik via TeamViewer.

✅ Satu server bisa menggantikan beberapa PC.

✅ Mudah snapshot dan rollback jika ada masalah.

⚙️ Proses Instalasi Windows VM di Proxmox

Langkah-langkah yang saya lakukan:

1️⃣ Upload ISO Windows ke Proxmox Storage.

2️⃣ Buat VM baru melalui Proxmox Web UI.

3️⃣ Pilih storage dan alokasi disk (saya pakai SSD agar lebih cepat).

4️⃣ Enable QEMU Guest Agent untuk integrasi lebih baik.

5️⃣ Install Windows seperti biasa.

6️⃣ Install VirtIO driver agar jaringan dan disk performa optimal.

7️⃣ Install QEMU Guest Agent di Windows VM.

8️⃣ Aktifkan Remote Desktop pada Windows.

🛠️ Menggunakan Remote Desktop dari Berbagai Perangkat

Setelah RDP aktif, saya bisa mengakses Windows VM dari mana saja:

✅ PC atau Laptop — Menggunakan Remote Desktop Connection bawaan Windows.

✅ Smartphone Android/iOS — Aplikasi Microsoft Remote Desktop.

✅ Tablet — Pengalaman mirip laptop.

Jika diakses dari internet, saya menggunakan ZeroTier agar koneksi tetap aman dan seolah-olah berada di jaringan lokal.

⚡ Kelebihan Windows VM di Proxmox

✅ Snapshot mudah sebelum install software baru.

✅ Bisa dikloning untuk membuat beberapa workstation virtual.

✅ Integrasi VirtIO driver membuat performa disk & jaringan sangat baik.

✅ Hemat tempat karena hanya satu server.

❌ Kekurangan dan Tantangan

❌ Membutuhkan lisensi Windows resmi.

❌ Resource (CPU & RAM) lebih besar dibanding Linux VM.

❌ Proses instalasi driver dan konfigurasi kadang agak repot.

🎯 Penutup

Menjalankan Windows VM di Proxmox membuat workflow saya lebih fleksibel. Dari tablet pun saya bisa login dan menjalankan aplikasi penting dengan latency rendah. Jika kamu juga membutuhkan Windows hanya sesekali, VM ini solusi hemat tempat dan praktis. 💻✨

Saat pertama kali belajar mengelola server, saya sering bingung bagaimana cara mengatur firewall yang efektif. Dua tools yang paling sering saya temui adalah UFW dan iptables. Di blog ini, saya ingin berbagi pengalaman pribadi menggunakan keduanya.

🔍 Apa Itu UFW?

UFW (Uncomplicated Firewall) adalah antarmuka sederhana untuk mengelola aturan iptables di Linux. Tujuannya mempermudah konfigurasi firewall bagi pengguna baru.

✅ Sintaks mudah dibaca

✅ Cepat untuk setup aturan dasar

✅ Bagus untuk server kecil dan penggunaan sehari-hari

🧩 Apa Itu iptables?

iptables adalah tool firewall yang lebih "mentah" dan powerful. Ia langsung memanipulasi ruleset kernel Linux Netfilter.

✅ Sangat fleksibel

✅ Cocok untuk setup firewall yang kompleks

✅ Mendukung banyak table dan chain

⚙️ Cara Instalasi UFW di Debian/Ubuntu

Pertama, saya install UFW dengan perintah berikut:

sudo apt update
sudo apt install ufw

Setelah terinstal, statusnya biasanya nonaktif.

🛠️ Cara Setup UFW

Contoh setup yang sering saya pakai:

1️⃣ Allow SSH:

sudo ufw allow 22/tcp

2️⃣ Allow HTTP dan HTTPS:

sudo ufw allow 80,443/tcp

3️⃣ Enable UFW:

sudo ufw enable

4️⃣ Cek status:

sudo ufw status verbose

Jika ingin reset aturan:

sudo ufw reset

🛠️ Cara Setup iptables

iptables sedikit lebih rumit. Contoh setup sederhana:

1️⃣ Cek rules aktif:

sudo iptables -L -v

2️⃣ Flush semua rules:

sudo iptables -F

3️⃣ Allow SSH:

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

4️⃣ Allow HTTP/HTTPS:

sudo iptables -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT

5️⃣ Drop semua koneksi lain:

sudo iptables -A INPUT -j DROP

Untuk membuat aturan permanen, saya simpan rules:

sudo iptables-save > /etc/iptables/rules.v4

✅ Kelebihan dan Kekurangan UFW

Kelebihan:

• Sintaks sangat mudah
• Cepat dipahami pemula
• Integrasi baik di Debian/Ubuntu

Kekurangan:

• Tidak sefleksibel iptables
• Kadang terbatas pada skenario rumit

✅ Kelebihan dan Kekurangan iptables

Kelebihan:

• Kontrol penuh atas traffic
• Bisa membuat rule yang sangat detail

Kekurangan:

• Sintaks panjang dan membingungkan bagi pemula
• Risiko salah konfigurasi lebih besar

🎯 Penutup

Dari pengalaman saya, UFW lebih cocok jika hanya ingin cepat membuat firewall dasar di homelab. Namun kalau ingin setup granular atau belajar lebih dalam, iptables tetap menjadi pilihan yang powerful. Biasanya saya memulai dengan UFW dulu, lalu beralih ke iptables jika kebutuhan semakin kompleks.