Apakah shared-users=1 bekerja kalau AP sudah mode Bridge?

Sangat bekerja — bahkan lebih akurat. Di mode Bridge tiap device punya MAC sendiri, jadi shared-users=1 bener-bener membatasi 1 username = 1 device aktif (bukan 1 MAC AP). Dua-duanya disarankan dipakai bersamaan untuk hotspot komersial.

Hotspot MikroTik Bypass Login Sendiri? Penyebab & Solusi

Skenarionya familiar untuk admin warnet, kafe, atau jaringan kantor: kamu sudah setting MikroTik hotspot dengan login page rapi, tiap user dapat voucher sendiri — tapi setelah satu orang berhasil login lewat AP, tiba-tiba semua perangkat lain di bawah AP yang sama langsung dapat internet tanpa login. Voucher tidak laku, billing kacau, satu user pakai bandwidth seharusnya untuk lima.

Tenang — ini bukan bug MikroTik. Ini perilaku by-design yang muncul karena interaksi tiga hal: mode AP yang salah, MAC binding di hotspot MikroTik, dan MAC cookie. Artikel ini bongkar penyebab teknisnya dan tiga solusi yang sudah divalidasi di lapangan — dari yang paling clean (ganti mode AP) sampai yang paling cepat tapi situasional (disable MAC cookie).

Cara baca artikel ini: baca dulu section "Kenapa Ini Terjadi" — kalau sudah paham penyebabnya, kamu bisa langsung pilih solusi yang sesuai akses kamu (punya admin AP / hanya MikroTik / kombinasi). Setelah fix, validasi cepat dengan Cek IP Saya dari device kedua — kalau halaman login muncul, fix kamu berhasil.

Kenapa Ini Terjadi — Konsep "AP sebagai User"

Akar masalahnya satu: AP-mu beroperasi dalam mode Router (NAT), bukan mode Bridge/Access-Point. Artinya:

Step 1 — User pertama connect ke WiFi AP, AP melakukan DHCP request ke MikroTik dengan MAC AP sendiri.
Step 2 — User pertama buka browser, dapat halaman hotspot login, masukkan voucher.
Step 3 — MikroTik melihat MAC AP sebagai user authenticated dan tambahkan ke daftar /ip hotspot active.
Step 4 — Semua device lain di bawah AP keluar dengan MAC yang sama (karena AP NAT semua trafik). MikroTik tidak bisa membedakan user pertama dengan user kedua, ketiga, dst.
Hasil — Satu MAC = satu user authenticated = semua device di bawah AP otomatis bypass.

Analogi sederhana: bayangkan satu KTP keluarga dipakai check-in hotel. Begitu satu anggota keluarga selesai registrasi, security gerbang lihat KTP yang sama → seluruh keluarga lewat tanpa registrasi ulang. AP yang NAT semua device = "satu KTP" untuk seluruh device di bawahnya.

Faktor pendukung: MAC cookie. Default-nya MikroTik aktifkan MAC cookie — fitur yang "remember" MAC user authenticated supaya tidak harus login ulang setiap kali sesi habis. Bagus untuk user yang sah, tapi memperparah masalah AP-as-user: walau timeout, MAC AP masih di-remember → bypass tetap aktif.

3 Solusi — Mulai dari yang Paling Clean

Tiga solusi berikut tidak harus dipilih satu — di banyak instalasi yang sehat, kombinasi dari ketiganya yang dipakai. Tapi prioritaskan urutan ini: (1) Ganti mode AP ke Bridge kalau bisa, (2) Set shared-users di profile sebagai backup, (3) Disable MAC cookie hanya kalau dua di atas tidak cukup atau tidak bisa.

Solusi 1 — Ganti Mode AP ke Bridge / Access Point (Direkomendasikan)

Ini fix struktural — menghilangkan akar masalah. Dalam mode Bridge, AP cuma jadi jembatan transparan: tiap device di bawah AP punya MAC asli sendiri, MikroTik lihat sebagai user terpisah, login wajib per device.

Login ke admin panel AP (biasanya 192.168.0.1 atau 192.168.1.1 — cek label belakang AP).
Cari menu Operation Mode / Wireless Mode / Working Mode (penamaan berbeda per merek/firmware).
Ganti dari Router / Wireless Router ke Access Point / Bridge.
Disable DHCP server di AP (biar MikroTik yang assign IP).
Reboot AP. Setelah up, AP cuma forward frame WiFi → ethernet ke MikroTik, tidak lagi NAT.
Dari device kedua, connect WiFi → buka cekipsaya.com → halaman login hotspot harus muncul.

Caveat: tidak semua AP murah punya pengaturan mode bridge yang lengkap. Kalau menu Operation Mode tidak ada, biasanya cuma 2 opsi: ganti firmware (OpenWRT) atau ganti AP. Untuk lingkungan komersial (warnet/kafe/kantor), pakai AP yang memang support mode Bridge dari pabrik — investasi yang sebanding dengan akurasi billing.

