14.6 Overload/PAT einfach erklärt

Overload, besser bekannt als PAT, gehört zu den wichtigsten Funktionen in IPv4-Netzwerken. Immer wenn viele interne Geräte mit privaten IP-Adressen gleichzeitig über eine einzige öffentliche IPv4-Adresse ins Internet gehen, arbeitet im Hintergrund meist genau dieses Verfahren. Auf Cisco-Geräten wird dafür häufig der Begriff NAT Overload verwendet. Technisch handelt es sich um eine Form von NAT, bei der nicht nur die IP-Adresse, sondern zusätzlich auch Portnummern übersetzt werden. Dadurch können viele Clients parallel dieselbe öffentliche Adresse nutzen. Gerade in Heimnetzwerken, kleinen Standorten, Filialen und Unternehmensnetzen ist PAT deshalb ein zentraler Baustein für den Internetzugang.

Was ist Overload beziehungsweise PAT?

PAT steht für Port Address Translation. Auf Cisco-Routern und Firewalls wird dieselbe Technik oft als Overload oder NAT Overload bezeichnet. Gemeint ist immer dasselbe Prinzip: Mehrere interne Hosts mit privaten IP-Adressen teilen sich eine öffentliche IP-Adresse, wobei die einzelnen Verbindungen über unterschiedliche Portnummern eindeutig unterschieden werden.

Im Gegensatz zu einfachem NAT, bei dem häufig nur IP-Adressen umgesetzt werden, nutzt PAT zusätzlich die Layer-4-Portnummern aus TCP oder UDP. Genau dadurch kann ein Router sehr viele parallele Sessions über nur eine öffentliche IPv4-Adresse abwickeln.

Die Grundidee von PAT

• Viele interne Geräte verwenden private IP-Adressen
• Nach außen steht oft nur eine einzige öffentliche IPv4-Adresse zur Verfügung
• Der Router übersetzt die Quell-IP und zusätzlich den Quellport
• Jede Verbindung erhält eine eindeutige Port-Zuordnung

Warum Overload/PAT überhaupt notwendig ist

Der wichtigste Grund für PAT ist die Knappheit öffentlicher IPv4-Adressen. In fast keinem normalen Netz ist es sinnvoll oder überhaupt möglich, jedem internen Endgerät eine eigene öffentliche IPv4-Adresse zuzuweisen. Stattdessen werden intern private Adressbereiche genutzt, die im Internet nicht geroutet werden.

Wenn ein interner Client mit einer privaten Adresse wie 192.168.10.25 eine Website aufrufen will, kann diese Adresse nicht unverändert ins Internet gesendet werden. Ein Router oder eine Firewall muss die Quelladresse auf eine gültige öffentliche Adresse übersetzen. Damit das nicht nur für einen Host, sondern für viele gleichzeitig funktioniert, kommt PAT zum Einsatz.

Vorteile von PAT

• Sehr viele interne Clients können eine einzige öffentliche IP nutzen
• Öffentliche IPv4-Adressen werden effizient eingesetzt
• Ideal für Internetzugang in Heim- und Firmennetzen
• Private interne Adressierung bleibt erhalten
• Einfacher und kostengünstiger als viele öffentliche Adressen pro Standort

Unterschied zwischen NAT und PAT

Die Begriffe NAT und PAT werden im Alltag oft vermischt, technisch gibt es aber einen klaren Unterschied. NAT ist der Oberbegriff für die Übersetzung von Netzwerkadressen. PAT ist eine spezielle Form davon, bei der zusätzlich Ports übersetzt werden.

Ein klassisches statisches NAT ordnet beispielsweise genau eine interne IP einer festen öffentlichen IP zu. Das ist eine 1:1-Beziehung. PAT hingegen erlaubt eine many-to-one-Übersetzung: Viele interne Hosts teilen sich dieselbe öffentliche Adresse, weil der Router die Verbindungen über unterschiedliche Portnummern auseinanderhalten kann.

NAT einfach eingeordnet

• Übersetzt primär IP-Adressen
• Oft 1:1 oder über einen Pool öffentlicher Adressen
• Benötigt mehr öffentliche IPv4-Adressen

PAT einfach eingeordnet

• Übersetzt IP-Adresse und Portnummer
• Viele interne Hosts teilen sich eine öffentliche IP
• Standardlösung für ausgehenden Internet-Traffic

Wie PAT technisch funktioniert

Wenn ein interner Host eine Verbindung ins Internet aufbaut, sieht das Paket zunächst ganz normal aus: Es besitzt eine private Quell-IP-Adresse und einen zufällig gewählten Quellport. Sobald das Paket den PAT-Router erreicht, verändert dieser die Quell-IP-Adresse und meist auch den Quellport. Danach trägt er diese Zuordnung in eine Übersetzungstabelle ein.

