NAT-Traversal-Techniken
In dieser interaktiven Lerneinheit entdeckst du wichtige NAT-Traversal-Techniken wie Port Forwarding und UPnP, die dir helfen, Verbindungsprobleme in NAT-Netzwerken zu lösen. Du lernst die praktische Konfiguration verschiedener Traversal-Methoden und verstehst, wie du Dienste in privaten Netzwerken von außen erreichbar machst. Diese Techniken sind besonders relevant für die Einrichtung von Spieleservern, Remote-Zugriff und andere Netzwerkdienste, die durch NAT blockiert werden könnten.
Einführung
Du willst per App eine direkte Verbindung zwischen zwei Geräten aufbauen – z. B. für einen Videoanruf, ein Online-Spiel oder eine Dateiübertragung. Beide Geräte sind mit dem Internet verbunden. Doch die Verbindung scheitert. Kein technischer Fehler, sondern ein strukturelles Problem: Beide Geräte befinden sich hinter einem NAT-Router und sind von außen nicht direkt erreichbar.

Solche Situationen sind Alltag in modernen Netzwerken. Genau deshalb braucht es NAT-Traversaltechniken wie STUN, TURN oder Port Forwarding – sie schaffen technische Wege durch diese Barriere.
Lernziele
Nach dieser Lerneinheit kannst du:
- Port Forwarding erklären und anwenden, um gezielt externe Zugriffe auf Dienste im privaten Netzwerk zu ermöglichen.
- Die Funktionsweise und Risiken automatisierter Portweiterleitungen mit UPnP und NAT-PMP unterscheiden und bewerten.
- STUN als Methode zur NAT-Typ-Erkennung beschreiben und erklären, wie es Peer-to-Peer-Kommunikation ermöglicht – oder scheitert.
- TURN als Fallback-Verfahren analysieren und benennen, wann und warum es eingesetzt wird, inklusive seiner Vor- und Nachteile.
Überleitung
Bevor wir uns automatische Lösungen wie STUN oder TURN anschauen, ist es wichtig zu verstehen, wie die Weiterleitung externer Anfragen grundsätzlich funktioniert. Port Forwarding ist die manuelle, kontrollierbare Basislösung – und der Ausgangspunkt für alle weiteren Techniken. Wer das Prinzip dahinter kennt, versteht auch, warum moderne Traversal-Verfahren nötig wurden.
Warum Port Forwarding notwendig ist
In privaten Netzwerken schützt ein Router die internen Geräte vor direkten Zugriffen aus dem Internet. Diese Schutzmaßnahme nennt man Network Address Translation (NAT). Dabei kommunizieren alle internen Geräte über eine einzige öffentliche IP-Adresse nach außen. Von außen zurück in das Netzwerk zu gelangen – etwa zu einem lokalen Webserver – ist dadurch nicht ohne Weiteres möglich.
Damit externe Geräte gezielt auf interne Dienste zugreifen können, brauchst du Port Forwarding. Damit leitest du bestimmte Anfragen von außen an ein spezifisches Gerät im internen Netzwerk weiter.
So funktioniert Port Forwarding
Der Router verwaltet eine sogenannte NAT-Tabelle. Sie enthält Regeln, nach denen eingehende Anfragen an interne Geräte weitergeleitet werden. Beim Port Forwarding ergänzt du diese Tabelle manuell:
- Ein externer Client stellt eine Anfrage an die öffentliche IP-Adresse des Routers, z. B.
203.0.113.2:80. - Der Router prüft, ob eine Weiterleitungsregel für diesen Port existiert.
- Falls ja, leitet er das Paket an die konfigurierte interne IP-Adresse und den passenden Port weiter, z. B.
192.168.1.10:80.
Für den externen Nutzer sieht es so aus, als würde er direkt mit dem Dienst kommunizieren.
Beispiel: Webserver erreichbar machen
Ein Webserver läuft im internen Netzwerk unter der IP 192.168.1.10 und hört auf Port 80 (HTTP). Dein Router besitzt die öffentliche IP 203.0.113.2.