Solusi 2 — Shared Users = 1 di Hotspot Profile

Solusi sisi MikroTik — tidak butuh akses ke AP. Membatasi satu username = satu device aktif. Kalau user mau login di device kedua, harus logout dulu dari device pertama.

WINBOX — IP → Hotspot → User Profiles

# Via terminal MikroTik
/ip hotspot user profile set [find name="default"] shared-users=1

# Atau pakai nama profile spesifik
/ip hotspot user profile set [find name="voucher-1jam"] shared-users=1

# Cek hasilnya
/ip hotspot user profile print

Default value shared-users=unlimited — itu yang bikin satu voucher bisa dipakai banyak device. Set ke 1 = satu voucher = satu device.

Trade-off: kalau user pertama lupa logout dan langsung pulang, voucher "ngegantung" sampai timeout. Workaround: kombinasi dengan idle-timeout=10m di profile yang sama supaya MikroTik auto-logout setelah 10 menit tidak aktif.

Solusi 3 — Disable MAC Cookie (Situasional)

Pakai ini hanya kalau dua solusi di atas tidak cukup. Disable MAC cookie membuat MikroTik tidak "remember" MAC authenticated — tiap sesi baru wajib login ulang. Mengurangi efek bypass karena MAC AP tidak lagi di-cache, tapi tidak menghilangkan akar masalah (AP masih NAT semua device).

WINBOX — IP → Hotspot → Server Profiles → Login

# Via terminal MikroTik
/ip hotspot profile set [find name="hsprof1"] login-by=http-chap,http-pap

# Atau via Winbox GUI:
# IP > Hotspot > Server Profiles > [profile] > Login tab
# Uncheck "Cookie" → Apply

# Cek hasilnya
/ip hotspot profile print

Setelah disable cookie, semua user (sah maupun tidak) wajib login ulang setiap sesi baru — bisa dianggap UX agak ribet untuk user setia.

Tabel Perbandingan 3 Solusi

Solusi	Effort	Akar Masalah	Side-effect	Recommended
Ganti mode AP ke Bridge	Perlu akses admin AP	✅ Selesaikan	Disable DHCP AP	✅ Ya — paling clean
Shared Users = 1	MikroTik saja	⚠️ Mitigasi	User harus logout sebelum pindah	✅ Ya — backup wajib
Disable MAC Cookie	MikroTik saja	⚠️ Mitigasi	Login ulang tiap sesi	⚠️ Situasional

Best practice: untuk hotspot komersial (warnet/kafe), kombinasikan Solusi 1 + Solusi 2 — AP mode Bridge memberikan tiap device MAC sendiri, sambil shared-users=1 mencegah voucher dipakai bersamaan walaupun MAC sudah unik. Solusi 3 di-disable supaya UX user nyaman.

Cara Validasi Fix Sudah Bekerja

Setelah deploy fix (apa pun solusi yang dipilih), validasi 3 langkah berikut — jangan langsung tutup tiket karena terkadang side-effect baru muncul saat user kedua datang:

Test 1 — device kedua wajib login. Connect device baru ke WiFi AP, buka cekipsaya.com. Halaman login hotspot harus muncul. Kalau masih bypass = fix belum efektif.
Test 2 — cek /ip hotspot active. Setelah 2 user login dari AP yang sama, di MikroTik jalankan /ip hotspot active print. Harus terlihat 2 entry MAC berbeda — bukan 1 MAC dipakai 2 user.
Test 3 — bandwidth per user benar. Set rate-limit di profile (misal 2M/2M). Connect 2 user, run speedtest dari device A — harus dapat 2M, bukan dibagi dengan device B. Kalau dibagi, MikroTik masih anggap satu MAC.

Cek IP publik tiap device: dari device kedua/ketiga, buka Cek IP Saya. IP publik akan sama (karena MikroTik NAT), tapi IP privat di Network Dashboard akan berbeda kalau mode bridge AP sudah benar — itu konfirmasi tambahan setiap device punya identitas L2 sendiri.

Quiz Mini — Cek Pemahamanmu

Tiga soal cepat sebelum kamu tutup tab. Lulus = kamu paham akar masalah AP-as-user.

🎯 TES PEMAHAMAN

Tes Pemahaman

Soal 1 dari 3

Di MikroTik hotspot, kamu lihat /ip hotspot active hanya menampilkan 1 entry tapi ada 5 device user yang sedang online di WiFi AP. Apa kemungkinan terbesar?

