Thursday, June 12, 2014

Konfigurasi Source NAT di Mikrotik

Jika sebelumnya kita sudah mempelajari tentang konfigurasi Source NAT (Network Address Translation) di Cisco, sekarang kita bahas mengenai Source NAT di Mikrotik. Sebenarnya di internet sudah banyak yang membahas ini, walaupun berceceran alias sepotong-sepotong. Sengaja diangkat lagi, dan disimulasikan. Tujuannya, agar saya lebih mengerti dan punya arsip sendiri. Selain itu, apa yang saya posting di blog ini, bukan hanya copy paste teori saja. Harus saya sertakan bukti / praktek, agar tulisan ini bisa disebut valid dan bisa dipertanggung jawabkan. :)
Simulasi SNAT Mikrotik


Saya buatkan design network untuk simulasi praktek Source NAT di Mikrotik seperti gambar di atas. Dan berikut ini table IP addressnya.
 Router / Comp
Eth0
Eth1
Mikrotik user
100.100.100.2/24
192.168.100.254/24
Mikrotik ISP
100.100.100.1/24
200.200.200.1/24
C1
192.168.100.1/24

C2
192.168.100.2/24

C3
192.168.100.3/24

C4
192.168.100.4/24

XP (SERVER)
200.200.200.2/24












Note :
Konfigurasi fokus pada Mikrotik di sisi User (disinilah tempat konfigurasi NAT-nya). Sedangkan untuk konfigurasi untuk C1, C2, C3, C4 dan XP (Server), seharusnya anda sudah tau caranya untuk mengkonfigurasi (tidak rumit kalo cuma ngasi IP address doank..).

Konfigurasi Mikrotik ISP.
Konfigurasi Mikrotik di sisi ISP dibuat sederhana saja,
/ip address
add address=200.200.200.1/24 interface=ether3 network=200.200.200.0
add address=100.100.100.1/24 interface=ether2 network=100.100.100.0
/ip firewall nat
add action=masquerade chain=srcnat
/ip route
add distance=1 gateway=200.200.200.2
add distance=1 dst-address=111.111.111.0/24 gateway=100.100.100.2

Konfigurasi Mikrotik User
Pada simulasi awal, kondisi router Mikrotik user connect ke ISP, dengan menggunakan IP Publik. Agar lebih mudah mengerti, lihat gambar di bawah ini sebagai ilustrasi. Pada interface eth0 dikonfigurasi dengan IP Publik. Nantinya dengan menggunakan IP Public inilah si user/client dapat terkoneksi ke ISP. (Istilahnya kerennya, Network Address Translation (NAT)).
Ilustrasi Mikrotik User Connect to ISP Dengan IP Publik

/ip address
add address=192.168.100.254/24 disabled=no interface=ether2 network=192.168.100.0
add address=100.100.100.2/24 disabled=no interface=ether3 network=100.100.100.0

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=100.100.100.1 scope=30 target-scope=10

Konfigurasi Masquerade
Ini konfigurasi yang sering digunakan. NAT Masquerade, artinya satu IP Public yang berada di interface eth0, digunakan oleh client / user (IP LAN), untuk terhubung ke internet.
IP client 1, 192.168.100.1 ---- dinatkan menjadi --- 100.100.100.2
IP client 1, 192.168.100.2 ---- dinatkan menjadi --- 100.100.100.2
IP client 1, 192.168.100.3 ---- dinatkan menjadi --- 100.100.100.2
IP client 1, 192.168.100.4 ---- dinatkan menjadi --- 100.100.100.2
Konfigurasi di Mikrotik user-nya,
/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=ether2

Hanya 2 baris, langsung ditest ping. Hasil pengetestan dari komputer user dilakukan seperti berikut ini.
Konfigurasi VPCS untuk IP address dari C1, C2, C3, C4.
Konfigurasi IP Address User

Konfigurasi IP address XP sebagai Sever.
Konfigurasi IP Address XP Sebagai Server

Hasil Ping dari komputer C1, C2, C3 dan C4.
Test ping from user

Ok. Berhasil. Untuk simulasi selanjutnya, pengetestan tidak akan saya tampilkan untuk menghemat tempat dan waktu. Silahkan ditest sendiri. Seharusnya akan sama seperti di atas yaitu berhasil.

Konfigurasi NAT Static
Artinya setiap 1 komputer client akan menggunakan 1 buah IP Public untuk berhubungan dengan internet. Misalnya.
IP client 1, 192.168.100.1 ---- dinatkan menjadi --- 100.100.100.11
IP client 1, 192.168.100.2 ---- dinatkan menjadi --- 100.100.100.12
IP client 1, 192.168.100.3 ---- dinatkan menjadi --- 100.100.100.13
IP client 1, 192.168.100.4 ---- dinatkan menjadi --- 100.100.100.14

Ok… caranya adalah, di interface eth0 Mikrotik tambahkan dahulu IP address 100.100.100.11 s/d 100.100.100.14. Kemudian barulah konfigurasi ip firewall nat – nya.

