Follow us on...
Follow us on G+ Follow us on Twitter Follow us on Facebook Watch us on YouTube
Register
Page 1 of 2 12 LastLast
Results 1 to 15 of 27
  1. #1
    Status
    Offline
    adh1et's Avatar
    Member Senior
    Join Date
    Jul 2010
    Posts
    341
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0

    masalah NAT masquerade terhadap device berbeda segmen

    topologi PC----Mikrotik-----Wireless Access Point (D-Link)

    IP Address
    PC : 192.168.1.11/24, gateway : 192.168.1.1
    Mikrotik ether1 : 192.168.1.1/24
    Mikrotik ether2 : 172.16.0.1/24
    Wireless AP : 172.16.0.2/24, gateway : [kosong, karena memang gak ada menu settingnya]
    address-list
    network-addr = 192.168.1.0/24
    network-addr = 172.16.0.0/24
    ip firewall nat
    chain=srcnat
    src.address = 192.168.1.0/24
    dst.address ist = !network-addr
    action = masquerade
    terjadi masalah tidak bisa konek jika dari PC ping / melakukan koneksi ke wireless AP, masalah ini terjadi apabila "dst.address ist = !network-addr" saya aktifkan, tapi jika "dst.address ist = !network-addr" tidak saya aktifkan maka koneksi berjalan baik" aja.

    nah asumsi saya jika saya melakukan masquerade terhadap IP network maka pada saat PC client melakukan ping / koneksi ke Wireless AP maka IP yang terbaca dari Wireless AP adalah IP router (172.16.0.1) bukan IP Client (192.168.1.11)

    apakah memang seperti itu perlakuanya untuk "device no gateway"?

    mohon pencerahanya...

  2. The Following User Says Thank You to adh1et For This Useful Post:


  3. #2
    Status
    Offline
    yosanpro's Avatar
    Co-Admin
    Join Date
    Nov 2007
    Location
    Bantul, Bantul, Yogyakarta
    Posts
    2,548
    Reviews
    Read 0 Reviews
    Downloads
    11
    Uploads
    4
    Feedback Score
    1 (100%)
    Jika tidak di masquerade, maka dari wireless AP tidak bisa membalas packet yang berasal dari PC karena IP sumber (PC) berbeda subnet dengan IP AP, dan tidak ada routing ataupun gateway ke IP tersebut. Jika di-masquerade maka AP akan mengenali IP sumber dalam 1 subnet (IP router).
    A person's junk is another person's treasure.

  4. The Following 2 Users Say Thank You to yosanpro For This Useful Post:


  5. #3
    Status
    Offline
    karaeng's Avatar
    VIP Member
    Join Date
    Jun 2010
    Posts
    958
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by adh1et Click here to enlarge
    topologi PC----Mikrotik-----Wireless Access Point (D-Link)







    terjadi masalah tidak bisa konek jika dari PC ping / melakukan koneksi ke wireless AP, masalah ini terjadi apabila "dst.address ist = !network-addr" saya aktifkan, tapi jika "dst.address ist = !network-addr" tidak saya aktifkan maka koneksi berjalan baik" aja.

    nah asumsi saya jika saya melakukan masquerade terhadap IP network maka pada saat PC client melakukan ping / koneksi ke Wireless AP maka IP yang terbaca dari Wireless AP adalah IP router (172.16.0.1) bukan IP Client (192.168.1.11)

    apakah memang seperti itu perlakuanya untuk "device no gateway"?

    mohon pencerahanya...
    tuh rule ds.address.list memank dibuat gimana....? dan untuk apa?
    memang kadang terjadi masalah pada radio TP-**** krn yang terbaca bukan mac dri client tetapi mac radio tersebut, jadi tidak ada transparancy Ip....

  6. The Following 2 Users Say Thank You to karaeng For This Useful Post:


  7. #4
    Status
    Offline
    adh1et's Avatar
    Member Senior
    Join Date
    Jul 2010
    Posts
    341
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    @yosanpro
    bukankah ada routing dinamic dari mikrotik? itu gak jalan juga ya? karena si wireless AP gak tau mau nanya ke siapa (gateway) IP client pas dia mo bales paket.

