February 17, 2026

CGNAT erklärt: Warum du keine echte öffentliche IPv4 bekommst

CGNAT erklärt, warum du keine echte öffentliche IPv4 bekommst: Viele Internetanschlüsse erhalten heute zwar „Internet“, aber keine eigene, weltweit eindeutige IPv4-Adresse mehr. Stattdessen teilst du dir eine öffentliche IPv4 mit vielen anderen Kunden deines Providers – und genau das ist der Kern von Carrier-Grade NAT (CGNAT). Für die meisten Alltagsanwendungen wie Surfen, Streaming und Apps fällt das kaum auf, weil sie ausgehende Verbindungen aufbauen. Spätestens wenn du jedoch von außen auf dein Heimnetz zugreifen willst (NAS, Smart Home, Kamera, Gameserver, Portweiterleitung), wird CGNAT zum Stolperstein: Die Verbindung erreicht zwar den Provider, aber nicht deinen Router – denn die „öffentliche“ IPv4 sitzt nicht bei dir, sondern im Netz des Anbieters. Dieser Artikel erklärt verständlich, was CGNAT ist, warum Provider es einsetzen, wie die Technik hinter der geteilten IPv4 funktioniert, welche typischen Symptome auftreten und welche Lösungen in der Praxis wirklich helfen – von IPv6 über Dual-Stack bis zu VPN- und Tunnel-Ansätzen.

Was bedeutet „keine echte öffentliche IPv4“?

Eine „echte“ öffentliche IPv4-Adresse ist eine Adresse, die weltweit eindeutig ist und direkt zu deinem Anschluss geroutet wird. Wenn du so eine Adresse hast, kann ein externer Client grundsätzlich eine Verbindung zu deiner öffentlichen IPv4 aufbauen – vorausgesetzt, Firewall und Portfreigaben erlauben es. Bei CGNAT ist das anders: Dein Router erhält auf der WAN-Seite keine öffentliche IPv4, sondern eine Adresse aus einem privaten oder „shared“ Bereich. Der Provider übersetzt dann deinen Verkehr zentral auf eine öffentliche IPv4, die sich viele Nutzer teilen.

  • Mit echter öffentlicher IPv4: Portweiterleitungen am eigenen Router können eingehenden Traffic zu internen Geräten leiten.
  • Mit CGNAT: Der eingehende Traffic endet am Provider-NAT, bevor er deinen Router erreicht.
  • Folge: „Von außen erreichbar“ ist ohne zusätzliche Mechanismen meist nicht möglich.

Was ist CGNAT (Carrier-Grade NAT) genau?

CGNAT ist eine Provider-Technik, bei der NAT nicht nur im Heimrouter stattfindet, sondern zusätzlich (oder ausschließlich) im Netz des Internetanbieters. Technisch ist es eine Form von NAT44 (IPv4 zu IPv4): viele private Kundennetze werden über wenige öffentliche IPv4-Adressen ins Internet geführt. Der Provider betreibt dafür große NAT-Gateways, die ausgehende Verbindungen anhand von Ports und Zuständen (Session-Tabellen) zuordnen.

Der für CGNAT typische Adressbereich ist der sogenannte „Shared Address Space“ 100.64.0.0/10. Er wurde explizit dafür reserviert, dass Provider ihre Kunden hinter CGNAT adressieren können, ohne klassische RFC1918-Privatbereiche zu verwenden. Details dazu beschreibt RFC 6598 (Shared Address Space für CGN).

Abgrenzung: NAT im Heimrouter vs. CGNAT beim Provider

Viele kennen NAT bereits aus dem Heimnetz: Geräte im LAN nutzen private IPv4-Adressen (z. B. 192.168.x.x) und der Router übersetzt nach außen. Bei CGNAT kommt eine zweite NAT-Schicht hinzu:

  • Heimrouter (NAT/PAT): LAN (privat) → Router-WAN (bei CGNAT nicht öffentlich)
  • Provider (CGNAT): Kunden-WAN (shared/privat) → öffentliche IPv4 des Providers

Diese Doppelübersetzung wird oft als „Double NAT“ bezeichnet – nur dass die zweite NAT-Ebene außerhalb deines Einflussbereichs liegt.

