Jika
sebelumnya kita sudah mempelajari tentang konfigurasi Source NAT (Network Address Translation) di Cisco,
sekarang kita bahas mengenai Source NAT di Mikrotik. Sebenarnya di internet sudah
banyak yang membahas ini, walaupun berceceran alias sepotong-sepotong. Sengaja diangkat lagi, dan disimulasikan. Tujuannya, agar saya lebih
mengerti dan punya arsip sendiri. Selain itu, apa yang saya posting di blog ini, bukan hanya copy paste teori
saja. Harus saya sertakan bukti / praktek, agar tulisan ini bisa disebut valid dan bisa
dipertanggung jawabkan. :)
Saya
buatkan design network untuk simulasi praktek Source NAT di Mikrotik seperti
gambar di atas. Dan berikut ini table IP addressnya.
Router / Comp
|
Eth0
|
Eth1
|
Mikrotik user
|
100.100.100.2/24
|
192.168.100.254/24
|
Mikrotik ISP
|
100.100.100.1/24
|
200.200.200.1/24
|
C1
|
192.168.100.1/24
|
|
C2
|
192.168.100.2/24
|
|
C3
|
192.168.100.3/24
|
|
C4
|
192.168.100.4/24
|
|
XP (SERVER)
|
200.200.200.2/24
|
Note
:
Konfigurasi
fokus pada Mikrotik di sisi User (disinilah tempat konfigurasi NAT-nya). Sedangkan untuk konfigurasi untuk C1, C2, C3, C4
dan XP (Server), seharusnya anda sudah tau caranya untuk mengkonfigurasi (tidak rumit
kalo cuma ngasi IP address doank..).
Konfigurasi Mikrotik
ISP.
Konfigurasi
Mikrotik di sisi ISP dibuat sederhana saja,
/ip address
add
address=200.200.200.1/24 interface=ether3 network=200.200.200.0
add
address=100.100.100.1/24 interface=ether2 network=100.100.100.0
/ip firewall nat
add action=masquerade
chain=srcnat
/ip route
add distance=1 gateway=200.200.200.2
add distance=1
dst-address=111.111.111.0/24 gateway=100.100.100.2
Konfigurasi Mikrotik
User
Pada
simulasi awal, kondisi router Mikrotik user connect ke ISP, dengan menggunakan
IP Publik. Agar lebih mudah mengerti, lihat gambar di bawah ini sebagai
ilustrasi. Pada interface eth0 dikonfigurasi dengan IP Publik. Nantinya dengan
menggunakan IP Public inilah si user/client dapat terkoneksi ke ISP.
(Istilahnya kerennya, Network Address Translation (NAT)).
/ip address
add
address=192.168.100.254/24 disabled=no interface=ether2 network=192.168.100.0
add
address=100.100.100.2/24 disabled=no interface=ether3 network=100.100.100.0
/ip route
add disabled=no
distance=1 dst-address=0.0.0.0/0 gateway=100.100.100.1 scope=30 target-scope=10
Konfigurasi Masquerade
Ini
konfigurasi yang sering digunakan. NAT Masquerade, artinya satu IP Public yang
berada di interface eth0, digunakan oleh client / user (IP LAN), untuk
terhubung ke internet.
IP
client 1, 192.168.100.1 ---- dinatkan menjadi --- 100.100.100.2
IP
client 1, 192.168.100.2 ---- dinatkan menjadi --- 100.100.100.2
IP
client 1, 192.168.100.3 ---- dinatkan menjadi --- 100.100.100.2
IP
client 1, 192.168.100.4 ---- dinatkan menjadi --- 100.100.100.2
Konfigurasi
di Mikrotik user-nya,
/ip firewall nat
add action=masquerade
chain=srcnat disabled=no out-interface=ether2
Hanya
2 baris, langsung ditest ping. Hasil pengetestan dari komputer user dilakukan
seperti berikut ini.
Konfigurasi
VPCS untuk IP address dari C1, C2, C3, C4.
Konfigurasi
IP address XP sebagai Sever.
Hasil
Ping dari komputer C1, C2, C3 dan C4.
Ok.
Berhasil. Untuk simulasi selanjutnya, pengetestan tidak akan saya tampilkan
untuk menghemat tempat dan waktu. Silahkan ditest sendiri. Seharusnya akan sama
seperti di atas yaitu berhasil.
Konfigurasi NAT Static
Artinya
setiap 1 komputer client akan menggunakan 1 buah IP Public untuk berhubungan
dengan internet. Misalnya.
IP client 1,
192.168.100.1 ---- dinatkan menjadi --- 100.100.100.11
IP client 1, 192.168.100.2
---- dinatkan menjadi --- 100.100.100.12
IP client 1,
192.168.100.3 ---- dinatkan menjadi --- 100.100.100.13
IP client 1,
192.168.100.4 ---- dinatkan menjadi --- 100.100.100.14
Ok…
caranya adalah, di interface eth0 Mikrotik tambahkan dahulu IP address
100.100.100.11 s/d 100.100.100.14. Kemudian barulah konfigurasi ip firewall nat
– nya.