Du richtest folgende Regel ein:
- Anfragen an
203.0.113.2:80werden weitergeleitet an192.168.1.10:80
Damit ist der Webserver für das Internet erreichbar.
Einrichtung Schritt für Schritt
- Melde dich an der Weboberfläche deines Routers an (z. B.
http://192.168.0.1). - Öffne den Bereich Portfreigabe oder NAT/Portweiterleitung.
- Lege eine neue Regel an:
- Öffentlicher Port: z. B.
80 - Interne IP-Adresse: z. B.
192.168.1.10 - Interner Port: z. B.
80 - Protokoll: TCP oder UDP
- Öffentlicher Port: z. B.
- Speichern; ggf. ist ein Router-Neustart erforderlich.
Vorteile und Nachteile
| Vorteile | Nachteile |
|---|---|
| Du kannst gezielt interne Dienste erreichbar machen. | Sicherheitsrisiko durch offen erreichbare Ports. |
| Keine zusätzliche Hardware nötig. | IP-Wechsel: Interne IP-Adressen können sich ändern – Lösung: DHCP-Reservierung. |
| Geeignet für Webserver, Online-Games oder Remotezugriffe. | Portkonflikte: Ein Port kann nur für ein Gerät gleichzeitig weitergeleitet werden – Lösung: PAT (Port Address Translation). |
Best Practices
- Gib nur gezielt Ports frei, nie pauschal.
- Verwende feste IPs per DHCP-Reservierung.
- Halte die Firmware des Routers aktuell.
- Prüfe regelmäßig mit Tools wie Nmap, welche Ports erreichbar sind.
Automatisierung mit UPnP und NAT-PMP
Neben der manuellen Konfiguration gibt es automatisierte Verfahren, mit denen Geräte selbstständig Portweiterleitungen einrichten können. Zwei davon sind UPnP und NAT-PMP.
UPnP (Universal Plug and Play)
UPnP ist ein Protokollbündel, das die automatische Erkennung und Konfiguration von Geräten im Netzwerk ermöglicht. Im Kontext von Port Forwarding bedeutet das:
- UPnP-fähige Geräte (z. B. Spielekonsolen oder Smart-Home-Systeme) können automatisch Portfreigaben auf dem Router einrichten.
- Das spart Aufwand, kann aber ein Sicherheitsrisiko darstellen, wenn Geräte unkontrolliert Ports öffnen.
NAT-PMP (NAT Port Mapping Protocol)
NAT-PMP ist ein leichtgewichtiges Protokoll, das vorrangig in Apple-Netzwerken eingesetzt wird. Es ermöglicht Geräten, Portweiterleitungen selbstständig zu beantragen – ohne umfassende Gerätesuche wie bei UPnP.
Merkmale:
- Weniger verbreitet als UPnP
- Keine automatische Gerätekonfiguration, nur Portfreigaben
- Potenziell sicherer durch kleinere Angriffsfläche
Vergleich: UPnP vs. NAT-PMP
| Merkmal | UPnP | NAT-PMP |
|---|---|---|
| Geräteerkennung | Ja | Nein |
| Plattform-Verbreitung | Sehr breit (Windows, Router) | Vor allem Apple, einige Router |
| Sicherheitslage | Kritisch bei schlechter Konfiguration | Potenziell sicherer durch weniger Funktionen |
Anwendung und Entscheidungshilfe
Ob du UPnP oder NAT-PMP einsetzt, hängt ab von:
- Deinem Endgerät: Viele Windows- und Android-Geräte nutzen UPnP, Apple-Geräte oft NAT-PMP.
- Deinem Sicherheitsbedarf: UPnP ist komfortabel, birgt aber Risiken. NAT-PMP ist einfacher, aber begrenzter.
- Deiner Netzwerkgröße: In großen Netzwerken mit vielen Geräten ist eine manuelle Portverwaltung meist besser.
Warum STUN und TURN?
Nicht alle Netzwerkverbindungen funktionieren reibungslos über NAT – besonders dann nicht, wenn zwei Geräte direkt miteinander kommunizieren wollen, z. B. bei Voice-over-IP (VoIP) oder Peer-to-Peer-Filesharing.
