Skip to main content

SSH ke EC2 Instance AWS (Amazon Web Services) di Jaringan Telkomsel Seluler

Bismillah,

Saya coba share pengalaman saya SSH ke instance EC2 AWS (Amazon Web Services) di jaringan Telkomsel seluler.

OpenSSH

Jadi saya registrasi Free Tier di AWS (Amazon Web Services) dan coba tutorial pertama, bikin web server dan instance Amazon RDS DB https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/TUT_WebAppWithRDS.html.

Part 1 dan 2, Launch an E2 Instance dan Create a DB Instance tidak ada masalah. Di Part 3, Install a web server, masalah mulai muncul, karena disini mulai pakai SSH.

Jika sebelumnya di Google Cloud Qwiklabs, untuk SSH, kita disediakan host di luar region sebagai SSH client. Jadi tidak SSH dari komputer sendiri, yang artinya tidak perlu pusing masalah IP.

Nah di AWS, sepertinya labs-nya lebih riil, jadi untuk SSH langsung dari komputer kita sendiri yang artinya harus pakai IP sendiri. Untuk keamanan, AWS menyarankan agar inbound traffic ke SSH di-set ke MyIP bukan All IP, jadi hanya IP komputer kita sendiri yang bisa untuk SSH ke instance, dan IP lain akan diblok.

Inboud traffic untuk SSH di-set hanya My IP

SSH gagal

Nah disini masalahnya. Karena sebagai pengguna internet di Telkomsel seluler, SSH, VPN, dan proxy itu diblok di seluruh jaringan. Tapi, diblok seperti apa, sampai level bagaimana, itu tidak jelas. Karena meskipun statusnya BUMN, Telkomsel itu cuma penyedia data seluler, tidak punya wewenang blokir protokol apapun.

Yang punya wewenang untuk blokir protokol dan mengatur lalu lintas data di seluruh Indonesia itu cuma 1 lembaga pemerintah, KOMINFO. Itu pun KOMINFO tidak bisa sembarangan blokir, karena SSH dan VPN itu protokol atau jalur komunikasi data resmi yang digunakan di seluruh dunia, meski di negara kita sering disalahgunakan untuk tembak kuota dan nonton b***p.

Akhirnya saya coba tanya ke CS Telkomsel. Tapi sepertinya CS Telkomsel rata-rata juga tidak terlalu paham masalah networking. Saya coba di Facebook, tapi tidak ada response. Coba di Veronika, 2x chat dengan CS sampai diminta alamat lengkap dengan RT/RW dan screenshoot SSH saya yang gagal, tapi 2x juga sesi pertanyaan saya di-close tanpa dikasih jawaban. Mungkin CS-nya juga bingung mau jawab apa. Akhirnya tanya coba di Twitter dan jawaban yang dikasih pun sifatnya basic.

Tweet 1

Tweet 2

Jadi opsi yang dikasih sama CS Telkomsel itu cuma 2:

1. Jangan pakai SSH, pakai metode lain
Ini jelas tidak bisa, karena kalau server-nya Linux, pasti ketemu sama SSH. Kecuali kalau server-nya Windows baru pakai RDP, dan RDP memang tidak diblokir oleh Telkomsel.

2. Pakai provider lain, bukan Telkomsel
Ini juga susah. Karena bagi yang tinggal di luar Jawa dan jauh dari pusat kota seperti saya, jangan harap bisa berpisah dari Telkomsel.

Akhirnya saya coba googling untuk cari solusi. Ada satu web yang memberikan solusi, sepertinya mereka SSH untuk akses ke server Github. Jika seandainya akses melalui SSH atau port 22 diblokir, solusinya bisa dengan mengganti port 22 dengan port dinamis kaya 49152. Tapi karena saya masih baru di AWS, jadi solusi ini tidak saya pakai, karena saya belum paham tentang ganti port di AWS.

