March 4, 2026

NAT Translations nachvollziehen: Source/Destination Rewrite in Events prüfen

Network Address Translation (NAT) ist ein wesentlicher Bestandteil moderner Netzwerkkonfigurationen, insbesondere in Szenarien, bei denen mehrere Geräte hinter einer einzigen öffentlichen IP-Adresse arbeiten. Dabei werden Quell- und Zieladressen (Source und Destination) umgeschrieben, um den Verkehr zwischen internen und externen Netzwerken zu ermöglichen. In diesem Artikel werden wir uns mit der Funktionsweise von NAT-Übersetzungen und deren Nachverfolgung im Simulation Mode befassen, um zu verstehen, wie NAT Events bei Source- und Destination-Rewrites auftreten.

1. Grundlegendes zu NAT

Network Address Translation (NAT) wird verwendet, um private IP-Adressen in öffentliche IP-Adressen und umgekehrt umzuwandeln. Dies ermöglicht es mehreren Geräten innerhalb eines privaten Netzwerks, über eine einzelne öffentliche IP-Adresse mit dem Internet zu kommunizieren. NAT kann auf verschiedene Arten implementiert werden:

  • Static NAT: Eine feste Zuordnung zwischen einer privaten und einer öffentlichen IP-Adresse.
  • Dynamic NAT: Eine Zuordnung zwischen privaten IP-Adressen und einer Gruppe von öffentlichen IP-Adressen.
  • Port Address Translation (PAT): Eine Form von NAT, bei der mehrere private IP-Adressen dieselbe öffentliche IP-Adresse teilen, indem unterschiedliche Ports verwendet werden.

2. NAT Translations nachvollziehen

Die Translations, also die Umwandlungen von Quell- und Zieladressen, werden in NAT-Tabellen gespeichert. Diese Tabellen können auf Routern oder Firewalls eingesehen werden. Um zu überprüfen, wie NAT mit dem Verkehr interagiert, müssen wir uns auf die NAT-Übersetzungen konzentrieren, die die Quell- und Zieladressen nach der Umwandlung widerspiegeln. Dies geschieht in den folgenden Schritten:

  • Source NAT (SNAT): Ändert die Quelladresse eines ausgehenden Pakets, um die private IP-Adresse auf eine öffentliche IP-Adresse zu übersetzen.
  • Destination NAT (DNAT): Ändert die Zieladresse eines eingehenden Pakets, um den Datenverkehr an den richtigen internen Server weiterzuleiten.

Quell- und Zieladressübersetzung beobachten

Die Quell- und Zieladressübersetzungen lassen sich im Simulation Mode von Packet Tracer nachverfolgen. Hier können Sie beobachten, wie die NAT-Übersetzungen auf Basis der Quell- und Zieladressen durchgeführt werden, wenn der Verkehr das Netzwerk durchquert.

Router(config)# ip nat inside source list 1 interface GigabitEthernet0/1 overload

Mit diesem Befehl wird ein NAT-Übersetzungsregel definiert, die den internen Verkehr von einer privaten IP-Adresse in eine öffentliche IP-Adresse umwandelt, basierend auf einer ACL (Access Control List) und der Übersetzung von Ports mit “overload”.

3. NAT Events und die Bedeutung der Logs

Bei NAT-Übersetzungen werden in den Logs Ereignisse protokolliert, die wichtige Informationen über die erfolgten Source- und Destination-Rewrites liefern. Diese Protokolle sind hilfreich für das Troubleshooting und zur Überprüfung, ob die Umsetzungen korrekt durchgeführt wurden. Besonders beim Debugging von Verbindungsproblemen oder beim Verstehen von NAT-bezogenen Fehlern spielen diese Logs eine zentrale Rolle.

Protokollierung der NAT-Übersetzungen

Die Protokollierung der NAT-Übersetzungen erfolgt in der Regel über den Befehl 

show ip nat translations

, mit dem Sie die NAT-Tabellen anzeigen können. Dies zeigt Ihnen alle aktiven Übersetzungen sowie deren Status an.

Router# show ip nat translations
Pro Inside global      Inside local        Outside local       Outside global
--- 192.168.1.1:1024      10.0.0.1:1024      203.0.113.1:1024   203.0.113.1:1024

Die Ausgabe zeigt die Quell- und Zieladressen sowohl in ihrem lokalen als auch globalen Format. Bei PAT (Port Address Translation) werden die Ports ebenfalls übersetzt, was die Nutzung einer öffentlichen IP-Adresse für mehrere interne Geräte ermöglicht.

4. Troubleshooting von NAT-Fehlern

Fehler bei NAT-Übersetzungen können auftreten, wenn entweder die Übersetzungsregeln falsch konfiguriert sind oder die NAT-Tabellen überlastet sind. Mögliche Ursachen für NAT-Probleme sind:

  • Falsche NAT-Konfigurationen (z. B. bei der Source- oder Destination NAT).
  • Fehlerhafte Access Control Lists (ACLs), die die NAT-Übersetzungen blockieren.
  • Überlastung der NAT-Tabellen aufgrund von zu vielen aktiven Verbindungen oder fehlenden Übersetzungsressourcen.

Debugging-Tipps für NAT-Probleme:

  • Verwenden Sie den 
    debug ip nat

    -Befehl, um die NAT-Übersetzungen in Echtzeit zu überwachen.

  • Überprüfen Sie die ACLs mit 
    show access-lists

    , um sicherzustellen, dass der richtige Verkehr für die Übersetzung zugelassen wird.

  • Verwenden Sie 
    show ip nat statistics

    , um die Anzahl der Übersetzungen und den Zustand der NAT-Tabellen zu überprüfen.

5. Fazit

Die Analyse von NAT-Translationsereignissen ist ein wichtiger Schritt, um die Funktionsweise von NAT zu verstehen und Fehlerquellen schnell zu identifizieren. Durch die detaillierte Beobachtung von Source- und Destination-Rewrites können Sie Fehler bei der NAT-Konfiguration erkennen und beheben, was zu einer effizienteren Netzwerkkommunikation führt. Nutzen Sie Tools wie Simulation Mode und Debugging-Befehle, um die NAT-Prozesse zu visualisieren und zu optimieren.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Hardening für Dual-ISP-Edge: Failover-Risiken in Policies verhindern

Hardening für VPN IPsec: Crypto Baseline, DPD, Rekey und Stabilität

Hardening DMVPN: Control-Plane-Security, NHRP Hygiene und Segmentierung

Hardening für Remote-Access-VPN: User-Segmentierung, Split Tunnel und Logging

Hardening für Multi-Tenant/Partner Links: VRF & sichere Policy Boundaries

Hardening für Remote Branches: OOB-Herausforderungen und operative Guardrails

Case Study: Management Exposure am Edge-Router schließen (Before/After Evidence)

Case Study: Audit findet Route-Leak-Risiko am Cisco-Router (strukturierte Remediation)

Case Study: SNMPv3 + Syslog-SIEM-Migration für Auditability

Cisco Router Security Hardening Service: Scope, Deliverables und Enterprise-Timeline

Exposure Management: „Open Management Ports“ aus dem Internet auditieren

Cisco-Router-Forensik Basics: Evidenzen, die bei Incidents Pflicht sind