öffentliches und privates Netzwerk

Network Address Translation

Lerninhalte wurden mit Hilfe von der Cisco Networking Academy und durch AI-Unterstützung erstellt.

Mit Hilfe von NAT können durch die Übersetzung von privaten in öffentliche Adressen ausreichend Adressen in IPv4 bereitgestellt werden.

In diesem Artikel lernst Du die Grundprinzipien des Network Address Translation, die drei verschiedenen NAT-Varianten (statisches NAT, dynamisches NAT und PAT) und die Konfiguration von NAT auf einem CISCO-Router.

1 Was ist NAT? Der Türsteher deines Netzwerks

NAT (Network Address Translation) löst ein fundamentales Problem des Internets:

  • IPv4-Knappheit: Es gibt weltweit nur ca. 4,3 Milliarden (232) IP-Adressen – viel zu wenig für alle Geräte.
  • Private vs. Öffentliche IP: Intern hat jedes Gerät eine eigene IP-Adresse (z. B. 192.168.x.x), nach außen tritt aber nur eine einzige Adresse auf.
Das Grundprinzip

NAT fungiert wie ein Sammelpostfach für ein ganzes Mietshaus. Alle Briefe gehen an die Hauptadresse, und der "Postbote" (Router) verteilt sie intern an die richtigen Wohnungen. Dies geschieht dadrurch, dass private IP-Adressen zu öffentlichen IP-Adressen übersetzt werden.

2 Wie NAT arbeitet: Der Identitätstausch

Wenn ein Datenpaket dein Heimnetz verlässt, ändert der Router die IP-Adresse:

  • Header-Manipulation: Der Router ersetzt deine private Absender-IP durch seine öffentliche IP.
  • Die NAT-Tabelle: In der Tabelle werden die Informationen gespeichert: "PC 1 will eine Website von Server XY laden".
  • Rückweg: Kommt die Antwort vom Server, schlägt der Router in der Tabelle nach und weiß genau, an welchen PC er die Daten schicken muss.
Wichtig zu wissen:

Für den Server im Internet sieht es so aus, als käme die Anfrage direkt vom Router. Dein PC bleibt im Hintergrund völlig unsichtbar.

3 Die NAT-Varianten: Von Statisch bis PAT

Nicht jedes NAT ist gleich. Es gibt drei Haupttypen:

  • Statisches NAT: 1-zu-1 Zuordnung (feste interne zu fester externer IP).
  • Dynamisches NAT: Ein Pool von öffentlichen IPs wird nach dem "Wer zuerst kommt"-Prinzip vergeben.
  • PAT (Masquerading): Viele interne Geräte teilen sich EINE IP über verschiedene Ports.
Der Standard-Fall

In 99% der Heimnetzwerke wird PAT genutzt. Hier bekommt jedes Gerät eine eigene "Port-Nummer", damit der Router die Rückpakete unterscheiden kann.

Static NAT
Funktionsweise des statischen NAT für Server
Abb. 1 Funktionsweise des statischen NAT für Server. Der Server ist von außen immer unter der selben Adresse erreichbar, unabhängig von der intern vergebenen Adresse.

Static NAT konfigurieren

!1. Die statische Zuordnung definieren
ip nat inside source static 192.168.1.10 80.1.1.1

!2. Interfaces markieren
interface GigabitEthernet0/0
  ip nat inside
interface GigabitEthernet0/1
  ip nat outside

Static NAT ordnet einer internen privaten IP dauerhaft eine feste öffentliche IP zu — immer dieselbe, unabhängig davon ob gerade eine Verbindung besteht. Typischer Einsatz sind Server, die von außen erreichbar sein müssen, z.B. ein Webserver auf 192.168.1.10, der nach außen als 80.1.1.1 erscheint.

Dynamic NAT
Funktionsweise des dynamischen NAT für Clients
Abb. 2 Funktionsweise des dynamischen NAT für Clients. Aufgrund der Knappheit öffentlicher IP-Adressen teilen sich die Clients einen Adresspool. Ist dieser ausgeschöpft muss ein Client warten bis eine temporär zugewiesene Adresse wieder frei ist.

