Kembali ke blog
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

Pengaturan Proxy di Router MikroTik: Melindungi Jaringan Perusahaan dan Memfilter Lalu Lintas Langkah demi Langkah

Panduan lengkap untuk mengatur server proxy di MikroTik untuk melindungi jaringan perusahaan, memfilter lalu lintas, dan mengontrol akses karyawan.

📅26 Maret 2026
```html

Jika di perusahaan Anda terdapat satu router MikroTik — Anda sudah memiliki alat bawaan untuk mengontrol lalu lintas, memblokir situs yang tidak diinginkan, dan melindungi jaringan perusahaan. Sebagian besar administrator sistem tidak memanfaatkan setengah dari kemampuannya. Dalam panduan ini, kita akan membahas cara mengatur proxy langsung di MikroTik — tanpa server tambahan dan biaya yang tidak perlu.

Apa itu Web Proxy di MikroTik dan mengapa itu penting bagi bisnis

MikroTik RouterOS adalah sistem operasi lengkap untuk perangkat jaringan yang mencakup server proxy HTTP/HTTPS bawaan. Ini disebut Web Proxy dan tersedia mulai dari lisensi dasar. Pada dasarnya, ini adalah node perantara antara pengguna jaringan Anda dan internet: seluruh lalu lintas melewati ini, dan Anda mendapatkan kontrol penuh atas apa yang terjadi di jaringan.

Apa bedanya dengan firewall biasa? Firewall bekerja pada level alamat IP dan port — ia tidak "memahami" isi permintaan. Proxy bekerja pada level aplikasi: ia melihat URL tertentu, domain, dan jenis konten. Ini memberikan tingkat kontrol yang sama sekali berbeda.

Web Proxy bawaan di MikroTik dapat:

  • Meng-cache konten web — mengurangi beban pada saluran internet hingga 30–40% di kantor dengan browsing aktif
  • Memblokir akses ke situs tertentu, domain, pola URL
  • Membatasi akses berdasarkan alamat IP pengguna atau subnet
  • Mencatat semua permintaan HTTP — siapa, ke mana, dan kapan mengakses
  • Bekerja dalam mode transparan — pengguna tidak menyadari keberadaannya
  • Mengarahkan lalu lintas ke server proxy eksternal (parent proxy)

Penting untuk memahami batasan: Web Proxy bawaan di MikroTik hanya bekerja dengan lalu lintas HTTP dalam mode asli. Lalu lintas HTTPS hanya dapat disadap dalam mode transparan dengan batasan tertentu, atau melalui pengaturan parent proxy. Untuk inspeksi HTTPS yang lengkap, diperlukan solusi tambahan — ini akan dibahas di bagian tentang proxy eksternal.

💡 Berguna untuk diketahui

Web Proxy di MikroTik berfungsi pada versi RouterOS 2.9 dan lebih tinggi. Anda dapat memeriksa versi firmware di menu System → RouterBoard atau dengan perintah :put [/system routerboard get current-firmware] di terminal.

Skenario penggunaan: siapa dan mengapa pengaturan ini diperlukan

Sebelum beralih ke detail teknis, mari kita bahas tugas bisnis konkret yang diselesaikan oleh proxy di MikroTik. Ini akan membantu memahami pengaturan apa yang Anda butuhkan.

Kantor dengan karyawan tetap

Skenario yang paling umum. Tugas: memblokir media sosial selama jam kerja, melarang pengunduhan torrent, membatasi akses ke layanan streaming yang "menghabiskan" bandwidth. Proxy transparan di MikroTik menyelesaikan semua ini tanpa menginstal agen di komputer karyawan. Karyawan bahkan tidak tahu bahwa lalu lintas mereka difilter — semuanya berjalan otomatis.

Kafe internet, coworking, hotel

Di sini proxy diperlukan untuk dua hal: caching (konten populer dimuat lebih cepat dan tidak menghabiskan bandwidth secara berulang) dan pemfilteran dasar konten ilegal. Caching sangat relevan saat saluran internet terbatas atau mahal.

