14.5 Statisches NAT und dynamisches NAT im Vergleich

NAT und PAT gehören zu den wichtigsten Grundlagen moderner IP-Netzwerke. Sobald private Geräte aus einem internen LAN auf das Internet zugreifen sollen, spielen diese beiden Technologien fast immer eine zentrale Rolle. Sie sorgen dafür, dass viele interne Hosts mit privaten IP-Adressen über eine oder wenige öffentliche IPv4-Adressen kommunizieren können. Gerade im Zusammenspiel mit Routern, Firewalls und Internet-Uplinks sind NAT und PAT daher elementare Bausteine in Heimnetzwerken, Unternehmensnetzen und Filialumgebungen. Wer Routing, Internetzugang und Adressierung verstehen will, sollte deshalb genau wissen, was NAT und PAT sind, wie sie funktionieren und worin sich beide Verfahren unterscheiden.

Was ist NAT?

NAT steht für Network Address Translation. Dabei handelt es sich um ein Verfahren, bei dem ein Router oder eine Firewall IP-Adressen in Paketen verändert. Das Ziel ist, Adressen zwischen verschiedenen Netzwerkbereichen umzusetzen. Typischerweise betrifft das den Übergang zwischen einem internen privaten Netzwerk und einem externen öffentlichen Netzwerk wie dem Internet.

In der Praxis bedeutet das: Ein internes Gerät nutzt beispielsweise eine private IP-Adresse wie 192.168.10.50. Diese Adresse ist im Internet nicht direkt routbar. Bevor das Paket das interne Netz verlässt, ersetzt das NAT-Gerät die private Quelladresse durch eine öffentliche Adresse. Für externe Kommunikationspartner sieht der Traffic dann so aus, als käme er von der öffentlichen IP des Routers oder der Firewall.

Grundidee von NAT

• Interne private IP-Adressen werden in andere Adressen übersetzt
• Die Übersetzung erfolgt meist auf einem Router oder einer Firewall
• Privates Adressschema bleibt intern erhalten
• Nach außen wird eine öffentliche Adresse sichtbar

Warum NAT überhaupt benötigt wird

Der Hauptgrund für NAT liegt in der IPv4-Adressknappheit. Der verfügbare öffentliche IPv4-Adressraum ist begrenzt. Würde jedes Endgerät weltweit eine eigene öffentliche IPv4-Adresse benötigen, wären viele Netzdesigns nicht praktikabel. NAT ermöglicht es, intern private Adressbereiche zu verwenden und nur an der Netzgrenze eine Umsetzung in öffentliche Adressen vorzunehmen.

Zusätzlich vereinfacht NAT die interne Adressplanung. Unternehmen können RFC-1918-Adressbereiche wie 10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16 intern frei nutzen, ohne dass diese Adressen im Internet eindeutig sein müssen.

Vorteile von NAT

• Reduzierter Bedarf an öffentlichen IPv4-Adressen
• Flexible Nutzung privater Adressbereiche
• Einfachere interne Netzplanung
• Adressänderungen können intern vom Internet entkoppelt werden
• Interne IP-Struktur bleibt nach außen verborgen

Wichtiger Hinweis aus der Praxis

NAT ist kein vollwertiger Sicherheitsmechanismus. Zwar verbirgt es interne Adressen vor dem Internet, ersetzt aber keine Firewall-Regeln, keine Segmentierung und keine Zugriffskontrolle. In der Praxis wird NAT fast immer zusammen mit Stateful Inspection und Security Policies eingesetzt.

Private und öffentliche IP-Adressen im Zusammenhang mit NAT

Um NAT zu verstehen, muss man den Unterschied zwischen privaten und öffentlichen IPv4-Adressen kennen. Private Adressen sind für interne Netze vorgesehen und werden im Internet nicht geroutet. Öffentliche Adressen sind global eindeutig und im öffentlichen Internet erreichbar.

Typische private IPv4-Bereiche

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

Wenn ein Client mit einer privaten Adresse auf das Internet zugreifen möchte, muss seine Quell-IP auf dem Weg nach außen übersetzt werden. Genau das übernimmt NAT.

Beispiel

• Interner Client: 192.168.1.100
• Öffentliche Router-Adresse: 203.0.113.10
• Nach NAT sieht das Internet als Quelle: 203.0.113.10

Wie NAT grundsätzlich funktioniert

Wenn ein internes Gerät eine Verbindung nach außen aufbaut, prüft das NAT-Gerät, ob die Quelladresse übersetzt werden muss. Falls ja, erstellt es einen Eintrag in seiner Übersetzungstabelle. Danach ersetzt es die ursprüngliche Quell-IP-Adresse durch eine definierte Inside-Global-Adresse.

