March 4, 2026

NAT/PAT Expert-Lab: Mehrere Inside-Netze, Overload und Translation-Checks

In diesem Lab werden wir uns mit den Konzepten von NAT (Network Address Translation) und PAT (Port Address Translation) beschäftigen und mehrere Inside-Netze konfigurieren. Dabei werden wir auch die Konfiguration von Overload und die Prüfung der Übersetzungen (Translation-Checks) in einem realistischen Szenario durchführen. Das Ziel ist es, ein tiefgehendes Verständnis für NAT/PAT und deren Anwendung in Netzwerken zu erlangen.

1. Was ist NAT und PAT?

NAT wird verwendet, um private IP-Adressen in öffentliche IP-Adressen zu übersetzen, wenn Geräte in einem privaten Netzwerk mit der Außenwelt kommunizieren. PAT, auch als Port-Overload bezeichnet, erweitert dieses Konzept, indem mehrere private IP-Adressen über eine einzige öffentliche IP-Adresse mit unterschiedlichen Ports abgebildet werden. Dies ermöglicht es, viele Geräte hinter einer einzigen öffentlichen IP-Adresse zu betreiben.

Unterschiede zwischen NAT und PAT:

  • NAT: Übersetzt private IP-Adressen in eine einzige öffentliche IP-Adresse, ohne den Port zu verändern.
  • PAT: Übersetzt mehrere private IP-Adressen auf eine einzige öffentliche IP-Adresse, wobei die Ports genutzt werden, um die Verbindungen zu differenzieren.

2. Netzwerkaufbau im Packet Tracer

Für dieses Lab haben wir ein Netzwerk mit mehreren Inside-Netzen (z.B. 192.168.1.0/24, 192.168.2.0/24) und einer einzigen öffentlichen IP-Adresse für das Outside-Netz. Wir werden NAT/PAT konfigurieren, um die Kommunikation dieser privaten Netzwerke mit dem Internet zu ermöglichen.

Topologie:

  • Router1 verbindet das interne Netzwerk mit dem Internet.
  • Mehrere Hosts sind in den privaten Netzwerken 192.168.1.0/24 und 192.168.2.0/24 konfiguriert.
  • Die öffentliche IP-Adresse für das NAT-Interface auf Router1 ist 203.0.113.1.

3. Konfiguration von NAT/PAT

Wir beginnen mit der Konfiguration von NAT/PAT, indem wir die private Adressierung in öffentliche Adressen übersetzen. Dabei verwenden wir PAT, um beide privaten Netzwerke über eine einzige öffentliche IP-Adresse zu routen.

Schritt 1: NAT-Pool und Access-Control List (ACL) konfigurieren

Zuerst definieren wir den NAT-Pool und erstellen eine ACL, um den Datenverkehr zu filtern, der übersetzt werden soll.

Router1# access-list 1 permit 192.168.1.0 0.0.0.255
Router1# access-list 2 permit 192.168.2.0 0.0.0.255

Schritt 2: PAT auf Router1 konfigurieren

Nun konfigurieren wir PAT, indem wir die ACLs verwenden, um den internen Verkehr zu definieren und den NAT-Pool auf das Interface zu binden, das zum Internet führt.

Router1# ip nat inside source list 1 interface FastEthernet0/0 overload
Router1# ip nat inside source list 2 interface FastEthernet0/0 overload

Schritt 3: NAT auf den Interfaces aktivieren

Für das NAT müssen wir auch die Interfaces entsprechend konfigurieren. Das Interface, das das interne Netzwerk repräsentiert, wird als “inside” und das Interface, das mit dem Internet verbunden ist, wird als “outside” konfiguriert.

Router1# interface FastEthernet0/1
Router1# ip nat inside
Router1# interface FastEthernet0/0
Router1# ip nat outside

4. Überprüfen der NAT/PAT Konfiguration

Nach der Konfiguration ist es wichtig, die NAT/PAT-Übersetzungen zu überprüfen, um sicherzustellen, dass der Verkehr ordnungsgemäß weitergeleitet wird. Die folgenden Befehle sind hilfreich, um die Übersetzungen und den Status zu prüfen:

Router1# show ip nat translations

Dieser Befehl zeigt eine Liste der aktuellen NAT/PAT-Übersetzungen an. Jedes Mapping zeigt die private Adresse und den Port sowie die entsprechende öffentliche Adresse und den Port an.

5. Troubleshooting von NAT/PAT Problemen

Wenn der Verkehr nicht wie erwartet funktioniert, können mehrere Ursachen vorliegen. Im Folgenden sind einige häufige Fehler und Lösungen aufgeführt:

Fehler 1: Kein Verkehr aufgrund falscher NAT-Konfiguration

Überprüfen Sie, ob die NAT-Pool-Konfiguration korrekt ist und ob die richtige ACL verwendet wird. Stellen Sie sicher, dass der NAT-Pool auf das richtige Interface angewendet wird.

Router1# show ip nat statistics

Fehler 2: Private Netzwerke können nicht auf das Internet zugreifen

Wenn private Netzwerke keine Verbindung zum Internet herstellen können, prüfen Sie, ob das “outside”-Interface korrekt konfiguriert ist und ob der NAT-Pool richtig definiert wurde.

Fehler 3: Überlastung der öffentlichen IP-Adresse

Wenn Sie feststellen, dass mehrere Geräte die gleiche öffentliche IP-Adresse verwenden und der Datenverkehr blockiert wird, überprüfen Sie, ob die “overload”-Option korrekt konfiguriert ist und ob genügend Ports zur Verfügung stehen.

Fehler 4: Fehlende NAT-Übersetzungen

Wenn keine Übersetzungen angezeigt werden, stellen Sie sicher, dass die Router-Schnittstellen korrekt als “inside” oder “outside” markiert sind und dass die ACLs korrekt konfiguriert sind, um den Verkehr zuzulassen.

Router1# show ip nat translations

6. Fazit

In diesem Lab haben wir mehrere private Netzwerke mit einer einzigen öffentlichen IP-Adresse verbunden und NAT/PAT konfiguriert, um die Kommunikation mit dem Internet zu ermöglichen. Wir haben auch die wichtigsten Schritte zur Fehlerbehebung und zur Überprüfung der NAT/PAT-Konfigurationen behandelt. Dies gibt Ihnen ein besseres Verständnis dafür, wie NAT/PAT in realen Netzwerken funktioniert und wie Sie gängige Probleme diagnostizieren können.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Hardening für Dual-ISP-Edge: Failover-Risiken in Policies verhindern

Hardening für VPN IPsec: Crypto Baseline, DPD, Rekey und Stabilität

Hardening DMVPN: Control-Plane-Security, NHRP Hygiene und Segmentierung

Hardening für Remote-Access-VPN: User-Segmentierung, Split Tunnel und Logging

Hardening für Multi-Tenant/Partner Links: VRF & sichere Policy Boundaries

Hardening für Remote Branches: OOB-Herausforderungen und operative Guardrails

Case Study: Management Exposure am Edge-Router schließen (Before/After Evidence)

Case Study: Audit findet Route-Leak-Risiko am Cisco-Router (strukturierte Remediation)

Case Study: SNMPv3 + Syslog-SIEM-Migration für Auditability

Cisco Router Security Hardening Service: Scope, Deliverables und Enterprise-Timeline

Exposure Management: „Open Management Ports“ aus dem Internet auditieren

Cisco-Router-Forensik Basics: Evidenzen, die bei Incidents Pflicht sind