Konfigurasi PAT (NAT Overload)
Konfigurasi PAT (NAT Overload)
PAT (Port Address Translation) atau NAT Overload adalah jenis NAT yang paling umum digunakan. PAT memungkinkan banyak host dengan IP private mengakses internet menggunakan satu alamat IP public dengan membedakan setiap koneksi berdasarkan nomor port.
Pada MikroTik, fitur ini diimplementasikan dengan action masquerade.
Tujuan Pembelajaran
Setelah mempelajari materi ini, peserta didik mampu:
- Menjelaskan konsep dan keunggulan PAT/Masquerade
- Melakukan konfigurasi PAT pada router Cisco (NAT Overload)
- Melakukan konfigurasi Masquerade pada router MikroTik
- Memahami perbedaan masquerade dan src-nat
- Memverifikasi konfigurasi PAT
Mengapa PAT Paling Populer?
| Keunggulan | Penjelasan |
|---|---|
| Hemat IP Public | 1 IP public untuk ratusan/ribuan host |
| Biaya Rendah | Tidak perlu membeli banyak IP dari ISP |
| Mudah Dikonfigurasi | Satu rule untuk semua host |
| Skalabel | Mendukung pertumbuhan jaringan |
| Keamanan | IP internal tersembunyi dari internet |
Cara Kerja PAT
Langkah-langkah PAT: 1. PC1 (192.168.1.10) ingin akses google.com (142.250.190.46) ┌───────────────────────────────────────┐ │ Source IP: 192.168.1.10 │ │ Source Port: 54321 │ │ Dest IP: 142.250.190.46 │ │ Dest Port: 443 │ └───────────────────────────────────────┘ 2. Router melakukan PAT: ┌───────────────────────────────────────┐ │ Source IP: 203.0.113.1 (Public) │ │ Source Port: 50001 (Port baru) │◄── Port unik! │ Dest IP: 142.250.190.46 │ │ Dest Port: 443 │ └───────────────────────────────────────┘ 3. Router mencatat mapping di NAT Table: ┌─────────────────────────────────────────┐ │ 192.168.1.10:54321 ←→ 203.0.113.1:50001│ └─────────────────────────────────────────┘ 4. Response dari Google dikembalikan ke 203.0.113.1:50001 5. Router reverse NAT berdasarkan tabel → kirim ke 192.168.1.10:54321
Ilustrasi Multiple Host
┌──────────────────────────────────────────────────────────────────┐ │ SATU IP Public: 203.0.113.1 │ ├──────────────────────────────────────────────────────────────────┤ │ │ │ Host Private:Port → Host Public:Port │ │ ───────────────────────────────────────────────── │ │ 192.168.1.10:54321 → 203.0.113.1:50001 │ │ 192.168.1.10:54322 → 203.0.113.1:50002 ◄─ PC yang sama│ │ 192.168.1.11:12345 → 203.0.113.1:50003 │ │ 192.168.1.12:23456 → 203.0.113.1:50004 │ │ 192.168.1.13:34567 → 203.0.113.1:50005 │ │ ... ... │ │ │ │ Semua menggunakan IP PUBLIC yang SAMA! │ │ Router membedakan dengan PORT NUMBER yang unik │ └──────────────────────────────────────────────────────────────────┘
Topologi Praktik
INTERNET
│
│ IP Public (dari ISP)
┌───────▼───────┐
│ ROUTER │
│ │
│ Gi0/0: DHCP │◄── Dapat IP dinamis dari ISP
│ Gi0/1: .1.1 │◄── 192.168.1.1/24
└───────┬───────┘
│
┌───────────────┼───────────────┐───────────────┐
│ │ │ │
┌───▼───┐ ┌───▼───┐ ┌───▼───┐ ┌───▼───┐
│ PC1 │ │ PC2 │ │ PC3 │ │ ... │
│ .1.10 │ │ .1.11 │ │ .1.12 │ │ │
└───────┘ └───────┘ └───────┘ └───────┘
Semua PC menggunakan 1 IP public yang sama dengan port berbeda
Konfigurasi pada Cisco IOS
Metode 1: PAT dengan Interface (Paling Umum)
Digunakan ketika IP public didapat secara dinamis (DHCP dari ISP):