Agensi pemasaran dan tim digital

Skenario spesifik: tim yang bekerja dengan banyak akun iklan di Facebook Ads, TikTok Ads, Instagram, sering menggunakan MikroTik perusahaan sebagai gerbang untuk merutekan lalu lintas melalui proxy eksternal. Berbagai karyawan atau workstation terhubung ke internet melalui alamat IP yang berbeda — ini sangat penting untuk bekerja dengan beberapa akun di satu platform.

Penyedia dan ISP

Penyedia kecil menggunakan proxy caching MikroTik untuk mengurangi beban pada saluran backbone. Dengan banyak pelanggan yang menonton berita atau YouTube yang sama, caching memberikan penghematan bandwidth yang signifikan.

Skenario Tugas utama Fungsi yang dibutuhkan
Kantor Kontrol akses Pemfilteran URL, log
Kafe / coworking Penghematan bandwidth Caching, pemfilteran dasar
Agensi digital IP berbeda untuk akun Parent proxy, routing
Penyedia Mengurangi beban saluran Caching, statistik

Apa yang dibutuhkan sebelum memulai pengaturan

Sebelum Anda mulai mengkonfigurasi, pastikan Anda memiliki semua yang diperlukan. Melewatkan langkah ini adalah penyebab 80% masalah saat pengaturan.

Akses ke router: Anda memerlukan akses ke antarmuka web MikroTik (Winbox atau WebFig) dengan hak administrator. Winbox adalah pilihan yang disarankan, karena memberikan akses penuh ke semua pengaturan. Anda dapat mengunduhnya secara gratis dari situs resmi MikroTik.

Versi RouterOS: Untuk operasi Web Proxy yang stabil, disarankan menggunakan RouterOS 6.x atau 7.x. Periksa versi melalui System → Packages. Jika versi sudah ketinggalan zaman — perbarui melalui System → Packages → Check for Updates.

Ruang kosong di disk: Cache proxy disimpan di disk router. Untuk caching, dibutuhkan minimal 50–100 MB ruang kosong. Periksa melalui Files di Winbox. Pada router dengan memori flash kecil (8 MB atau kurang), lebih baik matikan caching.

Skema jaringan: Catat atau gambar subnet yang Anda miliki, antarmuka mana yang terhubung ke internet (WAN), dan mana yang terhubung ke jaringan internal (LAN). Tanpa pemahaman ini, Anda tidak akan dapat mengatur aturan NAT untuk proxy transparan.

⚠️ Penting: Buat cadangan konfigurasi!

Sebelum melakukan perubahan, buat salinan cadangan: Files → Backup atau melalui terminal dengan perintah /system backup save name=backup-before-proxy. Ini akan menyelamatkan Anda dari kehilangan akses ke router jika terjadi kesalahan dalam aturan firewall.

Langkah 1: Mengaktifkan Web Proxy di MikroTik

Mengaktifkan Web Proxy adalah langkah yang paling sederhana. Semua dilakukan melalui antarmuka grafis Winbox dalam beberapa menit.

Melalui Winbox (disarankan):

  1. Buka Winbox dan sambungkan ke router
  2. Pilih IP → Web Proxy di menu sebelah kiri
  3. Di jendela yang terbuka, centang Enabled
  4. Tentukan port — secara default 8080, bisa dibiarkan atau diubah
  5. Di kolom Max Cache Size tentukan ukuran cache (misalnya, 100 MB) atau pilih unlimited jika ruang memungkinkan
  6. Klik Apply, lalu OK

Melalui terminal (untuk yang lebih suka command line):

/ip proxy
set enabled=yes port=8080 max-cache-size=100000KiB

Setelah mengaktifkan, periksa apakah proxy sudah berjalan. Di terminal, jalankan: 

/ip proxy print

Dalam output harus ada enabled: yes. Jika Anda melihat enabled: no — berarti ada yang salah, ulangi langkah-langkahnya.

