Para melhor compreensão, pense no seguinte cenário:
João, do setor de contabilidade precisa acessar o sistema da empresa e para isso, utiliza o DNS> www.contabilidaderedesbrasil.com.br (DNS fictício). No entanto, este DNS só é possível ser acessado pela internet, não pela rede local, pois nesse caso, seria necessário acessar pelo IP local.
Tendo este cenário em mente, sabemos que nem todos tem o conhecimento sobre o que são essas nomenclaturas.
Em primeiro lugar, existe o Hairpin NAT. Consequentemente, ao realizar essa configuração, João pode acessar o sistema da empresa, usando o DNS (que contém o IP público da empresa), mesmo quando estiver na empresa, ou seja, na mesma rede que o servidor.
Por que isso acontece?
Em um ambiente comum, quando se realiza uma requisição funciona da seguinte forma:
(Setas verdes)
1º – João tenta realizar o acesso no servidor da contabilidade colocando o IP 200.2.2.100 no navegador.
2º Essa conexão chega no roteador de João, que faz o NAT da rede de João, pegando seu IP privado 192.168.0.10 e trocando pelo IP da interface de saída que é 200.1.1.50
3º – O pacote passa pela internet e chega no roteador de borda, que possui o redirecionamento correto para enviar as requisições web (pelo navegador) para encaminhar os pacotes para o servidor.
(Setas azuis)
4º – O servidor responde ao IP (200.1.1.50) de João para estabelecer a conexão
5º – O roteador de borda faz o NAT, enviado trocando o IP do servidor (10.10.50.254), pelo IP da interface de saída que é 200.2.2.100
6º – O pacote passa pela internet e chega ao roteador de João , que automaticamente desfaz o NAT para encaminhar o pacote corretamente
Por fim, João consegue acessar o sistema.
O Hairpin NAT permite que dispositivos na mesma rede acessem serviços internos usando o IP público. Configurando as regras no MikroTik, o roteador redireciona o tráfego corretamente, evitando problemas de roteamento e facilitando o acesso.
No entanto, quando João está na empresa e precisa acessar o sistema da empresa, a situação muda.
1º – João envia a requisição para o IP Público 200.2.2.100, a partir do seu computador que possui o IP 10.10.50.10
2 – O roteador entende que aquela requisição é para rede interna dele, e encaminha o pacote para servidor
3 – O servidor recebe o pacote e encaminha diretamente para o computador de João pois estão na mesma rede.
4 – O computador de João recebe o pacote, mas o descarta, pois espera um pacote recebido de 200.2.2.100, não de 10.10.50.254
Nesse caso, o IP público é 192.168.11.188, veja que não é possível realizar o acesso ao servidor estando localmente.
Para resolver esse problema, utiliza-se o Hairpin NAT.
Como configurar o Hairpin NAT no MikroTik?
Regra de redirecionamento para acesso externo mesmo com Hairpin NAT:
1º – IP > Firewall > NAT > +;
2º – Na aba “General”:
Chain: dstnat
Protocol: 6(tcp)
Dst. Port: 80
3º – Na aba “Extra”:
Connection Limit:
Dst. Address Type: local
4º – Na aba Action:
Action: dst-nat
To Addresses: 10.10.50.254
Regra de Hairpin NAT:
1º IP > Firewall > NAT
2º – Na aba “General”:
Chain: srcnat
DSt. Address: 10.10.50.254
Protocol: 6(tcp)
Dst. Port: 80
3º Em seguida, na aba “Action”:
Action: masquerade
Por fim, veja que agora será possível realizar o acesso utilizando o IP público mesmo que esteja na mesma rede que o servidor:
Entenda o funcionamento:
Ao configurar o Hairpin NAT, primeiramente, observe que o roteador utiliza a regra de Masquerade. Isso acontece porque, para que o processo funcione corretamente, o roteador precisa substituir o IP de origem de todos os pacotes destinados ao IP 10.10.50.254 na porta 80/tcp. Dessa forma, quando o pacote sair do roteador em direção ao servidor, o endereço de origem será alterado de 10.10.50.10 (PC do João) para 10.10.50.1 (IP do roteador de borda).
Como resultado dessa alteração, o servidor enviará a resposta diretamente para o roteador, e não para o PC do João. Assim, o tráfego retorna ao roteador, que por sua vez, redireciona a resposta ao computador de origem. Portanto, esse processo garante que a comunicação interna ocorra de forma eficiente, evitando problemas de roteamento.
Hairpin NAT: O que é e como configurar?
O que é o Hairpin NAT?
O Hairpin Network Address Translation (NAT loopback), é quando um dispositivo na rede local (LAN) acessa outra máquina, a partir do endereço de IP público do roteador.
Para melhor compreensão, pense no seguinte cenário:
João, do setor de contabilidade precisa acessar o sistema da empresa e para isso, utiliza o DNS> www.contabilidaderedesbrasil.com.br (DNS fictício). No entanto, este DNS só é possível ser acessado pela internet, não pela rede local, pois nesse caso, seria necessário acessar pelo IP local.
Tendo este cenário em mente, sabemos que nem todos tem o conhecimento sobre o que são essas nomenclaturas.
Em primeiro lugar, existe o Hairpin NAT. Consequentemente, ao realizar essa configuração, João pode acessar o sistema da empresa, usando o DNS (que contém o IP público da empresa), mesmo quando estiver na empresa, ou seja, na mesma rede que o servidor.
Por que isso acontece?
Em um ambiente comum, quando se realiza uma requisição funciona da seguinte forma:
No entanto, quando João está na empresa e precisa acessar o sistema da empresa, a situação muda.
Nesse caso, o IP público é 192.168.11.188, veja que não é possível realizar o acesso ao servidor estando localmente.
Para resolver esse problema, utiliza-se o Hairpin NAT.
Como configurar o Hairpin NAT no MikroTik?
Regra de redirecionamento para acesso externo mesmo com Hairpin NAT:
Regra de Hairpin NAT:
Por fim, veja que agora será possível realizar o acesso utilizando o IP público mesmo que esteja na mesma rede que o servidor:
Entenda o funcionamento:
Ao configurar o Hairpin NAT, primeiramente, observe que o roteador utiliza a regra de Masquerade. Isso acontece porque, para que o processo funcione corretamente, o roteador precisa substituir o IP de origem de todos os pacotes destinados ao IP 10.10.50.254 na porta 80/tcp. Dessa forma, quando o pacote sair do roteador em direção ao servidor, o endereço de origem será alterado de 10.10.50.10 (PC do João) para 10.10.50.1 (IP do roteador de borda).
Como resultado dessa alteração, o servidor enviará a resposta diretamente para o roteador, e não para o PC do João. Assim, o tráfego retorna ao roteador, que por sua vez, redireciona a resposta ao computador de origem. Portanto, esse processo garante que a comunicação interna ocorra de forma eficiente, evitando problemas de roteamento.
Gostou desse artigo? Veja nossos últimos artigos:
Como bloquear sites usando o Pi-Hole
Como instalar o Zabbix no Debian 12 (Zabbix + PostgreSQL + Apache2)
2 replies to “Hairpin NAT: O que é e como configurar?”
Pingback: 5 dicas que podem salvar sua rede
Pingback: Como integrar o Grafana e Integrar ao Zabbix - Redes Brasil