Site-to-Site VPN dengan Overlapping Subnet di FortiGate | Trik NAT Dua Arah

-

 

🧠 Pendahuluan:

Gue nemu kasus klasik tapi tetap ngeselin:

Dua site beda lokasi mau gue sambungin via IPsec VPN.
Tapi ternyata… subnet internalnya sama persis: 192.168.1.0/24.

Masalahnya?
Kalau langsung disambungin, routingnya konflik. Device di HQ gak bisa ngebedain mana 192.168.1.10 dari Jakarta dan mana yang dari Surabaya.

Ganti IP client? Ribet.
Makanya gue ambil jalan ninja: NAT dua arah pake subnet bohongan.

🧰 Topologi Jaringan


📌 Gambar referensi dari dokumentasi resmi Fortinet: “Site-to-site VPN with overlapping subnets”

  • HQ Internal: 192.168.1.0/24 → di-NAT ke 10.1.1.0/24

  • Branch Internal: 192.168.1.0/24 → di-NAT ke 10.2.2.0/24

  • Kedua FortiGate saling terhubung via IPsec VPN (route-based)

⚙️ Langkah Konfigurasi

1. IPsec VPN di HQ FortiGate

  • Remote Gateway: 172.25.177.46 (Branch)

  • Phase 2:

    • Local: 10.1.1.0/24

    • Remote: 10.2.2.0/24

2. Static Route

  • Route 10.2.2.0/24 → via tunnel

  • Route 10.2.2.0/24 → via blackhole (AD 200)

3. Address Object

  • HQ-original192.168.1.0/24

  • Branch-new10.2.2.0/24

4. IP Pool (S-NAT)

  • Nama: HQ-new

  • IP virtual: 10.1.1.1 – 10.1.1.254

  • IP asli: 192.168.1.1 – 192.168.1.254

5. VIP (D-NAT)

  • Nama: HQ-new-to-original

  • External IP: 10.1.1.1 – 10.1.1.254

  • Map ke: 192.168.1.1 – 192.168.1.254

6. Firewall Policy

  • HQ → Branch: NAT enable (pakai IP Pool)

  • Branch → HQ: NAT disable (pakai VIP)

🔄 Langkah Sama di Branch FortiGate

  • Di-mirror dari HQ, tapi ganti:

    • NAT Pool: 10.2.2.1 – 10.2.2.254

    • VIP: Branch-new-to-original

✅ Testing

  • Dari HQ: ping 10.2.2.10 → NAT → 192.168.1.10 (Branch)

  • Dari Branch: ping 10.1.1.20 → NAT → 192.168.1.20 (HQ)

Sukses ngobrol meskipun dua site punya IP kembar. NAT yang nyelametin 😎

🎯 Kesimpulan

Kalau lo mentok dengan IP kembar antar site, NAT dua arah ini bisa jadi penyelamat:

  • Gak perlu re-IP client

  • Bisa jalan tanpa overlay ribet

  • Kompatibel di banyak skenario real world

Tapi ingat:

Solusi ini cocok buat kasus kecil-menengah. Kalau skalanya udah ratusan VLAN, pertimbangkan redesign IP yang lebih scalable.

💬 Penutup

Lo pernah ngalamin kasus kayak gini juga? Atau punya pendekatan yang lebih clean?
Gue open banget buat diskusi di kolom komentar.

🔖 Tag:

#FortiGate #VPN #OverlappingSubnet #NAT #NetworkDesign #CaraDimas

Komentar

Posting Komentar

Postingan populer dari blog ini

PROXY-ARP DALAM PRAKTIK: APA, MENGAPA, DAN BAGAIMANA

-
Gambar
  PROXY-ARP DALAM PRAKTIK: APA, MENGAPA, DAN BAGAIMANA (STUDI KASUS R-PE – R-CE – R-DIS) Ringkasan Proxy-ARP membuat router menjawab ARP request atas nama IP yang sebenarnya berada di belakangnya. Pada topologi R-PE – R-CE – R-DIS, fitur ini memungkinkan perangkat ISP (R-PE) mencapai IP di downstream (R-DIS) tanpa ISP menambahkan route khusus, meskipun prefix di kedua sisi tidak seragam . Topologi dan Alokasi IP (sesuai lab) Catatan penting: Di R-PE , interface ke CE memakai /29 sehingga alamat 103.0.0.6 dianggap “sejaringan” dan akan di-ARP. Di R-CE , uplink ke PE memakai /30 . Ketidaksamaan prefix inilah yang membuat Proxy-ARP di R-CE menjadi kunci.     Mekanisme Kerja (alur paket nyata di lab) R-PE butuh mengirim paket ke 103.0.0.6 (R-DIS). Karena interface e0/0 bertopeng /29 , R-PE mengira 103.0.0.6 ada di segmen yang sama => kirim ARP request : “Siapa 103.0.0.6?” R-CE (e0/0, uplink) ...
Baca selengkapnya

Upgrade Cisco AP C9105AXI-F dari CAPWAP ke EWC (Cisco Embedded Wireless Controller)

-
Upgrade Cisco AP C9105AXI-F dari CAPWAP ke EWC (Cisco Embedded Wireless Controller) Diterbitkan oleh: Dimas Kurniawan Tanggal: 24/07/2025 Pendahuluan Dalam beberapa deployment, kita sering menjumpai Access Point (AP) Cisco seri C9105AXI-F yang secara default berjalan dalam mode CAPWAP Lightweight dengan image versi 8.x, alias firmware lawas. Di versi ini, AP biasanya terkoneksi ke Mobility Express WLC , yang notabene sudah deprecated dan tidak lagi dikembangkan Cisco sejak diperkenalkannya platform Cisco Embedded Wireless Controller (EWC) di versi IOS-XE 17.x. Nah, pada tulisan ini, gue mau bagiin pengalaman pribadi dalam proses: Upgrade image AP dari versi 8 ke 17 Migrasi dari mode CAPWAP ke mode EWC Mengatasi error curl: (23) Error transfer command failed (Error 23) Yuk langsung ke teknisnya!
Baca selengkapnya

CARA INSTALL PNETLAB

-
Bismillah... pada tulisan kali ini sesuai judul kita akan menginstall pnetlab, nah sebelumnya kita bahas dahulu apa itu pnetlab. Jadi Pnetlab ini adalah salah satu aplikasi simulator jaringan, buat temen-temen yang ingin belajar jaringan gak perlu pake real device, jadi cukup pakai aplikasi simulator aja nih.... nah salah satunya itu adalah pnetlab. Pnetlab base on Ubuntu jadi kita untuk mendeploynya harus menggunakan aplikasi hypervisor seperti Virtual Box atau VMware. oke langsung aja ke langkah-langkah cara install PNetLab: Download File Pnetlab di  https://pnetlab.com/pages/download Download dan install VMware Deploy Pnetlab di VMware Ikuti saja stepnya dan initial confignya dan kita harus update reponya di /etc/apt/sources.list tambahkan repo berikut :  deb [trusted=yes] https://pnetlab.labhub.eu.org ./ install ishare2, caranya ketik wget -O /usr/sbin/ishare2 https://raw.githubusercontent.com/ishare2-org/ishare2-cli/main/ishare2 && chmod +x /usr/sbin/ishare2 ...
Baca selengkapnya