Dynamic NAT konfigurieren

!1. Den dynamischen Pool definieren
ip nat pool MEIN_POOL 80.1.1.5 80.1.1.6 netmask 255.255.255.252

!2. Die drei Clients oder ganzes Subnetz per ACL zulassen
access-list 1 permit 192.168.1.0 0.0.0.255

!3. Die dynamische Anbindung aktivieren
ip nat inside source list 1 pool MEIN_POOL

!4. Das interne und externe Interface markieren
interface GigabitEthernet0/0 !Beispiel-Interface
  ip nat inside
interface GigabitEthernet0/1 !Beispiel-Interface
  ip nat outside

Dynamic NAT übersetzt interne private IPs auf eine von mehreren öffentlichen IPs aus einem Pool. Im Gegensatz zu PAT bekommt jeder Client eine eigene öffentliche IP zugewiesen — allerdings nur so lange, wie der Pool Adressen hat. Hat der Pool z.B. nur 2 Einträge (80.1.1.5 und 80.1.1.6), können maximal 2 Clients gleichzeitig ins Internet. Ein dritter Client muss warten, bis eine IP wieder freigegeben wird.

PAT
Funktionsweise des PAT für Clients
Abb. 3 Funktionsweise des PAT für Clients. Jede Clientverbindung wird auf eine temporäre Portnummer gemappt. Alle Clients teilen sich eine öffentliche IP-Adresse.

PAT konfigurieren

!1. Gesamtes Subnetz per Wildcard-Maske zulassen
access-list 2 permit 192.168.1.0 0.0.0.255

!2. PAT über das Interface aktivieren (viele Clients über eine IP)
ip nat inside source list 2 interface GigabitEthernet0/1 overload

!3. Interfaces markieren
interface GigabitEthernet0/0
  ip nat inside
interface GigabitEthernet0/1
  ip nat outside

Overload erlaubt vielen Clients das gleichzeitige Surfen über eine IP, indem er sie anhand unterschiedlicher Portnummern unterscheidet. Ohne Overload wäre die IP nach dem ersten Client blockiert, und alle anderen müssten warten, bis dieser fertig ist.

4 Vor- und Nachteile von NAT

NAT bietet Schutz, bringt aber auch Nachteile mit sich:

  • Vorteil Ersparnis: NAT spart öffentliche Adressen ein.
  • Vorteil Konsitenz: NAT bietet Konsistenz für interne Netze auch bei Wechsel der öffentlichen IP-Adresse.
  • Vorteil Sicherheit: Angreifer sehen von außen nur den Router, nicht deine Endgeräte.
  • Nachteil Komplexität: Echtzeitanwendungen wie VoIP oder Online-Gaming benötigen oft extra Konfiguration (Port-Freigaben).
Das Ende-zu-Ende-Prinzip

Ursprünglich sollten alle Geräte direkt miteinander kommunizieren. NAT unterbricht diese direkte Leitung und macht den Router zum zwingenden Vermittler.

5 NAT in der Praxis: Das Port-Forwarding

Was passiert, wenn jemand von außen auf dein Netz zugreifen will?

  • Die Sackgasse: Ohne aktiven Auftrag blockt der Router jede eingehende Anfrage ab.
  • Die Lösung: Beim Port-Forwarding sagst du: "Anfragen auf Port 80 bitte direkt an meinen Webserver (192.168.1.10) leiten."
Typische Anwendungen:

Das ist nötig für eigene Webserver, NAS-Systeme oder wenn man bei Spielen als "Host" agieren möchte.

Arbeitsauftrag 1 - Statisches NAT

In dieser Übung wird ein internes Netzwerk über einen NAT-Router mit einem externen Netzwerk verbunden. Der interne Server soll vom internen PC und vom externen Notebook erreichbar sein. Die Umsetzung erfolgt mit statischem NAT (1:1-Mapping).

Netzbereich Gerät IP-Adresse
Internes Netzwerk (192.168.1.0/24) Router (Inside) 192.168.1.1
Interner PC 192.168.1.20
Interner Server 192.168.1.10
Externes Netzwerk (203.0.113.0/24) Router (Outside) 203.0.113.1
Externes Notebook 203.0.113.20

Der interne Server soll unter folgender öffentlicher IP erreichbar sein: 203.0.113.5

  1. Grundkonfiguration
    • Weisen Sie allen Geräten die passenden IP-Adressen zu.
    • Konfigurieren Sie die Default-Gateways.
  2. NAT-Konfiguration
    • Definieren Sie das Inside-Interface.
    • Definieren Sie das Outside-Interface.
    • Konfigurieren Sie das statische NAT-Mapping.
  3. Test und Überprüfung
    • Testen Sie die Erreichbarkeit des Servers vom internen PC.
    • Testen Sie die Erreichbarkeit des Servers vom externen Notebook über die öffentliche IP.
    • Überprüfen Sie die NAT-Tabelle.
    • Kontrollieren Sie die NAT-Statistiken.
    • Erklären Sie, wieso der Aufbau grundsätzlich auch ohne NAT funktioniert.

