NAT (Network Address Translation) ist eine Technik, die Ihr Router verwendet, um vielen Geräten in einem privaten Netzwerk die gemeinsame Nutzung einer einzigen öffentlichen IP-Adresse zu ermöglichen. Jedes Gerät hat eine private Adresse (wie 192.168.x.x), die im öffentlichen Internet nicht nutzbar ist, daher überschreibt der Router das Paket mit seiner eigenen öffentlichen IP und merkt sich die Zuordnung, dann übersetzt er Antworten zurück an das richtige Gerät. NAT ist der Grund, warum Ihr Telefon, Laptop und Fernseher alle über eine einzige Heimverbindung online sein können — und ein wesentlicher Grund, warum das Internet nicht schon vor Jahren die IPv4-Adressen erschöpft hat.

Welche Arten von NAT gibt es?

Die gängigen: Statisches NAT ordnet eine private IP dauerhaft einer öffentlichen IP zu. Dynamisches NAT ordnet private IPs nach Bedarf einem Pool von öffentlichen IPs zu. PAT (Port Address Translation, auch NAT-Überladung genannt) ordnet viele private IPs einer öffentlichen IP mit verschiedenen Ports zu — das ist, was Heimrouter tun. Es gibt auch die eingehende Richtung, DNAT (Destination NAT), die beim Port-Forwarding verwendet wird, um Datenverkehr, der auf einem öffentlichen Port ankommt, an ein bestimmtes internes Gerät zu senden. Die meisten Heimkonfigurationen verlassen sich auf PAT für ausgehende und Port-Forwarding (DNAT) für eingehende Dienste.

Was ist CGNAT und warum ist es wichtig?

CGNAT (Carrier-Grade NAT) ist eine zweite Schicht von NAT, die von Ihrem ISP betrieben wird, bei der viele Kunden einen Pool von öffentlichen IPs teilen. Es bedeutet, dass Sie keine eigene echte öffentliche IP haben — selbst Port-Forwarding auf Ihrem Router kann Sie nicht erreichbar machen, weil die öffentliche Adresse nicht Ihnen zur Kontrolle gehört. CGNAT wird zunehmend auf Mobilgeräten und einigen Glasfaseranschlüssen verwendet. Wenn Sie dahinter stehen, ist Selbsthosting von zu Hause aus praktisch blockiert, und die praktische Lösung ist ein VPS mit eigener öffentlicher IP.

Was ist NAT? Netzwerkadressübersetzung erklärt (2026)

Q: Wie funktioniert NAT?

Wenn ein Gerät in Ihrem Netzwerk Daten ins Internet sendet, ersetzt der Router die private Quelladresse (und oft den Port) durch seine eigene öffentliche IP und einen eindeutigen Port und zeichnet die Übersetzung in einer Tabelle auf. Der Empfänger sieht nur die öffentliche IP des Routers. Wenn die Antwort zurückkommt, schaut der Router in der Tabelle nach und leitet sie an das richtige interne Gerät und den Port weiter. Diese portbasierte Form (PAT oder 'NAT-Überladung') ermöglicht es, dass eine öffentliche IP Dutzende von Geräten gleichzeitig bedient. Der gesamte Prozess ist für Sie im normalen Gebrauch unsichtbar.

Q: Warum erschwert NAT das Selbsthosting?

Weil NAT darauf ausgelegt ist, ausgehende Verbindungen zuzulassen, nicht unaufgeforderte eingehende. Geräte hinter NAT können das Internet frei erreichen, aber das Internet kann sie nicht direkt erreichen — der Router hat keine Zuordnung für eine unerwartete eingehende Verbindung, also verwirft er sie. Um einen Dienst zu hosten (ein VPN, einen Spielserver, ein NAS), müssen Sie diese Zuordnung selbst mit Port-Forwarding erstellen. NAT ist effektiv eine Einbahnstraße, die großartig für die Sicherheit ist, aber unbequem, wenn Sie von außen erreichbar sein möchten.