Kommt die Antwort vom externen Ziel zurück, liest das NAT-Gerät den vorhandenen NAT-Eintrag und übersetzt die Zieladresse wieder zurück auf die interne Adresse des ursprünglichen Clients. Dadurch kann die Kommunikation bidirektional funktionieren, obwohl das externe Netz die private Adresse nie direkt gesehen hat.

Einfacher Ablauf von NAT

• Client sendet Paket mit privater Quell-IP
• Router ersetzt diese durch eine öffentliche Adresse
• Externer Server antwortet an die öffentliche Adresse
• Router übersetzt die Zieladresse zurück auf den internen Host

Wichtige NAT-Begriffe einfach erklärt

Im Cisco-Umfeld und in der allgemeinen Netzwerktechnik werden bestimmte Fachbegriffe verwendet, um NAT sauber zu beschreiben. Diese Begriffe sind besonders für CCNA- und CCNP-Lernende wichtig.

Inside Local

Die interne IP-Adresse eines Hosts im lokalen Netzwerk, zum Beispiel 192.168.10.20.

Inside Global

Die öffentliche Adresse, mit der der interne Host nach außen sichtbar wird, zum Beispiel 203.0.113.10.

Outside Local

Die Adresse eines externen Hosts, wie sie aus Sicht des internen Netzes erscheint.

Outside Global

Die tatsächliche globale Adresse des externen Hosts im öffentlichen Netz.

Praktisch wichtig

Im Alltag sind vor allem Inside Local und Inside Global entscheidend. Sie beschreiben den Kern der NAT-Funktion: intern private Adresse, extern sichtbare öffentliche Adresse.

Welche NAT-Arten gibt es?

NAT ist nicht gleich NAT. In der Praxis unterscheidet man mehrere Varianten, je nachdem, wie die Adressumsetzung erfolgt. Die wichtigsten Arten sind statisches NAT, dynamisches NAT und PAT.

Statisches NAT

Beim statischen NAT wird genau eine interne Adresse fest einer öffentlichen Adresse zugeordnet. Diese Zuordnung bleibt dauerhaft gleich. Das eignet sich vor allem für Server, die aus dem Internet unter einer festen öffentlichen IP erreichbar sein sollen.

• 1:1-Zuordnung zwischen privater und öffentlicher IP
• Dauerhafte feste Zuordnung
• Geeignet für veröffentlichte Server

Beispiel für statisches NAT

• Inside Local: 192.168.10.10
• Inside Global: 203.0.113.50

Dynamisches NAT

Beim dynamischen NAT wird eine interne Adresse temporär aus einem Pool öffentlicher Adressen übersetzt. Die Zuordnung ist nicht dauerhaft an eine feste öffentliche IP gebunden, sondern wird bei Bedarf aus einem verfügbaren Bereich gewählt.

• Viele interne Hosts teilen sich einen Pool öffentlicher Adressen
• Jede aktive Verbindung nutzt temporär eine freie Adresse
• Funktioniert nur, solange genügend öffentliche Adressen im Pool vorhanden sind

PAT

PAT ist die in der Praxis wichtigste NAT-Variante. Hier teilen sich viele interne Hosts dieselbe öffentliche IP-Adresse. Die Unterscheidung erfolgt zusätzlich über Portnummern. Genau dadurch können sehr viele Geräte gleichzeitig über eine einzige öffentliche Adresse kommunizieren.

Was ist PAT?

PAT steht für Port Address Translation. Auf Cisco-Geräten wird PAT oft auch als NAT Overload bezeichnet. Im Unterschied zu klassischem NAT wird hier nicht nur die IP-Adresse übersetzt, sondern zusätzlich der Layer-4-Port genutzt, um einzelne Verbindungen eindeutig zu unterscheiden.

Wenn also zehn oder hundert interne Clients gleichzeitig ins Internet gehen, kann das NAT-Gerät für alle dieselbe öffentliche IP-Adresse verwenden. Jeder Datenstrom erhält dabei eine eigene Port-Zuordnung in der NAT-Tabelle.

Warum PAT so wichtig ist

• Sehr viele Geräte können eine einzige öffentliche IPv4-Adresse nutzen
• Ideal für Heimnetzwerke und kleinere Internet-Uplinks
• Standardverfahren in vielen Unternehmens- und Filialnetzen
• Effizienter Umgang mit knappen öffentlichen IPv4-Adressen

NAT und PAT im direkten Vergleich

Der Unterschied zwischen NAT und PAT wird in der Praxis oft unscharf verwendet. Genau genommen ist PAT eine spezielle Form von NAT. Der entscheidende Unterschied liegt in der Nutzung der Portnummern.

