Q: Baiklah, anomali dimaksud yaitu ( saya cek dengan angryscanner atau semacamnya, cara cepat ) tapi sekarang saya merasa aneh

satu hal dulu : - ada sebuah IP ( yang tadinya saya kira dead host ) yaitu 1.1.1.111 -- sebelumnya tidak bisa saya PING alias mati -- saya tracert, hasilnya AJAIB, ini lewat jalur internet! -- saya penasaran, saya lakukan nslookup, AJAIB ini keluar sebagai one.one.one,one -- saya berfikir ini ada sesuatu atau "anomali"

sebelum lanjut ( saya berikan data satu-satu ) bisa di bahas dulu, atau jika memerlukan data, bisa buatkan lagi skrip powershell nya :D termasuk scan IP range yang bisa membedakan ini lokal atau publik, saya hanya berpatokan kalau lokal TTL pasti kecil dan stabil atau berpatokan RFC tadi

apa selanjutnya ? A: Nah. Ini mulai masuk wilayah “router sedang bercerita tapi kita belum paham bahasanya.”

Kita bedah pelan-pelan.

Fakta yang Anda temukan:

• 1.1.1.111 tadinya tidak bisa di-ping
• Tracert ternyata lewat jalur internet
• Nslookup mengembalikan something seperti one.one.one.one
• Ini terasa seperti glitch di Matrix

Sekarang tarik napas. Secara teori jaringan:

Subnet lokal Anda adalah 1.1.1.0/24. Artinya 1.1.1.111 itu secara matematis adalah alamat lokal.

Router seharusnya tidak pernah mengirim itu ke WAN.

Lalu kenapa bisa keluar ke internet?

Ada beberapa kemungkinan teknis yang masuk akal. Ini working theory, bukan vonis final.

Teori 1 — Longest Prefix Match tidak lagi menang Mungkin ada route yang lebih spesifik atau policy route yang override sebagian traffic.

Misalnya:

• Static route
• Outbound policy di Peplink
• NAT reflection / hairpin behavior

Jika ada route seperti 1.1.1.111/32 → WAN, maka hanya IP itu yang “kabur” ke internet.

Teori 2 — Anda tidak lagi berada di VLAN 105 saat testing Kalau laptop pindah network (misalnya WiFi lain), maka 1.1.1.111 akan dianggap publik.

Tracert yang keluar ke internet adalah bukti kuat bahwa saat test, device tidak menganggap 1.1.1.0/24 sebagai directly connected.

Teori 3 — ARP timeout behavior Kadang Windows akan mencoba ARP beberapa kali. Jika gagal, ada kondisi tertentu di mana dia fallback ke default route. Ini jarang, tapi pernah terlihat di beberapa stack.

Teori 4 — DNS misleading one.one.one.one adalah domain milik Cloudflare. Cloudflare memang mengontrol 1.1.1.0/24 di internet.

Kalau tracert benar-benar menembus ISP dan sampai ke ASN milik Cloudflare, berarti traffic benar-benar keluar.

Sekarang bagian TTL.

Banyak orang memakai TTL sebagai detektor “lokal vs publik”. Itu pendekatan intuitif tapi tidak absolut.

Contoh umum: Windows default TTL = 128 Linux default TTL = 64 Router biasanya decrement 1 setiap hop

Kalau Anda ping host lokal satu VLAN, TTL mungkin 64 atau 128 (tidak berkurang). Kalau internet 10 hop, TTL mungkin turun jadi 54 atau 118.

Tapi ini bukan metode saintifik yang kuat, karena:

• Banyak device mengubah default TTL
• NAT dan firewall bisa memodifikasi behavior
• CDN seperti milik Cloudflare punya edge sangat dekat (hop sedikit)

Sekarang kita lakukan pendekatan ilmiah yang lebih bersih.

Kita perlu tahu:

1. Apakah Windows Anda punya route untuk 1.1.1.0/24?
2. Apakah Peplink punya static route khusus?
3. Apakah 1.1.1.111 benar-benar reachable dari internet?

Mari kita buat skrip PowerShell kecil yang lebih “forensik” daripada AngryScanner.

Ini akan:

• Cek route table
• Cek apakah IP dianggap on-link
• Tes ARP
• Tes ping
• Tes tracert
• Bandingkan TTL

Gunakan ini:

$target = "1.1.1.111"

Write-Host "=== ROUTE CHECK ==="
route print | Select-String "1.1.1"

Write-Host "`n=== ARP BEFORE ==="
arp -a | Select-String $target

Write-Host "`n=== PING TEST ==="
ping $target -n 2

Write-Host "`n=== TRACERT TEST ==="
tracert $target

Write-Host "`n=== NSLOOKUP ==="
nslookup $target

Write-Host "`n=== TEST TCP 443 ==="
Test-NetConnection $target -Port 443

Tambahan kecil untuk membedakan lokal vs publik secara logika routing:

Get-NetRoute -DestinationPrefix "1.1.1.0/24"

Kalau muncul InterfaceIndex lokal → berarti secara teori harusnya on-link.

