Zum Inhalt springen
VPNVERSTÄNDLICH ERKLÄRT

Protokolle & Technik · VPN-Wissen

Was ist NAT – und warum ärgert es VPN-Nutzer?

Auch: Network Address Translation · CGNAT · DS-Lite

Kurzantwort

NAT (Network Address Translation) übersetzt die privaten IP-Adressen des Heimnetzes in die eine öffentliche Adresse des Anschlusses. Für ausgehende VPN-Verbindungen ist das dank NAT-Traversal längst gelöst. Zum Problem wird NAT beim Heim-VPN: Hinter Carrier-Grade-NAT (DS-Lite) ist die FRITZ!Box von außen per IPv4 nicht erreichbar.

NAT: Viele private Adressen, eine öffentlicheDrei Stationen: Geräte im Heimnetz nutzen private IP-Adressen, der Router übersetzt sie beim Versand in seine öffentliche Adresse und merkt sich die Zuordnung, und Antworten aus dem Internet verteilt er anhand dieser Tabelle zurück an das richtige Gerät.PrivateAdressen innen192.168.x.x im HeimnetzRouter übersetzteine öffentliche IP für alleAntwortenzugeordnetper NAT-Tabelle zurückverteilt
Der Router als Poststelle: Nach draußen tritt das ganze Heimnetz unter einer Adresse auf.

CGNAT & DS-Lite: Wenn der Provider selbst noch einmal übersetzt

Weil IPv4-Adressen knapp sind, schalten viele Provider – besonders Kabelnetze – eine zweite NAT-Ebene im eigenen Netz dazwischen (Carrier-Grade NAT, bei DS-Lite-Anschlüssen Standard). Die Folge: Der Anschluss hat gar keine eigene öffentliche IPv4-Adresse mehr, und eingehende IPv4-Verbindungen zur heimischen FRITZ!Box laufen ins Leere – das WireGuard-Heim-VPN scheitert scheinbar grundlos. Die Auswege: das Heim-VPN über IPv6 aufbauen (MyFRITZ! unterstützt das, das Gerät unterwegs braucht dann IPv6), beim Provider eine echte öffentliche IPv4 beantragen (oft als „Dual Stack“ auf Anfrage) oder einen kleinen VPS als fest erreichbaren Vermittler dazwischenschalten.

Kurz-Fakten

Für die Praxis

NAT ist die stille Grundannahme hinter dem halben VPN-Alltag: Es erklärt, warum ausgehende Tunnel überall funktionieren, warum das Heim-VPN am Kabelanschluss streikt und warum sich beim Anbieter hunderte Nutzer eine IP teilen. Wer vor dem FRITZ!Box-Projekt einmal prüft, ob der Anschluss DS-Lite fährt, spart sich einen Abend Fehlersuche.

Verwandte Fragen

Stand: Juli 2026 · Geprüft von SEO NW