Befehlsreferenz

Befehl Bedeutung / Zweck
ip nat inside Markiert ein Interface als NAT-Inside
ip nat outside Markiert ein Interface als NAT-Outside
ip nat inside source static <inside-local> <inside-global> Erstellt eine feste 1:1-Adresszuordnung (statisches Mapping)
show ip nat translations Zeigt alle aktiven und statischen NAT-Übersetzungen an
show ip nat statistics Zeigt Anzahl aktiver Übersetzungen, Interfaces, Hits und Misses
clear ip nat statistics Setzt NAT-Statistiken zurück (für Testzwecke)

Arbeitsauftrag 2 - Dynamic NAT

In dieser Übung wird ein zweites privates Netzwerk über einen zweiten Router an das simulierte Internet angeschlossen. Die Clients sollen über Dynamic NAT ins WAN kommunizieren können. Der Server aus Arbeitsauftrag 1 bleibt weiterhin über statisches NAT erreichbar.

Netzbereich Gerät IP-Adresse
Netz 10.1.0.0/24 Router2 (Inside) 10.1.0.1
Interner Client 1 DHCP (10.1.0.x)
Interner Client 2 DHCP (10.1.0.x)
WAN 203.0.113.0/24 Router2 (Outside) 203.0.113.6

Clients aus dem Netz 10.1.0.0/24 sollen über Dynamic NAT ins WAN (203.0.113.0/24) gelangen. Der Server 192.168.1.10 soll weiterhin über statisches NAT unter 203.0.113.5 erreichbar sein.

  1. Grundkonfiguration
    • Weisen Sie allen Geräten die passenden IP-Adressen zu.
    • Konfigurieren Sie die Default-Gateways.
  2. Dynamic NAT am zweiten Router
    • Definieren Sie das Inside-Interface für 10.1.0.0/24.
    • Definieren Sie das Outside-Interface zum WAN.
    • Konfigurieren Sie einen NAT-Pool (z.B. 203.0.113.6–203.0.113.10).
    • Verknüpfen Sie den Pool mit einer passenden Access-List für 10.1.0.0/24.
  3. Test und Überprüfung
    • Testen Sie die Erreichbarkeit des WAN von einem Client im 10.1.0.0/24-Netz.
    • Überprüfen Sie die NAT-Übersetzungen auf Router2.
    • Kontrollieren Sie die NAT-Statistiken.

Befehlsreferenz – Dynamic NAT (Router2)

Befehl Bedeutung / Zweck
ip nat pool PUBLICPOOL 203.0.113.6 203.0.113.10 netmask 255.255.255.0 Definiert Pool öffentlicher IP-Adressen für Dynamic NAT
access-list 2 permit 10.1.0.0 0.0.0.255 Legt interne Quelladressen für NAT fest
ip nat inside source list 2 pool PUBLICPOOL Verknüpft ACL und Pool – NAT nur für diese Hosts
ip nat inside Markiert Interface als NAT-Inside
ip nat outside Markiert Interface als NAT-Outside
show ip nat translations Zeigt alle aktiven NAT-Übersetzungen an
show ip nat statistics Zeigt Anzahl aktiver Übersetzungen, Interfaces, Hits und Misses
clear ip nat statistics Setzt NAT-Statistiken zurück (für Testzwecke)

Arbeitsauftrag 3 - PAT

In dieser Übung wird ein internes Netzwerk über einen NAT-Router mit dem Schulnetz verbunden. Da am Switchport des Schulnetzes Portsecurity aktiv ist, darf nur eine MAC-Adresse sichtbar sein. Daher wird PAT (Port Address Translation / NAT Overload) eingesetzt.

Netzbereich Gerät IP-Adresse
Internes Netzwerk (192.168.10.0/24) Router (Inside) 192.168.10.1
Interner PC DHCP (192.168.10.x)
Web-Server 192.168.10.10 (statisch)
Schulnetz (10.x.x.x) Router (Outside) DHCP (10.x.x.x)

Interne Clients sollen über PAT ins Schulnetz kommunizieren. Der Web-Server soll über Portweiterleitung (TCP Port 443 – HTTPS) vom Schulnetz erreichbar sein.