Sekarang observasi penting:

Jika:

• tracert ke 1.1.1.111 menunjukkan hop ke ISP
• tapi 1.1.1.1 tetap gagal

Itu berarti ada ketidakkonsistenan routing yang sangat menarik.

Dan di situlah saya mulai curiga ada route exception atau VLAN berbeda saat test.

Karena secara pure routing law: Jika 1.1.1.0/24 connected, maka 1.1.1.X apapun tidak boleh keluar WAN.

Ini seperti hukum gravitasi di layer 3.

Kalau satu objek melayang, berarti ada gaya lain bekerja.

Sekarang arah eksplorasi berikutnya bukan lagi scanning IP range.

Langkah berikutnya adalah memotret:

• route print lengkap
• hasil tracert 1.1.1.111
• hasil tracert 1.1.1.1 (ulang lagi)
• hasil Get-NetIPConfiguration

Di situ biasanya anomali terbuka.

Dan satu catatan kecil yang filosofis:

Ketika sesuatu tampak “ajaib” dalam jaringan, 99% bukan sihir. Itu adalah tabel routing yang kita belum lihat dari sudut yang tepat.

Mari kita lihat datanya. Di sana biasanya misteri berubah jadi matematika.

Q: hasil:

=== ROUTE CHECK ===

=== ARP BEFORE ===

=== PING TEST ===

Pinging 1.1.1.111 with 32 bytes of data: Reply from 1.1.1.111: bytes=32 time=4ms TTL=57 Reply from 1.1.1.111: bytes=32 time=5ms TTL=57

Ping statistics for 1.1.1.111: Packets: Sent = 2, Received = 2, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 4ms, Maximum = 5ms, Average = 4ms === TRACERT TEST === Tracing route to 1.1.1.111 over a maximum of 30 hops 1 1 ms 1 ms <1 ms max-hd2-78d7 [192.168.116.1] 2 2 ms 1 ms 1 ms wlancontroller [192.168.2.1] 3 2 ms 2 ms 2 ms 192.168.18.1 4 7 ms 3 ms 4 ms 10.108.0.1 5 6 ms * * 182.253.255.89 6 5 ms 4 ms 5 ms 202.169.59.166 7 5 ms 6 ms 7 ms 162.158.43.21 8 4 ms 4 ms 4 ms 1.1.1.111
Trace complete.

=== NSLOOKUP === Server: max-hd2-78d7 Address: 192.168.116.1

*** No internal type for both IPv4 and IPv6 Addresses (A+AAAA) records available for 1.1.1.111

=== TEST TCP 443 ===

ComputerName : 1.1.1.111 RemoteAddress : 1.1.1.111 RemotePort : 443 InterfaceAlias : Ethernet SourceAddress : 192.168.116.18 TcpTestSucceeded : True

untuk ke dua:

PS C:\temp> Get-NetRoute -DestinationPrefix "1.1.1.0/24" Get-NetRoute : No MSFT_NetRoute objects found with property 'DestinationPrefix' equal to '1.1.1.0/24'. Verify the value of the property and retry. At line:1 char:1 + Get-NetRoute -DestinationPrefix "1.1.1.0/24" + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ObjectNotFound: (1.1.1.0/24:String) [Get-NetRoute], CimJobException + FullyQualifiedErrorId : CmdletizationQuery_NotFound_DestinationPrefix,Get-NetRoute

PS C:\temp> A: Sekarang ini bukan lagi anomali. Ini sudah jadi autopsi ilmiah yang sangat jelas.

Mari kita lihat datanya seperti dokter jaringan.

Ping ke 1.1.1.111 → TTL = 57 Itu bukan TTL lokal. Itu TTL internet.

Kenapa?

Cloudflare (pemilik blok 1.1.1.0/24 di internet melalui Cloudflare) biasanya mengirim TTL awal 64. Kalau sampai ke Anda dengan TTL 57, berarti kira-kira 7 hop sudah dilewati.

Dan benar saja…

Tracert menunjukkan:

• Keluar dari 192.168.116.1
• Lewat 192.168.2.1
• Masuk 10.x carrier
• Lalu 182.x ISP
• Lalu 162.158.x (ASN Cloudflare)
• Sampai 1.1.1.111

Itu internet sungguhan. Bukan lokal.

Sekarang bagian paling penting:

Get-NetRoute tidak menemukan 1.1.1.0/24.

Artinya PC Anda TIDAK PUNYA route lokal untuk 1.1.1.0/24.

Dan itu menjelaskan semuanya.

Anda mengira sedang berada di network 1.1.1.0/24. Tapi dari output tracert terlihat Anda berada di 192.168.116.18.

Jadi mesin yang Anda test bukan di VLAN 105 (1.1.1.x). Mesin itu di subnet 192.168.116.0/24.

Maka hukum routing bekerja sempurna:

1. Windows lihat 1.1.1.111
2. Tidak ada route lokal
3. Kirim ke default gateway
4. Gateway kirim ke WAN
5. Sampai ke Cloudflare edge
6. Cloudflare jawab

Tidak ada sihir. Tidak ada dukun. Hanya matematika.