Jadi saya rencana mau pakai online SSH seperti https://ssheasy.com/ tapi tentu saja sebelumnya inbound traffic ke instance harus diubah dulu ke All IP, bukan My IP lagi, agar instance bisa mengenali semua IP.

Inbound traffic ke SSH di-set ke All IP

Setelah setting inbound traffic saya set ke All IP, saya coba dulu SSH dari laptop.

Dan ternyata hasilnya.... BISA !!!

Iya, bisa SSH dari laptop saya sendiri, pakai IP yang dikasih Telkomsel.

SSH berhasil

Nah, sekarang saya yang bingung. Kok bisa SSH?? Bukannya harusnya SSH tidak bisa di seluruh jaringan Telkomsel? Ini gimana sih?? 😀

Dan setelah saya pikir-pikir, kesimpulan saya begini:

Jadi SSH itu tidak benar-benar diblokir oleh Telkomsel, tidak di-terminate, tidak di-halt. Karena memang SSH tidak diblokir oleh KOMINFO. Tapi selama masih berada di jaringan Telkomsel, dari laptop saya hingga ke gateway, semua paket di jalur SSH atau port 22, sepertinya ada semacam 'wrap' sehingga paket menjadi tidak aktif.

Mekanisme ini sepertinya dilakukan oleh Telkomsel karena maraknya SSH ilegal yang ditujukan ke server mereka. Tapi paket tetap di-forward hingga ke gateway. Setelah sampai di gateway, dan paket meninggalkan jaringan Telkomsel, SSH akan aktif kembali, dan di-deliver ke IP tujuan, untuk case saya di sini, ke server AWS di Amerika sana.

Jadi IP yang akan dikenali oleh instance AWS bukan lagi IP laptop saya, tapi IP gateway Telkomsel. Itulah mengapa saat inbound traffic di-set hanya MyIP, SSH tidak berhasil. Tapi setelah inbound traffic di-set ke All IP, SSH baru berhasil, karena instance AWS bisa mengenali semua IP, termasuk IP gateway Telkomsel.

Lalu kenapa saya tidak pakai IP gateway Telkomsel saja, supaya lebih secure?

FYI, IP gateway Telkomsel biasanya ada di range /16. Jadi jika kita dapat IP address 114.125.XXX.XXX maka IP gateway Telkomsel biasanya ada di range 114.125.0.0/16.

Di jaringan seluler, IP yang kita dapat itu dinamis, jadi berubah-ubah. Ini contoh IP yang saya dapat saat koneksi pertama.

IP di koneksi pertama

Setelah itu, paket data saya matikan. Beberapa menit kemudian, paket data saya hidupkan lagi, dan ini IP kedua yang diberikan oleh Telkomsel.
IP di koneksi kedua

Kelihatan kan bedanya, jauh banget.. Di koneksi pertama berarti IP gateway Telkomsel ada di range 114.125.0.0/16. Di koneksi kedua, IP gateway Telkomsel ada di range 182.1.0.0/16. Itulah mengapa setting inbound traffic SSH ke instance saya gunakan All IP, bukan IP gateway Telkomsel.

IP dinamis yang selalu berubah-ubah ini juga sepertinya menjadi salah satu alasan Telkomsel untuk memilih menon-aktifkan SSH di seluruh jaringannya, karena sulitnya untuk melakukan blokir terhadap nomor hp jika fraud dilakukan berdasarkan alamat IP. Apalagi pengguna internet seluler Telkomsel jumlahnya jutaan. Jadi dalam 1 hari, 1 alamat IP mungkin bisa digunakan hingga ribuan nomor hp.

Tentunya akan berbeda dengan koneksi wired seperti IndiHome yang menggunakan IP statis. Jadi meski sama-sama milik Telkomsel, tapi SSH tidak diblokir di IndiHome, karena jika ada fraud, mudah dilakukan blokir terhadap IP.

Untuk keamanan data, jangan lupa buat key-pair untuk login SSH. Jadi meskipun SSH bisa dilakukan dari semua IP, tapi tetap kita saja yang bisa login karena cuma kita sendiri yang punya key-pair-nya.

