Advanced NAT Troubleshooting beginnt mit einer unbequemen Wahrheit: NAT ist zustandsbehaftet (State). Solange Hin- und Rückweg denselben NAT-State sehen, funktioniert es. Sobald Routing asymmetrisch wird oder State auf einem anderen Gerät liegt, entstehen „Geisterprobleme“: SYN geht raus, SYN-ACK kommt nie an; UDP funktioniert sporadisch; einzelne Apps brechen bei Failover. In Enterprise- und Provider-Designs ist Asymmetry der häufigste Root Cause für NAT-Ausfälle – besonders bei Dual-WAN, ECMP, HSRP/VRRP, Firewall-Zonen oder Load-Balancern. Dieser Artikel zeigt ein systematisches Vorgehen, um NAT-Probleme mit Fokus auf symmetrisches Routing, Asymmetry und State sauber zu isolieren.
Warum NAT Symmetrie braucht
Bei Stateful NAT (PAT, Dynamic NAT, NAT64, CGNAT) wird pro Flow eine Zuordnung angelegt: Inside IP:Port wird auf Outside IP:Port gemappt. Der Rücktraffic muss exakt über denselben Knoten zurück, sonst fehlt der State und Pakete werden verworfen.
State-Modell (vereinfacht)
State = (Src_in, Dst_out, Proto, Ports) ↔ (Src_out, Dst_out, Proto, Ports)
- Symmetrisch: Hinweg und Rückweg über denselben NAT-Knoten
- Asymmetrisch: Rückweg landet auf einem anderen Gerät → State fehlt
- Folge: „Unsolicited inbound“ wird gedroppt
Typische Symptome bei Asymmetry
Asymmetrische NAT-Probleme wirken oft wie „Internet spinnt“, sind aber reproduzierbar, wenn du den Flow korrekt triffst. Besonders auffällig sind TCP-Handshake-Probleme und sporadische UDP-Ausfälle.
- TCP: SYN raus, SYN-ACK kommt nicht an (oder wird gedroppt)
- Nur manche Ziele betroffen (je nach Pfad/ECMP/Failover)
- UDP: VoIP/Teams/Gaming sporadisch, nach Minuten Timeout
- Failover: nach ISP-Switch bricht bestehender Traffic ab
NAT-State: Wo er liegt und wie du ihn sichtbar machst
Das wichtigste Debug-Objekt ist die Translation/Session. Du willst sehen: existiert die Translation, welcher Outside-Port wurde gewählt, welche Timeouts gelten und ob Counters steigen. Ohne diese Sicht debugst du blind.
Translations und Statistik
show ip nat translations
show ip nat translations verbose
show ip nat statisticsInterpretation
- Translation existiert, aber Counter steigen nicht → Pfadproblem oder ACL/Firewall
- Translation verschwindet schnell → Timeout/Idle oder State-Reset durch Failover
- Keine Translation entsteht → NAT Match fehlt (ACL/Route/Interface-Rolle)
Symmetrisches Routing verifizieren: Der „Two-Path“-Beweis
Du musst getrennt beweisen, wie der Hinweg geroutet wird und wie der Rückweg geroutet wird. In NAT-Setups sind diese Wege oft auf unterschiedlichen Geräten sichtbar (Router, Firewall, Upstream). Auf dem NAT-Router beweist du mindestens den egress und die erwartete return-path Logik.
Hinweg (Inside → Outside) prüfen
show ip route <dst-ip>
show ip cef <dst-ip> detail
show ip cef exact-route <inside-host> <dst-ip>Rückweg (Outside → NAT) indirekt prüfen
show ip route <public-nat-ip>
show ip cef <public-nat-ip> detailDie häufigsten Asymmetry-Ursachen
Asymmetry kommt selten aus „Fehlrouting“, sondern aus Design-Patterns, die Symmetrie nicht garantieren: Dual-WAN, ECMP, FHRP ohne State-Sync und Load-Balancing ohne Flow-Pinning.
- Dual-WAN mit zwei Default Routes (ECMP oder Floating Static)
- HSRP/VRRP Failover: NAT-State bleibt auf dem alten Active
- Upstream asymmetrisch: Inbound kommt über anderen Provider zurück
- PBR/Policy Routing nur in einer Richtung aktiv
- Mehrere NAT-Gateways parallel ohne State-Sharing
Dual-WAN: Wenn „Failover“ den State tötet
Bei Failover ist es normal, dass bestehende NAT-Sessions sterben, wenn der Rückweg plötzlich anders ist. Stabil wird es nur, wenn du (1) Failover bewusst designst (z. B. per Tracking), (2) Return-Path kontrollierst und (3) Session-Impact akzeptierst oder mitigierst.