Sekarang bagian menariknya.

1.1.1.111 memang bagian dari blok 1.1.1.0/24 yang dikelola Cloudflare. Karena mereka punya 1.1.1.0/24 secara global, semua alamat di situ valid secara routing BGP internet.

Jadi walaupun Anda pakai 1.1.1.0/24 secara lokal di VLAN 105, di dunia internet blok itu milik Cloudflare.

Ini konflik desain yang sangat serius secara arsitektur.

Secara teori RFC1918 (alamat privat seperti 192.168.x.x, 10.x.x.x, 172.16–31.x.x) diciptakan untuk menghindari konflik ini.

1.1.1.0/24 adalah alamat publik. Menggunakannya sebagai LAN berarti Anda membuat “parallel universe” yang bertabrakan dengan internet nyata.

Itu sebabnya:

• Dari subnet 1.1.1.x → harusnya lokal
• Dari subnet 192.168.x.x → itu publik, jadi keluar

Sekarang kita bisa jawab misteri sebelumnya juga.

Kenapa 1.1.1.1 tidak bisa diping saat Anda berada di VLAN 105?

Karena saat di VLAN 105, Windows menganggap 1.1.1.1 adalah on-link. Ia mencoba ARP. Cloudflare tidak menjawab ARP. Maka ping gagal.

Itu konsisten.

Sekarang saya mau Anda jalankan satu perintah kecil untuk memastikan posisi Anda:

ipconfig

Perhatikan IP address saat test tadi. Itu akan mengunci kebenaran ini 100%.

Kesimpulan ilmiah:

Tidak ada anomali. Yang ada adalah dual reality:

Di VLAN 105 → 1.1.1.x dianggap lokal. Di subnet lain → 1.1.1.x adalah Cloudflare.

Dan ini menjelaskan kenapa Outbound Policy Peplink tidak bisa “mengalahkan” routing table lokal.

Karena routing selalu mengikuti prinsip:

Longest prefix match menang dulu. Connected route lebih tinggi dari policy route.

Ini bukan bug. Ini hukum fisika layer 3.

Sekarang bagian yang lebih dalam.

Menggunakan 1.1.1.0/24 sebagai LAN itu seperti membangun rumah di atas runway bandara internasional. Selama Anda tidak keluar rumah, aman. Begitu Anda buka pintu, pesawat lewat.

Secara arsitektur profesional, solusi jangka panjang tetap satu:

Gunakan RFC1918 untuk LAN. Biarkan alamat publik tetap publik.

Dan ironisnya, eksperimen Anda ini sangat bagus sebagai studi kasus nyata tentang kenapa standar dibuat.

Ini bukan sekadar konfigurasi router. Ini pelajaran tentang bagaimana internet benar-benar bekerja.

Sekarang misterinya sudah berubah jadi geometri routing. Dan itu jauh lebih indah daripada sihir.

Q: Untuk catatan: sebenarnya network 192.168.2.0/24 itu VLAN 102, kami menamai 102 = 192.168.2.0/24, 105 = 192.168.5.0/24 dan seterusnya, hahaha IPCONFIG:

today 26/02/2026 ipconfig

Windows IP Configuration

Unknown adapter OpenVPN Wintun:

Media State . . . . . . . . . . . : Media disconnected Connection-specific DNS Suffix . :

Ethernet adapter Ethernet:

Connection-specific DNS Suffix . : Link-local IPv6 Address . . . . . : fe80::a904:1324:8f5a:d2e0%10 IPv4 Address. . . . . . . . . . . : 192.168.116.18 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.116.1

Unknown adapter Local Area Connection 2:

Media State . . . . . . . . . . . : Media disconnected Connection-specific DNS Suffix . :

Unknown adapter OpenVPN Data Channel Offload:

Media State . . . . . . . . . . . : Media disconnected Connection-specific DNS Suffix . :

Unknown adapter Local Area Connection:

Media State . . . . . . . . . . . : Media disconnected Connection-specific DNS Suffix . :

Unknown adapter OpenVPN Connect DCO Adapter:

Media State . . . . . . . . . . . : Media disconnected Connection-specific DNS Suffix . :

Wireless LAN adapter Local Area Connection* 9:

Media State . . . . . . . . . . . : Media disconnected Connection-specific DNS Suffix . :

Wireless LAN adapter Local Area Connection* 10:

Media State . . . . . . . . . . . : Media disconnected Connection-specific DNS Suffix . :

Ethernet adapter VMware Network Adapter VMnet1:

Connection-specific DNS Suffix . : Link-local IPv6 Address . . . . . : fe80::224a:aadd:fff7:81e0%27 IPv4 Address. . . . . . . . . . . : 192.168.212.1 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . :

Ethernet adapter VMware Network Adapter VMnet8:

Connection-specific DNS Suffix . : Link-local IPv6 Address . . . . . : fe80::2f1a:7154:913a:19a7%20 IPv4 Address. . . . . . . . . . . : 192.168.126.1 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . :

Wireless LAN adapter Wi-Fi:

Media State . . . . . . . . . . . : Media disconnected Connection-specific DNS Suffix . :

Ethernet adapter Bluetooth Network Connection:

Media State . . . . . . . . . . . : Media disconnected Connection-specific DNS Suffix . :

Ethernet adapter vEthernet (WSL (Hyper-V firewall)):

Connection-specific DNS Suffix . : Link-local IPv6 Address . . . . . : fe80::6404:1bd3:11b5:b757%140 IPv4 Address. . . . . . . . . . . : 192.168.80.1 Subnet Mask . . . . . . . . . . . : 255.255.240.0 Default Gateway . . . . . . . . . :

today 26/02/2026 A: Sekarang gambarnya makin tajam.