In solchen Fällen kommen zusätzliche Protokolle wie STUN und TURN zum Einsatz. Sie helfen, NAT-Hürden zu überwinden und Verbindungen dennoch aufzubauen.
STUN – Session Traversal Utilities for NAT
STUN hilft Geräten herauszufinden, wie sie aus Sicht des Internets erreichbar sind – also über welche öffentliche IP-Adresse und welchen Port. Außerdem erkennt es den NAT-Typ, hinter dem sich das Gerät befindet.
Was macht STUN?
Ein STUN-Client (z. B. dein Rechner oder Smartphone) stellt eine Anfrage an einen öffentlich erreichbaren STUN-Server. Der Server antwortet mit:
- Der öffentlichen IP-Adresse, die der Router dem Client zugewiesen hat
- Dem extern sichtbaren Port, über den die Anfrage kam
Damit kann der Client erkennen, ob eine direkte Verbindung zu einem anderen Peer möglich ist oder nicht.
So funktioniert der Ablauf
- Der Client sendet eine STUN-Anfrage an den Server.
- Die Anfrage passiert den NAT-Router, der dabei eine externe IP und Port zuweist.
- Der Server antwortet mit genau diesen Informationen.
- Der Client kennt nun seine öffentliche Erreichbarkeit und den NAT-Typ.
Beispiel für einen STUN-Ablauf

NAT-Typen, die STUN erkennen kann
| Typ | Beschreibung |
|---|---|
| Full Cone NAT | Jede Verbindung nutzt denselben öffentlichen Port – unabhängig vom Ziel. |
| Restricted Cone NAT | Nur Hosts, zu denen vorher eine Verbindung bestand, dürfen antworten. |
| Port Restricted Cone | Zusätzlich auf Ports eingeschränkt – nur bekannte Zieladresse + Port erlaubt |
| Symmetric NAT | Für jede Verbindung wird ein neuer Port verwendet – keine Wiederverwendung. |
Weitere Informationen zu den NAT-Typen (Hier klicken)
Full Cone NAT
- Auch bekannt als: „One-to-One NAT“
- Beschreibung: Sobald eine interne IP+Port-Kombination nach außen kommuniziert hat, kann jede externe IP beliebig über denselben Port antworten.
- Vorteil: Sehr verbindungsfreundlich, einfach für Peer-to-Peer.
- Nachteil: Weniger sicher, da jede externe IP durchkommt, wenn die Portnummer bekannt ist.
Restricted Cone NAT
- Beschreibung: Nur externe IPs, zu denen der interne Client bereits Daten gesendet hat, dürfen antworten – egal auf welchem Port.
- Vorteil: Mehr Sicherheit als Full Cone.
- Nachteil: Eingeschränkter in Peer-to-Peer-Szenarien.
Port Restricted Cone NAT
- Beschreibung: Nur exakt dieselbe externe IP und derselbe Port, zu dem eine interne Verbindung besteht, darf antworten.
- Vorteil: Noch restriktiver als Restricted Cone.
- Nachteil: Peer-to-Peer-Verbindungen sind schwerer herzustellen.
Symmetric NAT
- Beschreibung: Für jede externe Ziel-IP und Port wird ein individuelles NAT-Mapping erzeugt. Nur die exakt gleiche Gegenstelle kann antworten.
- Vorteil: Sehr sicher.
- Nachteil: Kaum direkte Verbindungen möglich – meist nur mit STUN/TURN/Relay-Servern lösbar.
Einschränkung: Wenn beide Partner hinter einem Symmetric NAT sitzen oder Firewalls alle eingehenden Verbindungen blockieren, funktioniert STUN nicht. In diesem Fall ist TURN nötig.
TURN – Traversal Using Relays around NAT
TURN kommt zum Einsatz, wenn STUN versagt – also wenn keine direkte Peer-to-Peer-Verbindung möglich ist. In diesem Fall läuft der gesamte Datenverkehr über einen TURN-Server, der als Vermittler fungiert.
Wann wird TURN verwendet?
