March 3, 2026

NAT mit mehreren öffentlichen IPs: Pool-Konfiguration erklärt

Wenn du vom Provider mehrere öffentliche IPv4-Adressen bekommst, kannst du auf Cisco Routern einen NAT Pool konfigurieren. Damit übersetzt du interne Clients entweder dynamisch 1:1 auf einzelne Public IPs (Dynamic NAT) oder nutzt mehrere Public IPs für PAT (Overload) – sinnvoll bei vielen gleichzeitigen Sessions oder wenn du Traffic auf mehrere Quelladressen verteilen willst. Dieses Tutorial erklärt die Pool-Konfiguration Schritt für Schritt und zeigt, wie du das Setup sicher verifizierst.

Wann ist ein NAT Pool sinnvoll?

Ein Pool lohnt sich, wenn eine einzige öffentliche IP nicht reicht oder nicht gewünscht ist. Typische Gründe sind mehr parallele Verbindungen, Quell-IP-Verteilung oder die Trennung von Traffic-Klassen über unterschiedliche Public IPs.

  • Viele gleichzeitige Sessions (Port-Ressourcen auf mehrere IPs verteilen)
  • Bestimmte Systeme sollen „eigene“ Public IPs nutzen
  • Provider/Partner erwarten definierte Quelladressen
  • Übergang: Mix aus Static NAT (Server) + Pool (Clients)

Pool-Typen: Dynamic NAT vs. PAT mit Pool

Ein NAT Pool kann auf zwei Arten verwendet werden. Ohne overload ist es Dynamic NAT (1:1, pro Client wird eine Public IP gebunden). Mit overload ist es PAT, nur dass mehrere Public IPs als Quelladressen zur Verfügung stehen.

  • Dynamic NAT (ohne overload): 1 interne IP ↔ 1 Public IP (temporär)
  • PAT mit Pool (mit overload): viele interne IPs ↔ mehrere Public IPs (portbasiert)

Merker

Pool + overload = PAT über mehrere Public IPs

Beispiel-Topologie (praxisnah)

Das interne LAN nutzt private Adressen. Der Router hat einen WAN-Uplink zum Provider. Zusätzlich routet der Provider einen Public-IP-Block zu deinem Router, aus dem du einen NAT Pool bildest.

  • Inside LAN: 192.168.10.0/24, Router Inside 192.168.10.1
  • WAN Transit: 203.0.113.0/30 (Router: 203.0.113.2, Provider GW: 203.0.113.1)
  • Public NAT Pool: 198.51.100.10 bis 198.51.100.14

Wichtige Provider-Voraussetzung

Der Provider muss den NAT-Pool-Block zu deiner Router-WAN-IP routen. Sonst sind die Public IPs „nicht erreichbar“, auch wenn NAT lokal korrekt aussieht.

Schritt 1: Interfaces und Default Route vorbereiten

Wie bei jeder NAT-Konfiguration müssen Inside/Outside korrekt markiert und der Upstream per Default Route erreichbar sein.

Inside/Outside setzen

Router# configure terminal
Router(config)# interface gigabitEthernet0/0
Router(config-if)# description INSIDE-LAN
Router(config-if)# ip address 192.168.10.1 255.255.255.0
Router(config-if)# ip nat inside
Router(config-if)# no shutdown
Router(config-if)# exit

Router(config)# interface gigabitEthernet0/1

Router(config-if)# description OUTSIDE-WAN

Router(config-if)# ip address 203.0.113.2 255.255.255.252

Router(config-if)# ip nat outside

Router(config-if)# no shutdown

Router(config-if)# end

Default Route zum Provider

Router# configure terminal
Router(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1
Router(config)# end

Schritt 2: NAT-ACL für interne Clients definieren

Die ACL bestimmt, welche Inside-Adressen überhaupt übersetzt werden dürfen. Best Practice ist, nur die relevanten Netze zu erlauben.

Router# configure terminal
Router(config)# ip access-list standard NAT_INSIDE
Router(config-std-nacl)# permit 192.168.10.0 0.0.0.255
Router(config-std-nacl)# end

Schritt 3: NAT Pool anlegen (Public IP Range + Netmask)

Mit ip nat pool definierst du den Bereich der öffentlichen IPs. Die Netmask muss zur Public-Adressierung passen, die der Provider dir zugewiesen hat.

Pool konfigurieren

Router# configure terminal
Router(config)# ip nat pool PUB_POOL 198.51.100.10 198.51.100.14 netmask 255.255.255.248
Router(config)# end

Netmask und Blockgröße (Kurzcheck)

Ein /29 (255.255.255.248) hat 8 Adressen. Je nach Provider sind nicht alle Adressen nutzbar (Netz/Broadcast). Für Pools werden häufig die nutzbaren Host-IPs verwendet.

Adressen bei /29 = 23 = 8

Schritt 4A: Dynamic NAT (1:1) mit Pool

Ohne overload erhält jeder aktive interne Host eine Public IP aus dem Pool. Das ist sinnvoll, wenn du echte 1:1-Übersetzungen für Clients brauchst, aber nur temporär.