/ip address
add
address=192.168.100.254/24 disabled=no interface=ether2 network=192.168.100.0
add
address=100.100.100.2/24 disabled=no interface=ether3 network=100.100.100.0
add
address=100.100.100.11/24 disabled=no interface=ether3 network=100.100.100.0
add
address=100.100.100.12/24 disabled=no interface=ether3 network=100.100.100.0
add
address=100.100.100.13/24 disabled=no interface=ether3 network=100.100.100.0
add
address=100.100.100.14/24 disabled=no interface=ether3 network=100.100.100.0
/ip firewall nat
add action=src-nat
chain=srcnat disabled=no out-interface=ether3 src-address=192.168.100.1
to-addresses=100.100.100.11
add action=src-nat chain=srcnat
disabled=no out-interface=ether3 src-address=192.168.100.2
to-addresses=100.100.100.12
add action=src-nat
chain=srcnat disabled=no out-interface=ether3 src-address=192.168.100.3
to-addresses=100.100.100.13
add action=src-nat
chain=srcnat disabled=no out-interface=ether3 src-address=192.168.100.4
to-addresses=100.100.100.14
Konfigurasi NAT Dynamic.
Metode
lainnya biasanya disebut NAT dinamic. Beberapa user dikelompokkan, untuk menggunakan
sebuah IP Public yang sama. Misalnya.
IP client 1, 192.168.100.1
- 2 ---- dinatkan menjadi --- 100.100.100.11
IP client 1,
192.168.100.3 - 5 ---- dinatkan menjadi --- 100.100.100.12, dst-nya…
Maka
konfigurasinya, sebagai berikut.
/ip firewall nat
add action=src-nat
chain=srcnat disabled=no out-interface=ether3
src-address=192.168.100.1-192.168.100.2 to-addresses=100.100.100.11
add action=src-nat
chain=srcnat disabled=no out-interface=ether3
src-address=192.168.100.3-192.168.100.5 to-addresses=100.100.100.13
Selain
itu, bisa juga kelompok IP user dinatkan dengan kelompok IP public. Sehingga
satu IP client akan mendapatkan IP Public yang berbeda-beda (dinamis).
/ip firewall nat
add action=src-nat
chain=srcnat disabled=no out-interface=ether3 src-address=\
192.168.100.1-192.168.100.10 to-addresses=100.100.100.11-100.100.100.14
Konfigurasi NAT pada IP Pool.
Kondisi berikutnya, suatu network
dimana koneksi dari router ( mikrotik User ) ke arah ISP, point to point (IP
WAN-nya biasanya menggunakan IP private). Ilustrasinya seperti gambar di bawah
ini.
Jadi, router mikrotik konek ke ISP,
dengan menggunakan IP private (point to point). Sedangkan IP publicnya sendiri
berada dalam Pool (IP public-nya tidak dikonfigurasi di interface router). Misalnya.
IP Publicnya adalah segmen network 111.111.111.0/24.
Konfigurasi NAT-nya, hanya perlu disesuaikan IP Publicnya saja.
- Konfigurasi NAT Static
/ip firewall nat
add action=src-nat
chain=srcnat disabled=no out-interface=ether3 src-address=192.168.100.2 to-addresses=111.111.111.2
- Konfigurasi NAT Dynamic IP Pool
Seperti sebelumnya. IP client
dibuatkan dalam sebuah kelompok (pool), kemudian dinat-kan dengan menggunakan sebuah
IP Publik. misalnya.
IP address
client, 192.168.100.1 - 2 ---- dinatkan menjadi --- 111.111.111.2
IP address
client, 192.168.100.3 - 5 ---- dinatkan menjadi --- 111.111.111.5, dst-nya…
/ip firewall nat
add action=src-nat
chain=srcnat disabled=no out-interface=ether3
src-address=192.168.100.1-192.168.100.2 to-addresses=111.111.111.2
add action=src-nat
chain=srcnat disabled=no out-interface=ether3
src-address=192.168.100.3-192.168.100.5 to-addresses=111.111.111.5
Atau cara lainnya, sebuah kelompok
user dinatkan dengan sebuah kelompok IP Publik. Misalnya
IP client 1,
192.168.100.1 - 10 ---- dinatkan menjadi --- 111.111.111.2-111.111.111.100
/ip firewall nat
add action=src-nat
chain=srcnat disabled=no out-interface=ether3 src-address=\
192.168.100.1-192.168.100.10
to-addresses=111.111.111.2-111.111.111.100
Jika
ditest, seharusnya semua akan berhasil. Dengan menggunakan Pool IP address, si
user akan mendapatkan IP publik yang berbeda-beda, atau dinamis. Sudah saya
coba sendiri, dan di bawah ini buktinya,
Selesai….
ip pool public ip tak boleh pergi internet
ReplyDelete