! Konfigurasi interface Router> enable Router# configure terminal ! Interface WAN (Outside) - DHCP dari ISP Router(config)# interface GigabitEthernet 0/0 Router(config-if)# ip address dhcp Router(config-if)# ip nat outside Router(config-if)# no shutdown Router(config-if)# exit ! Interface LAN (Inside) Router(config)# interface GigabitEthernet 0/1 Router(config-if)# ip address 192.168.1.1 255.255.255.0 Router(config-if)# ip nat inside Router(config-if)# no shutdown Router(config-if)# exit ! Buat ACL untuk jaringan internal Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 ! Aktifkan PAT menggunakan interface (overload) Router(config)# ip nat inside source list 1 interface GigabitEthernet 0/0 overload ! Simpan Router(config)# end Router# copy running-config startup-config
Metode 2: PAT dengan Pool (IP Statis)
Digunakan ketika IP public sudah diketahui (statis):
! Konfigurasi interface dengan IP statis Router(config)# interface GigabitEthernet 0/0 Router(config-if)# ip address 203.0.113.1 255.255.255.0 Router(config-if)# ip nat outside Router(config-if)# no shutdown Router(config-if)# exit ! Interface LAN Router(config)# interface GigabitEthernet 0/1 Router(config-if)# ip address 192.168.1.1 255.255.255.0 Router(config-if)# ip nat inside Router(config-if)# no shutdown Router(config-if)# exit ! Buat ACL Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 ! Buat pool dengan 1 IP Router(config)# ip nat pool PAT-POOL 203.0.113.1 203.0.113.1 netmask 255.255.255.0 ! Aktifkan PAT dengan pool + overload Router(config)# ip nat inside source list 1 pool PAT-POOL overload
Verifikasi PAT Cisco
! Lihat tabel NAT (setelah ada traffic) Router# show ip nat translations Pro Inside Global Inside Local Outside Local Outside Global tcp 203.0.113.1:50001 192.168.1.10:54321 142.250.190.46:443 142.250.190.46:443 tcp 203.0.113.1:50002 192.168.1.11:12345 172.217.14.99:80 172.217.14.99:80 udp 203.0.113.1:50003 192.168.1.12:53 8.8.8.8:53 8.8.8.8:53 ! Lihat statistik Router# show ip nat statistics Total active translations: 3 (0 static, 3 dynamic; 3 extended) Peak translations: 156 Outside interfaces: GigabitEthernet0/0 Inside interfaces: GigabitEthernet0/1 Hits: 1523 Misses: 45
Konfigurasi pada MikroTik
Masquerade vs SRC-NAT
| Aspek | Masquerade | SRC-NAT |
|---|---|---|
| IP WAN | Dinamis (DHCP/PPPoE) | Statis |
| Konfigurasi | Tidak perlu specify IP | Harus specify IP |
| Penggunaan | Rumah, SOHO | Enterprise, ISP |
| Overhead | Sedikit lebih tinggi | Lebih rendah |
Metode 1: Masquerade (IP Dinamis)
Langkah via Winbox:
- Buka IP → Firewall → Tab NAT
- Klik + (Add)
- Tab General:
- Chain: srcnat
- Out Interface: ether1 (interface WAN)
- Tab Action:
- Action: masquerade
- Klik OK
Langkah via Terminal:
# Set DHCP Client di WAN /ip dhcp-client add interface=ether1 disabled=no # Set IP di LAN /ip address add address=192.168.1.1/24 interface=ether2 # Aktifkan Masquerade /ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade # Verifikasi /ip firewall nat print
Metode 2: SRC-NAT (IP Statis)
Langkah via Winbox:
- Buka IP → Firewall → Tab NAT
- Klik + (Add)
- Tab General:
- Chain: srcnat
- Out Interface: ether1
- Tab Action:
- Action: src-nat
- To Addresses: 203.0.113.1 (IP public statis)
- Klik OK
Langkah via Terminal:
# Set IP statis di WAN /ip address add address=203.0.113.1/24 interface=ether1 # Set IP di LAN /ip address add address=192.168.1.1/24 interface=ether2 # Aktifkan SRC-NAT /ip firewall nat add chain=srcnat out-interface=ether1 action=src-nat to-addresses=203.0.113.1 # Verifikasi /ip firewall nat print
Konfigurasi Lengkap MikroTik (Internet Gateway)
# ============================================ # KONFIGURASI INTERNET GATEWAY MIKROTIK # ============================================ # 1. Set DHCP Client di WAN /ip dhcp-client add interface=ether1 disabled=no # 2. Set IP Address di LAN /ip address add address=192.168.1.1/24 interface=ether2 # 3. Aktifkan NAT Masquerade /ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade # 4. Set DNS /ip dns set servers=8.8.8.8,8.8.4.4 allow-remote-requests=yes # 5. Opsional: DHCP Server untuk Client /ip pool add name=dhcp-pool ranges=192.168.1.10-192.168.1.254 /ip dhcp-server add name=dhcp1 interface=ether2 address-pool=dhcp-pool disabled=no /ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.1 dns-server=8.8.8.8,8.8.4.4
Verifikasi MikroTik
# Cek rule NAT /ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=masquerade out-interface=ether1 # Cek koneksi aktif /ip firewall connection print # Ping test dari router /ping 8.8.8.8 # Cek DHCP Client /ip dhcp-client print
Praktik Mandiri
Praktik 1: PAT dengan Interface (Cisco)
Spesifikasi:
- LAN: 192.168.10.0/24
- WAN: DHCP dari Cloud
- 3 PC client
Tugas:
- Buat topologi di Cisco Packet Tracer
- Konfigurasi PAT menggunakan interface
- Test ping dari setiap PC ke 8.8.8.8
- Capture tabel NAT translations
Praktik 2: Masquerade (MikroTik)
Spesifikasi:
- LAN: 192.168.1.0/24
- WAN: Terhubung ke NAT Cloud
- DHCP Server untuk client
Tugas:
- Buat topologi di GNS3
- Konfigurasi lengkap internet gateway
- Test akses internet dari VPCS
- Dokumentasikan semua konfigurasi
Praktik 3: Perbandingan
Tujuan: Membandingkan PAT dengan masquerade
Langkah:
- Implementasikan skenario yang sama di Cisco dan MikroTik
- Bandingkan:
- Jumlah langkah konfigurasi
- Output verifikasi
- Kemudahan troubleshooting
Troubleshooting PAT
| Gejala | Kemungkinan Penyebab | Solusi |
|---|---|---|
| Tidak bisa akses internet | NAT rule belum dibuat | Buat rule masquerade/overload |
| Akses ke beberapa site saja | DNS tidak dikonfigurasi | Set DNS server |
| Koneksi lambat | NAT table penuh | Clear NAT translations, cek resource |
| Beberapa aplikasi error | Aplikasi tidak NAT-friendly | Gunakan ALG atau DSTNAT |
Langkah Troubleshooting
1. Verifikasi interface IP Cisco: show ip interface brief MikroTik: /ip address print 2. Test konektivitas router ke internet ping 8.8.8.8 (dari router) 3. Cek NAT rule Cisco: show running-config | include nat MikroTik: /ip firewall nat print 4. Cek translasi NAT Cisco: show ip nat translations MikroTik: /ip firewall connection print 5. Cek default route Cisco: show ip route MikroTik: /ip route print
Rangkuman
Referensi Sub Halaman
- Sebelumnya: ← Konfigurasi NAT Dinamis
- Selanjutnya: Pengujian dan Troubleshooting NAT →