Such auf deinem Handy nach „Wie ist meine IP-Adresse“ und notiere die Zahl. Mach jetzt dasselbe auf deinem Laptop ── seltsamerweise kommt exakt derselbe Wert zurück. Verschiedene Geräte, dieselbe Adresse. Was hinter diesem kleinen Rätsel arbeitet, ist der heutige Hauptdarsteller: NAT. Wenn dir eine dieser Situationen bekannt vorkommt, lies weiter.
- Du weißt nicht, warum jedes Gerät im Haus dieselbe „meine IP-Adresse“ meldet
- Ein Online-Spiel hat dich aufgefordert, „deinen NAT-Typ zu prüfen“ ── und du warst ratlos
- Du wolltest einen Heim- oder Gameserver aufsetzen und hörtest, du müsstest „einen Port freigeben“
- Du hast gehört, dass „von außen nichts deine Geräte erreichen kann“ ── aber warum, könntest du nicht erklären
NAT (Network Address Translation: Netzwerkadressübersetzung) ist, in einem Satz, der Übersetzungsschalter, der alle Geräte in deinem Haus ── oder im Büro ── eine einzige globale IP-Adresse teilen lässt. Doch dieser eine Satz erklärt weder, warum Datenverkehr von außen dich nicht erreichen kann, noch was „einen Port öffnen“ genau öffnet, noch was der „NAT-Typ“ eines Online-Spiels eigentlich diagnostiziert.
Dieser Artikel lässt Router-Konfigurationsanleitungen komplett beiseite und geht durch:
- Warum es NAT gibt ── 4,3 Milliarden Adressen reichten nicht (§1)
- Das Register des Schalters ── was NAT wirklich umschreibt (§2)
- Warum dich von außen nichts erreicht ── Schutz und Ärgernis sind zwei Seiten einer Struktur (§3)
- Portfreigabe ── eine dauerhafte Zeile von Hand ins Register schreiben (§4)
- Wo NAT zwickt ── „NAT-Typen“ in Spielen, Carrier-NAT und die Grenzen des Registers (§5)
── auf dem kürzesten Weg durch die Logik der Funktionsweise, und sonst nichts.
| Deine Frage | Abschnitt |
|---|---|
| Warum melden alle meine Geräte dieselbe IP? | §1 |
| Was macht NAT konkret? | §2 |
| Warum kann von außen nichts meine Geräte erreichen? | §3 |
| Was ist eine Portfreigabe wirklich? | §4 |
| Was prüft der „NAT-Typ“ eines Spiels? | §5 |
Dieser Artikel ist die zweite Vertiefungsfolge unserer Serie „Wie dein PC wirklich funktioniert“ (IP-Adressen, DNS, Firewalls, warum Firmennetze langsam werden und VPN). NAT hatte in vier dieser Artikel bereits Gastauftritte ── dies ist die Folge, in der der wiederkehrende Nebendarsteller endlich die Hauptrolle bekommt.
1. Warum es NAT gibt ── 4,3 Milliarden Adressen reichten nicht
1-1. Wenn Adressen knapp sind, teilt man sie
Wie wir im Artikel über IP-Adressen gesehen haben, hat IPv4 insgesamt nur etwa 4,3 Milliarden Adressen ── nicht einmal eine pro Mensch. In einer Zeit, in der eine Person Handy, Laptop, Fernseher und Konsole besitzt, reicht das bei Weitem nicht.
Also verbreitete sich weltweit eine Übergangslösung: Jeder Haushalt leiht sich nur eine einzige Adresse, die im gesamten Internet gilt (eine globale IP), und im Haus verwenden die Geräte Adressen, die nur innerhalb des Hauses gelten (private IPs). Jedes Gerät zu Hause bekommt eine private IP wie 192.168.1.10 (automatisch verteilt von einem Mechanismus namens DHCP).
1-2. Die Zentralnummer und die Durchwahlen
Was diese zwei Adress-Etagen verbindet, ist der Router an der Internet-Haustür ── genauer gesagt das NAT, das der Router hinter den Kulissen betreibt. Denk an die Telefonzentrale einer Firma. Die Außenwelt kennt nur eine Nummer; drinnen hat jeder Schreibtisch seine Durchwahl. Jeder ausgehende Anruf scheint von der Zentralnummer zu kommen ── die globale IP ist die Zentralnummer, eine private IP plus Port ist die Durchwahl.
