IP Publik ISP ICON Tidak Bisa Diping Setelah Migrasi Firewall? Ini Penyebab & Solusinya
IP Publik ISP ICON Tidak Bisa Diping Setelah Migrasi Firewall? Ini Penyebab & Solusinya
Kasus nyata di lapangan: setelah mengganti firewall (misalnya FortiGate lama ke FortiGate baru), tiba-tiba IP publik ISP ICON — terutama secondary IP — tidak bisa di-ping dari internet. Padahal sebelumnya normal.
Masalah ini sering disalahartikan sebagai:
- Routing ISP bermasalah
- Konfigurasi SD-WAN error
- Firewall policy atau local-in policy memblok ICMP
Namun, pada banyak kasus di ISP ICON, akar masalahnya adalah STICKY MAC ADDRESS.
Apa Itu Sticky MAC Address di ISP ICON?
Sticky MAC address adalah mekanisme di sisi ISP (access switch / PE / metro network) yang mengikat layanan internet ke MAC address perangkat terakhir yang terhubung.
Artinya:
- Selama MAC address tidak berubah → koneksi normal
- Begitu perangkat diganti (MAC berubah) → trafik bisa bermasalah
Pada ISP ICON, mekanisme ini cukup sering dijumpai, terutama pada:
- Dedicated Internet / Metro-E
- Multi IP publik (/29, /28)
- Lingkungan enterprise
Gejala Khas Sticky MAC ISP ICON
Jika Anda mengalami kondisi di bawah ini, hampir pasti terkena sticky MAC:
- Primary IP kadang bisa di-ping, kadang tidak
- Secondary IP sama sekali tidak bisa di-ping
- Ping masuk ke firewall (terlihat di sniffer)
- Tapi echo reply tidak pernah sampai ke client
- Tidak ada firewall policy yang memblok
- Local-in policy kosong
Secara kasat mata, masalah ini terlihat seperti routing asimetris atau SD-WAN issue, padahal bukan.
Kenapa Secondary IP yang Paling Terkena?
Secondary IP lebih sensitif karena:
- Tidak selalu menjadi preferred route
- Sering dipakai untuk monitoring atau publik test
- Lebih cepat terdeteksi bermasalah dibanding primary IP
Akibatnya, banyak engineer fokus ke konfigurasi firewall, padahal masalahnya ada di sisi ISP.
Cara Membuktikan Sticky MAC Address
Di firewall (contoh FortiGate), jalankan sniffer saat ping dari internet:
diagnose sniffer packet any "icmp and host <IP_PUBLIK>" 4
Jika hasilnya:
- ICMP echo request masuk
- Tapi client tetap timeout
Maka besar kemungkinan ISP tidak mem-forward reply karena MAC address tidak sesuai.
Solusi Paling Cepat & Efektif
1. Clone MAC Address Perangkat Lama (RECOMMENDED)
Solusi paling praktis dan terbukti berhasil:
config system interface
edit <interface-wan>
set macaddr xx:xx:xx:xx:xx:xx
next
end
Gunakan MAC address firewall lama yang sebelumnya dipakai.
Dalam banyak kasus, setelah MAC disamakan:
- Primary IP langsung bisa di-ping
- Secondary IP ikut normal
- Tidak perlu ubah konfigurasi SD-WAN
2. Alternatif: Minta Reset MAC Binding ke ISP
Jika tidak ingin clone MAC:
- Hubungi NOC ISP ICON
- Minta reset / update MAC address pelanggan
Namun di lapangan, proses ini sering lebih lama dibanding clone MAC.
Best Practice Saat Ganti Firewall di ISP ICON
- Selalu catat MAC address firewall lama
- Sebelum cut-over, siapkan MAC clone
- Jangan langsung ubah konfigurasi routing atau SD-WAN
- Test ping IP publik setelah MAC disamakan
Langkah sederhana ini bisa menghemat jam troubleshooting.
Kesimpulan
IP publik ISP ICON tidak bisa di-ping setelah ganti firewall sering kali bukan karena konfigurasi firewall atau routing, melainkan karena sticky MAC address di sisi ISP.
Solusi paling cepat dan aman:
- Clone MAC address firewall lama
Dengan pendekatan ini, koneksi kembali normal tanpa mengganggu desain jaringan yang sudah berjalan.
Artikel ini ditulis berdasarkan kasus nyata di lingkungan enterprise dan multi-ISP.