Nat Hairpin в Router OS 7.1.1

Точно такая же ситуация.

Это моя конфигурация, работающая на версии 6.49.2:

action=masquerade chain=srcnat comment=“hairpin nat” dst-address=!192.xxx.xxx.1 log-prefix=hairping src-address=192.xxx.xxx.0/24

Следуя твоему совету, я изменил её так:

action=masquerade chain=srcnat comment=“hairpin nat” dst-address=!192.xxx.xxx.1 log-prefix=hairping out-interface=ether1 src-address=192.xxx.xxx.0/24

Но в версии 7.1 у меня всё равно не работает.

Дай угадаю, первый xxx — это 168, а второй xxx — от 0 до 255. Серьёзно, это же приватная подсеть, а не уникальный адрес, у миллионов людей такие же, смысла маскировать её нет. Что касается NAT, параметр out-interface=WAN явно бессмысленен для hairpin NAT, ведь там исходящий интерфейс — LAN. out-interface=WAN используется для основного NAT, для подключений с LAN в интернет. Hairpin NAT обычно задаётся через src-address= и dst-address=. Но твой вариант тоже работает. На самом деле, без указания out-interface правило может использоваться как для LAN->интернет, так и для hairpin LAN->LAN. И нет никаких причин, почему это не должно работать в версии 7. Опубликуй всю конфигурацию, там должно быть объяснение.

Похоже, что в версии ОС 7 что-то изменилось, из-за чего у многих перестала работать srcnat masquerade.

Похоже, нас таких немало, включая меня. В 99% случаев это не моя вина (но, к сожалению, проверить на версии 6.x не могу, так как для RB5009 такой версии нет). # 13/02/2022 23:16:41 от RouterOS 7.1.2  
# модель = RB5009UG+S+

/ip firewall nat  
add action=masquerade chain=srcnat out-interface-list=WAN  
add action=dst-nat chain=dstnat comment="www" dst-address=!192.168.144.1 dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.144.22 to-ports=80  
add action=masquerade chain=srcnat comment=HairpinNat dst-address=!192.168.144.1 src-address=192.168.144.0/24  

/ip firewall filter  
add action=accept chain=forward comment="Разрешить пересылку трафика для уже установленных/связанных соединений" connection-state=established,related  
add action=accept chain=forward comment="Разрешить пересылку трафика с LAN" connection-state=!invalid in-interface-list=LAN out-interface-list=WAN src-address=192.168.144.0/24  
add action=accept chain=forward comment="Разрешить пересылку трафика для перенаправлений портов и DMZ" connection-nat-state=dstnat  
add action=drop chain=forward comment="Запретить остальной пересылаемый трафик"  
add action=accept chain=output comment="Разрешить исходящий трафик"  
add action=accept chain=input comment="Разрешить входящий трафик для уже установленных/связанных соединений" connection-state=established,related  
add action=accept chain=input comment="Разрешить ICMP ping-запросы" icmp-options=8:0 protocol=icmp  
add action=accept chain=input comment="Разрешить ICMP сообщения о слишком большом размере пакета (необходима фрагментация)" icmp-options=3:4 protocol=icmp  
add action=accept chain=input comment="Разрешить новые подключения к Winbox сервису в LAN" connection-state=new dst-address=192.168.144.1 dst-port=8291,22,80 in-interface-list=LAN protocol=tcp src-address=192.168.144.0/24  
add action=accept chain=input comment="Разрешить запросы к DNS сервису из LAN" connection-state=new dst-address=192.168.144.1 dst-port=53 in-interface-list=LAN protocol=udp src-address=192.168.144.0/24  
add action=drop chain=input comment="Запретить остальной входящий трафик"