Eine globale IP, von allen geteilt
Im Haus (private IPs) Die Adresse für die Außenwelt
Handy 192.168.1.10 ──┐
PC 192.168.1.11 ──┼─→ Router ──→ 203.0.113.5 (nur eine)
Konsole 192.168.1.30 ──┘ (NAT = Übersetzungsschalter)
= die Durchwahl jedes Schreibtischs = die Zentralnummer der Firma
1-3. Darum ist „meine IP“ auf allen Geräten gleich
Damit ist das Rätsel aus der Einleitung gelöst. Was das Web draußen sieht, ist die eine globale IP, die dein ganzer Haushalt teilt. Ob du vom Handy oder vom Laptop nachschaust ── zurück kommt die Zentralnummer des Hauses, deshalb ist der Wert gleich.
NAT verbreitete sich als Notlösung für „uns gehen die Adressen aus“. Aus der Notlösung wurde die Standard-Kulisse des Internets, und nebenbei entstand als Nebenwirkung sogar eine Schutzmauer (§3) ── dieser ungeplante Aufstieg macht NAT zu einer so interessanten Technik.
2. Das Register des Schalters ── was NAT wirklich umschreibt
2-1. Hinweg ── umschreiben, dann eintragen
Angenommen, dein Handy (192.168.1.10) besucht eine Website. So wie es ist, kann es nicht losgehen. Eine private IP gilt nur im Haus ── bleibt der Absender 192.168.1.10, hat die Außenwelt keine Möglichkeit, eine Antwort zu adressieren.
Also schreibt NAT (der Schalter) den Absender beim Hinausgehen um. Dabei behandelt es nicht nur die IP-Adresse, sondern auch die Portnummer (die „Schalternummern“ 0–65535, die eine einzelne IP-Adresse weiter unterteilen ── die Durchwahlen, in unserer Metapher), und es trägt in ein Register ── die NAT-Tabelle ── ein, welcher Verkehr welcher Durchwahl welchem nach außen gerichteten Schalter zugewiesen wurde.
2-2. Rückweg ── im Register nachschlagen, zurückschreiben
Die Antwort der Website kommt adressiert an „Schalter 40001 bei 203.0.113.5“ an. Der Schalter schlägt das Register rückwärts nach ── „40001 war dem Port 51000 des Handys zugewiesen“ ──, schreibt das Ziel zurück auf die private IP und stellt zu.
Die NAT-Tabelle ── auf dem Hinweg eintragen, auf dem Rückweg nachschlagen
Hinweg:
Handy 192.168.1.10:51000 ──→ Schalter ──→ 203.0.113.5:40001 ──→ Website
│
└─ ins Register eingetragen
192.168.1.10:51000 ⇔ 203.0.113.5:40001
Rückweg:
Website ──→ 203.0.113.5:40001 ──→ Schalter „laut Register…" ──→ 192.168.1.10:51000
Die Kernpunkte: Eine Registerzeile wird nur geschrieben, wenn eine Verbindung von innen gestartet wird ── und ist das Gespräch beendet, wird die Zeile irgendwann gelöscht. Dass alle Geräte im Haus gleichzeitig online sein können, liegt daran, dass der Schalter laufend verschiedene Schalternummern vergibt und diesen Eintragen-und-Nachschlagen-Zyklus endlos wiederholt.
NAT für „eine Funktion der Heimrouter-Box“ zu halten. NAT ist in Wahrheit der Betrieb dieses Registers ── und wo es läuft, ist ihm egal. Der Hotspot deines Handys, das Gateway im Büro und die Provider-Hardware, die wir gleich sehen (§5), sind derselbe Übersetzungsschalter nach demselben Prinzip.
3. Warum dich von außen nichts erreicht ── Schutz und Ärgernis, zwei Seiten einer Struktur
3-1. Steht es nicht im Register, bleibt nur Wegwerfen
Bisher ging es um Verbindungen, die von innen starten. Was aber ist mit einer Verbindung, die von außen startet ── jemand da draußen spricht plötzlich 203.0.113.5 an?
Der Schalter schlägt im Register nach. Doch niemand drinnen hat dieses Gespräch begonnen ── nirgendwo gibt es eine passende Zeile. Im Haus stehen Handy, PC und Konsole ── und es gibt keine Möglichkeit zu entscheiden, welche Durchwahl den Anruf annehmen soll. Wie ein Anruf bei der Zentrale, der keinen Mitarbeiter nennt: Verkehr ohne bekannten Empfänger kann nur weggeworfen werden.