Kommt die Antwort vom externen Server zurück, betrachtet der Router die Ziel-Portnummer des Rückpakets. Über diesen Port findet er den passenden Eintrag in seiner PAT-Tabelle und weiß dadurch genau, an welchen internen Client das Paket weitergeleitet werden muss.

Einfacher Ablauf von PAT

• Client sendet Paket mit privater Quell-IP und lokalem Quellport
• Router ersetzt private IP durch öffentliche IP
• Router ersetzt oder verwaltet zusätzlich die Portnummer
• Router speichert die Zuordnung in der PAT-Tabelle
• Antwortpakete werden anhand der Portnummer dem richtigen Client zugeordnet

Beispiel einer Übersetzung

• Interner Host A: 192.168.10.10:49152
• Interner Host B: 192.168.10.11:49153
• Öffentliche Router-IP: 203.0.113.10

Nach der Übersetzung könnte das so aussehen:

• Host A → 203.0.113.10:30001
• Host B → 203.0.113.10:30002

Beide Hosts verwenden dieselbe öffentliche IP-Adresse, werden aber über unterschiedliche Portnummern getrennt.

Welche Rolle spielen Ports bei PAT?

Ports sind bei PAT der entscheidende Faktor. Ohne sie könnte ein Router nicht erkennen, welche Rückantwort zu welchem internen Client gehört. Die Kombination aus öffentlicher IP-Adresse und Portnummer macht jede Session eindeutig.

Gerade bei TCP- und UDP-Verbindungen ist das besonders praktisch. Ein Host baut zum Beispiel eine HTTPS-Verbindung zu einem Webserver auf. Intern verwendet er vielleicht den Quellport 51522. Der Router übersetzt diesen in einen anderen öffentlichen Port, etwa 31001. Genau dieser Port wird dann für die Rückkommunikation verwendet.

Warum Ports die Mehrfachnutzung ermöglichen

• Eine einzige öffentliche IP kann tausende Sessions gleichzeitig verwalten
• Jede Verbindung erhält eine eigene Port-Zuordnung
• Antwortpakete lassen sich dadurch eindeutig auflösen
• Ohne Portübersetzung wäre nur sehr begrenzte Mehrfachnutzung möglich

Private und öffentliche IP-Adressen im Zusammenhang mit PAT

PAT wird fast immer an der Grenze zwischen privaten und öffentlichen Netzbereichen eingesetzt. Im internen Netz arbeiten Clients mit privaten RFC-1918-Adressen. Diese Adressen sind nur lokal nutzbar und im Internet nicht direkt erreichbar.

Typische private IPv4-Bereiche

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

Ein Router mit PAT ersetzt diese privaten Quelladressen beim Verlassen des Netzes durch eine öffentliche IP-Adresse. Externe Server sehen also nie die private Adresse des Clients, sondern nur die öffentliche Adresse des Routers zusammen mit einem bestimmten Port.

Praxisbeispiel

• Notebook im LAN: 192.168.1.100
• Smartphone im WLAN: 192.168.1.101
• Öffentliche WAN-Adresse des Routers: 198.51.100.20

Beide Geräte nutzen gleichzeitig das Internet, obwohl nach außen nur 198.51.100.20 sichtbar ist.

Typische Einsatzszenarien für Overload/PAT

Heimnetzwerk

Im klassischen Heimnetz mit Internetrouter ist PAT der Standard. Mehrere Geräte wie Laptop, Smartphone, Smart-TV, Tablet und Spielekonsole greifen parallel aufs Internet zu, obwohl meist nur eine öffentliche IPv4-Adresse verfügbar ist.

Unternehmens-LAN

Auch in Unternehmensnetzen wird Client-Traffic fast immer per PAT umgesetzt. Hunderte oder tausende Arbeitsplätze im internen Netz verwenden private Adressen und teilen sich am Internet-Exit eine oder mehrere öffentliche Adressen.

Filialen und Außenstellen

Kleine Standorte mit nur einem WAN-Uplink nutzen häufig einen Cisco-Router mit NAT Overload. Dadurch können alle internen Benutzer ins Internet, ohne dass ein großer öffentlicher Adresspool nötig ist.

