Как включить Nat Loopback для обращения к локальному ресурсу по глобальному домену?

[Krabik]

Всем привет.

Есть роутер Keenetic Speedster (KN-3010). В него входят два WAN - WAN1 от Билайн (витая пара) и WAN2 от Ростелеком (витая пара от РТ'шного роутера, в него, в свою очередь, входит оптика). У РТ есть белый статический IP, допустим 11.22.33.44 и на него повешен мой домен my-site.com. В локальной сети Keenetic (192.168.1.0/24) подключены NAS (сетевой накопитель) Synology и мой стационарный компьютер. См скриншот 1.

Задача: получить возможность заходить через интернет на NAS Synology по домену my-site.com

Она реализована путём проброса портов 5050 (http), 5051 (https) с РТшного роутера на Кинетик, а с Кинетика этих же портов - на Synology.

Итого через интернет всё работает. Я захожу https://my-site.com:5051 - попадаю в админку Кинетика. Но это не работает с моего компьютера. Результат - на втором скрине.

Гуглинг показывает, что нужно включить технологию NAT Loopback (она же Hairpin NAT). Но как это сделать? Всю админку Кинетика облазил - не нашёл. Говорят она включена по умолчанию, в документации (3 скриншот) сказано

Цитата

By default, the setting is enabled for the Home segment interfaces (private and protected security levels).

Но попадает ли моя схема под это определение - непонятно.

Пробовал зайти через консоль (4 скриншот) - но эту функцию можно включить лишь для определённого интерфейса, а для какого - непонятно, у меня их почему-то выводится огромное количество. Наугад пробовал для интерфейсов "1" и "GigabitEthernet0/1" - т.к. роутер РТ подключён во второй порт Кинетика - не даёт, пишет это неверные названия интерфейсов. Я в тупике. Подскажите, как заставить работать заход на Synolgy по докумену из локальной сети.

[MDP]

Попробуйте для эксперимента...https://192.168.1.100:5001 и https://11.22.33.44:5001 .. правда не сертификат будет ругаться, но хоть понятней станет.

 

p/s а точно порты 5050 и 5051... по дефолту вроде в синогоджи 5000 и 5001?

Изменено 24 июня, 2022 пользователем MDP

[Krabik]

По локальному IP адресу захожу без проблем. По глобальному адресу https://11.22.33.44:5001 зайти не могу

Цитата

p/s а точно порты 5050 и 5051... по дефолту вроде в синогоджи 5000 и 5001?

Порты именно такие, да. Но проблема не в них, а в маршрутах. Если с компьютера пытаться сделать traceroute до глобального IP то он выводит большое количество строк со звёздочками.

Изменено 24 июня, 2022 пользователем Krabik

[MDP]

Попробуйте костыльное решение ... в файл hosts кинетика прописать доменное имя и его локальный адрес ... не красиво конечно...ну естественно в качестве DNS указать адрес роутера, если другой используется

Изменено 24 июня, 2022 пользователем MDP

[Krabik]

Думал о том чтобы прописать в hosts, сходу не нашёл в интерфейсе где это, видимо через консоль надо. Но это действительно костылёк, хотелось бы без него.

[vasek00]

57 минут назад, Krabik сказал:

Думал о том чтобы прописать в hosts, сходу не нашёл в интерфейсе где это, видимо через консоль надо. Но это действительно костылёк, хотелось бы без него.

Не знаю как на счет "костыль" не "костыль" но в базе ОБНОВЛЕННОЕ описание про то как сделать идет от "Обновлено 02/09/2021 14:19"

https://help.keenetic.com/hc/ru/articles/360011129420-Обращение-к-сетевому-устройству-по-hostname

Так же "Настройка DHCP option 15" c датой "Обновлено 04/02/2020 14:34"

https://help.keenetic.com/hc/ru/articles/214471085

Цитата

Option 15 (DNS Domain Name) позволяет передавать клиентскому хосту от DHCP-сервера имя домена, которое будет добавляться при обращении с этого хоста к ресурсу по имени, которое не имеет домена.

 

[GRS]

В 24.06.2022 в 11:29, Krabik сказал:

Думал о том чтобы прописать в hosts, сходу не нашёл в интерфейсе где это, видимо через консоль надо. Но это действительно костылёк, хотелось бы без него.

Получилось в итоге решить проблему?

[mabedick]

interface GigabitEthernet1
no ip nat loopback

И всё работает.

Автору спасибо за наводку.

[Buba]

А как сделать, чтобы по домену my-site.com внутри локальной сети перенаправлял на локальный NAS без интернета?

Разобрался, в CLI ввести:
 

ip host mysite.com 192.168.1.2
system configuration save

Обязательно последнюю, чтобы применить.

Изменено 3 февраля, 2024 пользователем Buba

[Krabik]

У меня nat loopback не сработал, ни включение ни отключение. Вероятно потому, что в моём случае его нужно включать не на Кинетике, а на роутере Ростелекома, ведь Кинетик ничего не знает про внешний белый IP. Порыскал по настройкам в РТ роутере (сейчас это модель Electra G22) - nat loopback не нашёл.

Попробовал вот такой вариант:

ip static tcp внешний_белый_IP/32 HTTP_ПОРТ локальный_адрес_synology HTTP_ПОРТ
ip static tcp внешний_белый_IP/32 HTTPS_ПОРТ локальный_адрес_synology HTTPS_ПОРТ

Работает.

HTTP_порт и HTTPS_порт у меня заданы кастомные в настройках Synology (Control Panel - Network - DSM Settings). Если у вас стандартные, то в командах укажите 80 и 443 соответственно. Также вместо локального адреса можно указать MAC адрес.

И вообще это можно сделать не командами, а через интерфейс Network Rules - Port Forwarding.

Изменено 20 мая, 2024 пользователем Krabik