Как настроить доступ в LAN из LAN через WAN?

Question

[Megum1n]

Имеется следующая сеть:

На роутере установлен Port Forwarding всех необходимых портов из WAN в "Mail server".
Проблема в том, что клиент, который приведён на схеме, не может присоединиться к серверу через WAN адрес. При этом, все клиенты, которые находятся во внешней сети, спокойно подключаются к серверу.

Как разрешить клиенту в LAN подключаться к серверу в том же LAN, но по WAN адресу?
Роутер - Edgerouter от Ubiquiti, так что firewall настраивается тонко.

Comments

[fdroid]

Не знаю как на Ubiquiti, но на микротиках этот вопрос решается настройкой Hairpin NAT (гуглим).

[Keffer]

Как разрешить клиенту в LAN подключаться к серверу в том же LAN, но по WAN адресу?

Зачем, во имя всех сетевых богов, это делать?!

[be52]

Надо настраивать NAT из LAN в LAN.

[Nikmedbers]

на клиенте прописать hosts: "192.168.1.10 nameserver.com", не пойдет?

[Megum1n]

Keffer, как-то не задумывался о том что "так не делают". Мне необходимо подключаться к mail-серверу, а прописывать везде разные адреса неудобно.
Рассмотрим ситуацию: на телефоне (Android) используется DNS Cloudflare по-умолчанию на любой сети. Таким образом почта на мобильном интернете работать будет, а на Wi-Fi (в LAN'е) - нет. Постоянно отключать DNS в настройках телефона - вариант неудобный.
Ну, и с компьютерных клиентов всё будет работать нормально, все необходимые адреса будут прописываться клиентскими программами автоматически, никаких ручных конфигураций не требуется. Весь локальный DNS менять тоже неудобно так как часто от домена требуется именно внешний адрес.

Алсо, у меня тут не корпоративный сегмент, просто сервер в квартире.

[Keffer]

вариант с hosts самый норм

Answer 1

[Diman89]

Hairpin NAT

Comments

[Megum1n]

Для правильной работы Hairpin NAT нужно было выбрать интерфейс switchN, вместо ethN.
Спасибо огромное за наводку!

Статья, которая мне помогла:
https://help.ui.com/hc/en-us/articles/217367937-Ed...

Answer 2

[ky0]

Так обычно не делают, это кривота. Если существует необходимость подключаться к одному и тому же ресурсу снаружи и изнутри, решают этот вопрос заведением DNS-сервера, который при запросах из локальной сети резолвит нужное имя в локальный IP-адрес.

Answer 3

[pindschik]

То, что схема на рисунке рабочая - это совершенно точно, даже без заморочек с подменой IP на DNS.
На некоторых роутерах настройка "проброса" портов может быть реализована разными способами. Про Ubiquiti ничего не скажу (не имел знакомства), но попробуйте покрутить в нем варианты на тему - на каком IP ловить проброс, а не из какой сети.
Если ваш почтовый сервер (web-сервер, и пр.) имеет некое имя mail.host.ru - то внутри локалки клиенты не должны видеть разницы - они просто лезут по внешнему белому IP и просто работают. Роутер не должен банить внутренние запросы.
Это только вопрос настройки роутера.