TopNETlive: Double-NAT und Portweiterleitung

Portweiterleitung: Double-NAT

Manchmal kann trotz eingerichteter Portweiterleitung am Router ein Empfänger hinter dem Router trotzdem nicht von außen erreicht werden. Möglicherweise befindet sich in diesem Fall ein weiterer Router zwischen uns und dem Router, der als Hauptrouter vermutet wird. Dieser weitere Router ist nicht auf den ersten Blick zu erkennen. Vermutlich handelt es sich um eine Modem-Router-Kombination des Internetanbieters.

Es ist logisch, dass eine Portweiterleitung über zwei Router komplexer als eine solche mit nur einem Router ist. Die folgende Abbildung zeigt ein Netz mit zwei Routern.

Wichtige Punkte:

  • Sowohl „Router #1“ als auch „Router #2“ besitzen ZWEI IP-Adressen, nämlich eine interne IP-Adresse und eine externe IP-Adresse.
  • Es gibt also ZWEI LANs (Local Area Networks, lokale Netze).
  • Und es gibt ZWEI WANs (Wide Area Networks). Zu jedem LAN gehört immer ein WAN.

Nachdem diese Variablen ermittelt sind, können wir genauer betrachten, wie sich das auf unseren Fall auswirkt.

NAT (Netzwerkadressübersetzung)

Aus Gründen der Einfachheit und Übersicht bezeichnen wir „Router #1“ und „Router #2“ in der Folge als „R1“ und „R2“. 

Jeder Router hat seine eigene NAT (Network Address Translation) und verfügt sowohl über eine interne IP-Adresse (LAN) als auch eine externe IP-Adresse (WAN). Über die externe IP-Adresse ist der Router mit dem WAN (Wide Area Network) verbunden. In den meisten Fällen ist das WAN identisch mit dem Internet. Die interne IP-Adresse stellt die Verbindung zwischen dem Router und dem internen Netzwerk her. Ein Netzwerk mit Double-NAT ist etwas komplexer als ein einfaches Netz.

R1 ist über die externe IP-Adresse mit dem Internet verbunden – so wie in einem normalen Netz. Die interne IP-Adresse von R1 sorgt für die NAT-Funktion im internen Netz LAN1. Das einzige Gerät im LAN1 ist der zweite Router, R2. R2 ist über eine externe IP-Adresse mit LAN1 verbunden. Beachten Sie, dass die externe IP-Adresse von R2 nicht mit dem Internet verbunden ist, sondern mit einem privaten Netzwerk (R1). Anders ausgedrückt: R2 nutzt eine WAN-IP-Adresse, die zwar von R2 aus gesehen extern ist, für R1 jedoch eine interne IP-Adresse darstellt. R2 sorgt über seine interne IP-Adresse für die NAT-Funktion im Netz LAN2. An LAN2 angeschlossene Geräte empfangen Daten von R2.

Schwirrt Ihnen schon der Kopf?!?

Weisen wir nun allen Geräten IP-Adressen zu und sehen uns das Ergebnis an.

Wie die Abbildung zeigt, unterscheiden sich die IP-Adressen im LAN1 von denen im LAN2.

Im LAN1 sehen die IP-Adressen so aus:

  • 192.168.1.1
  • 192.168.1.5

Im LAN2 sehen die IP-Adressen so aus:

  • 10.0.0.1
  • 10.0.0.15

 

Diese Abbildung zeigt, wie die Netze aufgeteilt sind:

Konfigurieren von Portweiterleitungen

Chaotisch, nicht wahr? Jetzt geht es an die Portweiterleitung in diesem Netz.

Schritt 1

Wir möchten eine Portweiterleitung für die WAN-Schnittstelle von R1 auf ein Gerät im LAN2 einrichten. Dazu leiten wir die Ports an R1 am besten auf die externe IP-Adresse von R2 weiter. In der Konfiguration von R1 werden Portweiterleitungen auf 192.168.1.5, also die WAN-IP von R2 eingerichtet.

Hinweis: Damit eine Verbindung zur Weboberfläche von R1 möglich ist, müssen Sie vermutlich einen Computer direkt an R1 anschließen und eine Verbindung im LAN1 herstellen.

Schritt 2

Jetzt leiten wir Ports an R2 zum jeweiligen Netzwerkgerät weiter, in diesem Fall einem Referenzempfänger. In unserem Beispiel melden wir uns bei R2 an und leiten die Ports zu 10.0.0.15 (IP-Adresse der Referenzstation) weiter.

 

Statische IP-Adressen

Die Regeln der Portweiterleitung sollten jetzt konfiguriert sein, sodass in unserem Netzwerk mit zwei Routern alles problemlos funktioniert. Gut gemacht!   Falls jedoch KEINE statischen IP-Adressen für die Netzwerkgeräte konfiguriert sind, an die wir Ports weiterleiten, dann wird die sorgfältig ausgetüftelte Weiterleitung schon bald nicht mehr funktionieren. Sollte eine erfolgreiche Portweiterleitung plötzlich nicht mehr funktionieren, wurde dem Weiterleitungsziel vermutlich eine andere interne IP-Adresse als die ursprüngliche Adresse (zum Zeitpunkt der Einrichtung der Weiterleitung) zugewiesen. Die Ports werden also nicht mehr an die richtige IP-Adresse weitergeleitet.

Wie lässt sich dieses Szenario verhindern?

Ganz einfach: mit statischen IP-Adressen! Eine statische IP-Adressierung sorgt dafür, dass sich die IP-Adresse eines Geräts im Netz nicht mehr ändert.

Für eine Portweiterleitung sollten den Geräten stets statische IP-Adressen zugewiesen werden. Dynamische IP-Adressen sind dagegen keine gute Idee, denn: sie werden sich (irgendwann) ändern. Und wenn sich die IP-Adresse des Weiterleitungsziels ändert, dann erreicht die Portweiterleitung ein falsches oder gar kein Ziel mehr. Sofern Sie also eine Portweiterleitung im Netz planen, sollten Sie unbedingt statische IP-Adressen für die Geräte vergeben, die als Weiterleitungsziele dienen.