ER8300G2-X，版本V100D023，是否NAT hairpin ？如何设置？

内网用户通过公网地址访问内部服务器，需要内网口配置NAT hairpin。策略路由用于不同网段不同出口的需求。

开启NAT Hairpin功能
在路由器Web界面操作：

网络设置 > NAT设置 > 高级选项 → 开启NAT Hairpin功能（根据文档的明确指导）。此功能专门解决内网用户通过公网地址访问内网服务器的问题，无需依赖策略路由的接口选择。

验证现有配置

确认已正确配置虚拟服务器（端口映射），将公网IP端口（1.1.2.1:8200/8300/8400）映射到内网服务器（192.168.10.x）。
策略路由已按网段分流（192.168.30-47.x走WAN1，192.168.10.x/18.x走WAN2/WAN3）
NAT Hairpin与策略路由无关：策略路由的接口选项（WAN1/WAN2/WAN3/l2tp0）是用于指定流量出口，而NAT Hairpin是独立功能，开启后路由器会自动处理内网访问公网IP的流量回流

你提到的“NAT Hairpin（端口回流）”功能，ER8300G2-X是支持的。而且在你的这种组网下，这是一个专门的独立功能，和你之前操作的策略路由界面不是一回事，你找不到内网接口的选项是正常的。

下面是完整的解决步骤：

🔧 解决方案

你的需求本质是“内网终端通过公网IP访问内网服务器”，这需要通过“NAT Hairpin（端口回流）”功能来解决，它正是为此设计的。

具体操作步骤

1. 登陆路由器Web管理页面。

2. 找到 “网络设置”（Network） > “NAT设置”（NAT Settings）。

3. 在页面中选择 “高级选项”（Advanced Options） 或 “高级设置” 标签页。

4. 找到 “NAT Hairpin”（或“端口回流”、“NAT回流”） 功能。

5. 将状态修改为 “启用”（Enable）。对这个系列的路由器来说，它有时也指开启“NAT Hairpin”功能。

配置完就可以测试了，尝试用公网地址（比如 1.1.2.1:8200）访问对应的内网服务，看是否成功。

⚙️ 配置背后的原理

启用NAT Hairpin之前，数据包的“源地址”和“目的地址”会出现冲突，导致连接失败。启用该功能后，网关会对内网发向公网IP的数据包做两个关键处理：

• 目的地址转换 (DNAT)：将数据包的目的地址从公网IP (1.1.2.1) 转为内网服务器IP (192.168.10.54)。

• 源地址转换 (SNAT)：将数据包的源地址从内网终端IP (192.168.30.x) 转为网关自身的LAN口IP，解决了服务器响应定位的问题。

💡 两套方法备选

• 方法一：已知的内网口配置（备用）
  如果Web界面里没找到明确的开关，也可以通过命令行在同网段的内网口配置这条命令来实现：

  interface GigabitEthernet0/1

  nat hairpin enable（具体的LAN口编号请以你的设备显示为准）

• 方法二：简单但易错的双重映射（备选）
  有些资料也提到，可以在内网口的NAT规则中，为同样的服务器再加一条“源地址”为内网网段的映射规则。这个方法原理上可行，但操作风险较高，容易造成配置混乱。

⚠️ 重点检查：策略路由的影响

在测试NAT Hairpin功能时，请关注你现在配置的“策略路由”。它和你直接访问公网IP时的路由规则可能存在重叠，进而影响外网和内网互通的顺畅度。

建议你暂时关闭策略路由进行一次测试，这样能快速判断两者是否冲突，有助于精准定位。测试完成后记得恢复原有配置。

这个设备不支持这个功能

• ER8300G2‑X V100D023 支持 NAT hairpin（内网用公网 IP 访问内网服务器），Web 界面直接有开关，不需要命令行。
• 你现在的问题是：策略路由把内网→公网 IP 的流量也扔到了 WAN2，导致回包异常；需要在策略路由里放通 “内网→服务器公网 IP” 的流量，不做 PBR，再配合开启 NAT hairpin 即可。