    @karaeng
    dst.address.list itu isinya seluruh IP yang ada dalam jaringan saya, karena sesuatu dan lain hal maka trafict ke lokal address tidak di masquerade, biar ktauan IP aslinya gitu.

    bingung dah mau gimana, ya si device gak punya gateway trus mau nanya sama siapa lg dia kalo mau bales packet dari orang lain.
    ganti device aja kali ya.. Click here to enlarge

  8. The Following User Says Thank You to adh1et For This Useful Post:


  9. #5
    Status
    Offline
    adiputrolds's Avatar
    Forum Guru
    Join Date
    Oct 2008
    Posts
    1,485
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    fungsi gateway bukan hanya segabagi gateway ke any
    tp gateway ke network lain

    sebaiknya AP juga di beri gateway
    pemberian gateway ke AP tidak akan mempengaruhi client di bawah AP
    karena itu berdiri sendiri. (mode AP-Bridge)

    selama anda ingin mengakses AP dari network non-nat
    si AP harus tau kemana diarahkan traffic balik, jadi dia harus punya gateway

    kalo anda buang dst-address-list=!network-addr
    berarti traffic ke arah AP juga kenak masquerade
    jadi si AP berpikir traffic dari network dia sendiri
    dia akan mengembalikan ke IP mikrotik yg kearah AP

    tp sebenernya process bukan berakhir disana
    nanti2 nya baru akan ada pembacaan dynamic routing mikrotik
    setelah mikrotik membaca connection tracking ke arah PC
    Last edited by adiputrolds; 01-11-2011 at 13:47.

  10. The Following 2 Users Say Thank You to adiputrolds For This Useful Post:


  11. #6
    Status
    Offline
    adh1et's Avatar
    Member Senior
    Join Date
    Jul 2010
    Posts
    341
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by electrix_85 Click here to enlarge
    fungsi gateway bukan hanya segabagi gateway ke any
    tp gateway ke network lain
    setuju gan

    Click here to enlarge Originally Posted by electrix_85 Click here to enlarge
    sebaiknya AP juga di beri gateway
    pemberian gateway ke AP tidak akan mempengaruhi client di bawah AP
    karena itu berdiri sendiri. (mode AP-Bridge)

    selama anda ingin mengakses AP dari network non-nat
    si AP harus tau kemana diarahkan traffic balik, jadi dia harus punya gateway
    nah itu dia masalahnya, si AP gak ada menu / text field buat ngisi gateway Click here to enlarge

    Click here to enlarge Originally Posted by electrix_85 Click here to enlarge
    kalo anda buang dst-address-list=!network-addr
    berarti traffic ke arah AP juga kenak masquerade
    jadi si AP berpikir traffic dari network dia sendiri
    dia akan mengembalikan ke IP mikrotik yg kearah AP
    setuju gan

    Click here to enlarge Originally Posted by electrix_85 Click here to enlarge
    tp sebenernya process bukan berakhir disana
    nanti2 nya baru akan ada pembacaan dynamic routing mikrotik
    setelah mikrotik membaca connection tracking ke arah PC
    hmmm... masih bingung yg ini gan, maksudnya untuk non masquerade bisa di akalin gitu biar "seakan-akan punya gateway"? ato device itu wajib punya gateway?

  12. The Following User Says Thank You to adh1et For This Useful Post:


  13. #7
    Status
    Offline
    Anto.PJ's Avatar
    Forum Guru
    Join Date
    May 2011
    Location
    macz
    Posts
    1,696
    Reviews
    Read 0 Reviews
    Downloads
    7
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by adh1et Click here to enlarge
    topologi PC----Mikrotik-----Wireless Access Point (D-Link)

    terjadi masalah tidak bisa konek jika dari PC ping / melakukan koneksi ke wireless AP, masalah ini terjadi apabila "dst.address ist = !network-addr" saya aktifkan, tapi jika "dst.address ist = !network-addr" tidak saya aktifkan maka koneksi berjalan baik" aja.

    nah asumsi saya jika saya melakukan masquerade terhadap IP network maka pada saat PC client melakukan ping / koneksi ke Wireless AP maka IP yang terbaca dari Wireless AP adalah IP router (172.16.0.1) bukan IP Client (192.168.1.11)

    apakah memang seperti itu perlakuanya untuk "device no gateway"?

    mohon pencerahanya...
    hal yang sama saya alami waktu melakukan masquerade terhadap interface proxy (+webserver).. terbaca di log proxy cuma gateway MT

    kalo dicoba begini..

    add action=masquerade chain=srcnat comment="masquerade AP" disabled=no dst-address=172.16.0.2
    udah??

