Mikrotik RouterBoard — Lab VLAN

Konfigurasi
VLAN dengan 2 RouterBoard

Panduan langkah-demi-langkah membangun jaringan VLAN: RouterBoard pertama sebagai router + internet, RouterBoard kedua sebagai managed switch, membagi jaringan menjadi 2 VLAN terpisah.

Mulai Lab
60 menit Menengah 2× RB
2 Unit
RouterBoard
2 VLAN
ID 10 & 20
1 WAN
Koneksi Internet
Trunk
802.1Q Tag
01

Topologi Jaringan

Gambaran lengkap bagaimana kedua RouterBoard terhubung dalam topologi ini.

TRUNK Internet RB1 — ROUTER ether1: WAN (DHCP) ether2: Trunk → RB2 e1 e2 RB2 — SWITCH ether1: Uplink ← RB1 ether2–5: Access Ports VLAN 10 — 192.168.10.0/24 💻 PC 1 ether2 — Access 💻 PC 2 ether4 — Access VLAN 20 — 192.168.20.0/24 📱 PC 3 ether3 — Access 🖨️ PC 4 ether5 — Access

Tabel Alokasi Port & IP

Perangkat Port Mode VLAN IP Address
RB1 ether1 WAN DHCP Client
RB1 ether2 Trunk 10, 20
RB1 vlan10 Virtual 10 192.168.10.1/24
RB1 vlan20 Virtual 20 192.168.20.1/24
RB2 ether1 Trunk 10, 20 (tagged)
RB2 ether2, ether4 Access 10 (untagged) DHCP
RB2 ether3, ether5 Access 20 (untagged) DHCP

VLAN 10 — Departemen

PC 1 dan PC 2 berada di subnet terpisah. Mereka bisa saling komunikasi tapi tidak bisa berkomunikasi langsung dengan VLAN 20 tanpa routing.

VLAN 20 — Tamu / Lab

PC 3 dan PC 4 berada di subnet berbeda. Memiliki gateway dan DHCP sendiri, memastikan isolasi dari jaringan departemen.

802.1Q Tagging

Koneksi antara RB1 dan RB2 menggunakan trunk link — frame Ethernet ditambahkan tag VLAN agar kedua VLAN bisa lewat satu kabel.

02

Konfigurasi RB1 — Router

RouterBoard pertama berperan sebagai router. ether1 terhubung ke internet (WAN), ether2 menjadi trunk port yang membawa VLAN 10 dan VLAN 20 menuju RB2.

1

Reset & Rename Interface

Bersihkan konfigurasi default dan beri nama interface agar mudah dikenali.

RB1 — Terminal 
# Reset konfigurasi (hati-hati: menghapus semua setting!)
/system reset-configuration no-defaults=yes keep-users=no

# Rename interface
/interface set 0 name=wan
/interface set 1 name=trunk
2

Konfigurasi WAN (Internet)

Aktifkan DHCP Client pada interface wan untuk mendapatkan IP dari ISP.

RB1 — Terminal 
# DHCP Client ke ISP
/ip dhcp-client add interface=wan disabled=no

# Verifikasi: pastikan status = bound
/ip dhcp-client print
3

Buat VLAN Interface

Buat interface virtual VLAN 10 dan VLAN 20 di atas interface trunk (ether2).

RB1 — Terminal 
# Buat interface VLAN 10 di atas trunk
/interface vlan add \
  name=vlan10 \
  vlan-id=10 \
  interface=trunk

# Buat interface VLAN 20 di atas trunk
/interface vlan add \
  name=vlan20 \
  vlan-id=20 \
  interface=trunk

# Verifikasi
/interface vlan print
Catatan: Interface VLAN dibuat di RB1 (bukan di bridge) karena RB1 bertindak sebagai router. Setiap VLAN memiliki interface virtual tersendiri yang bisa diberi IP address.
4

IP Address per VLAN

Atur IP gateway untuk masing-masing VLAN — ini akan menjadi gateway para client.

RB1 — Terminal 
/ip address add address=192.168.10.1/24 interface=vlan10
/ip address add address=192.168.20.1/24 interface=vlan20
5

DHCP Server

Buat pool, DHCP server, dan network untuk masing-masing VLAN agar client mendapat IP otomatis.

RB1 — Terminal 
# === DHCP untuk VLAN 10 ===
/ip pool add name=pool-vlan10 ranges=192.168.10.100-192.168.10.200

/ip dhcp-server add \
  name=dhcp-vlan10 \
  interface=vlan10 \
  address-pool=pool-vlan10 \
  disabled=no

/ip dhcp-server network add \
  address=192.168.10.0/24 \
  gateway=192.168.10.1 \
  dns-server=8.8.8.8,8.8.4.4

# === DHCP untuk VLAN 20 ===
/ip pool add name=pool-vlan20 ranges=192.168.20.100-192.168.20.200

/ip dhcp-server add \
  name=dhcp-vlan20 \
  interface=vlan20 \
  address-pool=pool-vlan20 \
  disabled=no

/ip dhcp-server network add \
  address=192.168.20.0/24 \
  gateway=192.168.20.1 \
  dns-server=8.8.8.8,8.8.4.4
6

NAT Masquerade

Agar semua client di VLAN 10 dan VLAN 20 bisa mengakses internet melalui interface WAN.

RB1 — Terminal 
# NAT untuk akses internet dari semua VLAN
/ip firewall nat add \
  chain=srcnat \
  out-interface=wan \
  action=masquerade
Mengapa masquerade? NAT masquerade mengganti IP sumber (private 192.168.x.x) dengan IP public dari ISP sehingga paket bisa melewati internet dan respons dikembalikan dengan benar.
7

Firewall Dasar (Opsional)

Aturan firewall untuk keamanan dasar — izinkan traffic yang sudah terestablished dan blok yang tidak valid.

RB1 — Terminal 
/ip firewall filter add chain=input action=accept connection-state=established,related
/ip firewall filter add chain=input action=drop connection-state=invalid
/ip firewall filter add chain=input action=accept protocol=icmp
/ip firewall filter add chain=input action=accept in-interface=wan protocol=tcp dst-port=8291

Ringkasan Konfigurasi RB1

Interface
wan → DHCP Client
trunk → ether2 fisik
vlan10 → 192.168.10.1/24
vlan20 → 192.168.20.1/24
Layanan
DHCP → vlan10, vlan20
NAT → srcnat masquerade
DNS → 8.8.8.8, 8.8.4.4
Firewall → filter dasar
03

Konfigurasi RB2 — Switch

RouterBoard kedua difungsikan sebagai managed switch menggunakan fitur Bridge VLAN. RB2 tidak memiliki IP — ia hanya meneruskan frame berdasarkan tag VLAN 802.1Q.

1

Reset & Hapus IP

Pastikan RB2 bersih tanpa IP address — sebagai switch, RB2 tidak perlu IP di bridge.

RB2 — Terminal 
/system reset-configuration no-defaults=yes keep-users=no

# Hapus semua IP address (pastikan bersih)
/ip address remove [find]
2

Buat Bridge

Buat bridge dan masukkan semua port ethernet ke dalamnya.

RB2 — Terminal 
# Buat bridge
/interface bridge add name=bridge1 vlan-filtering=no

# Tambahkan semua port ke bridge
/interface bridge port add bridge=bridge1 interface=ether1
/interface bridge port add bridge=bridge1 interface=ether2
/interface bridge port add bridge=bridge1 interface=ether3
/interface bridge port add bridge=bridge1 interface=ether4
/interface bridge port add bridge=bridge1 interface=ether5
Penting: vlan-filtering harus no saat menambahkan port. Jika diaktifkan sebelum port masuk bridge, semua traffic akan terblokir!
3

Atur PVID (Port VLAN ID)

PVID menentukan VLAN default untuk frame yang masuk tanpa tag (untuk access port).

RB2 — Terminal 
# ether2, ether4 → Access VLAN 10
/interface bridge port set [find interface=ether2] pvid=10
/interface bridge port set [find interface=ether4] pvid=10

# ether3, ether5 → Access VLAN 20
/interface bridge port set [find interface=ether3] pvid=20
/interface bridge port set [find interface=ether5] pvid=20

# ether1 (trunk/uplink) → PVID 1 (default, tidak diubah)
4

Bridge VLAN Table (LANGKAH KRITIS)

Definisikan VLAN mana yang boleh lewat di port mana. Ini adalah inti dari VLAN filtering.

RB2 — Terminal 
# VLAN 10: tagged di ether1 (trunk), untagged di ether2 & ether4
/interface bridge vlan add \
  bridge=bridge1 \
  vlan-ids=10 \
  tagged=ether1 \
  untagged=ether2,ether4

# VLAN 20: tagged di ether1 (trunk), untagged di ether3 & ether5
/interface bridge vlan add \
  bridge=bridge1 \
  vlan-ids=20 \
  tagged=ether1 \
  untagged=ether3,ether5
Tagged (ether1): Frame yang keluar dari port trunk tetap membawa tag VLAN 802.1Q, sehingga RB1 bisa membedakan VLAN 10 dan 20.
Untagged (access): Tag VLAN dilepas saat frame keluar ke PC karena perangkat client biasanya tidak mengenali tag 802.1Q.
5

Aktifkan VLAN Filtering

Aktifkan setelah semua aturan VLAN dibuat — ini adalah langkah terakhir yang mengaktifkan pemisahan.

RB2 — Terminal 
# AKTIFKAN VLAN FILTERING — lakukan terakhir!
/interface bridge set bridge1 vlan-filtering=yes
Peringatan: Setelah perintah ini, jika konfigurasi VLAN table salah, Anda bisa kehilangan akses ke RB2. Pastikan sudah menyetel management access sebelumnya, atau gunakan koneksi langsung via MAC Winbox.

Alur Kerja Frame di RB2

PC1 (ether2) kirim paket: Frame masuk tanpa tag → PVID 10 diterapkan → frame di-tag VLAN 10
Bridge VLAN check: VLAN 10 diizinkan di ether1 (tagged) → frame diteruskan ke RB1 dengan tag
VLAN 10 TIDAK diizinkan di ether3/ether5 → PC1 tidak bisa berkomunikasi langsung dengan PC3/PC4
VLAN 10 diizinkan di ether2/ether4 (untagged) → PC1 dan PC2 bisa saling komunikasi
04

Verifikasi & Pengujian

Setelah konfigurasi selesai, lakukan pengujian bertahap untuk memastikan semua berjalan dengan benar.

Cek interface VLAN

/interface vlan print
# Harus menampilkan vlan10 dan vlan20 dengan status running

Cek DHCP leases

/ip dhcp-server lease print
# Cek apakah client VLAN 10 mendapat IP 192.168.10.x
# Cek apakah client VLAN 20 mendapat IP 192.168.20.x

Ping gateway dari RB1

/ping 192.168.10.1 src-address=192.168.10.1
/ping 192.168.20.1 src-address=192.168.20.1
# Keduanya harus reply

Ping internet

/ping 8.8.8.8
/ping google.com
# Jika berhasil = NAT masquerade bekerja

Cek bridge port

/interface bridge port print
# Pastikan semua ether1-ether5 ada di bridge1
# Periksa kolom PVID: ether2,ether4 = 10 | ether3,ether5 = 20

Cek bridge VLAN table

/interface bridge vlan print
# VLAN 10: tagged=ether1, untagged=ether2,ether4
# VLAN 20: tagged=ether1, untagged=ether3,ether5

Cek MAC address table

/interface bridge host print
# Lihat MAC client dan port mana yang mereka tempati

Tes dari PC VLAN 10 (Windows)

