Virtual Access Point dan Multi-SSID MikroTik

Gambaran Besar Dulu

Bayangkan kamu punya satu tower pemancar radio. Normalnya, tower itu cuma bisa memancarkan satu frekuensi, artinya satu siaran saja. Tapi dengan teknologi tertentu, tower yang sama bisa memancarkan dua siaran berbeda secara bersamaan, masing-masing punya nama program dan konten yang beda.

Itu persis yang dilakukan Virtual Access Point di MikroTik.

Router MikroTik kamu cuma punya satu antena wireless fisik (wlan1). Tapi dengan Virtual AP, router itu bisa memancarkan dua nama WiFi (SSID) sekaligus:

• KANTOR-WIFI untuk karyawan
• TAMU-WIFI untuk tamu

Dua jaringan, dua password, dua blok IP yang beda. Semua dari satu perangkat.

Kenapa Perlu Dipisah?

Ini bukan sekadar soal kerapian. Ada alasan teknis yang nyata:

Kalau tamu dan karyawan pakai WiFi yang sama, tamu bisa “melihat” komputer karyawan lain di jaringan. Risiko keamanan. Dengan memisahkan ke dua jaringan yang berbeda subnet (192.168.2.0 vs 192.168.3.0), mereka terisolasi satu sama lain secara default.

Langkah Konfigurasi (Step by Step)

Prasyarat

Sebelum mulai, pastikan wlan1 sudah aktif sebagai AP dengan:

• Mode: ap-bridge
• SSID: KANTOR-WIFI
• IP Address: 192.168.2.254/24
• DHCP Server untuk jaringan 192.168.2.0/24 sudah jalan

Kalau belum, selesaikan konfigurasi AP dasar dulu. Virtual AP adalah “tambahan” di atas AP yang sudah ada.

Langkah 1 – Buat Interface Virtual (wlan2)

Via WinBox:

1. Buka menu Wireless
2. Klik tab Interfaces
3. Klik tombol Add (tanda +)
4. Pilih Virtual — ini bedanya dengan AP biasa

Isi parameternya:

• Master Interface: wlan1 (ini “induknya”, yang fisik)
• Mode: ap-bridge
• SSID: TAMU-WIFI

Klik OK. Interface baru bernama wlan2 akan muncul di daftar.

Via CLI:

/interface wireless add name=wlan2 master-interface=wlan1 mode=ap-bridge ssid="TAMU-WIFI"

Catatan penting: band dan frequency tidak bisa diatur di wlan2. Keduanya otomatis mengikuti wlan1. Ini wajar — dua siaran dari satu antena, frekuensinya ya sama.

Langkah 2 – Buat Security Profile Khusus Tamu

Tujuannya: TAMU-WIFI punya password berbeda dari KANTOR-WIFI.

Via WinBox:

1. Di menu Wireless, klik tab Security Profiles
2. Klik Add (+)
3. Isi nama profil, misalnya: profile-tamu
4. Mode: dynamic keys
5. Authentication Types: centang WPA2 PSK
6. WPA2 Pre-Shared Key: isi password WiFi tamu, misalnya tamu1234
7. Klik OK

Via CLI:

/interface wireless security-profiles add name=profile-tamu authentication-types=wpa2-psk wpa2-pre-shared-key=tamu1234

Lalu terapkan ke wlan2:

/interface wireless set wlan2 security-profile=profile-tamu

Langkah 3 – Beri IP Address ke wlan2

wlan2 adalah jaringan terpisah, jadi butuh IP tersendiri.

Via WinBox:

1. Buka menu IP > Addresses
2. Klik Add (+)
3. Address: 192.168.3.254/24
4. Interface: wlan2
5. Klik OK

Via CLI:

/ip address add address=192.168.3.254/24 interface=wlan2

Langkah 4 – Buat IP Pool untuk TAMU-WIFI

IP Pool adalah “kolam alamat IP” yang akan dibagikan ke perangkat tamu secara otomatis.

Via CLI:

/ip pool add name=pool-tamu ranges=192.168.3.1-192.168.3.20

Artinya: tamu bisa dapat IP dari .1 sampai .20. Maksimal 20 perangkat tamu terhubung sekaligus.

Langkah 5 – Buat DHCP Server untuk wlan2

DHCP Server yang tugasnya membagikan IP otomatis ke tamu.

Via WinBox:

1. Buka IP > DHCP Server
2. Klik Add (+)
3. Name: dhcp-tamu
4. Interface: wlan2
5. Address Pool: pool-tamu
6. Klik OK
7. Masuk tab Networks, tambahkan:
   • Address: 192.168.3.0/24
   • Gateway: 192.168.3.254
   • DNS Server: 8.8.8.8

Via CLI:

/ip dhcp-server add name=dhcp-tamu interface=wlan2 address-pool=pool-tamu disabled=no
/ip dhcp-server network add address=192.168.3.0/24 gateway=192.168.3.254 dns-server=8.8.8.8

Langkah 6 – Pastikan NAT Masquerade Sudah Ada

Kalau di jaringan lab kalian NAT masquerade sudah dikonfigurasi untuk wlan1 ke internet, periksa apakah rule-nya sudah mencakup trafik dari 192.168.3.0/24.

Cara paling mudah: pastikan rule NAT menggunakan src-address=0.0.0.0/0 atau sudah ada rule khusus untuk subnet tamu.

/ip firewall nat print

Kalau rule masquerade sudah ada tapi hanya berlaku untuk 192.168.2.0/24, tambahkan rule baru:

/ip firewall nat add chain=srcnat src-address=192.168.3.0/24 action=masquerade out-interface=wlan1

Ingat: di lab ini, interface yang terhubung ke internet adalah wlan1 (station mode ke ISP), bukan ether1. Jangan sampai salah tulis.

Verifikasi

Setelah selesai, cek hasilnya:

1. Dari laptop atau HP, cari daftar WiFi, pastikan muncul dua SSID: KANTOR-WIFI dan TAMU-WIFI
2. Sambungkan ke TAMU-WIFI, pastikan dapat IP di range 192.168.3.x
3. Coba buka browser, pastikan internet bisa diakses
4. Dari CLI router:

   /ip address print
   /interface wireless print
   /ip dhcp-server lease print

Jebakan yang Sering Terjadi

Ini yang paling sering bikin siswa bingung:

• Lupa buat DHCP Server terpisah untuk wlan2. Akibatnya tamu terhubung ke TAMU-WIFI tapi tidak dapat IP, layar laptop hanya menampilkan “Connected, no internet.”

• Lupa tambahkan Network di DHCP Server (bagian gateway dan DNS). DHCP Server bisa jalan tapi klien tidak dapat gateway, sehingga tidak bisa akses internet meski dapat IP.

• Mencoba mengubah frequency atau band di wlan2 tapi tidak bisa. Itu memang tidak bisa diubah, ikut wlan1. Bukan error, itu memang desainnya.

• Membuat Security Profile tapi lupa assign ke wlan2. Hasilnya TAMU-WIFI tidak punya password (pakai profile default yang mungkin tidak ber-password).

Kuis Pemahaman

Coba jawab tiga pertanyaan ini:

1. Kalau router MikroTik hanya punya satu interface wireless fisik, kenapa setelah membuat Virtual AP bisa muncul dua nama WiFi yang berbeda di daftar WiFi laptop?

2. Seorang tamu berhasil tersambung ke TAMU-WIFI dan sudah mendapat IP 192.168.3.15, tapi tidak bisa membuka website apa pun. Sebutkan dua hal yang paling mungkin jadi penyebabnya.

3. Apa yang terjadi kalau kamu mencoba mengatur frequency channel di interface wlan2 (Virtual AP) ke nilai yang berbeda dari wlan1?