NAT ohne Portübersetzung

• Übersetzt primär IP-Adressen
• Oft 1:1 oder 1:many mit öffentlichem Adresspool
• Benötigt mehr öffentliche Adressen als PAT

PAT mit Portübersetzung

• Übersetzt IP-Adresse und Port
• Viele interne Hosts teilen sich dieselbe öffentliche IP
• Unterscheidung erfolgt über verschiedene Quellports
• Deutlich effizienter im IPv4-Alltag

Einfaches Beispiel

• Client A: 192.168.1.10:49152 → 203.0.113.10:30001
• Client B: 192.168.1.11:49153 → 203.0.113.10:30002
• Client C: 192.168.1.12:49154 → 203.0.113.10:30003

Alle drei Clients nutzen dieselbe öffentliche IP 203.0.113.10, werden aber anhand unterschiedlicher Ports auseinandergehalten.

Wie PAT technisch arbeitet

Wenn ein interner Client eine Verbindung aufbaut, schreibt das PAT-Gerät einen Eintrag in seine Übersetzungstabelle. Dort wird gespeichert, welcher interne Host mit welcher privaten IP und welchem Quellport kommuniziert und welchem öffentlichen Port diese Verbindung zugeordnet wurde.

Antwortet der externe Server, kommt das Paket an die öffentliche Adresse des Routers zurück. Anhand der Ziel-Portnummer erkennt der Router, zu welchem internen Client die Antwort gehört. Danach setzt er die ursprüngliche Zieladresse und den Zielport intern wieder korrekt ein.

Bestandteile einer PAT-Übersetzung

• Interne private Quell-IP
• Interner Quellport
• Öffentliche Quell-IP des NAT-Geräts
• Übersetzter öffentlicher Port
• Ziel-IP und Zielport der externen Verbindung

Typische Einsatzszenarien für NAT und PAT

Heimnetzwerk mit Internetrouter

Im Heimnetz ist PAT der Normalfall. Mehrere Geräte wie Laptop, Smartphone, Smart-TV und Spielkonsole nutzen gleichzeitig das Internet, obwohl der Anschluss oft nur eine öffentliche IPv4-Adresse bereitstellt. Der Router führt daher NAT Overload durch.

Unternehmens-LAN mit zentralem Internet-Exit

Auch in Unternehmen verwenden interne Clients meist private IP-Adressen. Am Internet-Edge übersetzt eine Firewall oder ein Router diese per PAT auf eine oder mehrere öffentliche Adressen. So können hunderte oder tausende Clients nach außen kommunizieren.

Server-Veröffentlichung per statischem NAT

Wenn ein interner Webserver von außen erreichbar sein soll, wird häufig statisches NAT oder Port Forwarding genutzt. Dabei erhält der Dienst eine feste öffentliche Zuordnung oder eine gezielte Port-Weiterleitung.

Typische Praxisverwendung

• PAT für ausgehenden Client-Traffic
• Statisches NAT für veröffentlichte Server
• Dynamisches NAT seltener, aber in bestimmten Designs möglich

NAT auf Cisco-Geräten einfach erklärt

Auf Cisco-Routern wird NAT über die Zuordnung von Inside- und Outside-Interfaces sowie passende NAT-Regeln konfiguriert. Zunächst wird festgelegt, welche Interfaces intern und welche extern sind. Danach definiert man, welche internen Adressen übersetzt werden sollen und wie die Übersetzung erfolgen soll.

Inside- und Outside-Interface definieren

interface GigabitEthernet0/0
 ip address 192.168.10.1 255.255.255.0
 ip nat inside

interface GigabitEthernet0/1
 ip address 203.0.113.10 255.255.255.248
 ip nat outside

Hier ist GigabitEthernet0/0 das interne Interface und GigabitEthernet0/1 das externe Interface in Richtung Internet.

PAT auf Cisco-Routern konfigurieren

Für PAT wird auf Cisco IOS meist eine Access List definiert, die die internen Quellnetze beschreibt. Anschließend wird NAT Overload auf das externe Interface angewendet.

Beispiel für PAT mit NAT Overload

access-list 1 permit 192.168.10.0 0.0.0.255

interface GigabitEthernet0/0
 ip address 192.168.10.1 255.255.255.0
 ip nat inside

interface GigabitEthernet0/1
 ip address 203.0.113.10 255.255.255.248
 ip nat outside

ip nat inside source list 1 interface GigabitEthernet0/1 overload

Was diese Konfiguration bewirkt

• Alle Hosts aus 192.168.10.0/24 dürfen NAT nutzen
• Die Übersetzung erfolgt über die Adresse von GigabitEthernet0/1
• Das Keyword overload aktiviert PAT
• Mehrere Clients können dieselbe öffentliche IP gleichzeitig nutzen

Statisches NAT auf Cisco-Routern konfigurieren

Für veröffentlichte interne Systeme wird häufig statisches NAT verwendet. Dabei wird eine feste interne Adresse dauerhaft auf eine feste öffentliche Adresse abgebildet.