Pada tahap ini, proxy sudah diaktifkan, tetapi belum secara otomatis menyadap lalu lintas. Pengguna harus secara manual mengatur ini di pengaturan browser (IP router, port 8080). Untuk melakukannya secara otomatis untuk seluruh jaringan — diperlukan mode transparan, yang akan kita bahas di langkah berikutnya.

Juga perhatikan parameter Cache Path — ini menunjukkan di mana cache disimpan. Secara default, ini adalah memori internal router. Jika Anda memiliki flash drive USB atau kartu memori, lebih baik memindahkan cache ke sana — ini akan meningkatkan kapasitas dan mengurangi keausan memori internal.

Langkah 2: Mengatur proxy transparan melalui Firewall NAT

Proxy transparan adalah mode di mana seluruh lalu lintas HTTP dari jaringan lokal secara otomatis diarahkan melalui server proxy. Pengguna tidak perlu mengatur apa pun di browser mereka. Dari sudut pandang karyawan, semuanya berjalan seperti biasa, tetapi sebenarnya setiap permintaan melewati proxy.

Ini diimplementasikan melalui aturan NAT di firewall MikroTik. Aturan ini menyadap seluruh lalu lintas TCP keluar pada port 80 (HTTP) dan mengarahkannya ke port proxy (8080).

Melalui Winbox:

  1. Pindah ke IP → Firewall → NAT
  2. Klik tombol + (tambahkan aturan)
  3. Di tab General, atur:
    • Chain: dstnat
    • Protocol: tcp
    • Dst. Port: 80
    • In. Interface: antarmuka LAN Anda (misalnya, ether2 atau bridge-local)
  4. Di tab Action, atur:
    • Action: redirect
    • To Ports: 8080
  5. Klik OK

Melalui terminal:

/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 in-interface=ether2 \
    action=redirect to-ports=8080

Ganti ether2 dengan nama antarmuka LAN Anda. Jika Anda memiliki beberapa antarmuka LAN yang digabungkan dalam bridge, sebutkan nama antarmuka bridge.

📌 Urutan aturan sangat penting!

MikroTik menerapkan aturan NAT dari atas ke bawah. Pastikan aturan untuk proxy transparan berada sebelum aturan masquerade (jika ada). Urutan dapat diubah dengan menyeret di Winbox atau dengan perintah /ip firewall nat move [find] destination=0.

Setelah menambahkan aturan, periksa fungsinya: buka situs HTTP apa pun dari komputer di jaringan lokal. Jika proxy berfungsi dengan benar — halaman akan terbuka, dan di log proxy (IP → Web Proxy → Access) akan muncul catatan. Jika halaman tidak terbuka — periksa nama antarmuka dan port proxy.

Langkah 3: Aturan pemfilteran — memblokir situs dan kategori

Ini adalah bagian kunci bagi mereka yang ingin mengontrol akses karyawan ke internet. Web Proxy di MikroTik memungkinkan Anda untuk membuat aturan yang fleksibel: memblokir domain tertentu, pola URL, atau sebaliknya — hanya mengizinkan sumber daya tertentu.

Aturan akses diatur di IP → Web Proxy → Access. Setiap aturan memiliki kondisi (apa yang diperiksa) dan tindakan (apa yang dilakukan: allow atau deny).

Memblokir domain tertentu (misalnya, vk.com):

/ip proxy access
add dst-host=vk.com action=deny comment="Block VK"
add dst-host=*.vk.com action=deny comment="Block VK subdomains"

Memblokir berdasarkan pola URL (misalnya, semua halaman YouTube):

/ip proxy access
add dst-host=*.youtube.com action=deny comment="Block YouTube"
add dst-host=youtube.com action=deny comment="Block YouTube main"

Mengizinkan akses hanya untuk subnet tertentu (misalnya, hanya departemen IT yang dapat mengakses GitHub):

/ip proxy access
add src-address=192.168.1.10/32 dst-host=github.com action=allow
add dst-host=github.com action=deny

Memblokir berdasarkan ekstensi file (melarang pengunduhan .exe, .torrent):

/ip proxy access
add path=*.exe action=deny comment="Block EXE downloads"
add path=*.torrent action=deny comment="Block Torrent files"
add path=*.zip action=deny comment="Block ZIP downloads"

Perhatikan urutan aturan: MikroTik memeriksa dari atas ke bawah dan berhenti pada kecocokan pertama. Aturan allow untuk IP tertentu harus berada di atas aturan deny untuk domain yang sama.

