.png){kind=icon}
.png){kind=logo}
Hướng dẫn cấu hình Hairpin NAT, NAT Loopback trên Router Mikrotik
Trong bài viết này, mình sẽ nói về Hairpin NAT và hướng dẫn các bạn cấu hình Hairpin NAT trên Router Mikrotik.
Hairpin NAT là gì?
Hairpin NAT là một kỹ thuật trong NAT cho phép các thiết bị bên trong mạng nội bộ có thể truy cập tới các máy chủ nội bộ thông qua địa chỉ IP Public mà router đang sử dụng ở phía ngoài (WAN). Nói cách khác, Hairpin NAT giúp “uốn ngược” luồng truy cập nội bộ ra ngoài rồi vòng lại, để người dùng trong LAN vẫn có thể truy cập dịch vụ bằng domain hoặc IP công cộng, giống như khi truy cập từ Internet. Tùy từng thiết bị hoặc hãng sản xuất, kỹ thuật này có thể được gọi bằng các tên khác nhau như NAT Loopback hay NAT Reflection, nhưng về bản chất chúng đều hướng tới cùng một mục tiêu là cho phép truy cập dịch vụ nội bộ thông qua địa chỉ public.
Bạn có thể xem mô hình cơ bản sau
Giả sử bạn có một máy chủ Web đặt trong mạng LAN và muốn công khai dịch vụ này ra Internet. Khi đó, bạn sẽ cần thực hiện NAT port , hay còn gọi là mở port hoặc Port Forwarding trên Router . Sau khi hoàn tất cấu hình, người dùng bên ngoài Internet có thể truy cập vào website nội bộ thông qua địa chỉ IP WAN và port mà bạn đã chuyển tiếp. Tuy nhiên, vấn đề nảy sinh với người dùng nội bộ trong cùng mạng LAN. Nếu họ truy cập website bằng địa chỉ IP nội bộ của server (ví dụ: 192.168.1.200), mọi thứ diễn ra bình thường. Nhưng khi truy cập bằng địa chỉ IP Public, kết nối sẽ thất bại. Lý do là vì lưu lượng truy cập đó được gửi đến Router, sau đó bị định tuyến ra ngoài cổng WAN (Outside) rồi mới quay ngược trở lại vào server, quá trình này khiến router không xử lý được đúng hướng đi của gói tin, và đó chính là lúc Hairpin NAT cần được triển khai để giải quyết, khi đó lưu lượng sẽ được quay trở lại trên cùng 1 giao diện Inside mà nó đã đi ra.
Ứng dụng của Hairpin NAT
Hairpin NAT thường được sử dụng trong các hệ thống mạng doanh nghiệp hoặc hộ gia đình có máy chủ nội bộ (như web server, camera IP, NAS...) được public ra Internet qua địa chỉ IP WAN của router. Kỹ thuật này cho phép người dùng bên trong mạng LAN vẫn có thể truy cập vào dịch vụ đó thông qua domain hoặc IP public, giống hệt như khi truy cập từ bên ngoài Internet. Nhờ Hairpin NAT, việc truy cập và cấu hình hệ thống trở nên đồng nhất và thuận tiện hơn, người dùng, ứng dụng hoặc thiết bị di động không cần phân biệt khi ở trong hay ngoài mạng nội bộ, tất cả đều dùng chung một địa chỉ truy cập. Điều này đặc biệt hữu ích với các hệ thống camera giám sát, dịch vụ web nội bộ,…
Để thật dễ hiểu, giả sử nhà bạn vừa lắp đặt một hệ thống camera với đầu ghi NVR đã được cấu hình mở port để truy cập từ xa qua Internet. Khi bạn dùng mạng 4G/5G hoặc Wi-Fi ở nơi khác, ứng dụng xem camera hoạt động bình thường. Tuy nhiên, khi chuyển sang kết nối Wi-Fi của chính mạng trong nhà, lại không thể xem được hình ảnh. Lúc này, Hairpin NAT chính là “chìa khóa” giúp giải quyết vấn đề. Sau khi cấu hình tính năng này trên router, bạn có thể truy cập và xem camera ngay cả khi đang sử dụng Wi-Fi nội bộ, giống như khi đang xem từ bên ngoài mạng.
Hướng dẫn cấu hình Hairpin NAT trên Router Mikrotik
Như đã đề cập ở phần trên, để một dịch vụ trong mạng nội bộ có thể truy cập được từ Internet (ví dụ như hệ thống camera, máy chủ web, hoặc NAS), trước tiên chúng ta cần NAT port hay còn gọi là mở port trên router. Phần thao tác chi tiết về cách mở port, NAT port các bạn có thể tham khảo ở bài Cấu hình NAT Port trên Mikrotik với IP WAN Động hoặc Tĩnh
Sau khi đã NAT port thành công tiếp theo chúng ta sẽ cấu hình Hairpin NAT hay còn gọi là NAT Loopback trên Router Mikrotik, phần cấu hình rất đơn giản, các bạn vào thẻ IP - Firewall - NAT ấn dấu “+” để thêm rule NAT mới và thực hiện:
- Chain: Chọn srcnat
- Src. Address: dải mạng LAN hoặc trong trường hợp có nhiều dải thì các bạn gom vào 1 Address List và chọn trong mục Src. Address List, trong ví dụ này mình sử dụng 1 dải mạng LAN 192.168.1.0/24
- Action: Chọn masquerade
- Cuối cùng ấn Apply
Có 1 lưu ý các bạn cần phải đặt Rule NAT này đầu tiên trong danh sách thẻ NAT để có thể hoạt động bình thường
Kết Luận
Như vậy là chúng ta đã hoàn tất việc cấu hình Hairpin NAT hay còn gọi là NAT Loopback. Sau khi thiết lập đúng, bạn có thể truy cập các dịch vụ nội bộ (như camera, NAS, web server...) thông qua địa chỉ public ngay cả khi đang kết nối trong cùng mạng nội bộ, thay vì phải dùng IP nội bộ riêng. Chúc các bạn thành công!
.png "Hướng dẫn cấu hình Auto reboot trên router Mikrotik")
Bình luận bài viết!