Работа схемы

Этап 1
Компьютер с адреса 192.168.0.5 пытается установить соединение с адресом 1.1.1.1 по 80 порту и отправляет пакет на маршрутизатор.

Этап 2
На маршрутизаторе срабатывает правило dst-nat, в результате чего адрес назначения пакета меняется на 192.168.0.10 и правило src-nat, где адрес источника пакета меняется на адрес интерфейса маршрутизатора (192.168.0.1). После чего пакет отправляется на www-сервер 192.168.0.10.

Этап 3
Узел 192.168.0.10 получив пакет с адресом источника 192.168.0.1 (адрес маршрутизатора), определяет, что они оба находятся в одной локальной сети и отвечает ему. В результате чего пакет попадает на маршрутизатор

Этап 4
Connection Tracker маршрутизатора получив такой пакет выполняет обратное преобразование адресов. Компьютер получает ожидаемый ответ с адреса 1.1.1.1

Вот такая схема трансляции адресов и является Hairpin NAT.192.168.0.5 пытается установить соединение с адресом 1.1.1.1 по 80 порту и отправляет пакет на маршрутизатор.

Этап 2
На маршрутизаторе срабатывает правило dst-nat, в результате чего адрес назначения пакета меняется на 192.168.0.10 и правило src-nat, где адрес источника пакета меняется на адрес интерфейса маршрутизатора (192.168.0.1). После чего пакет отправляется на www-сервер 192.168.0.10.

Этап 3
Узел 192.168.0.10 получив пакет с адресом источника 192.168.0.1 (адрес маршрутизатора), определяет, что они оба находятся в одной локальной сети и отвечает ему. В результате чего пакет попадает на маршрутизатор

Этап 4
Connection Tracker маршрутизатора получив такой пакет выполняет обратное преобразование адресов. Компьютер получает ожидаемый ответ с адреса 1.1.1.1

Вот такая схема трансляции адресов и является Hairpin NAT.

Так ребята подскажите а то 12 ночи а лыжи уже походу не едут или не могу понять что пропустил.
Есть удаленный сервер передним стоит CHR   сеть 172.16.0.0/24

есть локальная сеть  стоит hap ac2 сеть 192.168.0.0/24 - роутер подключается по pppoe и имеет свой внешний адрес

Между chr и ac2 поднят gre+ipsec  
Пинги  с сети 192.168.0.0  на сервер 172.16.0.200 проходят с криком ура  а RDP не поднимается

Это испанский стыд это другое)

Какое конкретно место из этой страницы и в качестве какого аргумента нужно рассматривать? )

Да хоть итальянский )

чтобы ответный пакет с 10,0,0,15 вернулся на роутер и дальше был переслан в 192,168,1,0/24 с соответствующей заменой адресов, которая в conn track'е ведется

это собственно моими словами изложенные пункты 1 2 3 и 4

Вы разницу в адресации не видите? )
Намекну: при каких условиях хост 10.0.0.15 может обратиться/ответить к хостам сети 192.168.1.0/24 НАПРЯМУЮ?

вы имеете в виду, что из  10.0.0.15 в 192.168.1.0/24 уже есть маскарадинг?

А зачем вообще натить что-то из одной локалки в другую?

Нет. Я не говорил о маскарадинге(подразумевая соурснат)

если не будет "обратного" маскарадинга ответный пакет не будет принят на инициировавшей соединение стороне

Ещё раз - зачем натить что-то между двумя локалками?

т.е. если пакет придет чисто по роутингу с адреса 10.0.0.15 он принят не будет

1. А что такое "обратный маскарадинг" ?
2. Вы считаете, что "обратный маскарадинг" обеспечивает Хаирпин НАТ?

Почему Вы так решили? Именно для этого роутинг и есть. )

Окей, а что тогда такое маскарадинг? Если сорцнат подменяет адрес источника на конкретный, то на что подменяет маскарадинг?
Хотя я кажется понял, на адрес роутера на соответствующем интерфейсе. Или нет?

потому что в conn track на инициировавшей соединение стороне есть SYN Sent соединение с параметрами 192.168.1.Х->1.1.1.1 и нет аналогичного 192.168.1.Х->10.0.0.15

ответный ACK это на какой SYN?