Hospot sharing merupakan tindakan dimana client hospot kita membagikan lagi internet menggunakan tethering device seperti laptop atau handphone. Jika ada kasus seperti itu kita bisa mengatasi dengan cara pada artikel berikut Membatasi sharing koneksi dengan 'Change TTL'.

Dengan tutorial diatas, terdapat beberapa kasus tethering hotspot yang masih bisa terbypass. Hal tersebut dikarenakan di sisi client melakukan tethering ulang dengan aplikasi yang memanfaatkan fitur ip proxy server. Proxy ini bekerja untuk membuat koneksi baru dari client hospot ke device dibawahnya. Singkatnya device dibawah perangkat client melakukan request http ke proxy server, lalu hp yang melakukan tethering tersebut membuat koneksi baru ke internet yang membuat router tidak bisa membaca ip device dibawah hospot client.

Pada kasus seperti ini kami sudah mencoba beberapa cara, yaitu:

1. Membatasi sharing koneksi dengan 'Change TTL'

2. Memblokir address list selain dari hotspot yang berada di interface untuk hotspot

3. Memblokir dengan layer 7 regex karena proxy memberikan akses HTTP dan HTTPS

4. Memblokir menggunakan ARP add for lease di DHCP server dan reply only wireless

Namun dengan beberapa opsi diatas, ip proxy server masih tetap bisa berjalan, dan sisi client tetap bisa melakukan tethering hotspot.

Topologi dan Cara Kerja

• Laptop kirim request → proxy (HP) di port 8080

• Proxy (HP) → meneruskan ke Internet via hotspot (IP 10.5.50.2)

• Hotspot mikrotik → anggap semua traffic berasal dari 10.5.50.2 (1 IP saja)

Pada kasus seperti ini kami sudah mencoba beberapa cara, yaitu:

1. Membatasi sharing koneksi dengan 'Change TTL'

2. Memblokir address list selain dari hotspot yang berada di interface untuk hotspot

3. Memblokir dengan layer 7 regex karena proxy memberikan akses HTTP dan HTTPS

4. Memblokir menggunakan ARP add for lease di DHCP server dan reply only wireless

Pada artikel kali ini, ada beberapa opsi yang bisa dilakukan untuk memberikan batasan terhadap client yang melakukan tethering dengan metode IP Proxy Server, antara lain:

1. Membatasi koneksi dengan connection limit

   Cara ini digunakan untuk membatasi koneksi yang digunakan oleh setiap user hotspot. Rule ini akan aktif ketika penggunaan koneksi dari user hotspot melebihi dari limit yang ditetapkan. Singkatnya, koneksi user di atas limit akan didrop, dan jika di bawah limit maka rule tidak aktif.

2. Membuat quota untuk setiap user

   Cara ini digunakan untuk membatasi bandwidth yang dipakai oleh user hospot, ketika telah mencapai limit quota yang ditetapkan maka user akan disconnect dan harus menghubungkan ulang.

Konfigurasi

1. Memblokir koneksi dengan connection limit

   1. Pertama, kita akan membuat hospot seperti biasa dengan hospot setup dan sesuaikan ke interface yang akan digunakan untuk menyebarkan hospot.

      

   2. Kemudia kita bisa masuk ke menu User Profile untuk memasukan client yang aktif ke address list bypass

      

   3. Jangan lupa untuk membuatkan user client pada menu users, pastikan juga menggunakan profile yang telah dibuat tadi

      

   4. Selanjutnya kita masuk ke firewall filter rules untuk membatasi setiap client hanya bisa sampai 200 connection.

      

      

      

2. Menerapkan sistem kuota untuk setiap user

   1. Pertama buat user yang akan diberikan kuota pada menu users

      

   2. Lalu limitasi kuota di menu limit

      

      Bisa menggunakan memisah download dan upload menggunakan Limit Bytes In dan Limit Bytes out atau juga bisa menggabung download dan upload menggunakan Limit Byte Total.

Kesimpulan

ketika sisi client melakukan tethering menggunakan aplikasi yang mampu menjalankan layanan ip proxy server, maka dari sisi mikrotik kita tidak bisa melakukan filter terhadap client yang di tethering ulang (client anonim). Dikarenakan kemampuan dari ip proxy server yang mampu untuk menyembunyikan alamat ip asal. Alternatif selain melakukan filter, maka bisa memanfaatkan fitur connection limit atau menerapkan layanan kuota.