- Tracking reduziert Flaps und unnötige State-Resets
- Return-Path muss zum aktiven NAT-Egress passen
- Bestehende Sessions sind oft nicht „nahtlos“ übertragbar
Floating Static Routes (Pattern)
ip route 0.0.0.0 0.0.0.0 203.0.113.1 1
ip route 0.0.0.0 0.0.0.0 198.51.100.1 200ECMP: Der „ein Pfad ist kaputt“-Klassiker
Wenn du ECMP über zwei Uplinks machst, kann ein Teil der Flows über NAT-Gateway A gehen, der Rückweg aber über B. Oder ein Uplink hat MTU/ACL-Probleme, wodurch nur ein Hash-Subset bricht. Flow-basierte Verifikation ist Pflicht.
ECMP sichtbar machen
show ip cef <dst-ip> internal
show ip cef exact-route <inside-host> <dst-ip>Praxisfixes
- Flow-Pinning: gleiche 5-Tuple immer über denselben Uplink
- Asymmetry vermeiden: nur ein aktiver NAT-Egress (Failover statt ECMP)
- PBR konsequent bidirektional (Hin- und Rückrichtung berücksichtigen)
State auf mehreren Geräten: Ohne Synchronisation wird es unsauber
Wenn du zwei NAT-Geräte aktiv/aktiv oder aktiv/passiv betreibst, brauchst du eine Strategie für State: entweder State-Synchronisation (wenn unterstützt) oder konsequentes Traffic Steering, damit ein Flow immer denselben NAT-Knoten nutzt.
- Active/Standby ohne State-Sync: Failover bricht Sessions (normal)
- Active/Active ohne Flow-Steering: asymmetrische Rückwege wahrscheinlich
- Best Practice: klare Ownership pro Source-Prefix oder pro VRF
Port Exhaustion und „State wirkt da, aber nichts geht“
Bei hoher Last kann NAT an Port- oder Session-Limits laufen. Dann entstehen keine neuen Translations, oder nur sporadisch. Das wirkt wie Asymmetry, ist aber Ressourcenknappheit. Du musst deshalb immer auch Kapazität prüfen.
Kapazitätschecks
show ip nat statistics
show ip nat translations | count
show processes cpu sorted
show interfaces | include drops|errorTimeouts und UDP: Asymmetry fällt hier besonders schnell auf
UDP ist zustandsbehaftet im NAT, aber ohne Handshake. Wenn der UDP-Timeout kurz ist oder Rücktraffic über einen anderen Pfad kommt, brechen VoIP/Streaming schneller. Prüfe UDP-Timeouts und setze sie passend zum Use-Case.
Timeouts prüfen/setzen (Pattern)
show running-config | include ip nat translation
ip nat translation udp-timeout 60Troubleshooting Workflow: Von „State“ zu „Pfad“ zu „Policy“
Ein robuster Workflow verhindert, dass du dich in Logs verlierst. Du beweist zuerst State, dann Pfad-Symmetrie, dann Security/ACLs, dann MTU und Plattform-Drops.
- 1) Entsteht eine Translation?
- 2) Steigt der Counter (Traffic wirklich über NAT)?
- 3) Ist Rückweg zur NAT-Public-IP konsistent?
- 4) Blockt ACL/Firewall Rücktraffic?
- 5) MTU/PMTUD/Drops?
Command Pack (Copy & Paste)
! State
show ip nat statistics
show ip nat translations verbose | include <inside-host>
! Path
show ip cef exact-route
show ip route
show ip route
! Policy / Drops
show access-lists
show interfaces | include drops|error
show platform hardware qfp active statistics drop
Fault Isolation: Schnelltests, die Asymmetry entlarven
Mit wenigen Tests kannst du Asymmetry oft sofort sichtbar machen: teste denselben Flow mehrfach mit variierenden Source-IPs (ECMP-Hash), beobachte NAT-Translations, und prüfe, ob Return-Path zu unterschiedlichen Uplinks zeigt.
- Mehrere Source-IPs testen (trifft unterschiedliche Hashes)
- Translation-Table beobachten: entstehen Entries auf „falschem“ Knoten?
- Public NAT IP: ist sie über den erwarteten Uplink geroutet?
Best Practices: Designs, die NAT im Betrieb stabil halten
Wenn NAT ein zentrales Service ist (Internet, CGNAT, NAT64), lohnt sich „Betriebsdesign“. Das reduziert Tickets und macht Failover vorhersehbar.
- Single Active Egress pro Source-Domäne (VRF/Prefix) statt ECMP
- Tracking-basierter Failover, kein Flapping
- Klare Return-Path-Steuerung (BGP Policy, Communities, LocalPref)
- Capacity Monitoring (Sessions/Ports) mit Alerts
- Change Runbooks: Pre/Post NAT Health Checks
Quick-Runbook: NAT Asymmetry Incident unter Zeitdruck
Diese Sequenz isoliert die meisten Asymmetry-Probleme schnell, ohne invasive Debugs.
show ip nat statistics
show ip nat translations verbose | include <inside-host>
show ip cef exact-route <inside-host> <dst-ip>
show ip route <dst-ip>
show ip route <public-nat-ip>
show interfaces | include drops|error
show platform hardware qfp active statistics dropKonfiguration speichern
Router# copy running-config startup-configKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.