Konfigurasi NAT (Static NAT vs Masquerade)

Updated on May 3, 2026

Gambaran Besar Dulu

Bayangkan kamu tinggal di perumahan. Semua rumah di sana pakai nomor blok internal — Blok A1, A2, A3, dan seterusnya. Nomor blok itu tidak ada di peta kota, jadi orang luar tidak bisa langsung kirim paket ke “Blok A3”. Yang ada di peta kota cuma satu: alamat kantor gerbang perumahan.

Nah, NAT (Network Address Translation) itu persis si penjaga gerbang. Semua paket dari dalam perumahan, dia cap dulu pakai alamat gerbang sebelum dikirim ke luar. Orang luar tahunya cuma alamat gerbang — tidak tahu ada Blok A1, A2, A3 di dalamnya.

Di jaringan komputer:

  • “Nomor blok internal” = IP Private (contoh: 10.1.1.0/24)
  • “Alamat gerbang” = IP Public dari ISP
  • “Penjaga gerbang” = Router MikroTik atau Cisco kamu

NAT punya dua mode utama yang harus kamu pahami sekarang.

Mode 1: Masquerade (Dynamic NAT / Overload)

Ini yang sudah kamu praktikkan di Tugas 7.

Cara kerjanya: semua komputer di jaringan lokal mau keluar ke Internet, router otomatis “menyamar” pakai satu IP Public. Ratusan komputer bisa keluar sekaligus — router yang urus pembedaannya lewat nomor port.

Analoginya: satu nomor telepon kantor, tapi bisa dipakai puluhan karyawan secara bergantian. Yang nelpon dari luar tahunya cuma nomor kantor.

Perintah di MikroTik

ip firewall nat add chain=srcnat out-interface=wlan1 action=masquerade

Perhatikan baik-baik:

  • chain=srcnat artinya kita mengubah alamat pengirim (source). Paket keluar dari lokal, alamat aslinya diganti jadi IP Public.
  • out-interface=wlan1 — ini interface yang menuju Internet. Di lab kita pakai wlan1 (mode station), bukan ether1 seperti di buku-buku umum. Ini jebakan paling sering salah.
  • action=masquerade — aksi penggantian IP otomatis.

Mode 2: Static NAT / dst-nat (Port Forwarding)

Sekarang kita balik skenarionya. Bukan komputer di dalam yang mau keluar, tapi orang di Internet yang mau masuk ke server kamu.

Contoh nyata: kamu punya web server sekolah di IP lokal 10.1.1.5. Server itu mau bisa diakses dari mana saja lewat Internet. Masalahnya, IP 10.1.1.5 itu IP private — tidak bisa diakses langsung dari luar.

Solusinya: dst-nat (Destination NAT). Router diperintah: “Kalau ada yang minta masuk lewat port 80, teruskan ke IP 10.1.1.5 di dalam.”

Ini seperti resepsionis kantor. Ada tamu datang ke alamat kantor, nanya mau ketemu Pak Budi. Resepsionis tidak kasih alamat rumah Pak Budi ke tamu, tapi langsung arahkan tamu ke ruangan Pak Budi di dalam. Tamu tetap tidak tahu “alamat asli” Pak Budi.

Konfigurasi di MikroTik

Langkah 1 — buat rule dst-nat:

ip firewall nat add chain=dstnat in-interface=wlan1 protocol=tcp dst-port=80 action=dst-nat to-addresses=10.1.1.5 to-ports=80

Bedah satu per satu:

  • chain=dstnat — kita mengubah alamat tujuan (destination). Paket masuk dari Internet, tujuannya diganti ke IP server internal.
  • in-interface=wlan1 — paket masuk dari interface mana? Dari wlan1, karena itu sisi Internet kita.
  • protocol=tcp dst-port=80 — hanya paket yang menuju port 80 (HTTP/web) yang kena rule ini. Paket lain lewat aja.
  • action=dst-nat to-addresses=10.1.1.5 to-ports=80 — teruskan ke IP 10.1.1.5 port 80.

Langkah 2 — verifikasi koneksi:

ip firewall connection print

Perintah ini memperlihatkan daftar koneksi yang sedang aktif dan sudah ditranslasi oleh NAT.

Konfigurasi Static NAT di Cisco (untuk perbandingan)

Di Cisco, Static NAT punya pendekatan berbeda. Kamu langsung mapping satu IP private ke satu IP public — satu lawan satu.

Langkah 1 — daftarkan mapping-nya:

ip nat inside source static 10.1.1.5 [ip-public-kamu]

Langkah 2 — tandai interface mana yang “dalam” dan mana yang “luar”:

interface fa0/0
 ip nat inside

interface fa0/1
 ip nat outside

Langkah 3 — verifikasi:

show ip nat translations

Output perintah ini akan memperlihatkan tabel translasi: IP mana dipetakan ke IP mana.

Perbedaan Masquerade vs dst-nat, Singkat

Masquerade (srcnat) dst-nat
Arah traffic Dari dalam ke luar Dari luar ke dalam
Siapa yang mulai koneksi Komputer lokal Orang dari Internet
Tujuan Semua user bisa Internet Server lokal bisa diakses dari Internet
Chain yang dipakai srcnat dstnat
Interface out-interface in-interface

Jebakan yang Sering Terjadi

Ini yang paling banyak bikin siswa gagal:

  1. Salah interface. Menulis out-interface=ether1 padahal lab kita pakai wlan1. Akibatnya NAT tidak jalan sama sekali. Selalu cek dulu interface mana yang dapat IP dari ISP.

  2. Lupa protocol dan dst-port di dst-nat. Kalau dua parameter itu tidak diisi, rule jadi terlalu lebar — semua traffic masuk akan diarahkan ke server, bukan hanya HTTP. Ini berbahaya.

  3. Urutan rule di MikroTik. Rule NAT dibaca dari atas ke bawah. Kalau dst-nat kamu di bawah rule lain yang lebih umum, bisa terblok duluan.

  4. Di Cisco, lupa tandai interface. Sudah bikin ip nat inside source static, tapi lupa ketik ip nat inside di interface LAN dan ip nat outside di interface WAN. NAT tidak akan aktif tanpa dua perintah itu.

Kuis Pemahaman

  1. Apa perbedaan fungsi antara chain=srcnat dan chain=dstnat di MikroTik? Kapan masing-masing dipakai?

  2. Di lab sekolah kita, kenapa perintah masquerade menggunakan out-interface=wlan1, bukan out-interface=ether1?

  3. Kamu ingin web server di IP 10.1.1.10 bisa diakses dari Internet lewat port 8080. Tuliskan perintah MikroTik yang tepat untuk membuat rule dst-nat-nya!

Next

Konfigurasi Wireless Access Point MikroTik
Virtual Access Point dan Multi-SSID MikroTik
Hotspot Server MikroTik (Login Page, User Management)
VLAN Dasar pada Cisco Switch (Membuat, Assign Port, Trunking)
Bandwidth Management: Simple Queue MikroTik
Per Connection Queue (PCQ) MikroTik
Firewall Logging dan Monitoring MikroTik
Backup, Restore, dan Upgrade RouterOS MikroTik
Multi-Area OSPF dengan Redistribusi
EtherChannel (Link Aggregation) pada Cisco Switch
Spanning Tree Protocol (STP) Observasi dan Tuning
Queue Tree Hierarki (HTB) MikroTik untuk QoS Kompleks
Switch Chip & VLAN pada MikroTik RouterBoard
PROYEK AKHIR: Desain Jaringan Kantor Lengkap