Typische Vorteile in der Praxis

• Einfacher Internetzugang für viele Geräte
• Geringere Kosten für öffentliche IPv4-Adressen
• Standardisierte Konfiguration an kleinen Standorten
• Skalierbar für typische Client-Kommunikation

Inside und Outside bei Cisco NAT Overload

Auf Cisco-Geräten wird bei NAT und PAT zwischen inside und outside unterschieden. Diese Unterscheidung ist für die Konfiguration entscheidend. Ein Interface in Richtung internes LAN wird als ip nat inside markiert. Das Interface in Richtung Internet oder Provider wird als ip nat outside definiert.

Was inside bedeutet

• Interner Bereich mit privaten IP-Adressen
• Hier befinden sich Clients, Server oder interne VLANs
• Quelladressen werden von hier aus übersetzt

Was outside bedeutet

• Externer Bereich, meist WAN oder Internet
• Hier ist die öffentliche Adresse des Routers aktiv
• Von hier kommen die Rückpakete zurück

PAT auf einem Cisco-Router konfigurieren

Auf Cisco IOS wird PAT typischerweise mit einer Access List, der Definition von inside/outside-Interfaces und dem Befehl overload konfiguriert. Die Access List beschreibt dabei, welche internen Quellnetze übersetzt werden sollen.

Beispielkonfiguration für NAT Overload

access-list 1 permit 192.168.10.0 0.0.0.255

interface GigabitEthernet0/0
 ip address 192.168.10.1 255.255.255.0
 ip nat inside

interface GigabitEthernet0/1
 ip address 203.0.113.10 255.255.255.248
 ip nat outside

ip nat inside source list 1 interface GigabitEthernet0/1 overload

Was diese Konfiguration macht

• Alle Hosts aus 192.168.10.0/24 dürfen NAT nutzen
• GigabitEthernet0/0 ist das interne Interface
• GigabitEthernet0/1 ist das externe Interface
• Die öffentliche Adresse von GigabitEthernet0/1 wird für die Übersetzung verwendet
• Das Schlüsselwort overload aktiviert PAT

Wichtiger Zusatz für die Praxis

Damit Internetzugang funktioniert, braucht der Router zusätzlich meist noch eine Standardroute in Richtung Provider.

ip route 0.0.0.0 0.0.0.0 203.0.113.9

Ohne korrektes Routing bringt auch eine funktionierende PAT-Konfiguration keinen echten Internetzugang.

PAT mit einem NAT-Pool

PAT muss nicht zwingend nur mit der Adresse eines Interfaces arbeiten. In manchen Designs wird ein Pool öffentlicher Adressen definiert. Auch dann kann Overload genutzt werden, sodass viele interne Clients einen kleineren Pool öffentlicher Adressen gemeinsam verwenden.

Beispiel mit NAT-Pool und Overload

access-list 1 permit 192.168.10.0 0.0.0.255

ip nat pool PUBLIC-POOL 203.0.113.20 203.0.113.22 netmask 255.255.255.248
ip nat inside source list 1 pool PUBLIC-POOL overload

Hier werden die internen Hosts nicht über genau eine einzige öffentliche IP, sondern über einen kleinen öffentlichen Pool per PAT umgesetzt.

PAT überprüfen und verifizieren

Nach der Konfiguration sollte NAT Overload immer überprüft werden. Cisco IOS bietet dafür mehrere Show-Befehle, mit denen sich Übersetzungen, Statistiken und die generelle NAT-Funktion kontrollieren lassen.

Wichtige Befehle zur Verifikation

show ip nat translations
show ip nat statistics
show running-config | section ip nat

show ip nat translations

Dieser Befehl zeigt die aktuell aktiven NAT- beziehungsweise PAT-Einträge. Gerade bei laufendem Client-Traffic ist er der wichtigste Nachweis, dass Overload tatsächlich arbeitet.

show ip nat translations

In der Ausgabe sieht man typischerweise interne lokale Adressen, deren öffentliche Entsprechung und die verwendeten Ports.

show ip nat statistics

Mit diesem Befehl lassen sich Anzahl aktiver Übersetzungen, Hits, Misses und die Zuordnung der Interfaces kontrollieren.

show ip nat statistics

Typische Prüffragen

• Sind inside- und outside-Interfaces korrekt gesetzt?
• Erscheinen aktive Translations in der NAT-Tabelle?
• Trifft die Access List wirklich auf das interne Netz zu?
• Existiert funktionierendes Routing ins WAN?

Wie eine PAT-Tabelle zu lesen ist

Für Anfänger wirkt die NAT-Tabelle oft unübersichtlich. Wichtig ist, die Spalten logisch zu lesen. Man sieht dort, welche interne private Adresse mit welchem privaten Port auf welche öffentliche Adresse und welchen öffentlichen Port umgesetzt wurde.

Was in einer PAT-Tabelle sichtbar wird

• Inside Local: ursprüngliche private Adresse des Clients
• Inside Global: öffentliche Adresse des Routers plus umgesetzter Port
• Outside Global: Zieladresse im externen Netz

Wenn mehrere Clients gleichzeitig Webseiten aufrufen, entstehen entsprechend mehrere Einträge mit derselben öffentlichen IP, aber unterschiedlichen Portnummern.

Häufige Fehler bei Overload/PAT

In der Praxis sind PAT-Probleme oft relativ einfache Konfigurationsfehler. Schon eine falsch gesetzte Access List, ein vertauschtes Interface oder eine fehlende Route kann dazu führen, dass kein Client das Internet erreicht.

Typische Fehlerquellen

• Inside- und outside-Interfaces wurden vertauscht
• Die Access List matcht das Quellnetz nicht
• Das Schlüsselwort overload fehlt
• Das externe Interface hat keine gültige öffentliche Konfiguration
• Eine Default Route zum Provider fehlt
• ACLs oder Firewalls blockieren den Traffic

Typische Symptome

• Interne Clients können nicht ins Internet
• Keine Einträge in show ip nat translations
• Ping ins Internet funktioniert vom Router, aber nicht von Clients
• Nur einzelne Teilnetze funktionieren, andere nicht

Systematische Fehlersuche bei PAT

Bei Problemen sollte strukturiert vorgegangen werden. Nicht immer liegt die Ursache direkt an der NAT-Regel. Oft fehlt einfach die passende Route oder das WAN-Interface ist nicht korrekt aktiv.

Sinnvolle Prüfreihenfolge

• Interface-Status kontrollieren
• Inside- und outside-Markierung prüfen
• Access List kontrollieren
• Default Route prüfen
• NAT-Translations anzeigen
• Erreichbarkeit vom Router selbst testen

Nützliche Cisco-Befehle

show ip interface brief
show running-config | section interface
show access-lists
show ip route
show ip nat translations
show ip nat statistics

Mit dieser Kombination lässt sich sehr schnell eingrenzen, ob das Problem an der Adressübersetzung, an der WAN-Anbindung oder an der Policy liegt.

Overload/PAT und Sicherheit richtig verstehen

Viele Administratoren oder Einsteiger halten PAT für eine Art Sicherheitsfunktion, weil interne Clients von außen nicht direkt sichtbar sind. Tatsächlich ist das nur ein Nebeneffekt. PAT übersetzt Adressen und Ports, ist aber keine vollwertige Zugriffskontrolle.

Ein sicheres Netzwerk entsteht nicht durch PAT allein, sondern durch Firewalls, Filterregeln, Zonenkonzepte, Segmentierung und kontrollierte Freigaben. PAT kann das interne Adressschema verbergen, ersetzt aber keine Security Policy.

Wichtige Einordnung

• PAT reduziert die direkte Sichtbarkeit interner Adressen
• PAT ist kein Ersatz für eine Firewall
• Ein- und ausgehender Traffic muss trotzdem sicher geregelt werden
• In der Praxis wird PAT fast immer mit Firewall-Regeln kombiniert

Warum Overload/PAT im IPv4-Alltag unverzichtbar ist

Ohne PAT wären viele heutige IPv4-Netze im Alltag kaum praktikabel. Fast jedes Heimnetz, jede kleine Filiale und viele Unternehmensstandorte könnten nicht wirtschaftlich mit einer oder wenigen öffentlichen IPv4-Adressen arbeiten. Genau deshalb ist NAT Overload seit Jahren eine Standardfunktion in Routern und Firewalls.

Für CCNA- und CCNP-Lernende ist PAT deshalb nicht nur ein theoretisches Thema, sondern eine der wichtigsten Basistechnologien im praktischen Netzwerkbetrieb. Wer versteht, wie Ports, öffentliche und private Adressen sowie die NAT-Tabelle zusammenspielen, kann Internetzugänge, Fehlersuche und Cisco-Konfigurationen deutlich sicherer beherrschen.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.