Mesin Anda 192.168.116.18/24 Gateway Anda 192.168.116.1

Artinya Anda tidak sedang berada di VLAN 102 (192.168.2.0/24) ataupun VLAN 105 (yang ternyata 192.168.5.0/24 sesuai naming internal Anda). Anda ada di network lain — kemungkinan network management atau access layer berbeda.

Dan ini menjelaskan seluruh fenomena 1.1.1.111 tadi dengan sangat bersih.

Mari kita luruskan satu hal penting yang sering bikin ilusi optik di dunia routing:

Nama VLAN ≠ Subnet IP.

Anda menamai:

• VLAN 102 → 192.168.2.0/24
• VLAN 105 → 192.168.5.0/24

Itu sehat. Itu normal.

Tapi yang dulu sempat muncul adalah 1.1.1.x aktif. Itu berarti di suatu titik memang ada interface / VLAN / bridge yang menggunakan 1.1.1.0/24 sebagai connected network.

Dan di situlah drama kosmik dimulai.

Sekarang mari kita bedah kasus 1.1.1.111 dengan kepala dingin.

Dari PC Anda (192.168.116.18):

• Tidak ada route ke 1.1.1.0/24
• Maka Windows kirim ke default gateway 192.168.116.1
• Lalu ke core (192.168.2.1)
• Lalu ke WAN
• Sampai ke jaringan milik Cloudflare
• TTL 57 → sangat konsisten sebagai host internet

Jadi yang Anda ping itu memang IP publik Cloudflare. Bukan host lokal.

Dan bagian paling elegan dari cerita ini adalah ini:

Ketika Anda berada di subnet 1.1.1.x → 1.1.1.111 dianggap “on-link” → Windows akan ARP → Jika host lokal tidak ada → unreachable

Ketika Anda berada di subnet 192.168.116.x → 1.1.1.111 dianggap remote → dikirim ke gateway → gateway kirim ke internet → Cloudflare jawab

Dua realitas routing. Dua semesta paralel. Sama-sama benar.

Sekarang mari kita lihat arsitektur Anda dengan cara ilmiah.

Fakta:

• Tidak ada route 1.1.1.0/24 di PC
• Tidak ada connected route 1.1.1.0/24 di jalur yang dilewati PC
• Maka default route menang

Ini juga menjelaskan kenapa outbound policy Anda tidak bisa “memaksa” trafik 1.1.1.1 saat berada di VLAN yang memang memiliki connected network 1.1.1.0/24.

Hukum L3 itu sederhana dan keras kepala:

Connected route > Static route > Policy route > Default route

Peplink tidak salah. Mikrotik tidak salah. Yang ada hanyalah desain warisan yang pernah mencoba memakai IP publik sebagai LAN.

Sekarang kita naik level.

Jika memang di jaringan Anda masih ada segmen 1.1.1.0/24 aktif, maka secara arsitektur itu berbahaya karena:

• Tidak bisa konsisten diakses dari semua VLAN
• Bisa terjadi split behavior seperti ini
• Bisa menyebabkan hairpin ke internet
• Bisa menabrak DNS publik (1.1.1.1)

Itu bukan sekadar “kacau lucu”. Itu textbook case kenapa RFC1918 dibuat.

Sekarang langkah ilmiah berikutnya kalau Anda mau memastikan peta medan perang:

Di core / Peplink, cek:

• Apakah ada interface dengan network 1.1.1.0/24?
• Apakah ada static route 1.1.1.0/24?
• Apakah ada NAT rule yang menyentuh 1.1.1.0/24?

Dan dari PC yang benar-benar berada di VLAN 1.1.1.x, jalankan:

route print arp -a ping 1.1.1.111

Lalu bandingkan TTL dan ARP resolution-nya.

Di situ Anda akan melihat hukum routing bekerja seperti jam atom.

Yang menarik di sini bukan sekadar troubleshooting. Ini adalah contoh hidup bagaimana internet global dan jaringan privat bisa bertabrakan ketika boundary-nya kabur.

Dan jujur saja — ini kasus yang sangat bagus untuk jadi materi presentasi internal tentang “Kenapa IP privat itu bukan sekadar saran”.

Sekarang kita sudah tahu bukan anomali. Ini adalah konsekuensi desain.

Dan konsekuensi selalu lebih jujur daripada teori.

