Die Internet-Provider brauchen dementsprechend nur noch eine internetfähige IP-Adresse an den Router zu vergeben, die von den dahinter liegenden Hosts für ihre Ausflüge ins Internet benutzt werden, indem sie ihre Anfragen durch den Router erledigen lassen.
Umsetzung lokaler Adressen in Internet-IP-Adressen
Will ein Client mit einer privaten IP-Adresse ins Internet, wird die Zieladresse nicht den lokalen Adressen entsprechen. Aufgrund des eigenen Gateway-Eintrags wird das Paket also automatisch an den zuständigen Router gesandt. Dieser hat typischerweise ein NAT, was bei einem Weiterleiten ins Internet aktiviert wird.
- Der Router merkt sich in einer Tabelle die lokale IP-Adresse des Client und dessen Port sowie die IP-Adresse des Ziels und den Ziel-Port.
- Der Router sendet das Paket unter seiner Internet-IP-Adresse weiter mit einem eigenen Absender-Port. Dieser Router-Absender-Port wird als Schlüssel dem Tabelleneintrag hinzugefügt.
- Der angesprochene Server im Internet wird seine Antwort an Absender-Adresse und -Port des Routers senden.
- Der Router schaut in seiner Tabelle nach, welche Client-IP/Port-Kombination hinter dem Paket steckt, die er unter diesem Port versendet hat.
- Er ersetzt die Adresse des Clients durch seine eigene in dem Antwortpaket und leitet sie ins lokale Netzwerk weiter.
Die IP-Adressen des lokalen Netzwerks werden so auf die einzige IP-Adresse, die der Router im Internet besitzt, gemappt.
Private IP-Adressen
Die lokalen Netzwerke können nun beliebige IP-Adressen verwenden, ohne dass sie sich mit anderen lokalen Netzwerken stören. So laufen die meisten privaten Netzwerke mit einer 192.168.1.0/24 Adresse. Welche lokalen IP-Adressen verwendet werden, legt der DHCP-Server fest, der in der Regel im Router aktiv ist.Es gibt drei IP-Adressenbereiche, die als privat gelten. Das bedeutet, dass sie in einem LAN verwendet werden können, im Internet aber nicht weitertransportiert werden.
10.0.0.0/8 | alle Adressen, die mit 10 beginnen |
172.16.0.0/12 | alle Adressen zwischen 172.16.x.y bis 172.31.x.y |
192.168.0.0/16 | alle Adressen, die mit 192.168 beginnen |
Auftretende Besonderheiten
Eine NAT ist eine sehr wirksame Schranke gegen Attacken aus dem Internet. Gleichzeitig ist ein so abgeschirmtes LAN aber gewissen Einschränkungen unterworfen.Keine Zugriffe von außen möglich
Da die Kommunikation von innen angestoßen werden muss, ist es nicht möglich, auf Geräte innerhalb des LANs direkt zuzugreifen. Eine Ausnahme kann bei den meisten Routern per Port-Weiterleitung erreicht werden. In diesem Fall wird der Router alle Pakete, die auf einem bestimmten Port ankommen an einen internen Host weiterleiten, der in der Router-Konfiguration eingestellt werden muss.Einige Geräte, wie Heizungen oder Netzwerkspeicher (NAS), bieten an, dass man sie von außen per Smartphone ansprechen kann. Ist das ohne Portweiterleitung möglich, so muss man davon ausgehen, dass das Gerät von innen die Kommunikation auslöst. Da dieses Gerät aber das Smartphone in den Weiten nicht orten kann, wird es die Daten vermutlich auf dem Server seines Herstellers parken. Das Smartphone wird die Daten dort dann abholen.
Das bedeutet, dass solche Zugriffe nicht geschehen können, ohne dass Dritte diese Daten transportieren.
VPN
Ein VPN eröffnet die Möglichkeit, von außen auf das interne Netzwerk zuzugreifen. Auch in diesem Fall muss der Router so konfiguriert werden, dass dafür ein Port geöffnet werden muss.Wird nur ein Arbeitsplatz über VPN eingebunden, erhält er typischerweise eine IP-Adresse aus dem LAN. Werden aber per VPN zwei LANs gekoppelt, muss man aufpassen, dass es nicht zu Adresskonflikten kommt, falls beide LANs die gleiche Netzwerkadresse haben.