Jika anda mempunyai Web Server, CCTV
atau yang lainnya yang topologinya terletak dibelakang router mikrotik
dan akan mengaksesnya dari Luar (internet) berikut konfigurasinya:
Gambar tersebut menjelaskan topologi jaringan web server di belakang router yang memiliki IP Public, dan router harus melakukan NAT untuk meneruskan lalu lintas alamat IP Public ke web server di belakangnya.
Konfigurasi natnya seperti ini:
/ip firewall nat
add chain=dstnat dst-address=1.1.1.1 protocol=tcp dst-port=80 \
action=dst-nat to-address=192.168.1.2
add chain=srcnat out-interface=WAN action=masquerade
Ketika klien dari Internet dengan alamat IP 2.2.2.2 melakukan koneksi ke web server.
- Klien mengirimkan paket dengan alamat IP 2.2.2.2 ke alamat IP tujuan 1.1.1.1 pada port tcp/80 untuk mengakses sumber daya web.
- Router Nat meneruskan paket ke 192.168.1.2 dan menggantikan alamat IP tujuan pada paket ke IP Web Server. Alamat IP klien tetap sama: 2.2.2.2.
- Web Server menjawab permintaan klien dan paket balasan memiliki alamat IP sumber 192.168.1.2 dan IP alamat tujuan 2.2.2.2.
- Router menentukan bahwa paket tersebut merupakan bagian dari koneksi sebelumnya dan mengembalikan tujuan NAT, serta menempatkan alamat tujuan IP asli ke dalam alamat IP sumber. Alamat IP tujuan adalah 2.2.2.2, dan alamat IP sumber adalah 1.1.1.1. Klien menerima paket balasan yang mereka harapkan, dan Web terakses.
Ketika sebuah klien pada jaringan internal yang sama dengan web server, misal ip client 192.168.1.10:
- klien mengirimkan paket dengan alamat IP sumber dari 192.168.1.10 ke alamat IP tujuan 1.1.1.1 pada port tcp/80 untuk mengakses sumber daya web.
- Router Nat meneruskan paket ke 192.168.1.2 dan menggantikan alamat IP tujuan pada paket ke IP Web Server. Alamat IP sumber tetap sama: 192.168.1.10.
- Web Server menjawab permintaan klien. Namun, alamat IP sumber dari permintaan tersebut pada subnet yang sama sebagai server web. Web server tidak mengirim balasan kembali ke router, tapi mengirimkannya kembali langsung ke 192.168.1.10 dengan alamat IP sumber dalam balasan dari 192.168.1.2.
Klien menerima paket balasan, tetapi tereject karena klien mengharapkan paket balasan dari 1.1.1.1, dan bukan dari 192.168.1.2. Klien yang bersangkutan menerima paket yang tidak valid dan tidak berhubungan dengan koneksi klien yang sebelumnya.
Untuk memperbaiki masalah ini, aturan NAT perlu tambahan, sehingga semua lalu lintas koneksi ke web server tetap mengalir melalui router, meskipun klien dan server berada di subnet yang sama. Aturan dibawah ini adalah contoh yang simpel dan bisa dikembangkan sendiri sesuai kebutuhan router.
/ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 \
dst-address=192.168.1.2 protocol=tcp dst-port=80 \
out-interface=LAN action=masquerade
Dengan aturan tambahan, alur cerita sekarang berubah:
- Klien mengirimkan paket dengan alamat IP sumber dari 192.168.1.10 ke alamat IP tujuan 1.1.1.1 pada port tcp/80 untuk mengakses sumber daya web.
- Router Nat meneruskan paket ke 192.168.1.2 dan menggantikan alamat IP tujuan pada paket ke IP Web server. Alamat tersebut juga adalah sumber Nats paket dan mengganti alamat IP sumber dengan alamat IP pada antarmuka LAN. Alamat IP tujuan adalah 192.168.1.2, dan alamat sumber IP adalah 192.168.1.1.
- Web Server mengirimkan balasan dengan alamat IP sumber 192.168.1.2 kembali ke interface IP alamat router LAN 192.168.1.1.
- Router menentukan bahwa paket tersebut merupakan bagian dari koneksi sebelumnya dan Mengembalikan kedua sumber dan tujuan NAT, dan menempatkan alamat IP tujuan asli dari 1.1.1.1 ke dalam kolom alamat IP sumber dan alamat IP sumber asli dari 192.168.1.10 ke IP alamat tujuan.
Klien menerima paket balasan yang mereka mengharapkan, dan sambungan terbuat.
Namun, web server hanya melihat sumber alamat IP dari 192.168.1.1 untuk semua permintaan dari klien internal terlepas dari alamat nyata IP klien internal.