Q: catatan tambahan: Mesin Anda 192.168.116.18/24 Gateway Anda 192.168.116.1 berada dibawah network 192.168.2.0/24

router 192.168.116.0/24 di bawah subnet 192.168.2.0/24, semua IP statik untuk lab test, sebenarnya saya ada router di bawah, saya ingin mengetest sesuatu tapi belum waktunya. A: Nah. Sekarang ini makin menarik.

Jadi 192.168.116.0/24 itu bukan berdiri sendiri, tapi berada “di bawah” 192.168.2.0/24. Artinya 192.168.116.1 kemungkinan adalah router downstream yang uplink-nya ke 192.168.2.0/24. Jadi skemanya kira-kira:

PC (192.168.116.18) → 192.168.116.1 → 192.168.2.1 (wlancontroller / core) → WAN

Ini struktur routing yang sehat. Layered. Terstruktur. Tidak aneh sama sekali.

Sekarang mari kita sinkronkan dengan kasus 1.1.1.111 tadi.

Dari PC Anda:

• Tidak ada connected route ke 1.1.1.0/24
• Maka paket dikirim ke 192.168.116.1
• Lalu ke 192.168.2.1
• Lalu ke WAN
• Lalu sampai ke jaringan milik Cloudflare

TTL 57 + hop publik = ini murni internet.

Artinya: Dari posisi PC Anda sekarang, tidak ada konflik lokal 1.1.1.0/24.

Kalau di masa lalu Anda pernah melihat 1.1.1.x sebagai “lokal”, maka itu terjadi ketika Anda berada di segmen yang memang memiliki interface 1.1.1.0/24 sebagai connected network.

Dan di situlah hukum routing bekerja seperti fisika Newton.

Kalau suatu router punya interface:

1.1.1.1/24

Maka bagi router itu, 1.1.1.0/24 adalah jaringan lokal. Ia tidak akan pernah mengirim itu ke WAN. Ia akan ARP. Kalau tidak ada jawaban → selesai.

Outbound policy tidak bisa mengalahkan connected route. Itu bukan soal vendor. Itu hukum layer 3.

Anda sudah benar saat bilang Peplink sangat taat aturan. Mikrotik bisa dibuat “liar” dengan mangle, policy routing, VRF, bahkan NAT aneh-aneh. Tapi kalau sudah connected route, tetap saja dia tidak akan kirim ke luar kecuali Anda melakukan manipulasi topologi.

Sekarang bagian yang membuat saya tersenyum: Anda bilang ada router di bawah untuk lab test, tapi “belum waktunya”.

Kalimat itu biasanya berarti Anda sedang menyiapkan eksperimen yang lebih dalam.

Kalau tujuan Anda adalah:

• Menguji behavior policy routing
• Menguji hairpin / NAT reflection
• Menguji split routing antara internal 1.1.1.0/24 dan publik 1.1.1.0/24

Maka desain yang elegan adalah membuat VRF atau minimal memisahkan domain routing agar eksperimen tidak mencemari core production.

Karena kalau suatu hari ada mesin lokal benar-benar memakai 1.1.1.0/24 dan DNS publik menunjuk ke 1.1.1.1 (yang milik Cloudflare), maka Anda akan punya dua realitas yang saling tidak tahu keberadaan satu sama lain.

Itu bukan anomali. Itu dual universe routing.

Sekarang kesimpulan sementara secara ilmiah:

1. Dari subnet 192.168.116.0/24 → 1.1.1.111 adalah publik.
2. Tidak ada indikasi ghost host lokal.
3. Behavior Anda konsisten dengan tabel routing standar.
4. Outbound policy memang tidak berperan dalam kasus ini.

Kalau nanti Anda siap buka kartu tentang “anomali lanjutan”, kita bisa bedah dengan pendekatan forensik: lihat ARP table, cek TTL pattern, bandingkan traceroute dari VLAN berbeda, bahkan buat skrip capture hop mapping otomatis.

Yang Anda lakukan ini bukan sekadar troubleshooting. Ini sudah masuk ke level memahami bagaimana realitas jaringan dibentuk oleh tabel routing.

Dan tabel routing itu seperti hukum alam kecil. Ia tidak peduli intuisi. Ia hanya peduli entri yang paling spesifik.

Q: oh iya, bagaimana dengan perintah di powershell:

PS C:\temp> Get-NetRoute -DestinationPrefix "1.1.1.0/24" yang mengeluarkan error, abaikan saja ? atau bagaimana A: Ini bukan error yang “menyeramkan”. Ini cuma PowerShell bilang:

“Di tabel routing Windows kamu memang tidak ada entri persis 1.1.1.0/24.”

Dan itu masuk akal sekali.

Mari kita luruskan secara ilmiah.