Warum setzen Provider CGNAT ein?

Der Hauptgrund ist die IPv4-Adressknappheit. Öffentliche IPv4-Adressen sind begrenzt und frei verfügbare Pools sind seit Jahren weitgehend erschöpft. Provider können nicht jedem Anschluss eine eigene öffentliche IPv4 zuweisen, ohne enorme Kosten oder Transfers am IPv4-Markt in Kauf zu nehmen. CGNAT ist daher ein pragmatischer Weg, viele Kunden weiter mit IPv4 zu versorgen.

  • Adressmangel: Nicht genug öffentliche IPv4 für alle Kunden.
  • Kostendruck: Öffentliche IPv4 sind knapp und teuer in Beschaffung und Verwaltung.
  • Übergangsphase: IPv6 ist die langfristige Lösung, aber nicht überall vollständig ausgerollt.

Für Hintergrund zur generellen IPv4-Knappheit und den daraus resultierenden Maßnahmen bieten RIRs und Fachquellen gute Einordnungen, etwa APNIC-Informationen zur IPv4-Erschöpfung oder die Policy-Übersichten von RIPE NCC.

So funktioniert CGNAT technisch: Ports, Tabellen, Zustände

Damit viele Kunden eine öffentliche IPv4 teilen können, reicht es nicht, nur die IP-Adresse zu übersetzen. Es müssen zusätzlich Ports verwendet werden, um parallele Verbindungen auseinanderzuhalten. Genau wie bei PAT (NAT Overload) im Heimrouter vergibt das CGNAT-Gateway pro ausgehender Verbindung einen externen Port und merkt sich die Zuordnung in einer Tabelle.

  • Intern: Dein Anschluss hat eine „shared“ IPv4 (z. B. 100.72.15.20) und baut eine Verbindung zu einem Server auf.
  • CGNAT: Der Provider ersetzt deine Quell-IP durch eine öffentliche IPv4 und ordnet dir einen externen Quellport zu.
  • Rückweg: Antworten an diese öffentliche IPv4 plus Port werden wieder deinem Anschluss zugeordnet.

Warum eingehende Verbindungen fast immer scheitern

Für eingehende Verbindungen bräuchte das CGNAT-Gateway eine passende Zuordnung, bevor ein Paket an dich weitergeleitet werden kann. Bei ausgehenden Verbindungen entsteht diese Zuordnung automatisch, weil du die Verbindung startest. Bei eingehenden Verbindungen gibt es ohne vorherigen Zustand keine Zuordnung – und damit kein Routing zu deinem Anschluss. Deshalb funktionieren klassische Portweiterleitungen an deinem Heimrouter nicht, wenn du hinter CGNAT sitzt.

Typische Symptome: Woran du CGNAT im Alltag erkennst

CGNAT zeigt sich selten durch „kein Internet“. Es zeigt sich durch Einschränkungen bei allem, was von außen nach innen gehen soll oder was eine stabile, eindeutige öffentliche IPv4 voraussetzt.

  • Portweiterleitung klappt nie, obwohl du sie am Router korrekt eingerichtet hast.
  • Remote-Zugriff auf NAS/Kamera/Smart-Home funktioniert nur über Cloud-Relays, nicht direkt.
  • Online-Gaming meldet striktes NAT, Matchmaking ist langsamer oder Voice-Chat ist instabil.
  • VPN als Server (z. B. eigener WireGuard/OpenVPN-Endpoint zu Hause) ist von außen nicht erreichbar.
  • Einige Dienste blocken die geteilte IP (z. B. Rate-Limits, Captchas, Reputation-Themen), weil viele Nutzer über eine IPv4 erscheinen.

Schritt für Schritt prüfen: Sitzt dein Anschluss hinter CGNAT?

Mit wenigen Checks kannst du relativ sicher feststellen, ob du eine echte öffentliche IPv4 hast oder hinter CGNAT steckst. Wichtig ist der Vergleich zwischen der WAN-Adresse deines Routers und der im Internet sichtbaren IPv4.

