Pfsense mạng nội bộ LAN không truy cập được web của công ty trong LAN – NAT Reflection

1./ Trước tiên xử lý lỗi

kịch bản là mình cài 1 Web Server với IP 192.168.201.54 nginx cho website cloudx.com.vn

từ mạng nội bộ LAN với 1 IP văn phòng có IP 192.168.202.10 muốn truy cập vào website cloudx.com.vn không được.

Sau 1 thời gian tìm kiếm trên mạng thì mình chỉ cần thao tác như sau với NAT Reflection là được

System > Advanced, Firewall/NAT/ Tìm kiếm đến mục NAT Reflection

chọn như trong hình dưới

Sau đó chọn save là có thể truy cập website bình thường.

2./ Tìm hiểu NAT reflection là gì

NAT Reflection (hoặc NAT Hairpinning) là một tính năng trong mạng máy tính và tường lửa (firewall) cho phép các thiết bị trong mạng nội bộ (LAN) truy cập vào các dịch vụ công cộng hoặc các thiết bị khác trong cùng mạng nội bộ thông qua địa chỉ IP công cộng của tường lửa.

Khi NAT Reflection được kích hoạt, các gói tin từ mạng nội bộ đi đến địa chỉ IP công cộng của tường lửa (WAN IP) sẽ được chuyển tiếp (forward) lại vào mạng nội bộ để truy cập vào các dịch vụ hoặc thiết bị trong mạng nội bộ. Điều này cho phép các thiết bị trong mạng nội bộ giao tiếp với các dịch vụ công cộng (ví dụ: máy chủ web, máy chủ đa phương tiện) sử dụng địa chỉ IP công cộng của tường lửa.

Tính năng NAT Reflection hữu ích trong các tình huống sau:

Cho phép các thiết bị trong mạng nội bộ truy cập vào các dịch vụ công cộng trong cùng mạng nội bộ mà không cần thông qua Internet hoặc địa chỉ IP ngoại vi.
Đảm bảo giao tiếp liên mạng nội bộ thông qua địa chỉ IP công cộng của tường lửa, giúp bảo mật mạng nội bộ và ngăn chặn sự tiếp cận trực tiếp từ bên ngoài.

Tuy nhiên, NAT Reflection cũng có một số hạn chế, bao gồm:

Tăng tải cho tường lửa do việc xử lý gói tin NAT Reflection.
Có thể gây trễ và hiệu suất giảm trong quá trình truy cập dịch vụ trong mạng nội bộ.

NAT Reflection thường được sử dụng trong các môi trường mạng như mạng gia đình, văn phòng nhỏ hoặc các mạng LAN có số lượng thiết bị nhỏ. Trong môi trường mạng lớn hơn, các giải pháp khác như DNS split-view hoặc DNS resolver được ưu tiên hơn.

3./ Phân biệt Pure NAT và NAT + Proxy trong NAT reflection

Trong NAT Reflection, có hai cách triển khai phổ biến là Pure NAT và NAT + Proxy. Dưới đây là sự phân biệt giữa hai phương pháp này trong NAT Reflection:

Pure NAT (NAT Reflection): Đây là phương pháp đơn giản và trực tiếp cho NAT Reflection. Khi kích hoạt Pure NAT, gói tin được chuyển tiếp (forward) thông qua tường lửa (firewall) và NAT được áp dụng trực tiếp cho địa chỉ IP nguồn và đích của gói tin. Nghĩa là NAT Reflection sẽ thay đổi địa chỉ IP của gói tin để gói tin quay lại mạng nội bộ.

Ưu điểm:

Đơn giản và dễ cấu hình.
Hiệu suất cao.

Nhược điểm:

Có thể gặp vấn đề với các giao thức hoặc ứng dụng sử dụng thông tin địa chỉ IP trong phần dữ liệu của gói tin, vì NAT Reflection chỉ thay đổi các thông số IP trong tiêu đề của gói tin.

NAT + Proxy (NAT Reflection + Proxy): Đây là phương pháp kết hợp giữa NAT Reflection và Proxy để giải quyết các vấn đề phát sinh từ Pure NAT. Khi sử dụng NAT + Proxy, gói tin không trực tiếp chuyển tiếp qua tường lửa như trong Pure NAT, mà được gửi đến một proxy trong mạng nội bộ. Proxy này sẽ xử lý gói tin, thực hiện các thay đổi NAT và sau đó chuyển tiếp gói tin đến đích cuối cùng.

Ưu điểm:

Giải quyết được các vấn đề liên quan đến thông tin địa chỉ IP trong phần dữ liệu của gói tin.
Được sử dụng cho các giao thức và ứng dụng phức tạp hơn.

Nhược điểm:

Phức tạp hơn so với Pure NAT và yêu cầu cấu hình và quản lý thêm cho proxy.
Có thể ảnh hưởng đến hiệu suất và độ trễ do phải thông qua bước xử lý bổ sung từ proxy.

Tùy thuộc vào yêu cầu và tình huống cụ thể, bạn có thể lựa chọn giữa Pure NAT và NAT + Proxy khi triển khai NAT Reflection để đạt được kết quả tốt nhất.

Trên đây là chia sẻ về Xử lý lỗi trên PFsense LAN kết nối ip WAN webserver bị lỗi, WAN webserver được NAT IP local trong PFsense – NAT Reflection.

Trong quá trình thực hiện, nếu gặp bất kỳ khó khăn nào, bạn vui lòng liên hệ các kỹ thuật viên của CloudX để được nhanh chóng hỗ trợ.! Nếu thấy bài viết này hữu ích hãy subscribe để theo dõi những thông tin mới nhất từ CloudX nhé. Chúc các bạn thành công!

Hệ sinh thái của CloudX:

Tư vấn miễn phí hệ thống CNTT cho doanh nghiệp
Miễn phí đăng ký dùng thử Cloud Server, Cloud VPS, Hosting (lưu trữ website, phần mềm, xử lý dữ liệu)
Xmail - Email tên miền doanh nghiệp
Server vật lý, cho thuê chỗ đặt Server tại các Datacenter hàng đầu Việt Nam
Dịch vụ quản trị máy chủ, Outsource CNTT, quản trị hệ thống mạng doanh nghiệp, IT Support
Miễn phí cài đặt, vận hành quản trị phần mềm trường học ảo E-Learning Canvas LMS (được đánh giá E-Learning tốt nhất thế giới)
Triển khai, quản trị Firewall cho doanh nghiệp
Các giải pháp về Monitor, Alert Cảnh báo, Sao lưu - Backup dữ liệu từ xa cho máy chủ, Cloud, VPS.
Thiết kế website chuyên nghiệp