  1. Grundkonfiguration
    • Konfigurieren Sie das Inside-Interface mit 192.168.10.1/24.
    • Konfigurieren Sie das Outside-Interface als DHCP-Client.
    • Aktivieren Sie alle Interfaces.
  2. DHCP-Server (intern)
    • Erstellen Sie einen DHCP-Pool für 192.168.10.0/24.
    • Schließen Sie die Adresse des Routers und des Servers aus.
  3. PAT-Konfiguration (NAT Overload)
    • Definieren Sie Inside- und Outside-Interface.
    • Erstellen Sie eine Access-List für das interne Netz.
    • Konfigurieren Sie PAT über das Outside-Interface.
  4. Portweiterleitung für Web-Server (HTTPS)
    • Leiten Sie TCP-Port 443 von der externen IP auf 192.168.10.10 weiter.
  5. Test und Überprüfung
    • Testen Sie den Internetzugriff vom internen PC.
    • Testen Sie den Zugriff auf den Web-Server vom Schulnetz über HTTPS.
    • Überprüfen Sie die NAT-Tabelle.

Befehlsreferenz – PAT (NAT Overload)

Befehl Bedeutung / Zweck
interface GigabitEthernet0/0 Internes Interface auswählen
ip address 192.168.10.1 255.255.255.0 Interne Gateway-Adresse setzen
ip nat inside Interface als NAT-Inside definieren
interface GigabitEthernet0/1 Externes Interface auswählen
ip address dhcp Externe IP automatisch beziehen
ip nat outside Interface als NAT-Outside definieren
access-list 1 permit 192.168.10.0 0.0.0.255 Internes Netz für NAT freigeben
ip nat inside source list 1 interface GigabitEthernet0/1 overload Aktiviert PAT über die externe IP
ip nat inside source static tcp 192.168.10.10 443 interface GigabitEthernet0/1 443 Portweiterleitung für Web-Server (HTTPS)

Befehlsreferenz – DHCP (intern)

Befehl Bedeutung / Zweck
ip dhcp excluded-address 192.168.10.1 192.168.10.10 Reserviert Router- und Server-IP
ip dhcp pool LANPOOL Erstellt DHCP-Pool
network 192.168.10.0 255.255.255.0 Definiert internes Subnetz
default-router 192.168.10.1 Gateway für Clients
dns-server 8.8.8.8 DNS-Server für die Clients

Arbeitsauftrag 4 - NAT-Konfiguration Brauerei Meckatzer

Situationsbeschreibung

Du arbeitest als Netzwerktechniker/Netzwerktechnikerin im IT-Team der Brauerei Meckatzer in Heimenkirch im Allgäu.

Die Brauerei betreibt zwei Standorte: die Produktion und die Verwaltung. Beide Standorte sind über einen zentralen Cisco-Router mit dem Internet verbunden.

  • Der Produktionsserver soll von außen dauerhaft unter einer festen öffentlichen IP erreichbar sein (Static NAT).
  • Die Verwaltungs-Clients sollen gemeinsam über eine einzige öffentliche IP ins Internet (PAT).

Netzwerkübersicht:

Bereich Gerät IP-Adresse
Produktion (10.10.10.0/24) Router (Inside) 10.10.10.1
Produktionsserver 10.10.10.50
Verwaltung (172.16.5.0/24) Router (Inside) 172.16.5.1
Verwaltungs-Client 1 172.16.5.10
Verwaltungs-Client 2 172.16.5.11
Internet (213.47.80.0/24) Router (Outside) 213.47.80.1
Öffentliche IP Produktionsserver 213.47.80.10
Auftragsbearbeitung

5.1 Grundlagen zu Static NAT und PAT:

5.1.1 Der Produktionsserver soll von außen erreichbar sein. Welches NAT-Verfahren ist dafür geeignet und warum?
Wähle zwei Antworten.

  1. Static NAT, weil die öffentliche IP dauerhaft fest zugeordnet wird.
  2. PAT, weil mehrere Clients dieselbe öffentliche IP nutzen können.
  3. Static NAT, weil externe Geräte den Server immer unter derselben IP erreichen.
  4. PAT, weil Portnummern eine eindeutige Serverzuordnung ermöglichen.


5.1.2 Welcher Befehl konfiguriert das statische NAT-Mapping für den Produktionsserver korrekt?
Wähle eine Antwort.

  1. ip nat inside source static 213.47.80.10 10.10.10.50
  2. ip nat inside source static 10.10.10.50 213.47.80.10
  3. ip nat outside source static 10.10.10.50 213.47.80.10
  4. ip nat pool PROD 10.10.10.50 213.47.80.10 netmask 255.255.255.0


5.1.3 Welche Access-List lässt das Verwaltungsnetz korrekt für PAT zu?
Wähle eine Antwort.

  1. access-list 1 permit 172.16.5.0 255.255.255.0
  2. access-list 1 permit 172.16.5.0 0.0.0.255
  3. access-list 1 permit 172.16.5.1 0.0.0.255
  4. access-list 1 deny 172.16.5.0 0.0.0.255


5.1.4 Welcher Befehl aktiviert PAT für das Verwaltungsnetz über das Outside-Interface?
Wähle eine Antwort.

  1. ip nat inside source list 1 interface GigabitEthernet0/1
  2. ip nat outside source list 1 interface GigabitEthernet0/1 overload
  3. ip nat inside source list 1 interface GigabitEthernet0/1 overload
  4. ip nat inside source static list 1 interface GigabitEthernet0/1 overload


5.1.5 Mit welchem Befehl überprüfst du, ob das statische NAT-Mapping aktiv ist?
Wähle eine Antwort.

  1. show ip interface brief
  2. show ip nat translations
  3. show running-config
  4. show ip route


5.1.6 Ein Verwaltungs-Client kann nicht ins Internet. PAT ist konfiguriert, aber das Inside-Interface fehlt. Welcher Befehl behebt das Problem?
Wähle eine Antwort.

  1. ip nat outside auf GigabitEthernet0/0
  2. ip nat inside auf GigabitEthernet0/1
  3. ip nat inside auf GigabitEthernet0/0
  4. no ip nat inside auf GigabitEthernet0/0


5.2 Konfigurationsaufgaben:

5.2.1 Schreibe die vollständige Cisco-Konfiguration für das statische NAT-Mapping des Produktionsservers (10.10.10.50213.47.80.10) inklusive Interface-Markierungen.

5.2.2 Schreibe die vollständige Cisco-Konfiguration für PAT des Verwaltungsnetzes (172.16.5.0/24) über das Outside-Interface GigabitEthernet0/1.

5.3 Die folgende Konfiguration kombiniert Static NAT und PAT auf dem Router der Brauerei. Ergänze die fehlenden Stellen:


!--- Static NAT: Produktionsserver ---
interface GigabitEthernet0/0
  ip address 10.10.10.1 255.255.255.0
  ip nat 
  no shutdown

interface GigabitEthernet0/1
  ip address 213.47.80.1 255.255.255.0
  ip nat 
  no shutdown

ip nat inside source static  213.47.80.10

!--- PAT: Verwaltungsnetz ---
access-list 1 permit 172.16.5.0 

ip nat inside source list 1 interface GigabitEthernet0/1

Wortliste und Satzbausteine



NAT Network Address Translation: Verfahren, das private IP-Adressen in öffentliche IP-Adressen übersetzt und umgekehrt.
Static NAT 1:1-Zuordnung: Eine private IP-Adresse wird dauerhaft und fest einer öffentlichen IP-Adresse zugeordnet. Typisch für Server, die von außen erreichbar sein müssen.
PAT Port Address Translation (NAT Overload): Viele interne Clients teilen sich eine einzige öffentliche IP-Adresse. Die Unterscheidung erfolgt über unterschiedliche Portnummern.
overload Cisco-Schlüsselwort zur Aktivierung von PAT: Erlaubt mehreren internen Hosts die gleichzeitige Nutzung einer öffentlichen IP über verschiedene Ports.
Inside Local Die private IP-Adresse eines internen Geräts, so wie sie im lokalen Netzwerk vergeben ist (z.B. 192.168.1.10).
Inside Global Die öffentliche IP-Adresse, unter der ein internes Gerät von außen sichtbar ist (z.B. 80.1.1.1).
ip nat inside Cisco-Befehl: Markiert ein Interface als NAT-Inside (internes Netz). Der Router prüft ausgehende Pakete auf NAT-Übersetzungen.
ip nat outside Cisco-Befehl: Markiert ein Interface als NAT-Outside (externes Netz). Der Router prüft eingehende Pakete und übersetzt die Zieladresse zurück.
Access-List Definiert, welche internen IP-Adressen oder Netze für NAT freigegeben werden. Die Wildcard-Maske gibt den erlaubten Adressbereich an (z.B. 0.0.0.255 für ein /24-Netz).