Eine Verbindung von außen hat keine Zeile im Register
Jemand draußen ──→ an 203.0.113.5 ──→ Schalter: „nicht im Register ── keine Ahnung, für wen drinnen" ──→ ✕ verworfen
Diese eine Struktur hat zwei Gesichter:
├─ das Schutz-Gesicht: von außen dringt nichts ein (die „erste Mauer" aus dem Firewall-Artikel)
└─ das Ärgernis-Gesicht: dein Heimserver und die Bürosserver sind ebenfalls unerreichbar
(genau deshalb gibt es Portfreigaben und VPNs)
3-2. Das Schutz-Gesicht ── „die zufällige Festung“
Als Schutz betrachtet ist dieses „unerreichbar“ bemerkenswert stark. Es ist genau das, was der Firewall-Artikel „Mauer Nr. 1: der NAT-Router“ nannte ── Angriffe und wahllose Scans, die von außen starten, werden strukturell als unzustellbar verworfen, bevor sie je ein Gerät in deinem Haus erreichen. Nie als Verteidigung entworfen, und doch am Ende ein Schild ── deshalb nennt man NAT die zufällige Festung.
3-3. Das Ärgernis-Gesicht ── auch legitimer Verkehr kommt nicht rein
Doch dieselbe Struktur wird unmittelbar zum Ärgernis. Du setzt zu Hause einen Gameserver auf und willst Freunde einladen. Du willst von zu Hause auf den Dateiserver der Firma. Beides sind „Verbindungen, die von außen starten“ ── sie werden haargenau gleich verworfen, mit oder ohne böse Absicht. Das Register urteilt nicht über Gut und Böse. Keine Zeile, keine Zustellung ── mehr ist es nicht.
Es gibt zwei legitime Wege über diese Mauer. Der eine ist ein VPN ── ein Tunnel, der von innen offen gehalten wird, sodass du draußen eine innere Adresse halten kannst. Der andere ist das Thema des nächsten Abschnitts: die Portfreigabe ── eine Ausnahme direkt ins Register schreiben.
Weder der Schutz noch das Ärgernis sind von NAT beabsichtigt. Eine einzige Struktur ── Verkehr ohne Registerzeile kann nicht weitergeleitet werden ── wirkt aus einem Blickwinkel als Schild und aus dem anderen als Mauer. Diese Doppelgesichtigkeit ist das Wichtigste, was man über NAT verstehen muss.
4. Portfreigabe ── eine dauerhafte Zeile von Hand ins Register schreiben
4-1. Kein „Loch bohren“ ── eine Weiterleitungsregel hinzufügen
Portfreigabe (auch Portweiterleitung oder Port Forwarding genannt) klingt nach einem Loch in der Mauer, doch was tatsächlich passiert, ist viel bürokratischer: Du schreibst von Hand eine dauerhafte Zeile ins Register, die sagt: „Jeder Verkehr an diese Schalternummer der globalen IP wird immer an diesen Schalter dieses Geräts drinnen weitergeleitet“ ── das ist alles.
Portfreigabe ── eine von Hand geschriebene, dauerhafte Registerzeile
Eine normale Zeile (automatisch geschrieben, nach Gesprächsende gelöscht)
192.168.1.10:51000 ⇔ 203.0.113.5:40001 ← Spur einer von innen gestarteten Verbindung
Eine Portfreigabe-Zeile (von Hand geschrieben, nie gelöscht)
an 203.0.113.5:25565 ──→ immer weiterleiten an 192.168.1.30:25565 (die Konsole)
│
└─ auch von außen gestartete Verbindungen kommen durch, solange sie zu dieser Zeile passen
Waren die Registerzeilen aus §2 „vorübergehende Spuren von innen gestarteter Verbindungen“, so ist eine Portfreigabe-Zeile „ein dauerhaft reservierter Platz für Verbindungen, die außen starten“. Jetzt kann ein Freund draußen im Internet an Port 25565 deiner globalen IP klopfen und den Gameserver in deinem Haus erreichen.
4-2. Was hinter dem Port steht, ist praktisch außerhalb der Mauer
Aber man muss präzise verstehen, was diese eine Zeile bedeutet. Verkehr an einen freigegebenen Port wird ohne Unterscheidung von Gut und Böse an das bestimmte Gerät durchgereicht. Wie der Firewall-Artikel gezeigt hat, wird jede öffentlich erreichbare IP-Adresse ununterbrochen mit wahllosen Scans überschüttet. Vom Moment der Freigabe an steht das Gerät nicht mehr in der Schutzzone hinter der Mauer ── es steht im Fadenkreuz der Scanner.
die vergessene Portfreigabe. Die Zeile eines längst aufgegebenen Gameservers bleibt im Register, und Monate später taucht auf dem Gerät eine Sicherheitslücke auf ── ein klassischer Unfall. Die Regel der Portfreigabe: „so wenig wie möglich weiterleiten, und löschen, wenn es vorbei ist.“ Das ist zugleich einer der „fünf Momente, in denen die Mauern verschwinden“ aus dem Firewall-Artikel.