一、确认是否支持 NAT hairpin（Web 位置）

1. 登录 ER8300G2‑X
2. 进入：网络设置 → NAT 配置 → 高级配置
3. 勾选：开启 NAT hairpin 功能
4. 点击 设置，把所有内网接口（LAN/VLAN）加入生效接口列表，保存应用。
   

你的版本 V100D023 界面和上面一致，有这个功能。

二、你现在不通的根本原因

• 内网 192.168.10.0/24 → 访问 1.1.2.1:8200/8300/8400
• 策略路由是：源 192.168.10.0/24 → 所有目的 → 走 WAN2
• 所以：
  1. 192.168.10.x → 1.1.2.1: 端口 匹配策略路由，从 WAN2 出去
  2. 到了 WAN2 口，又匹配虚拟服务器，转回内网 192.168.10.54…
  3. 服务器回包：192.168.10.54 → 192.168.10.x，又匹配策略路由，再扔到 WAN2
  4. 来回环路 / 源目 NAT 错乱，不通。

• 源：192.168.10.0/24
• 目的：1.1.2.1/32（WAN2 口 IP）
• 动作：不做策略路由（No‑PBR）
• 放在所有 “走 WAN2” 的策略之前。

• 内网→公网 IP：不进 PBR，正常路由 + NAT hairpin 转发
• 内网→其他公网：继续走原策略路由 WAN2

三、Web 界面配置步骤（你要的操作）

1）先开启 NAT hairpin（必做）

• 网络设置 → NAT 配置 → 高级配置 → 勾选 “开启 NAT hairpin 功能”
• 点 “设置”，把所有内网接口（如 LAN1～LAN4、VLAN 等）移到 “已选接口”
• 应用。

2）添加策略路由豁免规则（关键）

1. 新增规则（放在列表最顶部）：
   • 规则名称：Allow_10_to_WAN2_IP
   • 源地址：192.168.10.0，掩码 255.255.255.0
   • 目的地址：1.1.2.1，掩码 255.255.255.255
   • 出接口：不选任何 WAN，选 “不做策略路由 / No‑PBR”（界面一般是 “默认路由” 或 “不转发到指定接口”）
   • 协议：ALL
   • 生效：勾选
2. 保存，确保这条在原来 “192.168.10.0→WAN2” 规则之上。

3）原有虚拟服务器保持不变

• 1.1.2.1:8200 → 192.168.10.54:8200
• 1.1.2.1:8300 → 192.168.10.64:8300
• 1.1.2.1:8400 → 192.168.10.56:8400

四、为什么 Web 策略路由里 “没有内网接口可选”

• ER8300G2‑X 的策略路由：源接口只能选 WAN/L2TP，不能选 LAN/VLAN；
• 它是基于源 IP + 目的 IP做分流，不是基于入接口；
• 所以你看不到 “内网接口” 是正常设计，不是 bug；
• 用上面 “源 IP + 目的 IP 豁免规则” 即可绕开，不需要选内网接口。

五、完整效果验证

1. 内网 192.168.10.x → http://1.1.2.1:8200 直接打开，不走 WAN2，用 NAT hairpin 回流
2. 内网 192.168.10.x → 百度 / 公网其他 IP → 正常走 WAN2
3. 其他网段（192.168.30‑47.x、192.168.18.x）策略路由不受影响

六、要不要用双向 NAT 替代？

• NAT hairpin 是官方推荐、配置最简单的方案；
• 双向 NAT 要做两次源目映射，复杂且易出错，没必要。

当前版本：ERHMG2-MNW100-R1119，bootroom版本 0.0.0.7，硬件版本A。

NAT下没有高级功能 > 开启 NAT hairpin 功能的界面。

升级到最新版本，应该就有了