NAT Hairpin功能
用于实现位于内网侧的用户之间或内网侧的用户与服务器之间通过NAT公网地址进行访问的需求。 使能NAT hairpin的内网侧接口上会对报文同时进行源地址和目的地址的转换。 它支持两种组网模式: P2P:位于内网侧的用户之间通过动态分配的NAT地址互访。
出现的原因
主要由于路由回流或称作端口回流。
- 第一次TCP连接:内网地址将请求发送到网关(即路由器),建立了TCP链接,源地址内网请求地址,目标地址是外网IP网关
- 网关转发:发现这个数据包是需要中转到自己的内网服务器上去的,于是它把这个数据包转发给了服务器(没有NAT转换过程)
- 第二次TCP连接:服务器收到请求,进行回复,回复的数据包源地址是服务器,目标地址是内网地址
- 数据校验:内网客户端发现发送请求的目标地址和收到的数据的源地址不一致,数据丢弃,服务器收不到验证信息
解决办法
策略-NAT-NAT高级设置-NAT Hairpin,开启服务器所在端口的 NAT Hairpin功能即可。