  14. The Following 2 Users Say Thank You to Anto.PJ For This Useful Post:


  15. #8
    Status
    Offline
    adh1et's Avatar
    Member Senior
    Join Date
    Jul 2010
    Posts
    341
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    nah kalo saya gak ada masalah di proxy, soalnya gateway proxy mengarah ke 172.16.0.1 (interface mikrotik yang ke proxy) jadi saat client nge ping / konek ke proxy si proxy udah tau jalan balik nya (nanya ke gateway nya)

    "add action=masquerade chain=srcnat comment="masquerade AP" disabled=no dst-address=172.16.0.2"
    itu maksudnya seluruh koneksi yang menuju 172.16.0.2 di masquerade kan? bukankah kalo gitu nanti yang kebaca adalah ip mikrotik kyk penjelasanya electrix_85

    brarti kesimpulannya emang gak bisa ya non masquerade untuk device yang berbeda / tidak memiliki gateway?

  16. The Following User Says Thank You to adh1et For This Useful Post:


  17. #9
    Status
    Offline
    adiputrolds's Avatar
    Forum Guru
    Join Date
    Oct 2008
    Posts
    1,485
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    bisa di screen shot bagian webconfig network nya ??
    aneh kalo AP D-Link gk ada isian buat gateway .......................

    sebenernya masquerade cuman automatisasi dari src-nat

    kalo mau di buat advance bs aja menggunakan
    ip fir nat add chain=srcnat action=src-nat to-address=172.16.0.1 protocol=tcp dst-port=80 dst-address=172.16.0.2 out-interface=ether2
    Last edited by adiputrolds; 01-11-2011 at 16:57.

  18. The Following 2 Users Say Thank You to adiputrolds For This Useful Post:


  19. #10
    Status
    Offline
    adh1et's Avatar
    Member Senior
    Join Date
    Jul 2010
    Posts
    341
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    reserve>>masih di kantor ini, ntar malem ane ss

    sorry, bukan D-link, prollink ternyata Click here to enlarge habisnya sama" ada link-link nya Click here to enlarge

     

    Click here to enlarge
    Last edited by adh1et; 02-11-2011 at 08:31.

  20. The Following User Says Thank You to adh1et For This Useful Post:


  21. #11
    Status
    Offline
    adiputrolds's Avatar
    Forum Guru
    Join Date
    Oct 2008
    Posts
    1,485
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    sebaiknya masquerade hanya ke arah out-interface=WAN
    karena src-nat memakan RAM dan kerja keras

  22. The Following 3 Users Say Thank You to adiputrolds For This Useful Post:


  23. #12
    Status
    Offline
    Anto.PJ's Avatar
    Forum Guru
    Join Date
    May 2011
    Location
    macz
    Posts
    1,696
    Reviews
    Read 0 Reviews
    Downloads
    7
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by adh1et Click here to enlarge
    nah kalo saya gak ada masalah di proxy, soalnya gateway proxy mengarah ke 172.16.0.1 (interface mikrotik yang ke proxy) jadi saat client nge ping / konek ke proxy si proxy udah tau jalan balik nya (nanya ke gateway nya)

    "add action=masquerade chain=srcnat comment="masquerade AP" disabled=no dst-address=172.16.0.2"
    itu maksudnya seluruh koneksi yang menuju 172.16.0.2 di masquerade kan? bukankah kalo gitu nanti yang kebaca adalah ip mikrotik kyk penjelasanya electrix_85

    brarti kesimpulannya emang gak bisa ya non masquerade untuk device yang berbeda / tidak memiliki gateway?
    ya.. coba topologi kayak gini? proxynya menggunakan 2 line alias proxy + PC router + webserver..
    Click here to enlarge
    hasil nyoba karena penasaran..
    jadi port 80 di dst-nat ke port 3128 keluar dari eth-3 MT trus masuk ke Nic-2 proxy.. trus keluar lewat Nic-1 trus masuk lagi ke eth-2 MT dan diteruskan ke inet..
    kita ga bahas proxynya.. cuma bahas translasi alamatnya.. ; di log squid tercatat permintaan dilakukan oleh IP 172.16.4.254 (IP gateway eth3 MT)
    padahal..

    di coba dulu toh.. trial error bikin kita cepet ngerti..
    nah kalo dalam kasus agan, selama ga terjadi double nat seperti diatas.. akan aman2 saja.. soalnya sebelum saya post musti saya uji dulu di router

    mungkin karena.. menggunakan mode ap-router??