Kesalahan Umum Saat Setup Hotspot MikroTik

Mengandalkan password WiFi AP sebagai security utama. Password WiFi cuma jaga akses ke L2 — semua orang yang punya password tetap akan bypass kalau AP NAT. Hotspot MikroTik wajib login per user, password WiFi cuma layer pertama.
Tidak set shared-users di profile baru. Default unlimited — voucher Rp 5.000 bisa di-screenshot dan dipakai 50 orang. Selalu set ke 1 sebagai sane default.
Disable MAC cookie tanpa pertimbangan UX. User yang sah jadi harus login ulang setiap habis sesi — banyak yang menyimpulkan "WiFi tempat ini ribet" dan pindah. Pakai cookie + shared-users=1 lebih ramah.
Tidak monitor /ip hotspot active berkala. Indikator paling cepat ada bypass: jumlah active user jauh lebih kecil dari jumlah voucher yang sudah di-purchase hari itu.
Beli AP rumahan untuk lingkungan komersial. AP konsumer biasanya cuma punya 2 mode (Router default / Bridge nyangkut). AP komersial (Mikrotik cAP, atau setara) punya mode AP-Bridge proper + WPA2-Enterprise yang bisa dual-layer dengan hotspot.

Tools CekIPSaya untuk Validasi Setup Hotspot

Cek IP Saya — verifikasi user dapat IP berbeda

Buka Cek IP Saya dari 2 device sekaligus. IP publik akan sama (NAT MikroTik), tapi IP privat di Network Dashboard berbeda = mode bridge AP berhasil.

Network Dashboard — agregat semua tool

Buka Network Dashboard setelah login hotspot — terlihat IP, ASN, gateway, MTU semua dalam satu screenshot untuk lampiran tiket NOC kalau dibutuhkan.

DNS Lookup — validasi DNS hotspot

Banyak setup hotspot lupa override DNS, jadi user pakai DNS provider AP yang random. DNS Lookup menampilkan resolver yang aktif sekarang untuk verifikasi.

FAQ — Pertanyaan yang Sering Ditanyakan

AP saya tidak punya menu mode Bridge, hanya Router. Solusi alternatif?

Kombinasikan Solusi 2 + 3: set <code>shared-users=1</code> di profile MikroTik dan disable MAC cookie. Itu mitigasi sisi server yang efektif walau AP tetap NAT. Jangka panjang, ganti AP ke unit yang support mode Bridge (Mikrotik cAP, atau AP komersial yang mendukung Operation Mode terpisah dari pabrik) — investasi yang sepadan kalau hotspot kamu komersial.

Setelah ganti AP ke mode Bridge, kecepatan WiFi terasa berubah. Wajar?

Wajar — di mode Router AP melakukan NAT yang sebagian dieksekusi di hardware (NAT acceleration). Di mode Bridge, AP cuma forward frame, tapi MikroTik harus handle semua connection tracking. Throughput agregat biasanya tetap sama tapi distribusi berbeda. Yang berubah secara terasa: MikroTik harus punya CPU cukup untuk handle jumlah user — RB750/hAP saja tidak cukup untuk >30 user concurrent. Upgrade ke RB4011 / CCR untuk skala yang lebih besar.

Apakah <code>shared-users=1</code> bekerja kalau AP sudah mode Bridge?

Sangat bekerja — bahkan lebih akurat. Di mode Bridge tiap device punya MAC sendiri, jadi <code>shared-users=1</code> bener-bener membatasi 1 username = 1 device aktif (bukan 1 MAC AP). Dua-duanya disarankan dipakai bersamaan untuk hotspot komersial.

Kenapa sebagian device tetap bypass walau sudah mode Bridge?

Cek tiga kemungkinan: (1) MAC cookie di MikroTik masih aktif dari sesi sebelumnya — flush dengan <code>/ip hotspot cookie remove [find]</code>; (2) device pakai MAC randomization (default iOS 14+/Android 10+) tapi MikroTik sudah cache MAC lama yang sah — sama, flush cookie; (3) ada AP kedua yang masih mode Router belum dikonfigurasi.

Solusi ini berlaku untuk semua merek AP atau hanya MikroTik AP?

Konsep mode Router vs Bridge berlaku universal di semua merek AP — penamaannya saja yang berbeda (Operation Mode / Wireless Mode / Working Mode). Solusi 2 dan 3 spesifik MikroTik (karena terkait MikroTik hotspot configuration), tapi Solusi 1 (mode AP) berlaku di semua AP yang menerangkan WiFi ke MikroTik hotspot — termasuk merek lokal maupun import.

Kesimpulan

Bypass login hotspot bukan bug MikroTik — ini perilaku by-design ketika AP yang login berfungsi sebagai router (NAT). MikroTik mencatat MAC AP sebagai user authenticated, lalu semua paket dari device di bawah AP keluar dengan MAC yang sama → otomatis dianggap user yang sudah login. Solusi paling bersih: ganti AP ke mode Bridge/Access Point agar tiap device punya MAC sendiri. Kalau akses ke AP terbatas, kombinasikan shared-users=1 di profile MikroTik dengan disable MAC cookie sebagai mitigasi sisi server.