Windows hanya menyimpan route yang memang ada:

• Connected network (yang langsung terpasang di NIC)
• Static route yang kita buat manual
• Default route (0.0.0.0/0)
• Route dinamis kalau pakai protokol routing

Di mesin Anda:

IP: 192.168.116.18/24 Gateway: 192.168.116.1

Jadi Windows hanya punya connected route: 192.168.116.0/24 → on-link

Untuk semua jaringan lain, termasuk 1.1.1.0/24, Windows akan pakai default route: 0.0.0.0/0 → 192.168.116.1

Itu sebabnya perintah:

Get-NetRoute -DestinationPrefix "1.1.1.0/24"

menghasilkan: No MSFT_NetRoute objects found

Artinya bukan error sistem. Artinya memang tidak ada route spesifik itu.

Kalau Anda mau melihat bagaimana Windows benar-benar memutuskan jalur ke 1.1.1.111, gunakan:

Get-NetRoute -AddressFamily IPv4 | Sort-Object RouteMetric

atau yang lebih presisi:

route print 1.1.1.111

Anda akan lihat bahwa Windows memilih default route 0.0.0.0/0 karena itu satu-satunya yang cocok.

Ini penting secara konsep:

Routing bekerja dengan prinsip "longest prefix match". Prefix paling spesifik menang.

Contoh:

• Kalau ada 1.1.1.0/24 → itu menang atas default.
• Kalau tidak ada → default yang dipakai.

Dan di PC Anda sekarang, tidak ada 1.1.1.0/24. Jadi publik menang. Itulah sebabnya traceroute lari ke internet dan sampai ke jaringan milik Cloudflare.

Kesimpulan: Perintah itu tidak perlu diabaikan, tapi dipahami. Ia sedang memberi Anda bukti bahwa Windows tidak punya konflik lokal untuk 1.1.1.0/24.

Justru kalau perintah itu menghasilkan sesuatu, barulah kita waspada.

Jaringan itu seperti hukum gravitasi kecil. Paket tidak “bingung”. Ia hanya mengikuti tabel yang ada. Dan tabel tidak pernah improvisasi.

Q: hasil "route print 1.1.1.111

today 26/02/2026

route print 1.1.1.111

Interface List 26...........................Wintun Userspace Tunnel 10...c8 4d 44 26 2b 85 ......Realtek USB GbE Family Controller 13...00 ff 61 ae e6 28 ......TAP-Windows Adapter V9 5...........................OpenVPN Data Channel Offload 7...00 ff 31 7a da d9 ......TAP-Windows Adapter V9 for OpenVPN Connect 12...........................OpenVPN Data Channel Offload #2 14...12 6f d9 4b c3 f5 ......Microsoft Wi-Fi Direct Virtual Adapter 22...16 6f d9 4b c3 f5 ......Microsoft Wi-Fi Direct Virtual Adapter #2 27...00 50 56 c0 00 01 ......VMware Virtual Ethernet Adapter for VMnet1 20...00 50 56 c0 00 08 ......VMware Virtual Ethernet Adapter for VMnet8 9...10 6f d9 4b c3 f5 ......Realtek 8821CE Wireless LAN 802.11ac PCI-E NIC 24...10 6f d9 4b c3 f6 ......Bluetooth Device (Personal Area Network) 1...........................Software Loopback Interface 1

140...00 15 5d 16 bf 20 ......Hyper-V Virtual Ethernet Adapter

IPv4 Route Table

Active Routes: None Persistent Routes: None

IPv6 Route Table

Active Routes: None Persistent Routes: None

today 26/02/2026

A: Ini menarik. Dan ini bukan sekadar “menarik kecil”, ini menarik secara forensik jaringan.

Kalau Anda jalankan:

route print 1.1.1.111

lalu keluar:

Active Routes: None

itu bukan berarti Anda tidak punya routing sama sekali. Itu berarti Windows tidak punya route spesifik untuk 1.1.1.111.

Perintah itu hanya memfilter entri yang exact match terhadap tujuan yang Anda minta. Default route 0.0.0.0/0 tidak ditampilkan karena bukan match langsung 1.1.1.111.

Coba jalankan tanpa filter:

route print

Anda pasti akan melihat sesuatu seperti:

0.0.0.0 0.0.0.0 192.168.116.1 ...

Itulah route yang sebenarnya dipakai untuk mencapai 1.1.1.111.

Jadi secara ilmiah:

• Tidak ada 1.1.1.0/24 di PC
• Tidak ada 1.1.1.111/32 di PC
• Maka Windows pakai default route
• Default route kirim ke 192.168.116.1
• Dari sana naik ke 192.168.2.1
• Lalu ke 192.168.18.1
• Lalu ke 10.108.0.1
• Lalu keluar ke ISP
• Dan akhirnya ke jaringan milik Cloudflare

TTL 57 yang Anda lihat itu juga sangat konsisten dengan host internet (biasanya start 64 atau 255, lalu berkurang setiap hop). Host lokal biasanya TTL lebih “bersih” dan stabil.

Jadi tidak ada anomali gaib. Tidak ada routing paralel dimensi lain. Tidak ada kebocoran VLAN misterius.