- Beide Clients sitzen hinter Symmetric NATs
- Eine oder beide Seiten nutzen restriktive Firewalls
- STUN konnte keine funktionierende Verbindung aufbauen
So funktioniert TURN
- Beide Clients verbinden sich mit einem TURN-Server und authentifizieren sich.
- Der TURN-Server weist jedem eine eigene Relay-IP und einen Port zu.
- Der gesamte Datenverkehr wird über den Server umgeleitet.
Vorteile und Nachteile
| Vorteile | Nachteile |
|---|---|
| Funktioniert auch bei sehr restriktiven Netzwerken | Höhere Latenz, da der Umweg über den TURN-Server genutzt wird |
| Verlässliche Verbindung auch ohne direkte Sichtbarkeit der Clients | Mehr Bandbreite auf Serverseite, daher oft kostenpflichtig |
| Grundlage vieler VoIP- und WebRTC-Anwendungen | Höherer Verwaltungsaufwand durch Authentifizierung und Serverbetrieb |
Typische Anwendungsfälle
- VoIP-Dienste wie Skype oder Zoom
- WebRTC-basierte Echtzeitkommunikation im Browser
- Fallback-Lösung, wenn STUN fehlschlägt
Umsetzung in der Praxis
Für die Nutzung von TURN brauchst du:
- Einen TURN-Server (z. B.
coturn,Xirsysoder Anbieter wie Twilio) - Eine passende Clientkonfiguration mit Zugangsdaten und Serveradresse
Fazit: STUN und TURN im Zusammenspiel
STUN wird immer zuerst versucht, weil es direkte Verbindungen ermöglicht und keine Serverlast erzeugt. Nur wenn das nicht gelingt, greift TURN als Rückfalllösung. Moderne Kommunikationssysteme wie WebRTC nutzen daher STUN → TURN als standardisierten Ablauf zur NAT-Traversierung.
Damit bist du nun in der Lage zu beurteilen, wie Peer-to-Peer-Verbindungen über NAT funktionieren – und welche Mechanismen im Hintergrund wirken, um die Verbindung dennoch möglich zu machen.
Zusammenfassung
Zusammenfassung
Du weißt jetzt, wie externe Zugriffe auf interne Netzwerkdienste technisch realisiert werden – und welche Mechanismen nötig sind, um NAT-Grenzen zu überwinden.
Port Forwarding, UPnP & NAT-PMP
- Port Forwarding leitet eingehende Anfragen über einen bestimmten Port gezielt an ein internes Gerät weiter. Es wird manuell im Router konfiguriert.
- NAT (Network Address Translation) verhindert direkte externe Zugriffe. Port Forwarding umgeht diese Einschränkung gezielt.
- PAT (Port Address Translation) erlaubt mehreren Geräten, dieselbe öffentliche IP mit unterschiedlichen Ports zu nutzen.
- UPnP erlaubt es Geräten, Portfreigaben automatisch im Router anzulegen – komfortabel, aber potenziell unsicher.
- NAT-PMP verfolgt denselben Zweck wie UPnP, ist aber schlanker und verzichtet auf automatische Geräteerkennung – dadurch sicherer, aber weniger verbreitet.
STUN & TURN
- STUN (Session Traversal Utilities for NAT) hilft Geräten herauszufinden, wie sie aus dem Internet sichtbar sind (öffentliche IP, Port, NAT-Typ). Es ermöglicht Peer-to-Peer-Kommunikation – wenn die Netzwerke es zulassen.
- STUN erkennt verschiedene NAT-Typen, darunter Full Cone, Restricted Cone und Symmetric NAT. Letzterer blockiert in vielen Fällen direkte Kommunikation.
- TURN (Traversal Using Relays around NAT) kommt zum Einsatz, wenn STUN nicht ausreicht. Es leitet den gesamten Datenverkehr über einen Relay-Server um.
- TURN stellt die Erreichbarkeit auch in restriktiven Netzwerken sicher – auf Kosten von Latenz, Serverlast und Konfigurationsaufwand.
- Moderne Echtzeitdienste wie WebRTC nutzen einen kombinierten Ansatz: STUN → TURN. Zuerst wird eine direkte Verbindung versucht, andernfalls übernimmt TURN als Fallback.