Schritt 1: WAN-IP im Router nachsehen

Öffne die Status-/Internet-Seite deines Routers und suche die IPv4-Adresse auf der WAN-Seite. Notiere sie.

Schritt 2: Öffentliche IPv4 im Internet ermitteln

Rufe von einem Gerät in deinem Heimnetz eine Seite auf, die dir deine öffentliche IP zeigt. Vergleiche diese mit der WAN-IP im Router.

Schritt 3: Ergebnis richtig interpretieren

  • WAN-IP = öffentliche IP: Sehr wahrscheinlich echte öffentliche IPv4 (kein CGNAT).
  • WAN-IP unterscheidet sich: Verdacht auf CGNAT oder vorgeschaltetes Provider-Gerät.
  • WAN-IP ist 100.64.0.0/10: Starkes Indiz für CGNAT gemäß RFC 6598.
  • WAN-IP ist RFC1918 (10/8, 172.16/12, 192.168/16): Mögliches Double NAT (z. B. Router hinter Router) oder Provider-NAT.

Private IPv4-Bereiche sind in RFC 1918 definiert. Wenn deine WAN-IP dort liegt, ist sie nicht direkt öffentlich routbar.

CGNAT und Portweiterleitung: Warum „Forwarding“ nicht reicht

Portweiterleitung (DNAT) funktioniert nur, wenn eingehender Traffic deinen Router überhaupt erreicht. Bei CGNAT endet er am Provider-NAT. Selbst wenn du im Router korrekt „Port 443 → NAS“ eingetragen hast, kommt das Paket nie bei deinem Router an, weil die öffentliche IPv4 nicht dir gehört, sondern dem Provider-Gateway.

  • Dein Router kann nur Regeln für Pakete anwenden, die er empfängt.
  • Der Provider kontrolliert die öffentliche IPv4 und die erste Eintrittsstelle.
  • Ohne Provider-seitige Portzuordnung bleibt eingehender Traffic draußen.

Auswirkungen auf Anwendungen: Was konkret schwieriger wird

Die praktischen Folgen von CGNAT hängen stark davon ab, wie du das Internet nutzt. Viele alltägliche Dinge bleiben unberührt, während „Profi-Use-Cases“ schnell betroffen sind.

Self-Hosting und Remote-Zugriff

  • Eigene Serverdienste zu Hause (Web, Nextcloud, Home Assistant) sind ohne Umwege kaum von außen erreichbar.
  • DynDNS hilft nur, wenn du eine echte öffentliche IPv4 hast; bei CGNAT zeigt DynDNS auf die Provider-IP, nicht auf dich.
  • Reverse Proxies in der Cloud oder Tunnel-Dienste werden wichtiger, erhöhen aber Komplexität.

Gaming, Peer-to-Peer und Echtzeitkommunikation

  • Peer-to-Peer-Verbindungen benötigen oft NAT-Traversal; mit CGNAT wird das schwieriger oder relay-lastig.
  • Voice-Chat und Matchmaking können stärker von Relay-Servern abhängen, was Latenz erhöhen kann.

VPN: Client meist ok, Server zu Hause problematisch

  • Als VPN-Client (du verbindest dich zu einem VPN-Anbieter) funktioniert es in der Regel problemlos.
  • Als VPN-Server im Heimnetz (du willst dich von unterwegs nach Hause verbinden) scheitert es häufig, weil eingehend keine Route zu dir existiert.

Reputation, Blocklisten und „geteilter Ruf“

Wenn viele Nutzer eine öffentliche IPv4 teilen, teilen sie sich indirekt auch deren „Ruf“. Das kann zu unerwarteten Nebenwirkungen führen: Webseiten zeigen häufiger Captchas, API-Anbieter limitieren Requests, oder einzelne Dienste sperren IPs bei Missbrauch. Für dich sieht das dann nach „Zufall“ aus, hat aber oft damit zu tun, dass die öffentliche IPv4 von vielen Kunden parallel genutzt wird.

