Tutorial
Konfigurasi NAT MikroTik untuk akses internet
Konfigurasikan Network Address Translation pada router MikroTik dengan masquerade atau src-nat, lewat Winbox atau CLI, dalam lima langkah singkat.
Ringkasan Network Address Translation (NAT) adalah yang memungkinkan banyak perangkat berbagi satu IP publik. Pada router MikroTik, NAT dikonfigurasi di
IP → Firewall → NATdengan dua pilihan praktis:masqueradeuntuk link WAN dinamis dansrc-natuntuk IP publik statis. Panduan ini menjelaskan keduanya, plus kolom-kolom aturan yang sering mengelabui pengguna saat pertama kali mencoba.
Bagaimana NAT bekerja di MikroTik?
NAT adalah fitur firewall yang menulis ulang alamat IP pada paket saat melewati router, sehingga perangkat di LAN privat dapat berbagi satu IP publik untuk menjangkau internet. Di MikroTik, NAT berada di dalam firewall pada IP → Firewall → NAT, dan router menerapkan aturan ke trafik berdasarkan chain (arah), interface, dan action yang menjelaskan cara menulis ulang alamat.
Aturan NAT yang benar mengubah “perangkat LAN ingin internet” menjadi “WAN melihat satu paket dari IP publik router, dan merute balasannya melalui translasi yang sama”. Tanpa aturan NAT, LAN mengirimkan paket keluar, tetapi penyedia upstream menjatuhkannya karena alamat RFC 1918 (192.168.x, 10.x, 172.16.x) tidak dapat diroutekan di internet publik.
Kolom aturan NAT yang perlu Anda kenali
Tiga kolom yang menentukan keberhasilan aturan NAT:
Chain adalah arah trafik. Pakai srcnat untuk translasi keluar (kasus LAN-ke-internet pada panduan ini) dan dstnat untuk trafik masuk (port forwarding).
Out. Interface adalah interface keluar yang dikenai aturan — biasanya port WAN, yang menerima link internet dari ISP.
Action adalah apa yang dilakukan aturan terhadap paket yang cocok. Untuk source NAT, dua opsinya adalah masquerade dan src-nat.
Masquerade vs. src-nat
Keduanya menulis ulang IP sumber pada paket keluar, tetapi dengan cara berbeda:
| Kolom | masquerade | src-nat |
|---|---|---|
| Link internet | IP dinamis | IP publik valid (statis) |
| Catatan pemetaan NAT | Tidak disimpan | Disimpan |
| IP sumber setelah translasi | IP publik router saat ini | IP spesifik yang Anda tentukan di To Address |
Masquerade adalah pilihan tepat saat ISP memberi Anda IP berbeda setiap kali reboot (kebanyakan paket rumahan dan SMB). Ia menulis ulang paket ke alamat apapun yang sedang dipegang oleh interface WAN dan tidak menyimpan state saat IP berubah, sehingga bertahan dengan baik saat WAN flap.
Src-nat adalah pilihan ketika Anda memiliki IP publik statis dan menginginkan kontrol eksplisit. Kolom To Address memungkinkan Anda mengunci IP sumber pasca-translasi, yang penting untuk korelasi trafik masuk, akuntansi trafik, dan kasus khusus seperti beberapa IP WAN pada satu interface.
Konfigurasi NAT langkah demi langkah di Winbox
Langkah 1 — Buka menu NAT
Sambung ke router dengan Winbox, lalu buka IP → Firewall dan beralih ke tab NAT.
Langkah 2 — Tambahkan aturan baru
Klik tombol biru + untuk membuka dialog New NAT Rule.
Langkah 3 — Atur Chain dan Out. Interface
Pada tab General:
- Chain:
srcnat - Out. Interface: interface WAN (umumnya
ether1pada konfigurasi default)
Pindah ke tab Action untuk menentukan translasi.
Langkah 4a — IP dinamis: gunakan masquerade
Jika ISP memberikan IP dinamis, atur Action ke masquerade dan klik OK. Router akan menulis ulang alamat sumber secara on-the-fly, berapa pun IP publik yang dipegangnya saat itu.
/ip/firewall/nat add chain=srcnat out-interface=ether1 action=masquerade
Langkah 4b — IP statis: gunakan src-nat
Jika ISP menyediakan IP publik tetap:
- Atur Action ke
src-nat. - Pada To Address, masukkan IP statis yang ditetapkan pada interface WAN.
- Klik OK.
/ip/firewall/nat add chain=srcnat out-interface=ether1 action=src-nat to-addresses=203.0.113.10
Langkah 5 — Verifikasi
Perangkat LAN sekarang seharusnya dapat menjangkau internet. Dari sebuah klien, buka situs eksternal apa pun atau jalankan ping 8.8.8.8. Jika gagal, tersangka biasanya: interface yang salah di Out. Interface, default route yang hilang, atau DNS yang belum dikonfigurasi terpisah — perbaiki dengan mengikuti panduan DNS over HTTPS atau daftar pemeriksaan akses 192.168.88.1.
Tips
- Tempatkan aturan NAT setelah aturan drop spesifik di firewall, agar keputusan kebijakan dibuat pada alamat yang belum ditranslasi.
- Jika Anda berpindah dari masquerade ke src-nat, hapus entri connection tracking yang ada dengan
/ip/firewall/connection remove [find]— entri lama bisa menutupi translasi baru. - Pada lingkungan CGNAT, masquerade di MikroTik tetap bekerja normal — CGNAT ISP hanya menambah lapisan translasi kedua di belakang Anda.
Skalakan kebijakan NAT di seluruh lokasi
Satu aturan NAT itu sepele. Mengelola NAT, port forward, dan pemetaan src-nat pada seratus router MikroTik — masing-masing dengan setup WAN sendiri, alokasi IP statis sendiri, pengecualian khusus pelanggan sendiri — di sinilah operator kehilangan jam-jam tiap minggu.
MKController mendorong set aturan NAT dan firewall yang sama ke setiap perangkat di inventaris Anda dan melacak penyimpangan per router, sehingga Anda bisa melihat persis lokasi mana yang menyimpang dari template. Saat alokasi IP upstream berubah atau regresi urutan aturan memutus konektivitas, dashboard menandai lokasi yang terdampak sebelum pelanggan melakukannya.