Untuk tool SSH-nya, saya pakai OpenSSH bawaan Windows 10. Cara aktivasi OpenSSH di Windows 10 bisa dilihat di sini https://learn.microsoft.com/en-us/windows-server/administration/openssh/openssh_install_firstuse?tabs=gui#install-openssh-for-windows.

Nah, kembali ke instance, karena disini cuma buat belajar, jadi keamanan data bukan prioritas. Tapi kalau buat server yang benar-benar fungsional di AWS, berarti keamanan harus nomor 1, yang artinya harus ikuti petunjuk AWS agar inbound traffic SSH hanya dari My IP atau IP komputer kita saja, jangan All IP lagi. Jadi tidak bisa lagi pakai jaringan Telkomsel seluler, harus beralih ke provider lain.

Sekian share dari saya. Semoga bisa membantu bagi teman-teman yang menemukan masalah yang sama.

Comments

Post a Comment

Popular posts from this blog

Pengalaman Menarik Saldo PayPal (unverified) ke Rekening Bank Mandiri

Salam Semuanya! Sekarang saya ingin berbagi pengalaman tentang menarik (withdraw) saldo PayPal ke Bank Mandiri tanpa verifikasi kartu kredit. Bagi teman-teman yang sudah lama berkecimpung di dunia bisnis internet maupun online job, pasti sudah tidak asng lagi dengan PayPal. Tentu saja, karena PayPal merupakan payment processor atau sarana pembayaran yang sudah umum digunakan, terutama di dunia internasional. Kebetulan saya punya akun PayPal, sejak Juli 2013. Itu pun baru tahun lalu ada saldonya, dari bayaran survey online. Saldonya sangat sedikit, hanya beberapa dollar. Pernah saya punya 4 dollar, setelah itu ada lagi sekitar 7 dollar. Biasanya saya gunakan jasa tukar saldo PayPal ke Rupiah, atau ditukar dengan pulsa.
Post a Comment
Read more

Pengalaman Mengganti SIM Card Telkomsel di GraPARI Kendari

Assalamu'alaikum Teman-Teman, Sekarang saya ingin berbagi pengalaman tentang mengganti SIM Card Telkomsel di GraPARI Kendari. GraPARI Kendari Jadi ceritanya begini, hari Minggu lalu, SIM Card Kartu As yang saya gunakan tiba-tiba rusak. Ada peringatan “SIM Card invalid” dan tidak bisa digunakan, padahal saat itu saya lagi browsing internet. Beberapa hari sebeumnya warning seperti itu sudah beberapa kali muncul, tapi sesaat kemudian hilang, dan SIM Card saya kembali normal. Tapi pas hari Minggu kemarin, warning itu muncul dan tidak hilang. SIM Card saya pun tidak bisa digunakan. Saya coba gunakan di HP lain, karena saya piker mungkin HP saya yang bermasalah, tetapi ternyata hasilnya sama. SIM Card saya juga tidak bisa digunakan.
5 comments
Read more

Tutorial Sitemap Blogger pada Google Webmasters

Moved from MyFallingSnowflakes Ini artikel ketiga setelah bounce rate dan tipe-tipe hyperlink. Dan sekarang saya akan membahas tentang sitemap dan tutorial sitemap Blogger pada Google Webmasters. Definisi Sitemap Sitemap Blogger dan Google Webmasters Salah satu bagian penting dari suatu blog atau website dalam SEO adalah sitemap. Sitemap sendiri merupakan sebuah file XML yang berisi index dari seluruh halaman blog yang kita miliki. Coba bayangkan jika suatu website terdiri dari ribuan halaman, tentu search engine akan kesulitan meng-crawl semua halaman tersebut sekaligus. Tetapi, dengan adanya sitemap, search engine cukup meng-crawl 1 file sitemap untuk mengetahui dan meng-index semua halaman yang ada pada suatu website.
Post a Comment
Read more