Friday, June 13, 2014

Konfigurasi Destination NAT di Mikrotik dan Cisco

Kita lanjutkan pembahasan mengenai Destination NAT. Menurut wikipedia, Destination network address translation (DNAT) is a technique for transparently changing the destination IP address of an end route packet and performing the inverse function for any replies. ( Bingung kan… ?? sama… saya juga…).
Penjelasan sederhananya bisa dilihat pada ilustrasi gambar di bawah ini.
User from internet connect to webserver in LAN


Ada user dari internet yang akan mengakses Server (misalnya WebServer) di dalam LAN atau DMZ (Demilitarized Zone). Si user mengarahkan browsernya mengakses IP Publik. Oleh si router diteruskan permintaan akses dari user ini, ke IP Web Server yang sebenarnya berada di dalam LAN atau DMZ. Apa yang dilakukan oleh router (tentunya berupa policy/aturan konfigurasi) itulah yang disebut dengan Destination Network Address Translation (DNAT).
DNAT bukanlah hal yang baru bagi saya. Sudah sering saya gunakan di warnet, agar bisa memantau aktifitas warnet dari lokasi lain. Dan kali ini, kembali saya share simulasi mengenai destination NAT di mikrotik dan Cisco.

Destination NAT di Mikrotik

Simulasi DNAT

Di sisi LAN, ditambahkan device router Cisco. Router Cisco ini memberikan layanan/servis Telnet dan Web (webserver). Kemudian di sisi internet Computer XP menjadi user, yang nantinya akan mengakses ke layanan Telnet dan Web yang dimilik oleh Cisco.
 Router / Comp
Eth0
Eth1
Mikrotik User
100.100.100.2/24
192.168.100.254/24
Mikrotik ISP
100.100.100.1/24
200.200.200.1/24
C1
192.168.100.1/24

C2
192.168.100.2/24

C3
192.168.100.3/24

C4
192.168.100.4/24

Cisco as Server in LAN
192.168.100.5/24

User XP from Internet
200.200.200.2/24














Note:
Konfigurasi Mikrotik ISP, tidak ada perubahan, seperti pada sebelumnya. lihat pada posting sebelumnya. Begitu juga dengan konfigurasi IP address di sisi User XP.

Konfigurasi Cisco (sebagai Server)
Berikut konfigurasi Cisco di sisi LAN, yang nantinya memberikan service / layanan telnet dan webserver.
R1#config ter
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#inter fa0/0
R1(config-if)#ip address 192.168.100.5 255.255.255.0
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.254
R1(config)#line vty 0 4
R1(config-line)#password *****
R1(config-line)#login
R1(config-line)#exit
R1(config)#username roel privilege 15 password *****
R1(config)#ip http server
R1(config)#ip http port 80
R1(config)#ip http authentication local

Konfigurasi Mikrotik User
Nah, berikut ini konfigurasi Destination NAT-nya pada Mikrotik user.
/ip firewall nat
add action=src-nat chain=srcnat disabled=no out-interface=ether3 src-address=192.168.100.1-192.168.100.10 to-addresses=\
    100.100.100.11-100.100.100.15
add action=dst-nat chain=dstnat disabled=no dst-address=111.111.111.111 to-addresses=192.168.100.5

bisa juga lebih details (dispesifikasikan) dengan menentukan portnya, agar lebih secure, misalnya seperti di bawah ini.
/ip firewall nat
add action=dst-nat chain=dstnat disabled=no dst-address=111.111.111.222 dst-port=2323 protocol=tcp src-address=200.200.200.0/24 to-addresses=\
    192.168.100.5 to-ports=23

Konfigurasi di atas, artinya, menerima sumber IP address 200.200.200.0/24 yang menuju ke IP 111.111.111.222 dengan port 2323, diteruskan (Destination NAT) ke IP address 192.168.100.5 port 23 (telnet).
Bagi yang terbiasa dengan mengkonfigurasi Mikrotik melalui winbox. Caranya kira-kira sebagai berikut.
  1. Klik IP – firewall
  2. Pada kotak konfigurasi Firewall. Pilih tab NAT.
  3. Pilih tanda plus (+) untuk menambahkan aturan/rule NAT yang baru.
    Setting DNAT through winbox - 1
  4. Pada kotak New NAT Rule, di bagian general pilih dst-nat di kolom Chain.
  5. Selanjutnya beberapa nilai disesuaikan sebagai berikut.
    Kolom dst.address masukkan IP addressnya, misalnya 111.111.111.222.
    Kolom protocol pilih nilai 6 (tcp).
    Kolom dst.port, masukkan nilai portnya, misalnya 2323.
  6. Selanjutnya pilih tab action
    Setting DNAT through winbox - 2
  7. Pada tab action, masukkan nilai-nilainya sebagai berikut,
    Kolom Action, pilih dst-nat.
    Kolom To Addresses, masukkan IP address tujuan, misalnya 192.168.100.5 (IP  address webserver).
    Kolom To ports, masukkan nilai 23 (port telnet).
  8. Terakhir pilih button OK.
    Setting DNAT through winbox - 3

Ok. Saatnya di test dari komputer XP dengan melakukan browsing dan. Hasilnya, seperti di bawah ini.
Test access to webserver

Test access to telnet server

Destination NAT di Cisco
Simulasi DNAT 2

Network simulasinya seperti pada gambar di atas. Yang diganti hanya di sisi Router User, dari yang semula menggunakan Mikrotik, menjadi Cisco.
Konfigurasi destination NAT pada router Cisco, agak membingungkan… Yang saya tau untuk konfigurasi destination NAT sama seperti konfigurasi Source Static NAT. Konfigurasi destination NAT di Cisco tidak bisa dibuat bervariasi dan details seperti pada Mikrotik. (CMIIW).
Berikut konfigurasi di router Cisco user.
Router>en
Router#config ter
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#inter fa0/0
Router(config-if)#ip address 100.100.100.2 255.255.255.0
Router(config-if)#no shut
Router(config-if)#inter fa0/1
Router(config-if)#ip address 192.168.100.254 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#ip route 0.0.0.0 0.0.0.0 100.100.100.1
Router(config)#do wr
Warning: Attempting to overwrite an NVRAM configuration previously written
by a different version of the system image.
Overwrite the previous NVRAM configuration?[confirm]
Building configuration...
[OK]
Router(config)#

Konfigurasi NAT nya..
Router(config)#ip nat inside source static 192.168.100.5 111.111.111.5
Router(config)#inter fa0/0
Router(config-if)#ip nat outside
Router(config-if)#inter fa0/1
Router(config-if)#ip nat inside

Pengetestan dari user XP dengan melakukan ping dan telnet ke IP address 111.111.111.5. Hasil pengetestan seharusnya akan berhasil, sama seperti di atas.

Demikian, semoga bermanfaat…
By di
Label: ,

1 comment:

Subscribe to: Post Comments (Atom)