×
ข้ามไปยังเนื้อหาหลัก

คู่มือการตั้งค่า : ให้ผู้ใช้ภายในเข้าถึง Server ด้วย Domain หรือ Public IP

ปรับปรุงเมื่อ

โดยปกติเมื่อเราทำ DNAT (Destination NAT) บน Firewall จะช่วยให้บุคคลภายนอก (Internet) สามารถเข้าถึง Server ภายในองค์กรผ่าน Public IP ได้

อย่างไรก็ตาม มักจะเกิดปัญหาคือ "ผู้ใช้งานที่อยู่ภายในวง LAN เดียวกัน (Internal User) ไม่สามารถเรียกใช้งาน Server ผ่าน Public IP หรือ Domain Name ได้" เรียกได้เฉพาะ Private IP เท่านั้น

เพื่อแก้ปัญหานี้ บน Sangfor Firewall มีวิธีการจัดการ 2 รูปแบบ คือ

  1. DNS Mapping (แนะนำสำหรับ Domain Name)
  2. BNAT / Hairpin NAT (แนะนำสำหรับการเรียกผ่าน Public IP)

วิธีที่ 1: การใช้ DNS Mapping (แนะนำ)

messageImage_1731321957541.jpg

เหมาะสำหรับ: กรณีที่ผู้ใช้งานเรียกผ่านชื่อ Domain (เช่น crm.mycompany.com) หลักการ: Firewall จะทำหน้าที่แปลง Domain เป็น Private IP ให้กับเครื่องลูกข่ายภายในโดยตรง โดยไม่ต้องวิ่งออกไปถาม DNS ข้างนอก

ขั้นตอนการตั้งค่า

  1. ไปที่เมนู Policies > NAT > DNS-Mapping
  2. กด New เพื่อสร้างรายการใหม่
  3. กรอกข้อมูลดังนี้:
    • Domain Name: ชื่อเว็บไซต์ที่ใช้งาน (เช่น example.com)
    • Public IP: ระบุ Public IP ของ Server นั้น
    • Internal IP: ระบุ Private IP ของ Server (เช่น 192.168.1.3)
  4. กด OK เพื่อบันทึก

วิธีที่ 2: การทำ BNAT (Bidirectional NAT) หรือ Hairpin NAT

เหมาะสำหรับ: กรณีที่มีการเรียกผ่าน Public IP โดยตรง หรือ Application บังคับให้วิ่งผ่าน IP จริง หลักการ: เราต้องสร้าง Policy ที่ยอมให้ Traffic วิ่งจาก LAN -> Public IP -> Firewall -> LAN โดยต้องมีการแปลงทั้ง IP ปลายทาง (DNAT) และ IP ต้นทาง (SNAT) เพื่อให้การรับส่งข้อมูลครบวงจร

 

ขั้นตอนการตั้งค่า (แก้ไขหรือสร้าง NAT Policy ใหม่)

ไปที่ Policies > NAT > IPv4 NAT

ส่วนที่ 1: Basic Settings (ข้อมูลทั่วไป)
messageImage_1731322816819.jpg

  • Name: ตั้งชื่อ Policy (เช่น Internal_Access_Websvr)
  • Src Zone: เลือก Zone ภายใน (เช่น LAN, Trust) สำคัญ
  • Src Address: เลือก All หรือระบุกลุ่ม Network ภายในองค์กร
  • Destination: ระบุ Public IP ของ Server (หรือเลือก Object ที่สร้างไว้)
  • Services: ระบุ Port ที่ต้องการใช้งาน (เช่น HTTP, HTTPS, TCP 8080)

ส่วนที่ 2: Advanced Settings (การแปลง IP)

จุดสำคัญของการทำ Hairpin NAT อยู่ตรงนี้ คือต้องทำทั้งข้อ A และ B

 

A. Translate Dst IP To (แปลงปลายทาง - DNAT):

  • ส่วนนี้คือการบอกว่า Public IP นี้คู่กับ Server เครื่องไหน
  • IP Address: ใส่ Private IP ของ Server (เช่น 192.168.1.3)
messageImage_1731318074149.jpg

B. Translate Src IP To (แปลงต้นทาง - SNAT): สำคัญที่สุด

  • หากไม่ตั้งค่าส่วนนี้ Server จะตอบกลับไปหา Client โดยตรงด้วย Private IP ทำให้ Connection หลุด (Asymmetric Routing)
  • ให้เลือกเป็น: Outbound Interface (เพื่อให้ Server เห็นว่า Traffic มาจาก Firewall แล้วตอบกลับไปที่ Firewall)

⚠️ ข้อควรระวัง: > การตั้งค่าแบบนี้ (BNAT/SNAT) จะทำให้ Server ปลายทางมองเห็น Source IP ของผู้เรียกเป็น IP ของ Firewall เท่านั้น (จะไม่เห็น IP จริงของเครื่องพนักงาน)

  • ซึ่งอาจส่งผลกระทบหากท่านมีการทำ Access Log Analysis หรือมีการทำ IP Filtering บนตัว Server เอง

ส่วนที่ 3: Options

  • [x] Add ACL policy automatically: ติ๊กถูก เพื่อให้ Firewall สร้าง Rule อนุญาตให้อัตโนมัติ
  • [x] Log application control logs: ติ๊กถูก หากต้องการเก็บ Log

สรุปความแตกต่าง

หัวข้อ DNAT ทั่วไป (สำหรับคนนอก) BNAT / Hairpin NAT (สำหรับคนใน)
เป้าหมาย ให้คนจาก Internet เข้า Server ให้คนใน LAN เข้า Server ผ่าน Public IP
Src Zone WAN / Internet LAN / Internal / Trust
Dst IP Public IP Public IP
Translate Dst IP เปลี่ยนเป็น Private IP Server เปลี่ยนเป็น Private IP Server
Translate Src IP

ไม่ต้องทำ (No NAT)

Server เห็น IP จริงของคนเรียก

ต้องทำ (SNAT/Masquerade)

Server เห็นเป็น IP ของ Firewall

 

เกี่ยวข้องกับ

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น