Sicherheit und Datenschutz: Was CGNAT verändert – und was nicht

CGNAT wird manchmal mit „Anonymität“ verwechselt. Eine geteilte IPv4 kann die Identifikation allein anhand der IP erschweren, aber sie macht dich nicht anonym. Provider können Sessions anhand von Zeitstempeln und Ports zuordnen, und viele Tracking-Mechanismen sind ohnehin nicht IP-basiert (Cookies, Accounts, Fingerprinting).

  • Mehr Logging-Anforderungen: Für eindeutige Zuordnung sind Port + Zeit nötig, nicht nur die IP.
  • Kein Sicherheitsersatz: CGNAT ersetzt keine Firewall und verhindert keine ausgehenden Malware-Verbindungen.
  • Inbound-Reduktion: Die fehlende direkte Erreichbarkeit kann die Angriffsfläche für eingehende Scans reduzieren, ist aber kein vollständiger Schutz.

Welche Lösungen gibt es, wenn du eine echte öffentliche IPv4 brauchst?

Wenn du Dienste von außen direkt erreichen möchtest, brauchst du entweder eine öffentliche IPv4 am eigenen Anschluss oder eine alternative Architektur, die eingehenden Traffic über einen anderen Einstiegspunkt zu dir bringt.

Option 1: Beim Provider eine echte öffentliche IPv4 buchen

Viele Provider bieten gegen Aufpreis eine „öffentliche IPv4“ oder „Business-Option“ an. Das kann als statische IPv4 oder als dynamische, aber nicht-geteilte IPv4 umgesetzt sein. Für Selbsthosting und Portweiterleitungen ist das meist der direkteste Weg.

Option 2: IPv6 nutzen (wenn verfügbar) und Dienste darüber veröffentlichen

Wenn dein Anschluss natives IPv6 hat, kannst du Dienste unter IPv6 erreichbar machen. IPv6 ist nicht knapp wie IPv4 und ermöglicht echte End-to-End-Erreichbarkeit, sofern Firewall-Regeln korrekt gesetzt sind. Eine solide, praxisorientierte Übersicht bietet Deploy360 IPv6 (Internet Society).

  • Vorteil: Direkte Erreichbarkeit ohne CGNAT-Hürde.
  • Wichtig: Firewall muss IPv6 bewusst regeln; „alles offen“ ist keine gute Idee.
  • Hinweis: Nicht alle Gegenstellen im Internet nutzen IPv6 konsequent, daher ist Dual-Stack oft der pragmatische Weg.

Option 3: VPN mit Portweiterleitung auf einem Server mit öffentlicher IPv4

Ein gängiger Workaround ist ein kleiner Server (VPS) mit öffentlicher IPv4. Du baust von zu Hause aus eine ausgehende VPN-Verbindung zum VPS auf. Der VPS kann dann eingehende Verbindungen annehmen und über den Tunnel in dein Heimnetz weiterleiten.

  • Vorteil: Funktioniert auch hinter CGNAT, weil dein Tunnel ausgehend aufgebaut wird.
  • Nachteil: Mehr Betrieb (Serverpflege, Updates, Monitoring) und zusätzliche Kosten.
  • Best Practice: Nur notwendige Ports am VPS öffnen, starke Authentifizierung, regelmäßige Updates.

Option 4: Reverse Proxy oder Tunnel-Dienste

Für Webanwendungen kann ein Reverse Proxy oder ein Tunnel-Service den eingehenden Traffic terminieren und sicher zu deinem Heimdienst weiterleiten. Das ist besonders beliebt für Self-Hosting ohne eigene öffentliche IPv4. Wichtig ist hierbei, die Sicherheits- und Datenschutzimplikationen zu prüfen, weil ein Drittanbieter oder ein vorgeschalteter Server Teil deiner Verbindung wird.

