前言

在使用RouterOS架設自己的私人網路篇最後有提到在過程中有遇到的兩個小坑，這篇主要先來分享關於NAT Loopback的問題。這個問題主要會發生在從內網裝置透過路由器外部IP存取透過設定Dst NAT規則所轉發的內網相關服務連線上，需要更改一下路由器上NAT相關的設定便可解決。

問題

該問題叫做NAT Loopback(又稱作NAT Hairpin)，可以參考Mikrotik官網的說明，上面也有相關的介紹以及解決辦法。

如同前言所說，這個問題主要會發生在從內網裝置透過路由器外部IP存取透過設定Dst NAT規則所轉發的內網相關服務連線上。那麼，成因是什麼呢?

我們用圖片以追蹤封包的方式來為大家解說。

假設我們用內網10.30.9.70的主機想要透過外網140.115.52.22的5000連接埠連接一個在內網10.30.9.77的網頁伺服器，而路由器上已經設定好Dst NAT的規則，其他網際網路上的主機皆可正常訪問該網頁伺服器。

以下為目前路由器關於5000連接埠的所有相關設定，

上圖為允許路由器對從WAN連線5000連接埠的所有封包進行轉發的規則設定，這將使從WAN進來的連線能夠被順利的轉發到LAN上連接內網的網頁伺服器

上圖為將對路由器上收到目標地址是外網IP並連接5000連接埠的封包進行目標地址改寫的Dst NAT規則設定，符合規則的封包其目標地址將會被改寫成10.30.9.77:5000

我們從內網主機開始發送封包開始看起，

一開始，10.30.9.70會發送一個目的地是140.115.52.22、連接埠是5000的封包出去。而因為140.115.52.22為外網IP，不在內網遮罩的範圍內，故此封包會送給路由器處理。

上圖為10.30.9.70發送一個目的地是140.115.52.22、連接埠是5000的封包給路由器路由之示意圖

接著，路由器收到此封包後，由於路由器有設定對目標地址是外網IP並連接5000連接埠的封包進行目標地址改寫的Dst NAT規則設定，此封包會被進行目標地址改寫，原為140.115.52.22的目標IP將被改寫成10.30.9.77。

上圖為路由器對目標地址是外網IP並連接5000連接埠的封包進行目標地址改寫之示意圖

再來，此封包會從路由器送到內網的網頁伺服器上進行處理。

上圖為路由器將封包送到內網的網頁伺服器上進行處理之示意圖

最後，內網的網頁伺服器傳送回應來回應發出請求的人。

上圖為內網的網頁伺服器回應請求之示意圖

看完上面的封包追蹤，相信大家已經看出問題發生在哪裡了。

沒錯，問題就是發生在內網的網頁伺服器傳送回應的這個過程上。

由於網頁伺服器或任何服務在收到封包後，皆是回應封包上所記載的來源地址。這時來源地址為內網IP的封包經過路由器改寫了目標地址後，來源地址仍然還是內網IP。便會發生網頁伺服器在收到封包後，回應將直接透過內網IP傳送回發出請求的電腦。

但是這時發出請求的電腦原本是使用目標地址為外網IP的封包發出請求，此時電腦會期望該連線的回應是從外網IP回來。但現在的情況是回應的封包是從內網回來，該封包便會被發出請求的電腦當作無效的封包直接丟棄，自然連線上就會發生連線逾時的情況。

解決的辦法便是在路由器增加一條Src NAT的規則，對從內網IP來、目標地址為內網IP的封包做IP Masquerade，將來源IP偽裝成路由器IP，回應則由路由器來轉送回發出請求的電腦，便可解決該問題。

上圖為解決NAT Loopback之IP Masquerade規則