  24. The Following 2 Users Say Thank You to Anto.PJ For This Useful Post:


  25. #13
    Status
    Offline
    adh1et's Avatar
    Member Senior
    Join Date
    Jul 2010
    Posts
    341
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by Anto.PJ Click here to enlarge
    ya.. coba topologi kayak gini? proxynya menggunakan 2 line alias proxy + PC router + webserver..
    Click here to enlarge
    hasil nyoba karena penasaran..
    jadi port 80 di dst-nat ke port 3128 keluar dari eth-3 MT trus masuk ke Nic-2 proxy.. trus keluar lewat Nic-1 trus masuk lagi ke eth-2 MT dan diteruskan ke inet..
    kita ga bahas proxynya.. cuma bahas translasi alamatnya.. ; di log squid tercatat permintaan dilakukan oleh IP 172.16.4.254 (IP gateway eth3 MT)
    padahal..

    di coba dulu toh.. trial error bikin kita cepet ngerti..
    nah kalo dalam kasus agan, selama ga terjadi double nat seperti diatas.. akan aman2 saja.. soalnya sebelum saya post musti saya uji dulu di router

    mungkin karena.. menggunakan mode ap-router??
    gan, itu masquerade dari client nya gmn? pake gini?
    chain=srcnat
    src.addr=lokal
    action=masquerade

    ato gini?
    chain=srcnat
    src.addr=lokal
    dst.addr=!network-addr
    action=masquerade

    kalo pake yg atas nanti log squidnya bakal catet alamat router bukan client
    kalo pake yg bawah log squidnya catet alamat client (non masquerade for local network)

  26. The Following User Says Thank You to adh1et For This Useful Post:


  27. #14
    Status
    Offline
    karaeng's Avatar
    VIP Member
    Join Date
    Jun 2010
    Posts
    958
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by adh1et Click here to enlarge
    @yosanpro
    bukankah ada routing dinamic dari mikrotik? itu gak jalan juga ya? karena si wireless AP gak tau mau nanya ke siapa (gateway) IP client pas dia mo bales paket.

    @karaeng
    dst.address.list itu isinya seluruh IP yang ada dalam jaringan saya, karena sesuatu dan lain hal maka trafict ke lokal address tidak di masquerade, biar ktauan IP aslinya gitu.

    bingung dah mau gimana, ya si device gak punya gateway trus mau nanya sama siapa lg dia kalo mau bales packet dari orang lain.
    ganti device aja kali ya.. Click here to enlarge
    klo menurut sy kendalanya ini bukan pada mikrotik, tetapi pada radio AP yg kamu punya....

  28. The Following 2 Users Say Thank You to karaeng For This Useful Post:


  29. #15
    Status
    Offline
    adh1et's Avatar
    Member Senior
    Join Date
    Jul 2010
    Posts
    341
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    musti ganti device ini brarti Click here to enlarge
    gak bisa di akalin ya kalo mau non masquerade... Click here to enlarge

  30. The Following User Says Thank You to adh1et For This Useful Post:


 

 
Page 1 of 2 12 LastLast

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Similar Threads

  1. Koneksi 2 segmen IP yang berbeda
    By subseven in forum Beginner Basics
    Replies: 20
    Last Post: 12-07-2016, 13:33
  2. menggabungkan 2 jaringan dengan segmen IP yg berbeda
    By novel in forum Beginner Basics
    Replies: 6
    Last Post: 27-01-2012, 11:05
  3. [45k] cara mengkoneksikan ip yang berbeda segmen
    By thegundul in forum Beginner Basics
    Replies: 4
    Last Post: 21-09-2010, 09:44
  4. Koneksi 2 segmen IP yg berbeda
    By subseven in forum Beginner Basics
    Replies: 2
    Last Post: 08-02-2010, 14:18
  5. Koneksi 2 segmen IP yang berbeda
    By subseven in forum Beginner Basics
    Replies: 0
    Last Post: 08-02-2010, 11:58

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •