14.12 NAT- und ACL-Probleme überprüfen und beheben

NAT und ACLs gehören zu den häufigsten Fehlerquellen in Cisco-Netzwerken, weil beide Technologien direkt in den Datenverkehr eingreifen. Schon kleine Konfigurationsfehler können dazu führen, dass Clients das Internet nicht mehr erreichen, Server nicht antworten oder gewünschte Verbindungen unerwartet blockiert werden. Besonders tückisch ist dabei, dass NAT- und ACL-Probleme oft ähnliche Symptome zeigen: Pakete kommen scheinbar nicht an, Verbindungen brechen ab oder nur bestimmte Dienste funktionieren nicht. Genau deshalb ist eine strukturierte Fehlersuche entscheidend. Wer systematisch prüft, ob das Problem bei Routing, NAT, ACL-Reihenfolge, Interface-Zuordnung oder Port-Filterung liegt, kann Fehler deutlich schneller eingrenzen und beheben.

Warum NAT- und ACL-Probleme so häufig auftreten

NAT und ACLs arbeiten beide an zentralen Stellen im Paketfluss. NAT verändert Adressen und bei PAT zusätzlich Ports. ACLs entscheiden, ob ein Paket überhaupt passieren darf. Wenn eine dieser Funktionen falsch konfiguriert ist, wirkt sich das unmittelbar auf die Kommunikation aus.

In der Praxis kommt noch hinzu, dass NAT und ACLs oft zusammen eingesetzt werden. Ein Client-Netz wird beispielsweise per PAT ins Internet übersetzt, während ACLs gleichzeitig festlegen, welcher Traffic erlaubt ist. Dadurch kann ein Fehlerbild schnell unübersichtlich werden: Funktioniert NAT nicht, die ACL nicht oder beides?

Typische Gründe für Probleme

• Inside- und Outside-Interfaces bei NAT sind vertauscht
• Eine ACL blockiert legitimen Traffic durch falsche Reihenfolge
• Das NAT-Matching trifft nicht auf das gewünschte Netz zu
• Die ACL ist auf dem falschen Interface oder in falscher Richtung aktiv
• Routing fehlt, obwohl NAT oder ACL korrekt wirken
• Ports oder Protokolle sind unvollständig erlaubt

Typische Symptome bei NAT- und ACL-Problemen

Bevor die Fehlersuche beginnt, sollte das Fehlerbild sauber eingeordnet werden. Das spart Zeit, weil sich daraus oft schon ableiten lässt, ob eher NAT oder ACLs die Ursache sind.

Typische NAT-Symptome

• Interne Hosts erreichen das Internet nicht
• Es erscheinen keine NAT-Translations
• Nur der Router selbst kann externe Ziele erreichen, Clients aber nicht
• Verbindungen funktionieren nur in eine Richtung
• Ein veröffentlichter Server ist von außen nicht erreichbar

Typische ACL-Symptome

• Nur bestimmte Protokolle oder Ports funktionieren nicht
• Ping klappt, aber HTTPS oder SSH nicht
• Nur ein bestimmtes Netz oder VLAN ist betroffen
• Nach einer ACL-Änderung bricht Kommunikation unerwartet weg
• Trefferzähler steigen auf einer Deny-Regel an

Wichtige Grundfrage

Bei der Analyse sollte zuerst geklärt werden: Wird das Paket falsch übersetzt oder wird es gefiltert? Diese Unterscheidung ist zentral, weil sich NAT- und ACL-Fehler zwar ähnlich zeigen können, aber anders geprüft werden müssen.

Strukturierter Ablauf für die Fehlersuche

Eine gute Troubleshooting-Strategie arbeitet nicht planlos mit Einzelbefehlen, sondern systematisch. Zuerst wird die Basis geprüft, dann Routing, danach NAT und schließlich ACLs. So lässt sich der Fehler sauber eingrenzen.

Empfohlene Prüfreihenfolge

• Interface-Status und IP-Adressierung prüfen
• Routing und Default Route kontrollieren
• NAT-Konfiguration und NAT-Translations prüfen
• ACL-Inhalt, Richtung und Platzierung verifizieren
• Datenfluss gezielt testen
• Bei Bedarf Debugging verwenden

Schritt eins: Basis und Routing prüfen

Viele vermeintliche NAT- oder ACL-Probleme sind in Wirklichkeit Routing- oder Interface-Probleme. Wenn ein WAN-Interface down ist oder die Default Route fehlt, kann auch eine perfekte NAT-Konfiguration keinen Internetzugang ermöglichen.

Wichtige Basisbefehle

show ip interface brief
show interfaces GigabitEthernet0/0
show ip route
show ip route 0.0.0.0
ping 8.8.8.8

Mit diesen Befehlen lässt sich prüfen, ob Interfaces aktiv sind, ob das Routing grundsätzlich funktioniert und ob eine Standardroute vorhanden ist.

Worauf geachtet werden sollte

• Sind die Interfaces up/up?
• Stimmen die IP-Adressen und Subnetze?
• Existiert eine Default Route zum Provider oder Upstream?
• Kann der Router selbst externe Ziele erreichen?

Typischer Denkfehler

Wenn der Router selbst das Internet nicht erreicht, ist NAT meist noch nicht der erste Prüfpunkt. In diesem Fall liegt das Problem häufig schon bei Routing, WAN-Konnektivität oder Upstream-Erreichbarkeit.

Schritt zwei: NAT-Grundkonfiguration kontrollieren

Wenn Routing funktioniert, sollte die eigentliche NAT-Konfiguration geprüft werden. Auf Cisco-Geräten sind dafür vor allem drei Punkte entscheidend: die Markierung der Interfaces, das Matching der Quellnetze und die eigentliche Übersetzungsregel.

Wichtige NAT-Bestandteile

• ip nat inside auf internen Interfaces
• ip nat outside auf externen Interfaces
• Access List oder Route-Map für das NAT-Matching
• NAT-Regel mit Interface oder Pool

Beispiel für klassisches PAT

access-list 1 permit 192.168.10.0 0.0.0.255

interface GigabitEthernet0/0
 ip address 192.168.10.1 255.255.255.0
 ip nat inside

interface GigabitEthernet0/1
 ip address 203.0.113.10 255.255.255.248
 ip nat outside

ip nat inside source list 1 interface GigabitEthernet0/1 overload

Typische NAT-Fehlerquellen

• Inside und outside sind vertauscht
• Die ACL matcht das Quellnetz nicht korrekt
• Das Schlüsselwort overload fehlt bei PAT
• Das falsche Ausgangsinterface wird verwendet
• Ein NAT-Pool ist falsch definiert

Schritt drei: NAT-Translations prüfen

Wenn NAT korrekt arbeiten soll, müssen Übersetzungen sichtbar sein. Genau deshalb ist die NAT-Translation-Tabelle einer der wichtigsten Prüfbereiche. Fehlen dort Einträge, obwohl Client-Traffic erzeugt wird, liegt das Problem meist in der NAT-Regel oder im Matching.

Wichtige NAT-Befehle

show ip nat translations
show ip nat statistics
show running-config | section ip nat

show ip nat translations

Dieser Befehl zeigt aktive Übersetzungen. Bei PAT sollten hier Einträge mit privaten und öffentlichen Adressen sowie übersetzten Ports sichtbar werden.

show ip nat statistics

Mit diesem Befehl lassen sich Hits, Misses, aktive Übersetzungen und die Zuordnung der NAT-Interfaces prüfen.

Was fehlende Translations bedeuten können

• Die NAT-ACL matcht den Traffic nicht
• Das Paket erreicht das NAT-Gerät gar nicht
• Es wird durch eine ACL vor NAT blockiert
• Das falsche Interface ist als inside oder outside markiert

Schritt vier: ACL-Konfiguration kontrollieren

Wenn NAT plausibel aussieht oder wenn das Fehlerbild stark nach Filterung aussieht, muss die ACL genau untersucht werden. Hier sind Inhalt, Reihenfolge, Richtung und Platzierung entscheidend.

Wichtige ACL-Befehle

show access-lists
show ip interface
show running-config | section access-list
show running-config | section ip access-list

show access-lists

Dieser Befehl zeigt nicht nur die ACL-Regeln, sondern oft auch Trefferzähler. Diese Counter sind besonders wertvoll, weil sie sichtbar machen, welche Regel tatsächlich Pakete matcht.

show ip interface

Damit lässt sich prüfen, welche ACL auf welchem Interface aktiv ist und ob sie inbound oder outbound angewendet wurde.

Typische ACL-Fehlerquellen

• Falsche Reihenfolge der Regeln
• Implizites deny wurde vergessen
• ACL ist am falschen Interface aktiv
• Richtung in/out ist falsch
• Wildcard Mask ist fehlerhaft
• Quell- und Zieladresse wurden vertauscht

Zusammenspiel von NAT und ACL verstehen

Eine der häufigsten Fehlerquellen entsteht dort, wo NAT und ACLs gleichzeitig wirken. Ein Paket muss dann oft mehrere Bedingungen erfüllen: Es darf nicht durch eine ACL blockiert werden, muss das NAT-Matching treffen und braucht funktionierendes Routing. Fällt eine dieser Bedingungen weg, funktioniert die Verbindung nicht.

Wichtige Praxisfrage

Man sollte immer prüfen, an welcher Stelle im Paketfluss die ACL und das NAT greifen. Entscheidend ist dabei, dass ACLs und NAT nicht einfach austauschbar sind, sondern unterschiedliche Aufgaben haben.

Typisches Szenario

• Ein internes Netz soll per PAT ins Internet
• Eine ACL auf dem LAN-Interface erlaubt aber nur HTTP und HTTPS
• DNS wurde vergessen

Dann funktioniert möglicherweise der Browser scheinbar nicht richtig, obwohl NAT korrekt arbeitet. Das Problem liegt in Wirklichkeit an der ACL, die DNS blockiert.

Praxisbeispiel: Client erreicht Internet nicht

Angenommen, ein Client aus 192.168.10.0/24 soll per PAT über GigabitEthernet0/1 ins Internet. Die Konfiguration sieht auf den ersten Blick korrekt aus, aber der Zugriff funktioniert nicht.

Beispielkonfiguration

access-list 1 permit 192.168.10.0 0.0.0.255

interface GigabitEthernet0/0
 ip address 192.168.10.1 255.255.255.0
 ip nat inside

interface GigabitEthernet0/1
 ip address 203.0.113.10 255.255.255.248
 ip nat outside

ip nat inside source list 1 interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 203.0.113.9

Nun zeigt show ip nat translations keine Einträge.

Mögliche Ursachen

• Client sendet gar keinen Traffic zum Router
• Die NAT-ACL matcht das Netz nicht richtig
• Eine ACL auf dem LAN-Interface blockiert den Traffic vorher
• Inside/Outside wurde falsch markiert

Sinnvolle Prüfschritte

show ip interface brief
show ip nat statistics
show access-lists
show ip interface GigabitEthernet0/0
show ip interface GigabitEthernet0/1

Wenn sich zeigt, dass eine ACL den Traffic bereits am LAN-Interface blockiert, muss zuerst diese ACL korrigiert werden. NAT kann nur mit Paketen arbeiten, die das NAT-Gerät überhaupt erreichen.

Praxisbeispiel: Web funktioniert, DNS nicht

Ein sehr typischer Fehler ist, dass eine Extended ACL nur HTTP und HTTPS erlaubt, aber DNS vergisst. Dann scheint der Webzugriff aus Benutzersicht kaputt zu sein, obwohl NAT korrekt übersetzt.

Fehlerhafte ACL

ip access-list extended INTERNET-FILTER
 permit tcp 192.168.10.0 0.0.0.255 any eq 80
 permit tcp 192.168.10.0 0.0.0.255 any eq 443
 deny ip any any

Hier wird DNS über UDP 53 nicht erlaubt. Webseiten lassen sich dann oft nicht per Name auflösen.

Korrigierte ACL

ip access-list extended INTERNET-FILTER
 permit udp 192.168.10.0 0.0.0.255 any eq 53
 permit tcp 192.168.10.0 0.0.0.255 any eq 80
 permit tcp 192.168.10.0 0.0.0.255 any eq 443
 deny ip any any

Wichtige Erkenntnis

Wenn NAT funktioniert, aber bestimmte Dienste nicht, sollte immer geprüft werden, ob eine ACL genau diesen Dienst oder dessen Hilfsprotokolle blockiert.

Praxisbeispiel: veröffentlichter Server von außen nicht erreichbar

Bei statischem NAT oder Portweiterleitung treten häufig Fehler auf, wenn entweder die NAT-Zuordnung oder die eingehende ACL nicht sauber abgestimmt ist.

Beispiel für statisches NAT

ip nat inside source static 192.168.20.10 203.0.113.20

Ein externer Client soll den internen Server 192.168.20.10 über 203.0.113.20 erreichen. Wenn das nicht funktioniert, muss mehr als nur NAT geprüft werden.

