Hairpin NAT на Edge Gateway

Hairpin NAT можно использовать для доступа к узлу за NAT, находясь за этим же NAT.

В данной инструкции рассмотрена настройка Hairpin NAT на Edge Gateway через интерфейс VMware Cloud Director.

Рассмотрим пример настройки доступа по внешнему IP адреса с Workstation к Web Server, где Workstation и Web Server находятся за одним NAT. Веб-трафик между Workstation и Web Server будет проходить через Edge Gateway. На схеме ниже изображены 4 этапа передачи пакетов.

 

Как это работает

Stage 1: Workstation отправляет пакет с своего локального адреса 192.168.255.2 на внешний адрес Edge Gateway 176.53.180.81;

Stage 2: Edge Gateway заменяет адрес источника SrcIP Workstation 192.168.255.2 на адрес Edge Gateway 192.168.2.1, а адрес назначения DstIP Web Server на адрес Web Server 192.168.255.10;

Stage 3: Web Server, получив пакет с адреса Edge Gateway 192.168.2.1, отправляет ответ на адрес Edge Gateway 192.168.2.1;

Stage 4: Edge Gateway с помощью Connection Tracker подменяет замененные на Stage 2 адреса на изначальные и отправляет ответ от Web Server на Workstation.

 

Настройка Firewall на Edge Gateway

Пример настройки правил Firewall на скриншоте ниже.

Для доступа к Web Server с Workstation используется правило № 3.

Для доступа к Web Server из Интернет используется правило № 4.

Настройка NAT на Edge Gateway

Пример настройки NAT на скриншоте ниже.

Правила NAT, примененные (Applied on) к Uplink интерфейсу Edge Gateway, используемые для доступа к Web Server из Интернет и доступа с Web Server и с Workstation в Интернет:

196609 – SNAT – для доступа в Интернет с машин в локальной сети;

196610 – DNAT – проброс 80/tcp порта из Интернет;

196611 – DNAT - проброс 443/tcp порта из Интернет;

 

Правила, примененные (Applied on) к локальному интерфейсу Edge Gateway, используемые для Hairpin NAT:

196612 – SNAT – подмена адреса Workstation на адрес Edge Gateway в локальной сети (между Stage 1 и Stage 2);

196613 – DNAT – подмена внешнего IP на адрес Web Server (между этапами 1 и 2) для http трафика (80/tcp);

196614 – DNAT – подмена внешнего IP на адрес Web Server (между этапами 1 и 2) для https трафика (443/tcp);

В графе Applied on для «Hairpin-правил» нужно указать локальный интерфейс Edge Gateway.

 

Проброс других портов

Вы также можете сделать Hairpin NAT для других портов/протоколов, создав дополнительные DNAT правила, аналогичные правилам для HTTP и HTTPS.

  • NAT, Hairpin NAT, Cloud, Director
  • 2 Пользователи нашли это полезным
Помог ли вам данный ответ?

Связанные статьи

Диагностика сетевых соединений на виртуальном роутере EDGE (Часть 1)

Иногда возникают проблемы при настройке виртуального маршрутизатора, когда не работает проброс...

Диагностика сетевых соединений на виртуальном роутере EDGE (Часть 2)

В данной статье мы рассмотрим возможность проводить захват сетевых пакетов на EDGE с дальнейшим...

Балансировка нагрузки с помощью advanced edge

Балансировщик нагрузки, встроенный в advanced edge, принимает UDP, TCP, HTTP, HTTPS запросы и...

Сетевая настройка VMware инфраструктуры (NAT, DHCP, Firewall, Static Routing, VPN)

Сетевая настройка VMware инфраструктуры (NAT, DHCP, Firewall, Static Routing, VPN). После того,...

Балансировка нагрузки в Edge по URI

Edge Load Balancer, по сути, является HAProxy и поддерживает различные способы балансировки...