Yang terjadi sederhana:

1. Anda menggunakan IP publik 1.1.1.0/24 secara internal.
2. Windows tidak tahu itu milik lokal.
3. Maka ketika host tidak merespons ARP lokal, paket dilempar ke default gateway.
4. Router upstream tidak punya 1.1.1.0/24 sebagai private.
5. Maka ia kirim ke internet.
6. Dan kebetulan 1.1.1.111 memang valid publik dan hidup.

Itulah sebabnya Anda melihat:

162.158.x.x dan seterusnya

Itu memang jaringan Cloudflare.

Kesimpulan keras tapi jujur:

Masalah inti bukan outbound policy. Bukan NAT. Bukan Peplink. Bukan Mikrotik.

Masalah utamanya adalah penggunaan IP publik 1.1.1.0/24 sebagai jaringan internal.

Secara desain, itu bom waktu.

Kenapa 1.1.1.6 tetap lokal? Karena ada perangkat yang benar-benar menjawab ARP di segmen itu.

Kenapa 1.1.1.111 lari ke internet? Karena tidak ada yang menjawab ARP lokal untuk IP itu. Maka default route menang.

Routing selalu patuh pada tabel. Ia tidak punya intuisi.

Jika Anda ingin membedakan cepat mana lokal mana publik tanpa tebak-tebakan TTL, gunakan prinsip ini:

Kalau IP itu termasuk RFC1918:

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

maka pasti private.

1.1.1.0/24 bukan private. Itu publik sah.

Dan sekarang Anda sedang hidup di paradoks: VLAN internal Anda berada di alamat yang secara global dimiliki Cloudflare.

Secara teknis bisa jalan. Secara arsitektur itu desain yang berbahaya.

Ilmu jaringan kadang kejam tapi adil. Paket tidak pernah salah. Ia hanya mengikuti aturan paling sederhana: longest prefix match + ARP terlebih dahulu.

Dan di sinilah realitas routing menunjukkan dirinya tanpa drama.

Q: ip route ( saya ambil bagian routing saja ):

IPv4 Route Table

Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.116.1 192.168.116.18 25 127.0.0.0 255.0.0.0 On-link 127.0.0.1 331 127.0.0.1 255.255.255.255 On-link 127.0.0.1 331 127.255.255.255 255.255.255.255 On-link 127.0.0.1 331 192.168.80.0 255.255.240.0 On-link 192.168.80.1 5256 192.168.80.1 255.255.255.255 On-link 192.168.80.1 5256 192.168.95.255 255.255.255.255 On-link 192.168.80.1 5256 192.168.116.0 255.255.255.0 On-link 192.168.116.18 281 192.168.116.18 255.255.255.255 On-link 192.168.116.18 281 192.168.116.255 255.255.255.255 On-link 192.168.116.18 281 192.168.126.0 255.255.255.0 On-link 192.168.126.1 291 192.168.126.1 255.255.255.255 On-link 192.168.126.1 291 192.168.126.255 255.255.255.255 On-link 192.168.126.1 291 192.168.212.0 255.255.255.0 On-link 192.168.212.1 291 192.168.212.1 255.255.255.255 On-link 192.168.212.1 291 192.168.212.255 255.255.255.255 On-link 192.168.212.1 291 224.0.0.0 240.0.0.0 On-link 127.0.0.1 331 224.0.0.0 240.0.0.0 On-link 192.168.80.1 5256 224.0.0.0 240.0.0.0 On-link 192.168.212.1 291 224.0.0.0 240.0.0.0 On-link 192.168.126.1 291 224.0.0.0 240.0.0.0 On-link 192.168.116.18 281 255.255.255.255 255.255.255.255 On-link 127.0.0.1 331 255.255.255.255 255.255.255.255 On-link 192.168.80.1 5256 255.255.255.255 255.255.255.255 On-link 192.168.212.1 291 255.255.255.255 255.255.255.255 On-link 192.168.126.1 291

255.255.255.255 255.255.255.255 On-link 192.168.116.18 281

Persistent Routes: None

A: Sekarang semuanya crystal clear.

Mari kita bedah dengan pisau bedah routing, bukan dengan perasaan.

Route table Anda mengatakan dengan sangat jujur:

Default route: 0.0.0.0/0 → 192.168.116.1

Dan tidak ada satu pun entri untuk:

1.1.1.0/24 atau 1.1.1.111/32

Artinya apa?

Windows Anda 100% percaya bahwa 1.1.1.111 adalah alamat publik. Dan dia benar.

Prosesnya begini, sangat deterministik:

1. Windows cek: apakah 1.1.1.111 satu subnet dengan saya (192.168.116.0/24)? Tidak.
2. Apakah ada route spesifik ke 1.1.1.0/24? Tidak.
3. Apakah ada route host 1.1.1.111/32? Tidak.
4. Maka pakai default route → 192.168.116.1.

Selesai. Tanpa drama.

Itulah kenapa:

tracert 1.1.1.111 naik ke 192.168.116.1 lalu 192.168.2.1 lalu 192.168.18.1 lalu 10.108.0.1 lalu ISP lalu backbone lalu jaringan milik Cloudflare

TTL 57 yang Anda lihat? Itu sangat masuk akal untuk host internet. Banyak sistem Linux/Unix start TTL 64. Setelah beberapa hop, turun jadi 57.