/ip address
add address=192.168.100.254/24 disabled=no interface=ether2 network=192.168.100.0
add address=100.100.100.2/24 disabled=no interface=ether3 network=100.100.100.0
add address=100.100.100.11/24 disabled=no interface=ether3 network=100.100.100.0
add address=100.100.100.12/24 disabled=no interface=ether3 network=100.100.100.0
add address=100.100.100.13/24 disabled=no interface=ether3 network=100.100.100.0
add address=100.100.100.14/24 disabled=no interface=ether3 network=100.100.100.0

/ip firewall nat
add action=src-nat chain=srcnat disabled=no out-interface=ether3 src-address=192.168.100.1 to-addresses=100.100.100.11
add action=src-nat chain=srcnat disabled=no out-interface=ether3 src-address=192.168.100.2 to-addresses=100.100.100.12
add action=src-nat chain=srcnat disabled=no out-interface=ether3 src-address=192.168.100.3 to-addresses=100.100.100.13
add action=src-nat chain=srcnat disabled=no out-interface=ether3 src-address=192.168.100.4 to-addresses=100.100.100.14

Konfigurasi NAT Dynamic.
Metode lainnya biasanya disebut NAT dinamic. Beberapa user dikelompokkan, untuk menggunakan sebuah IP Public yang sama. Misalnya.
IP client 1, 192.168.100.1 - 2 ---- dinatkan menjadi --- 100.100.100.11
IP client 1, 192.168.100.3 - 5 ---- dinatkan menjadi --- 100.100.100.12, dst-nya…

Maka konfigurasinya, sebagai berikut.
/ip firewall nat
add action=src-nat chain=srcnat disabled=no out-interface=ether3 src-address=192.168.100.1-192.168.100.2 to-addresses=100.100.100.11
add action=src-nat chain=srcnat disabled=no out-interface=ether3 src-address=192.168.100.3-192.168.100.5 to-addresses=100.100.100.13


Selain itu, bisa juga kelompok IP user dinatkan dengan kelompok IP public. Sehingga satu IP client akan mendapatkan IP Public yang berbeda-beda (dinamis).
/ip firewall nat
add action=src-nat chain=srcnat disabled=no out-interface=ether3 src-address=\
    192.168.100.1-192.168.100.10 to-addresses=100.100.100.11-100.100.100.14


Konfigurasi NAT pada IP Pool.
Kondisi berikutnya, suatu network dimana koneksi dari router ( mikrotik User ) ke arah ISP, point to point (IP WAN-nya biasanya menggunakan IP private). Ilustrasinya seperti gambar di bawah ini.
Ilustrasi Mikrotik User Connect to ISP Dengan IP Private

Jadi, router mikrotik konek ke ISP, dengan menggunakan IP private (point to point). Sedangkan IP publicnya sendiri berada dalam Pool (IP public-nya tidak dikonfigurasi di interface router). Misalnya. IP Publicnya adalah segmen network 111.111.111.0/24.

Konfigurasi NAT-nya, hanya perlu disesuaikan IP Publicnya saja.
  • Konfigurasi NAT Static
/ip firewall nat
add action=src-nat chain=srcnat disabled=no out-interface=ether3 src-address=192.168.100.2 to-addresses=111.111.111.2
  • Konfigurasi NAT Dynamic IP Pool
Seperti sebelumnya. IP client dibuatkan dalam sebuah kelompok (pool), kemudian dinat-kan dengan menggunakan sebuah IP Publik. misalnya.
IP address client, 192.168.100.1 - 2 ---- dinatkan menjadi --- 111.111.111.2
IP address client, 192.168.100.3 - 5 ---- dinatkan menjadi --- 111.111.111.5, dst-nya…

/ip firewall nat
add action=src-nat chain=srcnat disabled=no out-interface=ether3 src-address=192.168.100.1-192.168.100.2 to-addresses=111.111.111.2
add action=src-nat chain=srcnat disabled=no out-interface=ether3 src-address=192.168.100.3-192.168.100.5 to-addresses=111.111.111.5

Atau cara lainnya, sebuah kelompok user dinatkan dengan sebuah kelompok IP Publik. Misalnya
IP client 1, 192.168.100.1 - 10 ---- dinatkan menjadi --- 111.111.111.2-111.111.111.100

/ip firewall nat
add action=src-nat chain=srcnat disabled=no out-interface=ether3 src-address=\
    192.168.100.1-192.168.100.10 to-addresses=111.111.111.2-111.111.111.100

Jika ditest, seharusnya semua akan berhasil. Dengan menggunakan Pool IP address, si user akan mendapatkan IP publik yang berbeda-beda, atau dinamis. Sudah saya coba sendiri, dan di bawah ini buktinya,
Firewall Connection di Winbox

Selesai….

No comments:

Post a Comment