Настройка Hairpin NAT на EdgeGW для NSX-V ​

Настройка Hairpin NAT необходима в случае, когда, находясь внутри одной сети, требуется обратиться к локальному ресурсу с использованием его внешнего IP-адреса. Пример с web-сервером представлен далее.

Без настройки Hairpin NAT соединение по внешнему IP-адресу между локальными хостами и web-сервером не установится.

На nsx-edge настроено 2 правила на внешнем интерфейсе ClientsExternalNetwork:

• SNAT – для доступа в интернет с виртуальных машин;
• DNAT – для доступа к web-серверу из интернета.

В результате будет получена схема обмена пакетами между VM, находящихся в одной сети:

1. VM-1 оправляет пакет со своего локального IP 192.168.0.3 (SRC IP) на 176.118.23.164 WEB Server (DST IP).
2. EDGE меняет в пакете SRC IP 192.168.0.3 на свой 192.168.0.1, а DST IP с 176.118.23.164 меняет на 192.168.0.2.
3. Server, получив запрос от EDGE, отправляет ответ в его сторону.
4. Получив ответ от WEB Server, EDGE меняет SRC/DST IP на изначальные, а VM-1 получает правильный ответный пакет, ожидаемый системой.

Выглядит это следующим образом:

Настройка схемы на EDGE через Панель управления ​

1. В разделе EDGE зайдите в настройки SERVICES.

2. В разделе NAT к существующим правилам DNAT/SNAT добавьте правило "Hairpin NAT". Для этого необходимо добавить SNAT RULE.

   

3. Укажите применение правила к внутреннему интерфейсу. В примере это internal_network. Применить правило возможно как ко всей внутренней сети, так и к одному IP адресу.

   

4. Добавьте аналогичное правило DNAT RULE с пробросом на порт 80. Порт может быть любым.

   

5. Проверьте корректность введенной информации и интерфейса, к которому будет применяться правило. Нажмите на кнопку KEEP.

6. Проверьте доступность соседней VM с локальной машины через public IP.