Кривой NAT (?) на клиентских роутерах

[tcup]

Добрый день, коллеги!

Встречаете ли "странное" поведение у клиентских роутеров: трафик, вместо того, чтобы заворачиваться в локальную сеть клиента, заворачивается обратно, на шлюз? Такое поведение ломает логику наших маршрутизаторов (обычно некритично). В простом случае, становятся "видны" серые клиентские адреса (это очень часто, на разном оборудовании), но, в особых случаях, "прилетают" внешние адреса, которые попадают в неавторизованные и в некотором случае - пропадает доступ до этих адресов (не у клиентов).

Так понимаю, "течёт" NAT, либо маршрутизация на клиентском оборудовании.

В одном случае перезагрузили оборудование клиента, проблема ушла.

Наблюдаете ли подобное, как боретесь?

Подозреваю, если навесить фильтрующие правила, может дать серъёзную нагрузку на маршрутизаторы.

Edited April 1, 2025 by tcup

[alibek]

Возможно вы говорите о hairpin NAT?

Если да, то это сделано специально, чтобы к локальным опубликованным ресурсам можно было подключаться по внешнему адресу.

[tcup]

9 minutes ago, alibek said:

Возможно вы говорите о hairpin NAT?

Если да, то это сделано специально, чтобы к локальным опубликованным ресурсам можно было подключаться по внешнему адресу.

Может и он тут замешан... Но, от клиента прилетает, например, трафик с адресов 8.8.8.8, других dns, web.whatsapp, да, думаю, каких заблагорассудится. Да и по идее, серые не должны прилетать

[jffulcrum]

Обычно клиентские роутеры протекают, например:

 

[Умник]

Это неизбежно. Всегда нужно по-умолчанию подразумевать, что от абонента может литься мусор с не назначенных ему адресов и фильтровать.

 

https://www.daryllswer.com/edge-router-bng-optimisation-guide-for-isps/ (начиная со Strange Anomalies)

https://forum.mikrotik.com/viewtopic.php?t=177210

[tcup]

Благодарю за ответы, будем изучать

[tcup]

Коллега решил вопрос с фильтрацией кривого клиентского трафика, настроив правила в Hotspot -> IP Bindings (Запрет всех IP, разрешение только корректных клиентских IP)