Version: RouterOS v6.24
Q: 什麼是Hairpin NAT?
A: 就是一般所說的NAT Loopback。詳細說明可以參考MikroTik Hairpin NAT
使用方式:將來自區網的連線偽裝成路由器後送往位於192.168.1.2的伺服器
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.1.2 out-interface=LAN
簡單來說,就是如果沒有設定Hairpin NAT而在區網內用FQDN連線內網Server的話,收不到來自Server返回的封包
Pros:
.可以在區網內透過FQDN連線至內網的Server,而不需要每次在外網時用FQDN,而內網時改用內網IP或HostName
Cons:
.一旦設定了Hairpin NAT,所有送往內網Server的封包來源皆為路由器的IP,不論是否採用FQDN連線或直接內網IP連線
.只要是來自區網內的連線,在Server上的Log只會出現路由器的IP,由於masquerade,對Server來說這都是路由器發出的連線
小弟過去曾經粗心發生過一件窘事,就是在Hairpin NAT的架構下,因為區網內的使用者連續輸入NAS的密碼錯誤超過一定次數,導致NAS透過IP封鎖該使用者,而小弟並沒有設定多少時間後自動解鎖,結果就是區網內所有使用者都無法登入該NAS,原因在NAS封鎖的IP是路由器的IP(因為masquerade),而區網其他使用者要連線至NAS時也是自動轉換成路由器所發出的連線
有鑑於此,最後還是改回使用Static DNS
/ip dns static
add address=192.168.1.2 name=www.testmyserver.tw
延伸閱讀
.[開箱] MikroTik CCR1016-12G
.MikroTik RouterOS VPN (PPTP/L2TP/OpenVPN/SSTP/SSH Tunnel)
.MikroTik RouterOS Stateless Tunnel (EoIP/IPIP/GRE)
.MikroTik RouterOS QoS (Queue/HTB/PCQ)
.MikroTik RouterOS IGMP Proxy w/ CHT MOD
.MikroTik RouterOS Hotspot
.MikroTik RouterOS User Manager - RADIUS
.MikroTik RouterOS Load Balancing - Pros & Cons