Wenn der Internetzugang über einen Cisco Router nicht funktioniert, ist NAT (PAT/Overload) oft der Verdacht – aber die Ursache liegt häufig in einer der Voraussetzungen: falsches Default Gateway, vertauschte Inside/Outside-Zonen, ACL matcht nicht oder der Upstream routet nicht zurück. Mit einer strukturierten NAT-Troubleshooting-Checkliste findest du schnell heraus, ob NAT wirklich das Problem ist oder ob Routing/ACL/DNS dahintersteckt.
Grundregel: Erst Routing prüfen, dann NAT
NAT löst keine Connectivity-Probleme. Wenn der Router selbst nicht ins Internet kommt oder keine Default Route hat, kann NAT noch so korrekt sein – Clients bleiben offline. Prüfe daher immer zuerst: Interface up, Default Route, Next-Hop erreichbar.
Router-Connectivity (Outside) prüfen
Router# show ip interface brief
Router# show ip route | include Gateway|0.0.0.0
Router# ping 203.0.113.1
Router# traceroute 8.8.8.8Schritt 1: Inside/Outside-Zonen kontrollieren (häufigster NAT-Fehler)
Wenn ip nat inside und ip nat outside fehlen oder vertauscht sind, entstehen keine korrekten Translations. Prüfe die Interface-Konfiguration explizit.
Router# show running-config interface gigabitEthernet0/0
Router# show running-config interface gigabitEthernet0/1
Router# show ip interface briefFix-Muster: Zonen korrekt setzen
Router# configure terminal
Router(config)# interface gigabitEthernet0/0
Router(config-if)# ip nat inside
Router(config-if)# exit
Router(config)# interface gigabitEthernet0/1
Router(config-if)# ip nat outside
Router(config-if)# endSchritt 2: NAT-Regel prüfen (Overload/Static korrekt?)
Als Nächstes prüfst du, ob die NAT-Regel überhaupt vorhanden ist und auf die richtige ACL bzw. das richtige Outside-Interface zeigt. Ein Tippfehler im Interface-Namen oder in der ACL ist ein Klassiker.
Router# show running-config | include ^ip nat
Router# show running-config | section ip natTypisches PAT-Pattern (zur Orientierung)
ip nat inside source list NAT_INSIDE interface gigabitEthernet0/1 overloadSchritt 3: ACL matcht nicht – keine Translations entstehen
Bei PAT entscheidet die ACL, welche Inside-Hosts übersetzt werden. Wenn die ACL das falsche Netz hat oder die Wildcard nicht passt, gibt es keine Treffer und damit keine NAT-Translations.
ACL und Trefferzähler prüfen
Router# show access-lists
Router# show ip access-lists
Router# show running-config | section ip access-listFix-Beispiel: Standard ACL für 192.168.10.0/24
Router# configure terminal
Router(config)# ip access-list standard NAT_INSIDE
Router(config-std-nacl)# no permit any
Router(config-std-nacl)# permit 192.168.10.0 0.0.0.255
Router(config-std-nacl)# endSchritt 4: Translation-Tabelle lesen – ist NAT überhaupt aktiv?
Ohne Traffic ist die NAT-Translation-Tabelle oft leer. Erzeuge deshalb gezielt Traffic von einem Client und prüfe dann die Translations. Bei PAT solltest du Einträge mit Ports sehen.
NAT-Translations und Statistik prüfen
Router# show ip nat translations
Router# show ip nat statisticsGezielt Traffic erzeugen und erneut prüfen
Router# clear ip nat translation *
Router# show ip nat translationsSchritt 5: Default Route und Rückweg – häufig nicht „NAT“, sondern Routing
Wenn Translations entstehen, aber Verbindungen trotzdem scheitern, ist häufig der Rückweg das Problem: der Provider routet nicht korrekt oder es fehlt die Default Route. Auch falsche Next-Hop-IPs verursachen Blackholes.
Default Route und Next-Hop prüfen
Router# show ip route 0.0.0.0
Router# show ip route | include Gateway|0.0.0.0
Router# ping 203.0.113.1Hinweis zur Provider-Seite
Wenn du einen Public-IP-Pool nutzt oder Static NAT betreibst, muss der Provider diese Public-IPs zu deinem Router routen. Sonst kann eingehender Traffic nie ankommen.
Schritt 6: DNS ist kaputt – Internet wirkt „down“, aber IP geht
Viele Tickets sind DNS-Probleme. Prüfe daher: funktioniert Ping zu einer IP, aber kein Name? Dann ist DNS/Forwarding das Thema, nicht NAT.
Test: IP vs. DNS
Client$ ping 1.1.1.1
Client$ nslookup example.comRouter-DNS (falls Router als DNS-Proxy genutzt wird)
Router# show running-config | include ip name-server|ip domain-lookupSchritt 7: ACLs/Firewall blockieren den Traffic (Inside oder Outside)
NAT kann korrekt sein, aber eine ACL blockiert den Traffic. Prüfe insbesondere ACLs am Outside-Interface (in/out) sowie ggf. Zone-Based Firewall/CBAC.
Interface-ACLs prüfen
Router# show ip interface gigabitEthernet0/0
Router# show ip interface gigabitEthernet0/1
Router# show running-config | include access-group
Router# show access-listsSchritt 8: NAT Overload auf falsches Interface gebunden
Wenn du PAT über die Interface-IP machst, muss das Interface exakt das Outside-Interface sein, dessen IP öffentlich ist. Bei falschem Interface entstehen entweder keine Translations oder es wird auf eine falsche/Private IP übersetzt.
NAT-Regel gegen Interfaces gegenprüfen
Router# show running-config | include ip nat inside source
Router# show ip interface briefSchritt 9: Doppeltes NAT oder asymmetrische Pfade
In komplexeren Umgebungen (z. B. Router + Firewall + Provider-CPE) kann doppeltes NAT auftreten. Ebenso können asymmetrische Pfade bei Dual-WAN/NAT zu Session-Problemen führen, weil Rückverkehr anders zurückkommt.
- Doppel-NAT: Übersetzungen an mehreren Stellen
- Asymmetrie: Outbound über Link A, Rückweg über Link B
- Stateful Devices (Firewall) brechen Sessions bei Asymmetrie
Indiz: Translations da, aber Sessions brechen
Router# show ip nat translations
Router# show ip nat statistics
Router# traceroute 8.8.8.8Schritt 10: Debug NAT – gezielt und kurz verwenden
Wenn du alles geprüft hast und es bleibt unklar, kann Debug helfen. Nutze Debugs kontrolliert, da sie CPU-lastig sein können. Danach immer wieder abschalten.
Debug sicher nutzen
Router# terminal monitor
Router# debug ip nat
Router# undebug allCopy & Paste: NAT Troubleshooting Checkliste
Diese Checkliste deckt die häufigsten Ursachen ab: Routing, Zonen, Regeln, ACL-Matches, Translations, ACLs/Firewall, DNS.
show ip interface brief
show ip route | include Gateway|0.0.0.0
ping 203.0.113.1
traceroute 8.8.8.8
show running-config | include ^ip nat
show running-config interface gigabitEthernet0/0
show running-config interface gigabitEthernet0/1
show access-lists
show ip nat translations
show ip nat statistics
clear ip nat translation *
show ip nat translations
show ip interface gigabitEthernet0/0
show ip interface gigabitEthernet0/1
show loggingKonfiguration speichern (nach erfolgreichem Fix)
Wenn Clients wieder stabil ins Internet kommen und NAT-Translations korrekt erscheinen, speichere die Konfiguration.
Router# copy running-config startup-configKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.