Viele Heimrouter bringen UPnP mit (einen Mechanismus, mit dem eine Anwendung den Router selbst bitten kann, automatisch eine Portfreigabe-Zeile für sie zu schreiben). Deshalb „funktionieren“ Konsolen und Videoanrufe oft ohne jede Einstellung ── aber andersherum heißt das: In dein Register werden Zeilen geschrieben, ohne dass du es weißt. Diesen Tausch sollte man kennen.
5. Wo NAT zwickt ── „NAT-Typen“, Carrier-NAT und die Grenzen des Registers
5-1. Der „NAT-Typ“ in Online-Spielen ── eine Erreichbarkeitsdiagnose
Der „NAT-Typ“, den du in Online-Spielen siehst, ist eine Diagnose, ob zwei Parteien, die beide hinter NAT sitzen, direkt miteinander reden können (Peer-to-Peer, P2P), ohne Server dazwischen. Dein Gegner sitzt hinter dem Schalter seines Hauses, du hinter deinem. Das heißt: „Verbindungen von außen werden verworfen“ (§3) gilt für euch beide gleichzeitig ── und manchmal erreicht keiner den anderen.
Das Urteil drückt grob eine Skala der Erreichbarkeit aus ── von „lockere Beschränkungen, P2P klappt leicht“ bis „P2P gelingt fast nie“. Die Namen (Typ A/B/C, Typ 1/2/3, Offen/Moderat/Strikt usw.) sind herstellereigene Alltagsetiketten, keine technischen Standardbegriffe. Richtig liest man sie nicht über den Namen, sondern über die Struktur: „Wie viel Spielraum lässt mein Schalter, um von außen gestarteten Verkehr ausnahmsweise durchzulassen?“
5-2. Carrier-NAT (CGNAT) ── zwei Übersetzungsschalter
Dieses Muster wird immer häufiger. Der Mangel an globalen IPs ist so ernst, dass manche Provider nicht einmal mehr „eine pro Haushalt“ vergeben ── sie stellen eine weitere NAT-Schicht ins Provider-Netz und lassen mehrere Anschlüsse eine globale IP teilen. Das nennt sich CGNAT (Carrier-Grade NAT).
CGNAT ── zwei Übersetzungsschalter
Geräte ──→ Heimrouter ──→ Provider-NAT ──→ Internet
192.168.1.10 (Schalter 1) (Schalter 2) 203.0.113.5
(mit anderen Anschlüssen geteilt)
Selbst wenn du am Heimrouter eine Portfreigabe einrichtest…
außen ──→ 203.0.113.5:25565 ──→ Schalter 2: „nicht im Register" ──→ ✕ genau hier verworfen
(in das Register von Schalter 2 kannst du nichts schreiben)
In dieser Konstellation macht dich eine Portfreigabe am Heimrouter von außen nicht erreichbar. Eingehender Verkehr wird zuerst an Schalter 2 verworfen ── dem des Providers ── und dieses Register lebt in der Hardware des Providers, in die du nichts schreiben kannst. Der klassische Schuldige hinter „meine Einstellungen sind perfekt, und es geht trotzdem nicht“.
5-3. Die Grenzen des Registers ── und ein Wort zu IPv6
Das Register ist nicht unendlich. Es hat eine maximale Zeilenzahl, und wenn Geräte und Cloud-Verbindungen sich weiter vermehren, heißt ein volles Register: Neue Verbindungen öffnen nicht mehr, bestehende werden gekappt ── Ärger ganz ohne Hardware-Defekt. Wie sich diese Erschöpfung als „das Firmennetz ist langsam“ zeigt, ist in §5 von Warum ist das Firmennetzwerk langsam? illustriert.
Und in der Welt von IPv6, wo Adressen so reichlich sind, dass jede Person gleich mehrere bekommen könnte, wird das Teilen-NAT im Prinzip überflüssig. Doch die Schutzrolle, die das „von außen unerreichbar“ (§3) still gespielt hat, darf nicht mit ihm verschwinden ── eine Firewall übernimmt diese Aufgabe, ausdrücklich. Zur IPv4/IPv6-Adresslage siehe §7 des IP-Adressen-Artikels.