Typische Ursachen

• Das outside-Interface hat keine Rückroute
• Eine ACL blockiert eingehenden Traffic auf Port 80 oder 443
• Der Server selbst hat das falsche Default Gateway
• Statisches NAT wurde auf die falsche Adresse gesetzt

Wichtige Prüfbefehle

show ip nat translations
show access-lists
show ip route
ping 192.168.20.10

Gerade bei Serververöffentlichungen sollte immer geprüft werden, ob der Rückweg ebenfalls funktioniert. NAT allein reicht nicht, wenn Server-Gateway oder ACL-Logik den Rückverkehr blockieren.

ACL-Reihenfolge gezielt überprüfen

Eine der häufigsten ACL-Ursachen ist die falsche Reihenfolge der Regeln. Da ACLs nach dem Prinzip „first match“ arbeiten, kann eine einzige zu allgemeine Regel späteren Einträgen die Wirkung nehmen.

Fehlerhaftes Beispiel

ip access-list extended BROKEN-ACL
 permit ip any any
 deny tcp 192.168.10.0 0.0.0.255 any eq 23

Die zweite Regel wird nie erreicht, weil bereits die erste Regel allen IP-Verkehr erlaubt.

Korrigierte Reihenfolge

ip access-list extended WORKING-ACL
 deny tcp 192.168.10.0 0.0.0.255 any eq 23
 permit ip any any

Worauf geachtet werden sollte

• Spezifische Regeln zuerst
• Allgemeine Permit-Regeln später
• Implizites deny am Ende immer mitdenken

Richtung und Platzierung der ACL prüfen

Eine ACL kann inhaltlich korrekt sein und trotzdem falsch wirken, wenn sie am falschen Interface oder in der falschen Richtung eingesetzt wurde. Gerade bei komplexeren Netzwerken ist das ein sehr häufiger Fehler.

Typische Fehlplatzierungen

• Inbound statt outbound angewendet
• Auf dem falschen VLAN-SVI platziert
• Zu weit von Quelle oder Ziel entfernt eingesetzt
• Standard ACL zu nah an der Quelle angewendet

Wichtige Prüfbefehle

show ip interface
show running-config | section interface

Mit diesen Befehlen lässt sich kontrollieren, welche ACL auf welchem Interface aktiv ist und ob sie in der richtigen Richtung greift.

Debugging bei NAT- und ACL-Problemen

Wenn die Show-Befehle keine klare Ursache liefern, kann Debugging helfen. Auf produktiven Geräten sollte es allerdings vorsichtig eingesetzt werden, weil es CPU-Last erzeugen kann.

Nützliche NAT-Debugs

debug ip nat

Dieser Befehl zeigt, ob NAT-Übersetzungen erzeugt oder verarbeitet werden.

ACL-bezogenes Vorgehen

Bei ACL-Problemen helfen oft weniger klassische Debugs als vielmehr:

• Trefferzähler in show access-lists
• Gezielte Testverbindungen
• Temporäre Logging-Optionen, wenn passend

Debug wieder deaktivieren

undebug all

Best Practices für NAT- und ACL-Troubleshooting

Eine saubere Fehlersuche lebt davon, dass NAT und ACLs nicht isoliert, sondern im gesamten Paketfluss betrachtet werden. Ziel ist immer, den exakten Punkt zu finden, an dem das Paket scheitert: beim Eintritt, bei der Übersetzung, beim Routing oder beim Verlassen des Geräts.

Bewährte Vorgehensweisen

• Zuerst Basis und Routing prüfen, dann NAT und ACLs
• Mit show ip nat translations immer die tatsächliche Übersetzung prüfen
• ACL-Trefferzähler aktiv auswerten
• Richtung und Platzierung der ACL nie nur annehmen, sondern verifizieren
• Bei Dienstproblemen immer auch Hilfsprotokolle wie DNS mitdenken
• Testen, ob der Router selbst das Ziel erreicht, bevor NAT verdächtigt wird

Praxisnaher Denkansatz

Die effektivste Fehlersuche bei NAT- und ACL-Problemen beginnt nicht mit dem Ändern der Konfiguration, sondern mit einer klaren Frage: Wo genau im Paketfluss geht die Kommunikation verloren? Wer diese Frage sauber beantwortet, findet meist sehr schnell, ob Routing, NAT oder ACLs die eigentliche Ursache sind.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.