Cara Config

Beranda
fortigate

Central NAT FortiGate: Aturan Main, Integrasi SD-WAN, Contoh Kasus & Cara Debug

Aturan Central NAT di FortiGate (Penjelasan Teknis, Praktis, & Real Case)

Dalam implementasi FortiGate, NAT sering jadi sumber masalah, apalagi kalau sudah melibatkan multi ISP dan SD-WAN. Banyak kasus “routing sudah benar, policy sudah allow, tapi internet tetap mati”. Hampir selalu, problemnya ada di NAT.

Artikel ini membahas Central NAT di FortiGate dengan bahasa teknis tapi tetap manusia: bagaimana cara kerjanya, bagaimana aturannya, bagaimana jika digabung dengan SD-WAN, contoh IP tertentu keluar lewat ISP tertentu, dan cara debug yang benar.

1. Apa itu Central NAT di FortiGate?

Central NAT adalah mekanisme NAT yang dipisahkan dari firewall policy. Artinya, firewall policy hanya bertugas mengizinkan atau menolak trafik, sedangkan proses NAT dilakukan di tempat terpusat, yaitu config firewall central-snat-map.

Saat Central NAT aktif:

  • NAT di firewall policy tidak dipakai
  • Firewall policy tidak menentukan IP mana yang di-NAT
  • Semua translasi IP dikontrol oleh central-snat-map

Central NAT sangat cocok untuk:

  • Lingkungan multi ISP
  • Implementasi SD-WAN
  • Network yang butuh NAT konsisten dan mudah di-debug

2. Urutan Proses Trafik (Central NAT)

Ini urutan proses yang sering disalahpahami:

  1. Paket masuk ke FortiGate (misalnya dari LAN)
  2. FortiGate cek firewall policy
  3. Jika policy match & allow, lanjut
  4. FortiGate cek central-snat-map
  5. Jika match, source IP di-SNAT
  6. Paket dikirim ke interface WAN

Catatan penting: Kalau firewall policy tidak match, Central NAT tidak akan pernah jalan.

3. Central NAT Saat Menggunakan SD-WAN

Saat SD-WAN aktif, FortiGate mengubah cara kita membuat policy. Firewall policy tidak lagi mengarah ke WAN fisik.

Aturan dasarnya:

  • Firewall policy: LAN → virtual-wan-link
  • SD-WAN service rule: menentukan ISP mana yang dipakai
  • Central NAT: melakukan SNAT sesuai interface WAN hasil keputusan SD-WAN

Alur sederhananya: 

LAN
 → Firewall Policy (dstintf: virtual-wan-link)
   → SD-WAN Service Rule
     → port1 / port2 / port3 / port4
       → Central SNAT

Kesalahan yang paling sering terjadi adalah tetap mencoba mengarahkan firewall policy langsung ke port WAN fisik, padahal SD-WAN sudah aktif. Di kondisi ini policy memang terlihat benar, tapi trafik tidak akan pernah lewat karena keputusan jalur WAN sepenuhnya diambil oleh SD-WAN.

4. Contoh Firewall Policy yang Benar (SD-WAN)

config firewall policy
    edit 1
        set name "lan-to-internet"
        set srcintf "port7"
        set dstintf "virtual-wan-link"
        set srcaddr "192.168.100.0/24"
        set dstaddr "all"
        set schedule "always"
        set service "ALL"
        set action accept
        set logtraffic all
    next
end

Hal yang perlu diperhatikan:

  • Gunakan subnet LAN yang sebenarnya
  • Jangan gunakan portX address untuk user LAN
  • NAT tidak diaktifkan di policy (karena pakai Central NAT)

5. Contoh Central NAT untuk Multi ISP

config firewall central-snat-map
    edit 1
        set srcintf "port7"
        set dstintf "port1"
        set orig-addr "192.168.100.0/24"
        set dst-addr "all"
        set nat enable
    next
    edit 2
        set srcintf "port7"
        set dstintf "port2"
        set orig-addr "192.168.100.0/24"
        set dst-addr "all"
        set nat enable
    next
    edit 3
        set srcintf "port7"
        set dstintf "port3"
        set orig-addr "192.168.100.0/24"
        set dst-addr "all"
        set nat enable
    next
end

Dengan setup ini:

  • Jika trafik keluar lewat port1 → NAT pakai IP port1
  • Jika lewat port2 → NAT pakai IP port2
  • Jika lewat port3 → NAT pakai IP port3

6. Contoh: IP Tertentu ke ISP Tertentu (SD-WAN)

Contoh kebutuhan yang sering ditemui:

  • 192.168.100.2 selalu lewat ISP-2
  • 192.168.100.3 selalu lewat ISP-3
  • IP lain pakai ISP default
config system sdwan
    config service
        edit 1
            set name "ISP2"
            set src "192.168.100.2"
            set dst "all"
            set mode priority
            set priority-members 2
        next
        edit 2
            set name "ISP3"
            set src "192.168.100.3"
            set dst "all"
            set mode priority
            set priority-members 3
        next
        edit 3
            set name "Default"
            set src "all"
            set dst "all"
            set mode priority
            set priority-members 4
        next
    end
end

Firewall policy tetap satu, yang berubah hanya keputusan SD-WAN.

7. Cara Debug Central NAT & SD-WAN

7.1 Debug Flow

diagnose debug flow filter clear
diagnose debug flow filter saddr 192.168.100.3
diagnose debug flow show function-name enable
diagnose debug flow trace start 20
diagnose debug enable

Perhatikan baris penting berikut: 

Allowed by Policy-1: SNAT
SNAT 192.168.100.3 -> 10.200.3.254

Jika tidak ada Allowed by Policy, berarti firewall policy tidak match.

7.2 Sniffer Packet 

diagnose sniffer packet port3 "icmp" 4
  • Source masih IP LAN → NAT belum jalan
  • Source sudah IP WAN → NAT berhasil
  • Ada echo reply → jalur WAN sehat

7.3 Cek SD-WAN Member

diagnose sys sdwan member

Pastikan interface WAN berstatus alive dan pass.

8. Kesalahan yang Sering Terjadi

  • Source address policy pakai portX address
  • Lupa set nat enable di central-snat-map
  • Firewall policy diarahkan ke WAN fisik saat SD-WAN aktif
  • Orig-addr terlalu spesifik sehingga NAT tidak match

9. Penutup

Central NAT bukan sekadar fitur tambahan, tapi fondasi penting untuk desain FortiGate yang rapi, scalable, dan mudah di-maintain. Jika digabung dengan SD-WAN dan dipahami alurnya dengan benar, troubleshooting jadi jauh lebih cepat dan logis.

Semoga artikel ini membantu. Untuk panduan teknis FortiGate lainnya, kunjungi blog caraconfig.