[Junos Security] Dual NAT Design Juniper SRX

I made this and this is a note for me as an engineer 🙂 #ea.. If you want to really understand about this post, take your time to understand some of my previous posting in this blog, start from basic is here, if you ready understand, now you can check other post about  source nat and destination nat.

Oke done and you’re ready going to the next part 🙂

Baik, jika anda sudah mengerti maka anda boleh melanjutkan mengikuti tulisan ini, sekali lagi tulisan ini sbetulnya gabungan dari beberapa tulisan sebelumnya, yaitu tentang source nat, destination nat, ataupun static nat. Tulisan ini juga mengikuti kebutuhan di real network design and security, khususnya menggunakan firewall srx. atau anda yang baru ingin mamahami terkait hal ini, mungkin ini akan menjadi pertimbangan anda untuk selanjutnya. Mari kita lihat gambar berikut sapaya lebih clear hehe

Quick description: Jadi company RouteCloud Head Office memiliki mitra or partner. Jadi partner mereka ingin menghubungkan network mereka dengan network (service) routecloud. Mereka tidak menginginkan untuk share network, karena dengan alasan security, capacity, best practice atau yang lainnya. Jadi solusinya disini dengan menggunakan NAT salah satunya. Jadi nat dsini ada dua sisi inside dan outside di masing-masing firewall atau bahasa mudahnya di NAT dua kali.

Contoh design diatas, tidak terlalu rumit dan pusing untuk diperhatikan. Disarankan anda hanya perlu fokus ke dua firewall yakni FW Cloud-A dan Cloud-B. In this case, Kedua cloud atau perusahaan tersebut, mareka hanya mengenal ip point-to-pint nya sama segmen nat antara firewall mereka. Mereka juga tidak mengetahui segmen nat untuk internal network mereka. Jika digambarkan lagi seperti inilah sederhananya.

Oke semoga anda mendapat gambaran yang cukup baik terkait apa yang ingin kita lakukan. Mari kita lihat detail step konfigurasi yang dilakukan:

Konfigurasi awal di sisi Partner:

Router-B

Diatas adalah static route ke arah ip pool internal Partner.

FW-CloudB

Berikut adalah config awal di  firewall partner, config ini perlu supaya topology yang diinginkan terbentuk.

static route di fw partner hanya perlu diset ke ip pool routecloud 10.30.30.0/24 sama yang ke arah ip segmen lan partner itu sendiri, berikut detailnya.

Selanjutnya kita create rule policy, disni kita tidak fokus pada custom rule policy nya, maka dsini dibuat rule permit any saja.

Konfigurasi awal disisi Route Cloud Head Office:

Router-A

Config interface:

Config routing, disni menggunakan config ospf standar.

Selanjutnya mari kita lihat config di firewall FW CloudA

Diatas adalah config ospf, yang perlu di advertise ke ospf adalah interface yang ke arah network internal saja. Untuk network yang mengarah ke partner, disni menggunakan routing-instance or virtual routing forwarding (VRF). Jadi routing table nya di pisah antara internal network routecloud dengan route table yang mengarah ke  partner.

sekarang buat rib group nya supaya route table Partner ke share juga di route table default inet.0, detail nya sbb:

Penasaran gimana jadinya? coba kita show route ya,

Adapun route table di internal network routecloud adalah:

Selanjutnya tidak perlu ada lagi routing yang perlu anda buat dari routecloud ke partner atau sebaliknya, ingat semuanya dilakukan dengan nat hehehe…Jangan lupa create zone dan rule policy, buat testing set policy nya permit any saja.

Oke anda sudah sampe tahap membentuk topology sesuai dengan gambar diatas, now this time to make it works 😀

Jadi untuk menyelesaikan case ini, pihak routecloud dan partner perlu ada nya sharing alokasi ip saat ingin menghubungkan sebuah service, jangan sampe terjadi kesalahan alokasi atau maping nat. karena hal tersebut menyebabkan nat tidak akan berjalan sesuai plan hehe.

Tabel diatas adalah bukanlah standar yang baku ya, hehe melainkan map berdasarkan gambaran yang akan kita buat. Jadi begini kira2: Jadi ini adalah flow nya dari Partner ke Routecloud, initial session oleh 192.168.10.1 untuk tujuan ke 10.10.10.1 ip real routecloud, oleh partner team mengalokasikan satu ip yaitu 192.168.20.1, maka session awal adalah 192.168.10.1—>192.168.20.1, selanjutnya partner juga melihat table routecloud bahwa untuk hit ke 10.10.10.1 maka dialokasikan ip nat luar nya adalah 10.30.30.1, sebelum diarah ke situ, FW Partner mentranslasikan ke IP NAT Outside, 192.168.30.1, maka session yang terbentuk adalah 192.168.30.1—>10.30.30.1. Selanjutnya session diterima oleh FW Routecloud, source yang ia terima adalah 192.168.30.1 menuju 10.30.30.1, nah dengan destination nat, akan di map ke NAT Inside 10.20.20.1, oleh si NAT Inside di map ke physical ip 10.10.10.1 dengan source 10.20.20.1. Jadi server 10.10.10.1 menerima initial session dari 10.20.20.1., mudahkan 🙂 🙂

Oke, based on table yang telah kita sepakati, maka config yang akan kita buat adalah sebagai berikut:

FW Partner (FW.CloudB)

NAT Destination:

Note: baik nat source dan destination, list source-address hanya ada 8, jika lebih anda bisa membuat rule baru dengan ip destination yang sama.

NAT Source:

Coba anda perhatikan config nat dest dan nat source diatas, related kan dengan table dan flow penjelasannya sebebelumnya. Mari kita lihat config yang ada di FW RouteCloud (FW.CloudA)

NAT Destination:

Notel: ip pool 10_10_10_1 ada di VRF default inet.0 maka, jika kita menggunakan routing instance perlu kita referensikan juga.

NAT Source:

Jika anda sudah merasa yakin, silahkan coba test ping dari ip source yang telah di tentukan. dalam hal ini lakukanlah ping dari source ip 192.168.10.1 ke ip 192.168.20.1. Coba perhatikan dan pelajari session yang terbentuk berikut ini:

FW Partner:

Contoh detail session:

FW RouteCloud:

Mudah2an semakin mudah dipahami ya jika melihat flow session yang terbentuk diatas, dan perlu lihat kedua firewall tersebut supaya lebih jelas 🙂 dan berikut ini contoh session jika kita lakukan ssh.

Menarik hal diatas, itu contoh satu session di fw routecloud dan partner, jumalah paket dan besarnya paket sama besarnya baik paket in atau paket out.

Oke cukup dulu sebagai contoh penggunaan dual nat di srx.