Forwarding Dengan Fitur NAT Mikrotik

SN Blog - Ketika ada karyawan atau staf yang bersifat mobile atau sedang berdinas ke luar dan membutuhkan akses data yang ada pada server tetapi server berada pada jaringan lokal. Maka kita perlu membuat supaya server tersebut bisa di akses dari jaringan publik. Cara paling sederhana adalah dengan memasang langsung ip publik ke server kita. Akan tetapi cara tersebut akan menimbulkan masalah ketika kita hanya memiliki satu ip publik dan komputer lain pada jaringan lokal kita juga memerlukan koneksi internet. Masalah lainnya adalah manajemen keamanan untuk traffic yang menuju ke server tersebut.

Dengan menggunakan mikrotik, kebutuhan tersebut bisa diatasi dengan cara port forwading menggunakan fitur NAT. Maka bandwidth bisa di manage dan firewall filtering juga bisa dilakukan, kita tempatkan server dibawah router mikrotik. Artinya, server berada pada jaringan lokal kita, contoh topologi :

Hampir sama dengan postingan saya sebelumnya yaitu Membangun Firewall DMZ Sederhana di Mikrotik akan tetapi postingan kali akan menjelaskan beberapa hal yang sebelumnya belum dijelaskan.

Langsung saja ke poin utama...

Supaya server bisa diakses dari publik, kita set fowarding di router mikrotik dengan fitur firewall NAT. Fowarding ini akan membelokkan traffic yang menuju ke IP publik yang terpasang di router menuju ke IP lokal server. Seakan-akan client dari internet berkomunikasi dengan server meminjam IP publik router mikrotik. Langkah pembuatan rule, masuk ke menu IP --> Firewall --> klik tab "NAT", tambahkan rule baru dengan klik tombol "add" atau tanda "+" berwarna biru di winbox.

*Tips: jika tidak yakin dengan port dan protokol yang digunakan oleh server, bisa di kosongkan terlebih dahulu. Dengan begitu, maka semua traffic akan difoward ke server. Jika setelah dicoba NAT sudah berhasil, baru kemudian kita tentukan protokol dan port yang harus di foward ke server.

Dengan konfigurasi seperti diatas, rule fowarding dengan NAT sudah selesai. Tapi jika kita memiliki lebih dari satu ip publik, kita membutuhkan satu rule lagi. Yaitu, rule yang difungsikan untuk mengarahkan traffic respon dari server ke jalur yang sama dengan traffic request. Misal request dari IP publik A, maka respon dari server juga harus keluar dari IP publik A. Jika ternyata traffic respon keluar dari IP publik B, maka traffic tersebut tidak dikenali oleh cilent yang mencoba mengakses server. Rule yang harus dibuat seperti berikut :

Dan rule NAT untuk fowarding sudah selesai. Jika kita memiliki lebih dari satu server sedangkan kita hanya memiliki satu IP publik saja, bisa kita foward berdasarkan port. Misal untuk server A dapat diakses melalui port 8080, kemudian server B melalui port 8090. Saat router menerima koneksi dari port 8080, maka koneksi akan diteruskan ke Server A, begitu juga saat router menerima koneksi dari port 8090, maka akan diteruskan ke server B. Sekarang coba akses server dari jaringan publik menggunakan ip publik yang terpasang di mikrotik.

Hairpin NAT

Kemudian kira - kira apakah bisa server diakses dari jaringan Lokal menggunakan ip publik di mikrotik tadi? Jawabannya adalah tidak. Lalu kenapa ?
Karena pada saat diakses dari jaringan publik, misal client memiliki IP Public 3.4.5.6, maka aliran trafficnya akan seperti berikut:

Dari aliran data diatas, ketika Server diakses dari jaringan publik data bisa dikirim dengan baik oleh router. Tetapi berbeda, jika diakses dari jaringan Lokal, misal client memiliki IP Address 172.16.15.2, maka aliran data akan menjadi seperti berikut :

Yang terjadi adalah server akan langsung mengirim traffic respon ke client tanpa melewati router, karena source address ada dan dikenali di jaringan Server (masih dalam 1 segmen IP). Traffic respon yang dikirim dari server akan ditolak oleh client, karena sebelumnya client me-request ke router mikrotik terlebih dahulu, bukan langsung ke Server. Client hanya mau menerima respon dari ip yang sebelumnya dituju, yakni 10.9.8.2. Nah solusinya adalah dengan menambahkan Rule NAT untuk traffic dari Lokal menuju Server.

Rule NAT diatas akan mengubah source ip address yang sebelumnya adalah ip komputer client, digantikan dengan ip router Mikrotik ketika data diteruskan dari router Mikrotik ke server. Maka server akan mengirimkan data respon ke router Mikrotik, bukan langsung ke komputer client. Dengan rule nat baru tersebut, maka aliran data akan menjadi seperti berikut :

Dengan begitu, client dari jaringan lokal bisa mengakses ke Server dengan IP publik yang terpasang di router Mikrotik. Konfigurasi diatas disebut dengan Hairpin NAT.