Beispiel für statisches NAT

interface GigabitEthernet0/0
 ip address 192.168.10.1 255.255.255.0
 ip nat inside

interface GigabitEthernet0/1
 ip address 203.0.113.10 255.255.255.248
 ip nat outside

ip nat inside source static 192.168.10.100 203.0.113.20

Damit wird der interne Host 192.168.10.100 dauerhaft unter der öffentlichen Adresse 203.0.113.20 erreichbar.

NAT und PAT überprüfen

Nach der Konfiguration sollte NAT immer verifiziert werden. Cisco IOS bietet dafür mehrere hilfreiche Show-Befehle, mit denen sich aktuelle Übersetzungen, Statistiken und die NAT-Konfiguration prüfen lassen.

Wichtige Show-Befehle

show ip nat translations
show ip nat statistics
show running-config | section ip nat

show ip nat translations

Dieser Befehl zeigt die aktuell vorhandenen NAT-Übersetzungen. Gerade bei PAT ist das der wichtigste Prüfpunkt, um aktive Sessions sichtbar zu machen.

show ip nat statistics

Damit lassen sich NAT-Zähler, Hits, Misses und die Zuordnung von Inside- und Outside-Interfaces kontrollieren.

Typische Prüffragen

• Sind die richtigen Interfaces als inside und outside markiert?
• Existieren aktive NAT-Translations?
• Wird die richtige ACL verwendet?
• Funktioniert das Routing zum Internet korrekt?

Häufige Fehler bei NAT und PAT

In der Praxis sind NAT-Probleme oft keine komplizierten Designfehler, sondern klassische Konfigurationsdetails. Eine falsche Access List, vertauschte Inside-/Outside-Interfaces oder fehlendes Routing reichen aus, um die Übersetzung unbrauchbar zu machen.

Typische Fehlerquellen

• Inside- und Outside-Interface vertauscht
• Access List matcht das interne Netz nicht korrekt
• Das Keyword overload fehlt bei PAT
• Kein Routing zum externen Netz vorhanden
• Rückroute oder Default Route fehlt
• Falsche öffentliche Adresse oder falsches Ausgangsinterface

Typische Symptome

• Interne Hosts erreichen das Internet nicht
• Keine NAT-Translations in der Tabelle sichtbar
• Nur einzelne Hosts funktionieren
• Veröffentlichte Server sind von außen nicht erreichbar

NAT und Sicherheit richtig einordnen

NAT wird oft mit Sicherheit gleichgesetzt, weil interne Adressen nicht direkt im Internet sichtbar sind. Tatsächlich bietet NAT aber nur eine indirekte Abschirmung. Es ist kein Ersatz für eine Firewall und kontrolliert nicht automatisch, welche Verbindungen erlaubt oder verboten sind.

Die eigentliche Sicherheitslogik entsteht erst durch Access Control Lists, Stateful Firewalls, Zonenmodelle, Segmentierung und weitere Schutzmaßnahmen. NAT unterstützt das Design, ist aber keine eigenständige Sicherheitsstrategie.

Wichtige Einordnung

• NAT verbirgt interne Adressen
• NAT blockiert nicht automatisch unerlaubte Kommunikation
• Sicherheit entsteht durch Firewalls und Policies
• NAT und Firewall arbeiten in der Praxis meist gemeinsam

NAT und PAT im modernen Netzwerkalltag

Ob Heimrouter, Cisco-Router in der Außenstelle oder zentrale Enterprise-Firewall: NAT und besonders PAT sind im IPv4-Alltag allgegenwärtig. Ohne PAT könnten viele Standorte nicht wirtschaftlich mit nur einer oder wenigen öffentlichen IPv4-Adressen arbeiten. Ohne statisches NAT oder Portweiterleitung wären interne Dienste schwer kontrolliert nach außen veröffentlichbar.

Damit gehören NAT und PAT zu den wichtigsten Basistechnologien im Netzwerkbetrieb. Sie verbinden interne private Netze mit externen öffentlichen Netzwerken und sorgen dafür, dass Adressierung, Internetzugang und Dienstveröffentlichung in IPv4-Umgebungen überhaupt praktikabel funktionieren.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.