Zusammenfassung ── die Essenz in vier Zeilen
- NAT ist der Übersetzungsschalter, der alle eine globale IP teilen lässt ── darum meldet jedes Gerät im Haus dieselbe „meine IP“: Es ist die Zentralnummer
- Der Kernmechanismus ist das Register (die NAT-Tabelle) ── von innen gestartete Verbindungen werden als „IP + Port“ eingetragen, Antworten per Rückwärtssuche zurückgeschrieben, und Verkehr ohne Registerzeile kann nur verworfen werden
- Dieses „unerreichbar“ ist Schutz (die erste Mauer) und Ärgernis (Heim- und Bürosserver unerreichbar) ── zwei Seiten einer Struktur. Die legitimen Wege darüber: VPNs und Portfreigaben
- Portfreigabe = eine dauerhafte Registerzeile. Was dahinter steht, gerät ins Fadenkreuz der Scanner ── also aufs Minimum beschränken. Und bleibst du trotzdem unerreichbar, verdächtige CGNAT (einen zweiten Schalter) und die Erschöpfung des Registers
Die zweistöckige Adressstruktur behandelt Was ist eine IP-Adresse?, die Schutzseite der Mauer geht in Was passiert ohne Firewall? weiter, die Mauer von innen überwinden heißt Was ist ein VPN?, und die Langsamkeit aus der Registererschöpfung steht in Warum ist das Firmennetzwerk langsam?. Der wiederkehrende Nebendarsteller der Serie sollte jetzt das ganze Bild verbinden.
FAQ
Q1. Warum melden alle Geräte in meinem Haus dieselbe „meine IP-Adresse“?
A. Weil die Außenwelt nur die eine globale IP sieht, die dein ganzer Haushalt teilt ── die Zentralnummer (§1). Handy und PC haben im Haus jeweils ihre eigene private IP, doch auf dem Weg nach draußen schreibt der Schalter (NAT) sie alle auf dieselbe Zentralnummer um. Eine „Wie ist meine IP“-Seite antwortet mit der Zentralnummer deines Hauses, nicht mit der Adresse deines Geräts.
Q2. Ist eine Portfreigabe gefährlich?
A. In dem Sinne, dass „das Gerät hinter dem freigegebenen Port direkt dem wahllosen Scannen ausgesetzt wird“, steigt das Risiko tatsächlich (§4-2). Ob es gefährlich ist, hängt vom Wie ab: Halte Zielgerät und Software aktuell, gib so wenige Ports wie möglich frei, lösche die Zeile, wenn du fertig bist. Für einen Einsatz, bei dem du diese Regeln einhalten kannst (etwa ein Gameserver, der nur läuft, während du spielst), ist es ein beherrschbares Risiko. Kannst du sie nicht einhalten, gib den Port nicht frei.
Q3. Was verbessert den „NAT-Typ“ eines Spiels wirklich?
A. Strukturell hilft alles, was „deinem Schalter mehr Spielraum gibt, von außen gestarteten Verkehr ausnahmsweise durchzulassen“ ── die betreffenden Ports freigeben oder UPnP aktivieren sind die Klassiker (§4). In einer CGNAT-Umgebung (§5-2) macht dich jedoch keine Einstellung auf der Heimseite erreichbar; eventuell brauchst du einen Tarif oder Provider, der dir eine individuelle globale IP zuweist. Die konkreten Schritte hängen von Router und Vertrag ab ── dieser Artikel bleibt bei der strukturellen Erklärung.
Q4. Verschwindet NAT mit IPv6?
A. Seine ursprüngliche Aufgabe ── Adressen teilen ── wird überflüssig, denn IPv6 hat genug Adressen, dass jedes Gerät eine eigene globale halten kann (§5-3). Aber der Schutz, den NAT als Nebenwirkung lieferte ── von außen gestarteten Verkehr strukturell zu blockieren ── darf nicht mit ihm verschwinden: Eine Firewall übernimmt diese Rolle ausdrücklich. Die präzise Merkformel: „NAT mag gehen, die Mauer bleibt (und muss bleiben).“
Q5. Ist NAT auch der Grund, warum ich den internen Server meiner Firma von außen nicht erreiche?
A. Es ist einer der Hauptgründe. Interne Server haben nur private IPs und sitzen hinter NAT ── von außen lassen sie sich nicht als Ziel angeben (§3). Obendrein betreiben Firmen Firewalls, die von außen gestarteten Verkehr ausdrücklich abweisen. Der standardmäßige, legitime Weg über beides ist ein VPN ── ein von innen geöffneter Tunnel, der dich draußen eine interne Adresse halten lässt. Der Mechanismus ist in Was ist ein VPN? illustriert.
Schreibe einen Kommentar