February 23, 2026

NAT auf Cisco Router konfigurieren: Static, Dynamic und PAT

Wer einen Internetzugang für private RFC1918-Netze bereitstellen oder interne Server gezielt von außen erreichbar machen möchte, kommt an NAT kaum vorbei. Genau deshalb gehört „NAT auf Cisco Router konfigurieren“ zu den wichtigsten Grundlagen in Cisco-Umgebungen – egal ob im kleinen Standort, im Lab oder am Enterprise-Edge. NAT (Network Address Translation) übersetzt IP-Adressen (und bei Bedarf auch Ports) zwischen einem internen Netz und einem externen Netz, typischerweise dem Internet. In der Praxis begegnen Ihnen drei Hauptvarianten: Static NAT (feste 1:1-Zuordnung), Dynamic NAT (dynamische Zuordnung aus einem Pool) und PAT (Port Address Translation, oft „NAT Overload“ genannt), bei dem viele interne Clients über eine oder wenige öffentliche IP-Adressen gleichzeitig kommunizieren können. Damit NAT stabil funktioniert, brauchen Sie mehr als nur einen Befehl: Die Rollen „inside“ und „outside“ müssen korrekt gesetzt sein, Access-Listen müssen den zu übersetzenden Traffic sauber definieren, Default Routes und Rückwege müssen stimmen, und bei eingehenden Verbindungen müssen Sie an Firewalls, ACLs und den Rückweg denken. Diese Anleitung führt Sie Schritt für Schritt durch die Konfiguration von Static NAT, Dynamic NAT und PAT auf Cisco IOS/IOS XE – inklusive praxisnaher Beispiele, Verifikation und Troubleshooting, damit NAT nicht nur „irgendwie“ läuft, sondern nachvollziehbar und betriebssicher.

NAT Grundlagen: Was wird übersetzt und warum?

NAT verändert IP-Header-Felder, damit Pakete zwischen Adressräumen funktionieren, die ansonsten nicht direkt zueinander passen. Am häufigsten ist das Szenario „Private IPs ins Internet“: Intern verwenden Sie private Adressen (z. B. 192.168.0.0/16), extern benötigen Sie eine öffentliche Adresse. NAT löst dieses Problem, indem der Router beim Ausgehen (Outbound) die Quelladresse (und bei PAT zusätzlich den Quellport) umschreibt und beim Zurückkommen (Inbound Reply) die Übersetzung anhand einer NAT-Tabelle rückgängig macht.

  • Static NAT: 1 interne IP ↔ 1 externe IP (konstant, ideal für Server).
  • Dynamic NAT: interne IP ↔ freie externe IP aus einem Pool (temporär).
  • PAT (Overload): viele interne IPs ↔ eine (oder wenige) externe IP(s) über Portübersetzung.

Wichtig: NAT ist kein Sicherheitsfeature an sich. Es kann Angriffsfläche reduzieren, weil interne IPs nicht direkt sichtbar sind, ersetzt aber keine Firewall-Policies, ACLs oder Segmentierung.

Vorbereitung: Inside/Outside sauber definieren

Die häufigste Ursache für „NAT funktioniert nicht“ ist eine falsche Zuordnung der Interfaces. Cisco NAT benötigt die Markierung:

  • ip nat inside: Interface Richtung internes Netz (LAN).
  • ip nat outside: Interface Richtung externes Netz (WAN/ISP).

Beispiel-Topologie

  • LAN: 192.168.10.0/24 am Interface GigabitEthernet0/1 (Router-IP: 192.168.10.1)
  • WAN: 203.0.113.2/30 am Interface GigabitEthernet0/0 (ISP-Gateway: 203.0.113.1)

Interface-Konfiguration

configure terminal
interface gigabitethernet0/1
ip address 192.168.10.1 255.255.255.0
ip nat inside
no shutdown
interface gigabitethernet0/0
ip address 203.0.113.2 255.255.255.252
ip nat outside
no shutdown
end

Default Route: Ohne Route kein NAT-Erfolg

NAT kann korrekt konfiguriert sein und trotzdem wirkt es „kaputt“, wenn der Router keinen Weg nach außen kennt. Für Internetzugang ist eine Default Route üblich:

configure terminal
ip route 0.0.0.0 0.0.0.0 203.0.113.1
end

Ohne korrekte Default Route gehen Pakete zwar raus (NAT findet statt), aber sie erreichen den Upstream nicht zuverlässig. Umgekehrt gilt: Der Upstream muss Antworten zurück zur externen Adresse des Routers routen können (bei klassischen ISP-Setups ist das gegeben).

