TOPOLOGI JARINGAN DHCP SERVER ROUGE
TOPOLOGI JARINGAN DHCP SERVER ROUGE

Multiple DHCP Server atau DHCP Rogue adalah kondisi dimana pada satu jaringan yang sama terdapat dua atau lebih DHCP Server yang aktif, maka akan terdapat DHCP Server asli dan DHCP Server palsu, nah jika di sisi client ketika terhubung ke DHCP yang palsu maka client tersebut tidak akan mendapatkan akses internet, ini pasti akan menjadi masalah serius jika teman-teman tidak mengetahui dimana posisi DHCP Server yang palsu tersebut.

Agar client terhubung ke internet secara otomatis client bisa mendapatkan IP Address dari DHCP Server, bagaimana jika dalam satu jaringan terdapat dua atau lebih DHCP Server yang aktif, misalnya ada beberapa Modem bekas Huawei HG8254A/HG8245H atau Modem ZTE F609/ZTE F660 yang sering dimanfaatkan untuk Client Hotspot atau Client PPPoE.

Untuk menjadikan Modem bekas menjadi Access Point, DHCP Server pada Modem tersebut wajib dimatikan. Jika DHCP Server pada Modem tersebut lupa kita matikan akan menjadi masalah pada client, misalnya client akan mendapatkan IP Address otomatis (DHCP Client) dari DHCP Server Modem. Untuk masalah ini bisa kita hindari dengan konfigurasi pada Mikrotik. Contoh bisa di lihat pada topologi di atas dimana terdapat Modem bekas terhubung ke Ether 2 dan Ether 3 pada Mikrotik kemudian ada Modem lagi yang terhubung paralel ke Modem yang terhubung langsung ke Mikrotik.

Untuk mencegah Multile DHCP Server atau DHCP Rogue pada Ether 2 dan Ether 3, kita bisa membuat sebuah rule di menu Bridge.

/interface bridge filter
add action=accept chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip out-interface=ether2 src-port=68
add action=accept chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip out-interface=ether3 src-port=68
add action=drop chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip src-port=68

Dengan rule diatas ketika ada trafik dari client (DHCP Discovery) dengan Src.Port 68 dan Dst-Port 67, protocol UDP yang keluar dari ether1dan ether2 maka akan di ACCEPT. Selain itu dengan jenis trafik yang sama interface keluar selain ether1 akan di DROP

Selain dengan menggunakan Rule diatas kita bisa memanfaatkan DHCP Alert yang terdapat pada Menu DHCP Server

/ip dhcp-server set authoritative=yes

Disini On Alert kita juga bisa menambahkan perintah untuk mengirimkan notifikasi ke BOT Telegram. Contohnya seperti ini.

:local output
:local bot "BOT";
:local chatID "CHAT";
:local mikrotik [/system identity get name] ;
:foreach activeIndex in=[/ip dhcp-server alert find comment=lan1] do={
:local interface [/ip dhcp-server alert get value-name="interface" $activeIndex];
:local valid [/ip dhcp-server alert get value-name="valid" $activeIndex];
:local unk [/ip dhcp-server alert get value-name="unknown-server" $activeIndex];
:log warning "Nama Mikrotik: $mikrotikNama interface: $interface \nMAC VALID: $valid \nMAC ROUGE$unk";
/tool fetch url="https://api.telegram.org/bot$bot/sendmessage\?chat_id=$chatID&text=\E2\9C\85 ROTER: $mikrotik %0A\E2\9C\85 Interface: $interface %0A\E2\9C\85 Valid MAC: $valid %0A\E2\9C\85 MAC Rouge: $unk" keep-result=no
}

Pada contoh konfigurasi diatas ketika terdeteksi adanya DHCP Rogue maka script akan dieksekusi dengan aksi membuat parameter Authoritative=YES pada DHCP Server yang asli. Untuk penggunaan parameter ‘Authoritive=YES’.

Nah itulah Cara Mencegah Multiple DHCP Server atau DHCP Rogue pada Mikrotik, setidaknya dengan menggunakan cara kita bisa mencegah dan bisa di Monitoring dari DHCP Server palsu pada jaringan yang satu segmen.

Referensi:

http://mikrotik.co.id/artikel_lihat.php?id=252
http://mikrotik.co.id/artikel_lihat.php?id=210

Baca juga:

13 COMMENTS

  1. Sepertinya scripe nya jalan mas muncul tulisan gini : dhcp alert on ether1: discovered unknown dhcp server, mac 94:DB:DA:0D:4C:62, ip 192.168.9.1

  2. mas, kalau di DHCP server Leases terbaca mac dari hp, tapi di Host yg terbaca mac dari repeater itu masalahnya dimana ya?

  3. saya punya topologi seperti ini:
    ISP –> mikrotik –> router openwrt –> laptop

    kalo kabel lan dari mikrotik saya colok ke port wan openwrt : internet jalan, bisa akses luci openwrt, tapi gak bisa remote mikrotik via winbox

    kalo kabel lan dari mikrotik saya colok ke port lan openwrt : internet jalan, bisa remote mikrotik, tapi gak bisa akses luci openwrt

    gimana ya caranya biar bisa: internet jalan, bisa remote mikrotik, bisa akses luci openwrt?
    terima kasih sebelumnya

  4. tanya pak,
    di kolom Valid Server : “di_isi_mac_address”
    itu mac adressnya siapa ya pak, apakah itu mac adress dari mikrotiknya sendiri sebagai DHCP Server yang sah, atau MAC Adress Akses Point yang sah ?

  5. itu mac address dari punya bridge apa mac address punya ether om ? kalo di dhcp server aku make dhcp nya ke bridge

Leave a Reply