{Ask] MengalihkanTrafik Tertentu di Mikrotik Supaya Melalui Tunnel Wireguard


valent

Apprentice 1.0
Halo tuan-tuan,
Saya mau tanya bagaimana konfigurasi firewall (mungkin dst-nat atau mangle) di mikrotik, untuk mengalihkan trafik nvr/ipcam (tcp port 80,443; udp port 554) melalui tunnel wireguard.
Wireguardnya sudah terpasang di cloud/vps dan juga di mikrotiknya. Supaya nvr/ipcam ini nantinya bisa diakses dari internet melalui ip cloud/vps nya. Diagram jaringannya seperti ini:

mikrotik-wireguard.png

Dari dalam cloud/vps saya sudah bisa nge-ping atau traceroute ke ip nvr nya 192.168.88.7, dan iptables untuk port forwarding juga sudah dise.
Tapi masih belum bisa diakses dari luar/internet.

Dari log di mikrotiknya paket yang mengalir dari internet
dstnat: in:wireguard out:(unknown 0), connection-state:new proto TCP (SYN), 118.99.107.122:3662->192.168.75.3:80, len 52 forward: in:wireguard out:bridge1, connection-state:new,dnat proto TCP (SYN), 118.99.107.122:3662->192.168.88.7:80, NAT 118.99.107.122:3662->(192.168.75.3:80->192.168.88.7:80), len 52

Kalau saya pahami dari log di mikrotiknya, paket yang dikirim oleh ip 118.99.107.122 melalui vps/cloud bisa sampai ke ip NVR 192.168.88.7, tapi nggak ada respon di browser (connection time out). Mungkin NVR nya ini nggak mengetahui cara merespons balik via wireguard. Seperti ada rule yang kurang di mikrotiknya. Cuma saya nggak tau mesti merubah atau menambahkan rule apa lagi di firewall mikrotik.

Terima kasih sebelumnya.
 

Attachments

  • mikrotik-wireguard.png
    mikrotik-wireguard.png
    116.4 KB · Views: 7

jagoweb.com

Apprentice 1.0
untuk goal akhirnya ingin bisa diakses dari dalam jaringan yang terhubung dengan modem atau diakses melalui internet walaupun bukan dari satu jaringan tuan?
 

valent

Apprentice 1.0
untuk goal akhirnya ingin bisa diakses dari dalam jaringan yang terhubung dengan modem atau diakses melalui internet walaupun bukan dari satu jaringan tuan?
Iya tujuan akhirnya ingin supaya NVR bisa diakses dari jairngan internet, misal pakai smartphone atau notebook yang terkoneksi dengan isp lain
1. Network 192.168.88.0/24 ini diNAT melalui 192.168.75.3 atau 10.156.150.100?
2. Sekarang perintah forwardingnya di sisi VPS atau di Mikrotik ?
Paket yang masuk melalui 102.123.123.123 sudah bisa menglair sampai ke ip NVR nya. Tapi untuk arus baliknya masih lewat pppoe1, yang mestinya lewat wireguard juga. Jadi masih kepentok sampai disini.

Apabila saya gunakan SNAT di cloud vpsnya, port forwarding sudah bisa, paket yang kembali dari NVR akan melalui wireguard. Tapi dengan begini, alamat ip publik yang mengakses NVR melalui 102.123.123.123 akan ditranslasi oleh SNAT, jadi yang terbaca di log mikrotik adlaah ip gateway wireguardnya.

Apakah memang nggak memungkinkan apabila hanya menggunakan DNAT saja? Jadi alamat ip aslinya tetap diteruskan sampai ke NVR.
 

pluto01

Hosting Guru
The Warrior
Verified Provider
1. Di sisi VPS di set :
---->>Network 192.168.75.0/24 diNAT ke 103.123.123.123
---->>Kemudian set port forwarding :
iptables -I PREROUTING -t nat -p tcp -d 103.123.123.123 -m multiport --dports 80,443 -j DNAT --to 192.168.75.3

2. Di sisi Mikrotik
---->>Network 192.168.88.0/24 diNAT ke 192.168.75.3
---->>Kemudian set port forwarding :
chain : dstnat
dst.address : 192.168.75.3
protocol : tcp
dst.port : 80,443
action : dst-nat
To Address : 192.168.88.7
To Ports : 80 dan 443

Itu jika kondisi dari VPS ke 192.168.88.0/24 bukan routing melalui network 192.168.75.3

Tapi jika sudah routing maka
1. Di sisi Mikrotik buat routing table agar network 192.168.88.0/24 keluarnya/default routenya melalui 192.168.75.1
Noted : Pastikan network 192.168.88.* tdk ada nat ke pppoenya

2. Di sisi VPS di set :
---->>Network 192.168.88.0/24 diNAT ke 103.123.123.123
---->>Kemudian set port forwarding :
iptables -I PREROUTING -t nat -p tcp -d 103.123.123.123 -m multiport --dports 80,443 -j DNAT --to 192.168.88.7


CMIIW
 

valent

Apprentice 1.0
Termia kasih tuan-tuan yang sudah membantu. Masalahnya sudah solved. Ternyata di mikrotiknya nggak perlu nambah rule dnat. Cukup masquerade yang diarahkan ke wireguard. Sekarang ini ip publik dari yang mengakses NVR dari internet sudah bisa langsung terbaca di log mikrotiknya.
 

Top