Melalui Winbox, aturan ditambahkan di IP → Web Proxy → tab Access → tombol +. Antarmuka ini intuitif: pilih kondisi (Source Address, Destination Host, Path, Method) dan tindakan (Allow/Deny).

⚠️ Batasan: HTTPS tidak difilter secara langsung

Aturan Web Proxy hanya bekerja dengan lalu lintas HTTP. Untuk memblokir situs HTTPS (yang sekarang sebagian besar), gunakan tambahan aturan di IP → Firewall → Layer 7 Protocols atau blokir berdasarkan alamat IP melalui firewall biasa. Pemfilteran HTTPS yang lengkap memerlukan solusi terpisah — misalnya, proxy eksternal dengan inspeksi SSL.

Langkah 4: Meng-cache lalu lintas untuk menghemat bandwidth

Caching adalah salah satu alasan utama mengapa proxy diaktifkan di MikroTik di kantor kecil dan lembaga pendidikan. Prinsipnya sederhana: jika 20 karyawan membuka halaman berita yang sama, tanpa cache router mengunduhnya 20 kali. Dengan cache — satu kali, dan 19 lainnya mendapatkan data dari memori lokal router secara instan.

Pengaturan cache berada di IP → Web Proxy. Parameter utama:

Parameter Deskripsi Rekomendasi
max-cache-size Ukuran maksimum cache 50–500 MB tergantung pada memori
max-cache-object-size Ukuran maksimum satu objek dalam cache 2048–4096 KB
cache-path Jalur untuk menyimpan cache Flash drive USB jika tersedia
max-fresh-time Waktu penyimpanan objek dalam cache 3 hari (259200 detik)

Pengaturan melalui terminal:

/ip proxy
set max-cache-size=102400KiB \
    max-cache-object-size=4096KiB \
    max-fresh-time=3d

Untuk memeriksa efektivitas cache, gunakan perintah: 

/ip proxy monitor

Perhatikan indikator hits dan misses. Indikator yang baik adalah ketika hits mencapai 20–40% dari total permintaan. Jika hits mendekati nol — bisa jadi sebagian besar lalu lintas adalah HTTPS (yang tidak di-cache), atau cache terlalu kecil.

Catatan penting: situs modern semakin sering menggunakan header Cache-Control: no-store atau no-cache, yang melarang caching. Oleh karena itu, dalam praktiknya, efektivitas cache pada tahun 2024 lebih rendah dibandingkan 5–10 tahun yang lalu. Namun, untuk sumber daya statis (gambar, CSS, file JS), cache masih berfungsi dengan baik.

Langkah 5: Menghubungkan server proxy eksternal melalui MikroTik

Ini adalah skenario yang paling menarik bagi mereka yang ingin tidak hanya memfilter lalu lintas, tetapi juga sepenuhnya mengontrol alamat IP yang digunakan untuk mengakses internet oleh jaringan perusahaan atau perangkat tertentu. MikroTik mendukung fungsi Parent Proxy — di mana semua permintaan dari proxy lokal diteruskan ke server proxy eksternal yang lebih tinggi.

Mengapa ini diperlukan dalam praktik:

  • Perubahan IP untuk seluruh jaringan — seluruh lalu lintas kantor keluar melalui IP proxy eksternal, bukan melalui IP nyata penyedia Anda
  • Menghindari pembatasan regional — akses ke sumber daya yang diblokir di wilayah Anda
  • IP berbeda untuk perangkat yang berbeda — melalui routing, workstation yang berbeda menggunakan proxy eksternal yang berbeda
  • Perlindungan IP nyata perusahaan — layanan eksternal melihat IP proxy, bukan alamat korporat Anda

Pengaturan Parent Proxy melalui Winbox:

  1. Pindah ke IP → Web Proxy
  2. Cari bagian Parent Proxy
  3. Masukkan Parent Proxy Address — alamat IP server proxy eksternal
  4. Tentukan Parent Proxy Port — port proxy (biasanya 8080, 3128, atau lainnya)
  5. Klik Apply

Melalui terminal:

/ip proxy
set parent-proxy=203.0.113.10 parent-proxy-port=8080

Ganti 203.0.113.10 dan 8080 dengan data nyata dari server proxy Anda.

Untuk tugas perusahaan yang memerlukan stabilitas dan anonimitas, proxy residensial digunakan sebagai parent proxy — mereka memiliki alamat IP dari pengguna rumah nyata, yang membuat lalu lintas tidak dapat dibedakan dari pengguna biasa. Ini sangat penting saat bekerja dengan platform yang menganalisis perilaku dan jenis koneksi.

Jika tim Anda perlu mensimulasikan lalu lintas seluler — misalnya, untuk menguji kampanye iklan di Facebook Ads atau Instagram dari perangkat seluler — proxy seluler cocok sebagai parent proxy. Mereka berfungsi melalui SIM card nyata dari operator seluler dan memberikan IP dari jaringan seluler 3G/4G/5G.

📌 Penting: Parent Proxy hanya berfungsi untuk HTTP

Web Proxy bawaan MikroTik hanya meneruskan lalu lintas HTTP melalui parent proxy. Untuk merutekan seluruh lalu lintas (termasuk HTTPS) melalui proxy eksternal, diperlukan pendekatan lain — pengaturan Policy Based Routing atau SOCKS-proxy yang dikombinasikan dengan aturan iptables di server Linux terpisah dalam jaringan.

Pemantauan dan pencatatan permintaan

Salah satu argumen utama untuk menggunakan proxy di lingkungan perusahaan adalah kemampuan untuk melihat apa yang dilakukan pengguna di internet. MikroTik Web Proxy dapat mencatat semua permintaan HTTP: siapa (alamat IP), ke mana (URL), kapan, metode permintaan, dan status respons.

Aktifkan pencatatan:

/ip proxy
set log-connect=yes

Setelah diaktifkan, log akan muncul di Log (menu di Winbox). Untuk melihat dengan nyaman, filter berdasarkan topik web-proxy.

Untuk penyimpanan log jangka panjang dan analisis yang nyaman, atur pengiriman ke server Syslog eksternal: 

/system logging action
add name=remote-syslog target=remote remote=192.168.1.100 remote-port=514

/system logging
add action=remote-syslog topics=web-proxy

Ganti 192.168.1.100 dengan IP server syslog Anda. Anda dapat menggunakan Graylog, Splunk, atau rsyslog sederhana di Linux sebagai server syslog.

Juga berguna untuk menggunakan perintah untuk melihat statistik proxy secara real-time: 

/ip proxy monitor

Di sini Anda akan melihat: jumlah koneksi aktif, total jumlah permintaan, hits cache, volume data yang ditransfer. Data ini membantu menilai beban pada router dan efektivitas caching.

Catatan penting tentang GDPR dan undang-undang ketenagakerjaan: jika Anda mencatat lalu lintas karyawan, pastikan bahwa ini diatur dalam kontrak kerja atau kebijakan keamanan perusahaan. Di beberapa negara, pemantauan aktivitas internet karyawan tanpa pemberitahuan adalah pelanggaran hukum.

Kesalahan umum dan cara memperbaikinya

Kami telah mengumpulkan masalah paling umum yang dihadapi saat mengatur Web Proxy di MikroTik, serta cara penyelesaiannya.

Kesalahan 1: Internet berhenti bekerja setelah mengatur proxy transparan

Penyebab: Antarmuka LAN yang salah ditentukan dalam aturan NAT, atau aturan berada di posisi yang salah.

Solusi: Periksa nama antarmuka dengan perintah /interface print. Pastikan Anda menunjukkan antarmuka yang benar-benar terhubung dengan pengguna. Jika menggunakan bridge — sebutkan bridge, bukan port fisik.

Kesalahan 2: Situs HTTPS tidak diblokir oleh aturan Web Proxy

Penyebab: Web Proxy di MikroTik tidak menyadap lalu lintas HTTPS. Aturan di IP → Web Proxy → Access hanya bekerja untuk HTTP.

Solusi: Untuk memblokir situs HTTPS, gunakan Layer 7 Protocols atau Address Lists di firewall. Misalnya, tambahkan alamat IP situs yang diinginkan ke daftar dan blokir melalui IP → Firewall → Filter Rules.

Kesalahan 3: Proxy berfungsi, tetapi cache tidak terisi

Penyebab: Sebagian besar situs modern menggunakan HTTPS dan header yang melarang caching. Cache hanya bekerja untuk HTTP.

Solusi: Ini adalah perilaku normal untuk web modern. Cache akan terisi dengan sumber daya statis (gambar, file) dari situs HTTP. Jika cache sangat penting — pertimbangkan solusi khusus seperti Squid di server terpisah dengan SSL-bump.

Kesalahan 4: Router menjadi lambat setelah mengaktifkan proxy

Penyebab: Prosesor router yang lemah tidak dapat menangani beban dari proxy dengan banyak pengguna.

Solusi: Periksa beban CPU dengan perintah /system resource print. Jika CPU terus-menerus di atas 80% — kurangi ukuran cache atau pindahkan proxy ke server terpisah (Squid di Ubuntu/Debian). Dalam hal ini, MikroTik digunakan hanya sebagai gerbang yang mengarahkan lalu lintas ke proxy eksternal.

Kesalahan 5: Parent Proxy tidak berfungsi — situs terbuka melalui IP nyata

Penyebab: Parent Proxy di MikroTik hanya diterapkan pada lalu lintas yang benar-benar melewati Web Proxy. Permintaan HTTPS dan lalu lintas yang tidak disadap oleh aturan NAT berjalan langsung.

Solusi: Pastikan aturan proxy transparan (redirect ke port 8080) aktif dan berada di posisi yang benar. Untuk merutekan semua lalu lintas melalui proxy eksternal, diperlukan pengaturan yang lebih rumit menggunakan Policy Based Routing.

Masalah Diagnostik cepat Solusi
Tidak ada internet /interface print Periksa nama antarmuka LAN
HTTPS tidak diblokir Periksa protokol situs Gunakan Layer 7 atau pemblokiran IP
Router lambat /system resource print Kurangi cache atau pindahkan proxy
Proxy parent tidak berfungsi Periksa aturan NAT redirect Pastikan lalu lintas melewati proxy

Kesimpulan

Mengatur Web Proxy di MikroTik adalah solusi praktis untuk mengontrol lalu lintas perusahaan tanpa server dan lisensi tambahan. Dalam beberapa langkah, Anda mendapatkan: pemfilteran situs yang tidak diinginkan, caching untuk menghemat bandwidth, pencatatan aktivitas pengguna, dan kemampuan untuk merutekan lalu lintas melalui server proxy eksternal.

Hal utama yang perlu diingat: proxy bawaan MikroTik bekerja dengan baik untuk lalu lintas HTTP, tetapi untuk perlindungan lengkap jaringan perusahaan modern, di mana 95% lalu lintas adalah HTTPS, kemampuannya tidak cukup. Dalam kasus seperti itu, MikroTik digunakan sebagai gerbang dan router, sedangkan fungsi pemfilteran dan inspeksi lalu lintas diserahkan kepada solusi khusus.

Jika tugas Anda adalah mengarahkan lalu lintas seluruh jaringan perusahaan melalui proxy eksternal yang andal dengan IP tetap atau kumpulan alamat, perhatikan proxy data center — mereka menyediakan kecepatan tinggi dan koneksi stabil, yang sangat penting saat digunakan sebagai parent proxy untuk seluruh kantor. Untuk tugas di mana anonimitas maksimum penting dan lalu lintas tidak boleh terdeteksi...

```