March 3, 2026

NAT auf Cisco Router konfigurieren: Static NAT Schritt für Schritt

Static NAT auf Cisco Routern wird genutzt, um eine feste 1:1-Zuordnung zwischen einer internen (private) IP und einer externen (public) IP herzustellen. Das ist ideal, wenn ein interner Server dauerhaft unter einer öffentlichen Adresse erreichbar sein soll – z. B. für Web, Mail oder VPN. Dieses Schritt-für-Schritt-Tutorial zeigt ein sauberes Minimalsetup inklusive Verifikation und typischen Fehlerquellen.

Was ist Static NAT (1:1) – und wann brauchst du es?

Bei Static NAT wird eine interne IP dauerhaft auf eine externe IP abgebildet. Anders als bei PAT (Overload) ist die Zuordnung fest und nicht portbasiert. Dadurch ist eingehender Traffic von außen eindeutig zuordenbar.

  • 1:1 Mapping: interne Host-IP ↔ öffentliche IP
  • Geeignet für Server-Publishing (HTTP/HTTPS, Mail, VPN)
  • Konstant: gleiche öffentliche IP für den gleichen Host

Voraussetzungen: Inside/Outside sauber definieren

Cisco NAT funktioniert nur, wenn du die Zonen korrekt markierst: Inside ist das interne LAN, Outside ist der Uplink Richtung Internet/Provider. Ohne diese Markierung greifen NAT-Regeln nicht.

Beispiel-Topologie

  • Inside LAN: 192.168.10.0/24
  • Server intern: 192.168.10.10
  • Public NAT-IP: 203.0.113.10
  • Outside Uplink: 203.0.113.2/30 zum Provider-Gateway 203.0.113.1

Interfaces konfigurieren und NAT-Zonen setzen

Router# configure terminal
Router(config)# interface gigabitEthernet0/0
Router(config-if)# description INSIDE-LAN
Router(config-if)# ip address 192.168.10.1 255.255.255.0
Router(config-if)# ip nat inside
Router(config-if)# no shutdown
Router(config-if)# exit

Router(config)# interface gigabitEthernet0/1

Router(config-if)# description OUTSIDE-WAN

Router(config-if)# ip address 203.0.113.2 255.255.255.252

Router(config-if)# ip nat outside

Router(config-if)# no shutdown

Router(config-if)# end

Default Route setzen (typisch für Internet-Uplink)

Router# configure terminal
Router(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1
Router(config)# end

Static NAT konfigurieren: 1:1 Zuordnung erstellen

Die klassische Static-NAT-Regel mappt eine Inside-Local-Adresse (private) auf eine Inside-Global-Adresse (public). Danach ist der interne Host unter der öffentlichen IP erreichbar.

Static NAT für einen Server (Inside Local → Inside Global)

Router# configure terminal
Router(config)# ip nat inside source static 192.168.10.10 203.0.113.10
Router(config)# end

Begriffe: Inside Local vs. Inside Global

  • Inside Local: interne, private IP des Hosts (z. B. 192.168.10.10)
  • Inside Global: öffentliche IP, die nach außen sichtbar ist (z. B. 203.0.113.10)

Verifikation: Funktioniert das NAT-Mapping?

Nach der Konfiguration solltest du prüfen, ob die statische Zuordnung in der NAT-Tabelle sichtbar ist. Zusätzlich testest du Erreichbarkeit und beobachtest die Übersetzungen bei Traffic.

NAT-Status und Translations anzeigen

Router# show ip nat translations
Router# show ip nat statistics

Konfiguration prüfen

Router# show running-config | include ip nat
Router# show ip interface brief

Tests: Von innen und von außen richtig testen

Static NAT ist vor allem für eingehenden Traffic relevant. Intern testest du Routing und Server-Erreichbarkeit. Extern testest du die öffentliche IP. Je nach Umgebung funktioniert „Hairpin NAT“ (intern auf public IP) nicht automatisch.

Von innen: Server intern erreichen

Router# ping 192.168.10.10

Von außen: Öffentliche IP testen (konzeptionell)

ExternalHost$ ping 203.0.113.10
ExternalHost$ curl http://203.0.113.10

Hinweis zu Hairpin/Loopback

Wenn interne Clients die öffentliche IP nutzen sollen, brauchst du je nach Design zusätzlich NAT-Hairpin/Loopback oder internes DNS, das intern die private Server-IP ausliefert.

Static NAT und Firewall/ACL: Zugriff von außen kontrollieren

Static NAT veröffentlicht nur die Übersetzung – es ersetzt keine Security-Policy. Wenn du am Outside-Interface ACLs nutzt, musst du explizit den gewünschten Verkehr zur öffentlichen IP erlauben.

Outside-ACL Beispiel: HTTP/HTTPS zum NAT-Server erlauben

Router# configure terminal
Router(config)# ip access-list extended OUTSIDE_IN
Router(config-ext-nacl)# permit tcp any host 203.0.113.10 eq 80
Router(config-ext-nacl)# permit tcp any host 203.0.113.10 eq 443
Router(config-ext-nacl)# deny ip any any
Router(config-ext-nacl)# exit
Router(config)# interface gigabitEthernet0/1
Router(config-if)# ip access-group OUTSIDE_IN in
Router(config-if)# end

ACL-Verifikation

Router# show access-lists OUTSIDE_IN
Router# show ip interface gigabitEthernet0/1

Typische Fehler und schnelle Fixes

Wenn Static NAT „nicht geht“, ist die Ursache häufig nicht die NAT-Regel selbst, sondern eine der Voraussetzungen: falsches Inside/Outside, fehlende Default Route, Provider routing, oder ACL blockiert den Traffic.

  • ip nat inside/ip nat outside fehlt oder vertauscht
  • Keine Default Route/kein Upstream-Routing
  • Public IP wird vom Provider nicht zu dir geroutet
  • Outside-ACL blockiert eingehenden Traffic
  • Server-Firewall/Service lauscht nicht (Port nicht offen)

Quick-Checks

Router# show ip nat translations
Router# show ip nat statistics
Router# show running-config | include ip nat
Router# show ip route | include Gateway|0.0.0.0
Router# show ip interface brief
Router# show access-lists

Aufräumen: Static NAT entfernen (falls nötig)

Wenn du das Mapping zurücknehmen willst, entfernst du die Static-NAT-Zeile exakt in der gleichen Form.

Router# configure terminal
Router(config)# no ip nat inside source static 192.168.10.10 203.0.113.10
Router(config)# end

Konfiguration speichern

Wenn Tests erfolgreich sind und die Zugriffe wie erwartet funktionieren, speichere die Konfiguration.

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Netzwerkarchitektur-Checkliste mit Cisco-Routern: Von Requirements zu Design

Standardisierung der Management-Plane-Sicherheit für Cisco-Router: Richtlinien und Umsetzung

Professionelle FAQ zu Cisco-Router-Konfigurationsservices: Scope, SLA und Security

AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

Leitfaden zur Erstellung von BoQ & Projektkalkulation für Cisco-Router (für IT-Manager)

Segmentierung des Admin-Zugriffs auf Cisco-Routern: Management-ACLs, VRF Mgmt und Jump Host

Cisco Router Professional Services: Delivery-Modelle für kritische Projekte

Zentrales Logging für Cisco-Router: Syslog-Architektur und Best Practices

Cisco Router Implementation Playbook: Projektstandard für konsistente Ergebnisse in Production

Cisco Router Network Time (NTP) für Audits: Warum Pflicht und wie implementieren

Backup-Strategie für Cisco-Router: Frequenz, Verschlüsselung und Retention

Cisco-Router-Change-Automation: Von Templates bis Validierung (praktisches Konzept)