Wiedza Hairpin NAT (or NAT loopback)

[Silas Mariusz]

Jaki czas temu znajomy poprosił mnie o przegląd jego sieci LAN. Jedną z pierwszych rzeczy jaka rzuciła mi się w oczy to konfiguracja Mikrotika pod kątem przekierowania portów i dostępu do monitoringu CCTV. Posiadał zainstalowaną aplikację mobilną do podglądu kamer, w której ten sam serwer był dodany dwa razy. Raz na adresie wewnętrzny, a drugi raz na adresie publicznym. Wszystko oczywiście działało, ale po co utrudniać sobie życie z przełączaniem między serwerami. Idealnym rozwiązaniem jest zastosowanie Hairpin NAT, dzięki czemu konfigurujemy aplikację tylko na adres publiczny.

Schemat poglądowy

Adres sieci: 192.168.66.0/24
Adres router: 192.168.66.1
Adres rejestratora: 192.168.66.199
Port rejestratora: 8181

Konfiguracja routera
Pomijam podstawową konfigurację routera. Jeżeli nie wiesz jak skonfigurować dhcp czy przekierować porty zapraszam tutaj!
Zaczynamy od dodania nowej reguły na Fierwallu, w tym celu klikamy na IP->Firewall i przechodzimy na zakładkę NAT

• Chain: srcnat
• Src. Address: 192.168.66.0/24
• Dst. Address: !192.168.66.1
• Action: masquerade

Uwaga ważne!! nowa reguła nie może być wyżej niż domyślna maskarada.
Dodajemy kolejną regułę:

• Chain: dstnat
• Dst. Address: 192.168.66.1
• Protocol: tcp
• Dst. Port: 8181
• Dst. Address Type: local
• Action: dst-nat
• To Addresses: 192.168.66.199
• To Ports: 8181

Podsumowanie
Dzięki zastosowaniu Hairpin NAT do urządzeń, usług możemy dostać się zarówno z sieci wewnętrznej jak i publicznej wykorzystując tylko jeden publiczny adres. Zastosowań takiego rozwiązania może być sporo nie koniecznie tylko rejestratory cyfrowe, ale serwery www, NASy, czy pojedyncze kamery ip.