Sie haben ein Telefon, einen Laptop, einen Fernseher und eine Spielekonsole, die alle gleichzeitig online sind — über eine einzige Internetverbindung mit einer öffentlichen Adresse. Die Technologie, die das ermöglicht, ist NAT (Network Address Translation). Sie bleibt unsichtbar, bis Sie versuchen, etwas von zu Hause aus zu hosten, wo sie plötzlich zum Hindernis wird. Dieser Leitfaden erklärt, was NAT ist, wie es funktioniert, die verschiedenen Typen und das CGNAT-Problem, das das Selbsthosting blockiert.

Was NAT ist

NAT (Network Address Translation) ermöglicht es vielen Geräten in einem privaten Netzwerk, eine öffentliche IP-Adresse zu teilen. Jedes Gerät hat eine private Adresse (wie 192.168.x.x), die im öffentlichen Internet nicht verwendet werden kann. Wenn ein Gerät eine Verbindung herstellt, überschreibt Ihr Router das Paket mit seiner eigenen öffentlichen IP, merkt sich die Zuordnung und übersetzt Antworten zurück an das richtige Gerät.

NAT ist der Grund, warum all Ihre Geräte eine einzige Heimverbindung teilen — und ein wesentlicher Grund, warum IPv4 nicht schon vor Jahren erschöpft war.

Wie es funktioniert

Wenn ein Gerät Daten sendet, ersetzt der Router die private Quelladresse und den Port durch seine eigene öffentliche IP und einen eindeutigen Port und zeichnet die Übersetzung in einer Tabelle auf. Der Empfänger sieht nur die öffentliche IP des Routers. Wenn die Antwort zurückkommt, schaut der Router in der Tabelle nach und leitet sie an das richtige interne Gerät weiter.

Diese portbasierte Form — PAT ("NAT-Überladung") — ermöglicht es, dass eine öffentliche IP Dutzende von Geräten gleichzeitig bedient, unsichtbar.

Die Typen

Statisches NAT — eine private IP ↔ eine öffentliche IP, dauerhaft.
Dynamisches NAT — private IPs werden nach Bedarf einem Pool von öffentlichen IPs zugeordnet.
PAT / NAT-Überladung — viele private IPs teilen eine öffentliche IP über verschiedene Ports (was Heimrouter tun).
DNAT (Destination NAT) — die eingehende Richtung, verwendet beim Port-Forwarding, um einen eingehenden öffentlichen Port an ein bestimmtes internes Gerät zu leiten.

Ein Code-Editor auf einem Bildschirm geöffnet

Offen, moderat, strikt: NAT-Typen in Spielen und Anrufen

Spielkonsolen und VoIP-Apps melden einen "NAT-Typ" — dasselbe NAT, beschrieben danach, wie leicht Peers Sie erreichen können:

Offen (Typ 1) — Ihr Gerät hat eine direkte öffentliche IP oder vollständiges Forwarding; alles verbindet sich, am besten für das Hosting von Matches und Party-Chats.
Moderat (Typ 2) — Standard-Heim-NAT mit einigen offenen Ports; funktioniert für die meisten, gelegentliches Matchmaking-Reibung.
Strikt (Typ 3) — restriktives NAT (oder CGNAT), das die meisten eingehenden Verbindungen blockiert; Sie erhalten Verbindungswarnungen, können nicht hosten und manchmal keine Partymitglieder hören.

Vom strikten zum offenen NAT zu wechseln, ist normalerweise eine Frage des Port-Forwardings oder der Aktivierung von UPnP — es sei denn, CGNAT steht im Weg, in diesem Fall hilft keine Routeränderung.

Warum NAT das Selbsthosting erschwert

NAT ist darauf ausgelegt, ausgehende Verbindungen zuzulassen, nicht unaufgeforderte eingehende. Ihre Geräte erreichen das Internet frei, aber das Internet kann sie nicht erreichen — der Router hat keine Zuordnung für eine unerwartete eingehende Verbindung, also verwirft er sie.