Router# configure terminal
Router(config)# ip nat inside source list NAT_INSIDE pool PUB_POOL
Router(config)# end

Wichtige Auswirkung

  • Pool kann „voll“ laufen: wenn mehr aktive Hosts als Public IPs existieren
  • Dann scheitern neue Verbindungen, bis Translations frei werden

Schritt 4B: PAT (Overload) mit Pool

Mit overload teilen sich viele Hosts mehrere Public IPs – portbasiert. Das ist der häufigste Pool-Use-Case, wenn du zusätzliche Public IPs zur Lastverteilung der Portnutzung einsetzen willst.

Router# configure terminal
Router(config)# ip nat inside source list NAT_INSIDE pool PUB_POOL overload
Router(config)# end

Warum Pool + Overload oft besser skaliert

  • Port-Ressourcen verteilen sich auf mehrere Public IPs
  • Weniger Risiko, dass eine einzelne IP „Port-exhausted“ wirkt
  • Flexibel: viele Clients, viele Sessions

Optional: Bestimmte Clients auf bestimmte Public IPs legen

In der Praxis willst du manchmal verschiedene Inside-Netze oder Host-Gruppen über unterschiedliche Pools (oder über Static NAT) abbilden. Das erreichst du mit separaten ACLs und separaten Pool-Regeln.

Beispielprinzip: Zwei Pools für zwei Client-Gruppen

Router# configure terminal
Router(config)# ip access-list standard NAT_GRP_A
Router(config-std-nacl)# permit 192.168.10.0 0.0.0.127
Router(config-std-nacl)# exit
Router(config)# ip access-list standard NAT_GRP_B
Router(config-std-nacl)# permit 192.168.10.128 0.0.0.127
Router(config-std-nacl)# exit

Router(config)# ip nat pool POOL_A 198.51.100.10 198.51.100.11 netmask 255.255.255.248

Router(config)# ip nat pool POOL_B 198.51.100.12 198.51.100.14 netmask 255.255.255.248


Router(config)# ip nat inside source list NAT_GRP_A pool POOL_A overload

Router(config)# ip nat inside source list NAT_GRP_B pool POOL_B overload

Router(config)# end

Verifikation: NAT Pool und Translations prüfen

Nach dem Setup erzeugst du Traffic und prüfst, ob die Translations tatsächlich Public IPs aus dem Pool nutzen. In der Translation-Tabelle solltest du dann unterschiedliche Inside-Global-Adressen aus dem Pool sehen.

NAT-Status anzeigen

Router# show ip nat statistics
Router# show ip nat translations

Gezielt nach Pool-IP-Bereich filtern

Router# show ip nat translations | include 198.51.100.
Router# show access-lists NAT_INSIDE

Typische Fehler und Stolperfallen

Wenn Pool-NAT nicht funktioniert, ist die Ursache häufig nicht die Pool-Definition, sondern Routing beim Provider oder falsche Netmask/Range. Prüfe außerdem, ob du wirklich das richtige NAT-Modell (Dynamic vs. Overload) gewählt hast.

  • Provider routet den Pool-Block nicht zu dir (Rückweg fehlt)
  • Falsche Netmask im Pool (Block passt nicht)
  • Dynamic NAT ohne overload: Pool zu klein → „voll“
  • Inside/Outside vertauscht → keine Translations
  • ACL matcht nicht → keine NAT-Einträge

Quick-Checks

show ip interface brief
show ip route | include Gateway|0.0.0.0
show running-config | include ^ip nat
show access-lists
show ip nat statistics
show ip nat translations
ping 203.0.113.1
traceroute 8.8.8.8

NAT-Table aufräumen (für Tests)

Für saubere Tests kannst du dynamische Übersetzungen löschen und dann erneut Traffic erzeugen.

Router# clear ip nat translation *

Konfiguration speichern

Wenn Clients stabil über verschiedene Public IPs aus dem Pool ins Internet gehen und die Translations korrekt aussehen, speichere die Konfiguration.

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Netzwerkarchitektur-Checkliste mit Cisco-Routern: Von Requirements zu Design

Standardisierung der Management-Plane-Sicherheit für Cisco-Router: Richtlinien und Umsetzung

Professionelle FAQ zu Cisco-Router-Konfigurationsservices: Scope, SLA und Security

AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

Leitfaden zur Erstellung von BoQ & Projektkalkulation für Cisco-Router (für IT-Manager)

Segmentierung des Admin-Zugriffs auf Cisco-Routern: Management-ACLs, VRF Mgmt und Jump Host

Cisco Router Professional Services: Delivery-Modelle für kritische Projekte

Zentrales Logging für Cisco-Router: Syslog-Architektur und Best Practices

Cisco Router Implementation Playbook: Projektstandard für konsistente Ergebnisse in Production

Cisco Router Network Time (NTP) für Audits: Warum Pflicht und wie implementieren

Backup-Strategie für Cisco-Router: Frequenz, Verschlüsselung und Retention

Cisco-Router-Change-Automation: Von Templates bis Validierung (praktisches Konzept)