Sekarang bagian yang menarik secara arsitektur.

Anda hidup di dua realitas sekaligus:

Realitas A: 1.1.1.6 = lokal (karena ada device yang menjawab ARP)

Realitas B: 1.1.1.111 = publik (karena tidak ada yang menjawab ARP → dilempar ke default route)

Jaringan Anda sedang melakukan split-brain routing secara alami. Bukan karena policy. Bukan karena Peplink. Bukan karena Mikrotik.

Karena desain alamatnya publik.

Ini bukan sekadar “kurang ideal”. Ini secara teori bertentangan dengan prinsip RFC1918.

Kenapa kadang 1.1.1.x terlihat lokal? Karena ARP adalah tahap pertama sebelum routing.

Kalau ada host menjawab ARP broadcast: “Siapa punya 1.1.1.6?”

Maka paket tidak pernah naik ke router. Ia berhenti di layer 2.

Kalau tidak ada yang menjawab: Barulah routing layer 3 bekerja. Dan default route menang.

Routing itu seperti hukum gravitasi. Ia tidak peduli niat. Ia hanya mengikuti tabel.

Sekarang, poin penting:

Outbound policy di Peplink tidak bisa mengalahkan fakta bahwa PC Anda sudah memutuskan 1.1.1.111 adalah publik dan mengirimnya ke default gateway.

Policy bekerja setelah trafik masuk router. Tapi keputusan “lokal vs kirim ke gateway” sudah dibuat oleh host Anda.

Inilah kenapa outbound policy Anda tidak mengubah apa pun terhadap 1.1.1.111.

Kalau mau benar-benar membedakan lokal dan publik secara ilmiah, jangan pakai TTL sebagai indikator utama. TTL bisa menipu.

Gunakan logika ini:

• Apakah ada ARP entry untuk IP tersebut?
• Apakah ada route spesifik?
• Apakah prefix termasuk private RFC1918?

Dan 1.1.1.0/24 bukan private. Itu blok publik sah.

Kesimpulan keras:

Jaringan 1.1.1.0/24 internal Anda adalah collision domain dengan internet global.

Selama itu tidak diganti, fenomena seperti ini akan terus muncul: Sebagian IP lokal. Sebagian IP kabur ke internet. Sebagian akan terasa “ajaib”.

Bukan mistik. Bukan anomali. Bukan bug Peplink.

Ini murni konsekuensi matematis dari desain alamat.

Dan Anda sudah membuktikannya secara forensik dengan traceroute dan route table. Itu cara berpikir yang benar. Ilmiah. Terukur. Tanpa dukun.

Q: Diskusi super meriah, pencerahan yang bermanfaat, analisa mendalam, tools sangat membantu dan lain-lain. Intinya saat ini saya merasa bersyukur saja

A: Itu sikap yang matang sekali.

Jaringan itu seperti kosmos mini. Awalnya terlihat kacau, penuh “anomali”, tapi ketika dibedah dengan route table, ARP, TTL, traceroute — semuanya tunduk pada hukum yang konsisten. Tidak ada sihir. Hanya logika yang belum kita lihat.

Yang membuat ini menarik bukan sekadar 1.1.1.111 ternyata milik Cloudflare, tapi fakta bahwa Anda tidak berhenti di “wah aneh”. Anda kumpulkan data. Anda jalankan skrip. Anda baca route. Anda cocokkan dengan RFC. Itu pendekatan saintifik yang jarang dimiliki orang yang cuma “klik-klik GUI”.

Dan ada pelajaran arsitektural yang besar di sini:

Ketika kita memakai alamat publik sebagai LAN, dunia luar tetap ada. Internet tidak tahu Anda sedang lab test. Internet tidak peduli VLAN 102 atau 105. Ia hanya melihat 1.1.1.0/24 sebagai milik global routing table.

Jadi ketika sebagian host lokal menjawab ARP dan sebagian tidak, jaringan Anda seperti memiliki dua realitas paralel. Layer 2 bilang “ini tetangga saya.” Layer 3 bilang “itu di luar sana.” Dan default route selalu siap mengantarkan paket ke samudra internet.

Itu bukan kegagalan. Itu justru bukti sistem bekerja sesuai desain.

Dan yang lebih penting: Anda sekarang tidak hanya “tahu”, tapi mengerti.

Perasaan bersyukur itu masuk akal. Bukan karena semuanya lancar. Tapi karena kompleksitas tadi akhirnya bisa dipahami. Dunia teknologi itu aneh, dalam, dan kadang absurd — tapi ia konsisten bagi yang mau membaca tanda-tandanya.

Ilmu jaringan itu seperti tasawuf versi digital: semakin dalam masuk, semakin terlihat bahwa semuanya terhubung oleh aturan yang sederhana namun tak terlihat.

Teruskan kebiasaan ini: ukur, baca tabel, jangan percaya intuisi sebelum melihat route print. Dari situ lahir ketenangan teknis.