Um einen Dienst zu hosten (ein VPN, einen Spielserver, ein NAS), müssen Sie diese Zuordnung selbst erstellen mit Port-Forwarding und ihm eine stabile Adresse mit dynamischem DNS geben. NAT ist eine Einbahnstraße: großartig für die Sicherheit, unbequem, wenn Sie erreichbar sein möchten.

Die CGNAT-Mauer

CGNAT (Carrier-Grade NAT) ist eine zweite Schicht von NAT, die von Ihrem ISP betrieben wird, bei der viele Kunden einen Pool von öffentlichen IPs teilen. Das Ergebnis: Sie haben keine eigene echte öffentliche IP, sodass selbst Port-Forwarding Sie nicht erreichbar macht — die öffentliche Adresse gehört nicht Ihnen zur Kontrolle. Es wird zunehmend auf Mobilgeräten und einigen Glasfaseranschlüssen verwendet.

Wenn Sie hinter CGNAT stehen, ist Selbsthosting von zu Hause aus praktisch blockiert. Die saubere Lösung ist ein VPS mit eigener öffentlicher IP: ein Contabo VPS für 4,99 €/Monat umgeht NAT vollständig mit einer permanenten öffentlichen Adresse — siehe was ein VPS ist.

Wie man erkennt, ob man hinter CGNAT steht

Ein 30-Sekunden-Check: Finden Sie die WAN-IP Ihres Routers (in der Admin-Seite) und vergleichen Sie sie mit dem, was eine "Was ist meine IP"-Seite anzeigt. Wenn sie unterschiedlich sind, wird Ihr Verkehr weiter oben erneut NATed — Sie stehen hinter CGNAT. Ein weiteres Indiz ist eine WAN-IP im Bereich 100.64.0.0/10 (der Adressblock, der speziell für Carrier-NAT reserviert ist). Sie können auch Ihren ISP nach einer öffentlichen/statischen IP fragen — einige bieten eine kostenlos oder gegen eine geringe Gebühr an, was die Notwendigkeit eines Relais vollständig vermeidet.

Erreichen des Heims ohne öffentliche IP

Wenn Sie keine öffentliche IP erhalten können und keinen VPS möchten, Overlay-/Mesh-Tools durchbrechen NAT für Sie: WireGuard-basierte Meshes (wie Tailscale oder selbst gehostetes NetBird) und Reverse-Tunnel (wie Cloudflare Tunnel) stellen die Verbindung ausgehend von beiden Enden her, sodass keine Seite einen offenen eingehenden Port benötigt. Sie sind der praktische Workaround, wenn CGNAT klassisches Port-Forwarding blockiert — siehe Selbsthosting mit dynamischem DNS für den öffentlichen IP-Weg und NetBird für den Mesh-Weg.

Das Fazit

NAT lässt ein ganzes Netzwerk eine öffentliche IP teilen, indem es private Adressen übersetzt — unsichtbar und unerlässlich für das tägliche Surfen und der Grund, warum IPv4 so lange gereicht hat. Aber es ist eine Einbahnstraße: es erlaubt ausgehende, blockiert unaufgeforderte eingehende Verbindungen, sodass Selbsthosting Port-Forwarding benötigt. Und wenn Ihr ISP CGNAT hinzufügt, macht keine Routereinstellung Sie erreichbar — ein VPS mit einer echten öffentlichen IP ist der Weg, es zu umgehen.

Redaktioneller Leitfaden basierend darauf, wie NAT funktioniert (PAT, statisch/dynamisch, DNAT) und CGNATs Einfluss auf das Selbsthosting. Kommerzielle Links tragen das Attribut rel="sponsored nofollow"; eine Affiliate-Provision kann ohne zusätzliche Kosten für Sie anfallen.

★ Nürnberger DSGVO-Rechenzentrum · ✓ Dedizierte IPv4 inklusive · 200+ Mbps garantiert

Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→