Command Prompt
# Cek IP (harus 192.168.10.x)
ipconfig

# Ping gateway
ping 192.168.10.1

# Ping sesama VLAN 10 → HARUS BERHASIL
ping 192.168.10.100

# Ping VLAN 20 → HARUS GAGAL (timeout)
ping 192.168.20.100

# Ping internet → HARUS BERHASIL
ping 8.8.8.8
ping google.com

Tes dari PC VLAN 20

Command Prompt
# Cek IP (harus 192.168.20.x)
ipconfig

# Ping gateway
ping 192.168.20.1

# Ping sesama VLAN 20 → HARUS BERHASIL
ping 192.168.20.100

# Ping VLAN 10 → HARUS GAGAL (timeout) — isolasi berhasil!
ping 192.168.10.100

Hasil yang Diharapkan

Dari Tujuan Hasil Keterangan
VLAN 10192.168.10.1✓ ReplyGateway reachable
VLAN 10VLAN 10 lain✓ ReplySesama VLAN bisa
VLAN 10VLAN 20✗ TimeoutVLAN terisolasi
VLAN 108.8.8.8✓ ReplyInternet OK (NAT)
VLAN 20192.168.20.1✓ ReplyGateway reachable
VLAN 20VLAN 20 lain✓ ReplySesama VLAN bisa
VLAN 20VLAN 10✗ TimeoutVLAN terisolasi

Troubleshooting

Client tidak mendapat IP dari DHCP
Cek: Apakah VLAN interface di RB1 statusnya running? Apakah DHCP server disabled=no? Apakah bridge VLAN table di RB2 sudah benar?
Client bisa ping gateway tapi tidak bisa internet
Cek: Apakah NAT masquerade sudah dibuat? Apakah out-interface-nya benar (wan)? Cek DNS server di DHCP network.
VLAN 10 masih bisa ping VLAN 20 (tidak terisolasi)
Cek: Apakah vlan-filtering di bridge1 sudah yes? Apakah bridge VLAN table sudah benar (tidak ada VLAN yang salah masuk ke port)?
Kehilangan akses ke RB2 setelah aktifkan vlan-filtering
Gunakan MAC Winbox untuk koneksi langsung tanpa IP. Atau reset RB2 dan ulangi konfigurasi dengan lebih hati-hati.
05

Pertanyaan Umum

Apakah harus pakai 2 RouterBoard? Bisa tidak dengan 1 saja?
Bisa. Dengan 1 RB, VLAN bisa dibuat langsung di bridge dan beberapa port dijadikan access port. Tapi lab ini menggunakan 2 RB untuk melatih konsep trunk link antar perangkat, yang sangat umum di jaringan skala enterprise di mana switch dan router adalah perangkat terpisah.
Mengapa RB2 tidak diberi IP address?
Karena RB2 berperan sebagai Layer 2 switch — ia hanya memproses frame Ethernet berdasarkan MAC address dan VLAN tag, bukan IP address. Router (RB1) yang menangani routing (Layer 3). Jika perlu manage RB2 via Winbox, bisa tambahkan IP di bridge atau gunakan MAC address.
Apa bedanya tagged dan untagged di bridge VLAN?
Tagged: Frame yang keluar port tersebut tetap membawa tag VLAN 802.1Q (digunakan antar switch/router — trunk link).

Untagged: Tag VLAN dilepas sebelum frame keluar, karena PC/laptop biasanya tidak memahami tag 802.1Q (digunakan ke client — access link).
Bagaimana jika VLAN 10 dan VLAN 20 perlu saling berkomunikasi?
Secara default, VLAN yang berbeda sudah bisa saling komunikasi karena RB1 memiliki IP di kedua VLAN dan melakukan inter-VLAN routing (router-on-a-stick). Jika ingin memblokir komunikasi antar VLAN, tambahkan aturan firewall filter di RB1 yang menolak traffic antara 192.168.10.0/24 dan 192.168.20.0/24.
Model RouterBoard apa yang cocok untuk lab ini?
Mikrotik dengan minimal 5 port Ethernet sudah cukup, seperti hAP ac² (RB952Ui), RB750Gr3 (hEX), atau RB4011 untuk performa lebih tinggi. Pastikan RouterOS versi 6.x atau 7.x (perintah di atas kompatibel dengan keduanya, dengan sedikit perbedaan di versi 7 untuk beberapa sintaks).
Apakah ada perbedaan konfigurasi antara RouterOS v6 dan v7?
Secara umum perintah di atas kompatibel dengan v6 dan v7. Di RouterOS v7, fitur bridge VLAN filtering sedikit lebih ketat dan ada perubahan pada cara bridge vlan menangani tagging. Jika menggunakan v7, pastikan menggunakan /interface/bridge/vlan bukan /interface/bridge/vlan/add lama. Selalu cek dokumentasi resmi Mikrotik untuk versi yang Anda gunakan.