PAT konfigurieren (NAT Overload): Der Standard für Internetzugang

In den meisten Umgebungen ist PAT die wichtigste NAT-Variante, weil sie viele interne Clients über eine öffentliche Adresse ins Internet bringt. Das funktioniert, indem der Router Quellports mitsamt Quelladresse übersetzt und die Zuordnung in der NAT-Tabelle speichert.

Schritt 1: ACL für den zu übersetzenden Traffic

Sie definieren, welche internen Quellen NAT nutzen dürfen. Beispiel: gesamtes LAN 192.168.10.0/24.

configure terminal
ip access-list standard NAT-LAN
permit 192.168.10.0 0.0.0.255
end

Schritt 2: PAT-Regel (Overload) setzen

Variante A (häufig): NAT über die WAN-Interface-Adresse (praktisch bei dynamischer ISP-IP).

configure terminal
ip nat inside source list NAT-LAN interface gigabitethernet0/0 overload
end

Variante B: PAT über einen festen Pool (sinnvoll, wenn Sie mehrere öffentliche IPs nutzen wollen):

configure terminal
ip nat pool PUBPOOL 203.0.113.10 203.0.113.20 netmask 255.255.255.0
ip nat inside source list NAT-LAN pool PUBPOOL overload
end

Best Practice: Starten Sie mit Variante A, wenn Sie nur eine WAN-IP haben. Das ist in kleinen Standortnetzen am üblichsten.

Dynamic NAT konfigurieren: Pool statt Portübersetzung

Dynamic NAT weist internen Hosts bei Bedarf eine freie externe Adresse aus einem Pool zu. Im Gegensatz zu PAT bekommt ein Host dabei typischerweise eine eigene externe IP (ohne Portsharing). Das ist heute seltener für Internetzugang, kann aber in speziellen Szenarien sinnvoll sein, etwa wenn bestimmte Systeme aus Compliance-Gründen eine dedizierte öffentliche Adresse benötigen.

Schritt 1: NAT-Pool definieren

configure terminal
ip nat pool DYNPOOL 203.0.113.50 203.0.113.60 netmask 255.255.255.0
end

Schritt 2: ACL für interne Quellen

configure terminal
ip access-list standard NAT-DYN
permit 192.168.10.0 0.0.0.255
end

Schritt 3: Dynamic NAT aktivieren

configure terminal
ip nat inside source list NAT-DYN pool DYNPOOL
end

Wichtig: Wenn der Pool leer ist, können neue Sessions nicht mehr übersetzt werden. In solchen Fällen ist PAT oft die robustere Standardlösung.

Static NAT konfigurieren: 1:1-Zuordnung für Server und Management

Static NAT ist ideal, wenn ein interner Host dauerhaft unter einer festen externen Adresse erreichbar sein soll, z. B. ein Webserver, ein VPN-Gateway oder ein Mail-Relay. Das typische Muster ist „Inside Local“ (interne IP) ↔ „Inside Global“ (externe IP).

Beispiel: Server 192.168.10.100 soll extern als 203.0.113.100 erreichbar sein

configure terminal
ip nat inside source static 192.168.10.100 203.0.113.100
end

Wichtig: Static NAT allein ist nicht automatisch „Server erreichbar“. Sie müssen zusätzlich sicherstellen:

  • Rückweg stimmt (der Server nutzt den Router als Default Gateway).
  • Inbound-ACLs/Firewalls lassen den gewünschten Traffic zu (z. B. TCP/443).
  • Der externe Adressraum ist tatsächlich auf Ihrer WAN-Seite geroutet (Provider/Upstream muss das Präfix zu Ihnen schicken).

Static PAT konfigurieren: Portweiterleitung (z. B. Webserver über WAN-IP)

Häufig möchten Sie keinen ganzen Host 1:1 veröffentlichen, sondern nur einen bestimmten Dienst. Das ist Static PAT (Port Forwarding). Beispiel: Extern soll TCP/443 auf der Router-WAN-IP auf den internen Server 192.168.10.100:443 weitergeleitet werden.

Beispiel: HTTPS-Portweiterleitung

configure terminal
ip nat inside source static tcp 192.168.10.100 443 interface gigabitethernet0/0 443
end

Optional können Sie auch einen anderen externen Port nutzen (z. B. extern 8443 → intern 443):

configure terminal
ip nat inside source static tcp 192.168.10.100 443 interface gigabitethernet0/0 8443
end

Best Practice: Öffnen Sie nur die Ports, die Sie wirklich benötigen, und sichern Sie Inbound-Zugriffe zusätzlich mit ACLs oder einer Firewall ab.

Verifikation: NAT-Status prüfen und Fehler schneller finden

Eine NAT-Konfiguration ist erst dann „fertig“, wenn Sie sie verifiziert haben. In Cisco IOS/IOS XE sind diese Befehle besonders wichtig:

  • show ip nat translations (aktive NAT-Übersetzungen)
  • show ip nat statistics (Counters, Hits, Drops, Pool-Auslastung)
  • show running-config | include ip nat (NAT-Regeln im Config-Check)
  • show access-lists oder show ip access-lists (ACL-Hits für NAT-Listen)

Was Sie bei PAT sehen sollten

Wenn Clients ins Internet gehen, sollten in show ip nat translations Einträge erscheinen, die interne Quell-IP:Port auf externe IP:Port abbilden. Wenn nichts erscheint, ist häufig:

  • die NAT-ACL falsch (matcht nicht),
  • inside/outside vertauscht,
  • der Traffic läuft gar nicht über den Router (falsches Default Gateway im Clientnetz),
  • oder es gibt kein Routing nach außen.

Troubleshooting: Häufige NAT-Fehler und Fixes

NAT-Probleme sind in der Praxis sehr oft die gleichen Klassiker. Wenn Sie strukturiert vorgehen, finden Sie die Ursache schnell.

Problem: Clients haben kein Internet trotz PAT

  • Inside/Outside falsch: Prüfen Sie show running-config interface auf beiden Interfaces.
  • ACL matcht nicht: Prüfen Sie ACL-Hits und Wildcards (Standard-ACL nur Quelle).
  • Default Route fehlt: Prüfen Sie show ip route | include 0.0.0.0.
  • DNS wird verwechselt: IP-Ping zu externen IPs testen, dann erst Namen.

Problem: Static NAT/PAT existiert, aber von außen nicht erreichbar

  • Inbound-ACL/Firewall blockiert: Auf WAN-Interface ACLs prüfen (in/out).
  • Provider routet das Präfix nicht: Externe IP muss tatsächlich zu Ihrem Router gelangen.
  • Server-Gateway falsch: Server muss Antworten über den NAT-Router senden.
  • Asymmetrischer Rückweg: Antworten gehen über einen anderen Router/Firewall (Stateful Geräte brechen Sessions).

Problem: Dynamic NAT Pool wird „voll“

  • Zu kleiner Pool: Erweitern oder auf PAT umstellen.
  • Sessions hängen: Timeouts prüfen, ggf. NAT-Timeouts anpassen (plattform- und policyabhängig).
  • Unerwarteter Traffic: ACL restriktiver gestalten, damit nicht alles NAT nutzt.

Best Practices: NAT sauber und sicher betreiben

Mit ein paar Standards vermeiden Sie viele spätere Probleme und machen NAT leichter wartbar.

  • Klare Interface-Namen und Beschreibungen: inside/outside konsequent dokumentieren.
  • NAT-ACLs minimal halten: Nur die Netze, die wirklich NAT benötigen.
  • Keine unkontrollierte „any any“ Logik: Weder in NAT-ACLs noch in Inbound-Firewallregeln.
  • Portweiterleitungen restriktiv: Nur notwendige Ports, idealerweise zusätzlich über ACLs begrenzen.
  • Monitoring: NAT-Statistiken, Pool-Auslastung, Interface-Errors und Default Route überwachen.
  • Change-Disziplin: Nach Änderungen immer show ip nat translations und Testtraffic prüfen.

Für Cisco-spezifische NAT-Konfigurationshinweise ist der Anchor-Text Cisco NAT Konfigurationsbeispiele eine hilfreiche Ergänzung. Für allgemeine Härtungsprinzipien rund um sichere Basiskonfigurationen und Zugriffskontrolle eignet sich der Anchor-Text CIS Controls.

PAT und mehrere interne Netze: Skalierbare ACL-Strategie

In vielen Netzen haben Sie nicht nur ein LAN, sondern mehrere VLANs/Subnetze (z. B. 192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24). Sie können diese sauber in einer Standard-ACL sammeln:

configure terminal
ip access-list standard NAT-INSIDE
permit 192.168.10.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
end

Und dann PAT wie gewohnt:

configure terminal
ip nat inside source list NAT-INSIDE interface gigabitethernet0/0 overload
end

Best Practice: Halten Sie diese Liste bewusst und dokumentieren Sie, warum ein Netz NAT bekommt (z. B. „Guest“, „IoT“, „Corp“). In Enterprise-Designs ist es oft sinnvoll, bestimmte Netze nicht zu NATen, sondern über VPN/Private Links zu routen.

NAT und Routing: Warum beides zusammen gedacht werden muss

NAT ist eng mit Routing verknüpft. Ein Router muss den Next Hop nach außen kennen (Default Route) und interne Netze müssen den Router als Gateway nutzen. Bei mehreren Routern im Netz ist außerdem die Rückwegfrage zentral: Wenn Hinweg über Router A NATet und Rückweg über Router B kommt, kann das zu Verbindungsabbrüchen führen, besonders bei stateful Firewalls und bei bestimmten NAT-Varianten. Deshalb gilt: NAT gehört an einen klar definierten Edge-Punkt, und das Routingdesign muss diesen Edge-Punkt als Egress konsistent nutzen.

Konfiguration speichern und Betrieb absichern

Nachdem Sie NAT-Regeln gesetzt und mit realem Traffic verifiziert haben, speichern Sie die Konfiguration:

copy running-config startup-config

Wenn Sie Befehlsvarianten und plattformspezifische Details nachschlagen möchten, ist der Anchor-Text Cisco IOS Command Reference eine verlässliche Quelle, um Syntax und Optionen für Ihre konkrete IOS/IOS XE-Version abzugleichen.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

  • Netzwerkdesign & Topologie-Planung

  • Router- & Switch-Konfiguration (Cisco IOS)

  • VLAN, Inter-VLAN Routing

  • OSPF, RIP, EIGRP (Grundlagen & Implementierung)

  • NAT, ACL, DHCP, DNS-Konfiguration

  • Troubleshooting & Netzwerkoptimierung

  • Packet Tracer Projektentwicklung & Dokumentation

  • CCNA Lern- & Praxisunterstützung

Lieferumfang:

  • Konfigurationsdateien

  • Packet-Tracer-Dateien (.pkt)

  • Netzwerkdokumentation

  • Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.

 

Related Articles

Postmortems nach Voice Outages: QoS Lessons Learned in Standards übersetzen

QoS Maturity Model: Von Best Effort zu Carrier-Grade QoE

QoS Roadmap: Schrittweise Einführung ohne Betriebsrisiko

Blueprint “Voice-Ready Access”: HQoS Patterns für DSL/FTTH/Cable

Blueprint “Metro QoS”: Ring-Design, Shaping Points und Queueing

Blueprint “Core QoS”: Class-Aware TE und skalierbare Policies

Blueprint “VPN QoS”: DSCP Preservation über IPSec/SD-WAN

Blueprint “Video QoS”: ABR, Priorisierung und Monitoring-Methoden

QoS Review Checkliste: Experten-Gates für Design und Konfiguration

Häufige QoS Fehlerbilder: Die Top 25 Ursachen für Voice/Video Probleme

Tools für QoS Troubleshooting: Counters, Telemetry, PCAPs, RTP Stats

QoS für IMS/VoLTE/VoNR: Echtzeitpfade im Telco Netz absichern