Wenn du „nur“ Portfreigaben brauchst: PCP, UPnP und Provider-Policies

Manche Provider unterstützen Mechanismen, mit denen Kunden Port-Zuordnungen am CGNAT-Gateway erhalten können. Ein Beispiel ist PCP (Port Control Protocol). Ob das verfügbar ist, hängt stark vom Anbieter ab und ist nicht überall üblich. In vielen Netzen ist die Provider-seitige Portsteuerung absichtlich eingeschränkt, um Missbrauch zu reduzieren und den Betrieb stabil zu halten.

Praxis-Tipps: So reduzierst du Frust mit CGNAT

  • Erst prüfen, dann konfigurieren: Bevor du Stunden in Portweiterleitungen investierst, kläre, ob du überhaupt eine öffentliche IPv4 hast.
  • IPv6 aktiv nutzen: Wenn verfügbar, publiziere Dienste über IPv6 und setze eine saubere IPv6-Firewall-Policy.
  • Remote-Zugriff über VPN: Statt einzelne Ports zu öffnen, lieber einen VPN-Zugang (zu einem öffentlich erreichbaren Endpoint) nutzen.
  • Double NAT vermeiden: Keine Router-Kaskaden, wenn nicht nötig; Bridge-Mode oder Access-Point-Modus nutzen.
  • Logging & Zeit: Bei komplexeren Setups (VPS-Tunnel) sind korrekte Zeit und nachvollziehbare Logs Gold wert.

CGNAT im größeren Kontext: Übergangstechnologie statt Endzustand

CGNAT ist vor allem ein Symptom und eine Übergangslösung: Es hält IPv4 funktionsfähig, obwohl öffentliche Adressen knapp sind. Technisch basiert es auf etablierten NAT-Prinzipien, die auch im Heimrouter genutzt werden, nur eben in großem Maßstab im Provider-Netz. Die grundlegenden NAT-Konzepte sind in Standards wie RFC 3022 (Traditional NAT) beschrieben, während RFC 6598 den speziellen Adressraum für Provider-CGN definiert. Für dich als Nutzer bedeutet das vor allem: Wenn du keine echte öffentliche IPv4 bekommst, liegt das meist nicht an deinem Router, sondern an der Architektur des Anschlusses. Sobald du weißt, ob CGNAT aktiv ist, kannst du zielgerichtet entscheiden, ob du eine öffentliche IPv4 buchen, konsequent auf IPv6 setzen oder mit Tunneln und Reverse-Proxies arbeiten willst – und ersparst dir viele typische „Warum geht Portweiterleitung nicht?“-Irrwege.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

  • Netzwerkdesign & Topologie-Planung

  • Router- & Switch-Konfiguration (Cisco IOS)

  • VLAN, Inter-VLAN Routing

  • OSPF, RIP, EIGRP (Grundlagen & Implementierung)

  • NAT, ACL, DHCP, DNS-Konfiguration

  • Troubleshooting & Netzwerkoptimierung

  • Packet Tracer Projektentwicklung & Dokumentation

  • CCNA Lern- & Praxisunterstützung

Lieferumfang:

  • Konfigurationsdateien

  • Packet-Tracer-Dateien (.pkt)

  • Netzwerkdokumentation

  • Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.

 

Related Articles

Hardening für Dual-ISP-Edge: Failover-Risiken in Policies verhindern

Hardening für VPN IPsec: Crypto Baseline, DPD, Rekey und Stabilität

Hardening DMVPN: Control-Plane-Security, NHRP Hygiene und Segmentierung

Hardening für Remote-Access-VPN: User-Segmentierung, Split Tunnel und Logging

Hardening für Multi-Tenant/Partner Links: VRF & sichere Policy Boundaries

Hardening für Remote Branches: OOB-Herausforderungen und operative Guardrails

Case Study: Management Exposure am Edge-Router schließen (Before/After Evidence)

Case Study: Audit findet Route-Leak-Risiko am Cisco-Router (strukturierte Remediation)

Case Study: SNMPv3 + Syslog-SIEM-Migration für Auditability

Cisco Router Security Hardening Service: Scope, Deliverables und Enterprise-Timeline

Exposure Management: „Open Management Ports“ aus dem Internet auditieren

Cisco-Router-Forensik Basics: Evidenzen, die bei Incidents Pflicht sind