NAT-Traversal

Networking intermediate

NAT-Traversal bezeichnet Techniken, mit denen zwei Endpunkte hinter Network-Address-Translation-Geräten eine direkte Verbindung zueinander aufbauen können.

Kurzfassung

NAT-Traversal umfasst Techniken, mit denen zwei Endpunkte hinter Network-Address-Translation-Geräten (NAT) eine direkte Verbindung aufbauen können, obwohl keiner von beiden direkt unter einer öffentlichen IP erreichbar ist.

Was ist NAT-Traversal?

Die meisten Geräte sind heute hinter NAT angeschlossen: Heimrouter, Mobilfunknetze und Cloud-Instanzen übersetzen private Adressen auf eine gemeinsame öffentliche IP. Für ausgehenden Traffic funktioniert das problemlos, doch jedes Protokoll, bei dem zwei Hosts hinter unterschiedlichen NATs direkt miteinander sprechen wollen, läuft auf.

NAT-Traversal löst dieses Problem mit einer Kombination aus öffentlichen Discovery-Servern und Hole Punching. Ein typischer Ablauf nutzt STUN, damit jeder Peer die öffentliche IP und den Port erfährt, den sein NAT einer ausgehenden Verbindung zugewiesen hat. Diese Informationen werden über einen Koordinationskanal ausgetauscht. Anschließend senden beide Peers gleichzeitig Pakete zur jeweils ermittelten Gegenadresse und „stanzen" passenden State in beide NATs, sodass der Verkehr fließen kann.

Sind die NATs zu restriktiv (symmetrische NATs, Carrier-Grade-NAT, strenge Firewalls), schlägt Hole Punching fehl. In diesem Fall leitet ein TURN-Relay den Traffic über einen öffentlichen Server weiter, den beide Peers erreichen können. Moderne Peer-to-Peer-Overlays und Mesh-VPNs kombinieren diese Mechanismen automatisch.

Warum ist NAT-Traversal relevant?

  • Direkte Verbindungen: Vermeidet das Routing aller Daten über einen zentralen Concentrator
  • Mesh-VPN-Machbarkeit: Ermöglicht WireGuard-basierte und ähnliche Overlays auch für wandernde Clients
  • Leistung: Direkte Pfade reduzieren Latenz gegenüber Relay-Traffic
  • Echtzeit-Protokolle: Voraussetzung für WebRTC, Voice/Video und viele Gaming-Protokolle

Verwandte Begriffe

  • STUN: Protokoll zur Ermittlung der öffentlichen NAT-Zuordnung eines Endpunkts
  • TURN: Relay-Protokoll für Fälle, in denen direktes Traversal scheitert
  • Peer-to-Peer: Netzwerkmodell, das auf NAT-Traversal angewiesen ist
  • Mesh VPN: VPN-Topologie mit NAT-Traversal zwischen den Clients
  • WireGuard: VPN-Protokoll, das typischerweise mit NAT-Traversal kombiniert wird

Ähnliche Lösungen

Für Cloud & Infrastructure Teams

Cloud- und Infrastructure-Teams liefern keinen Wert, weil sie Server betreiben. Sie liefern Wert, weil Systeme zuverlässig, skalierbar und sicher sind. Wir arbeiten mit Cloud- und Infrastructure-Teams zusammen, um Umgebungen zu entwerfen, die Geschäftsanforderungen erfüllen und gleichzeitig schnelle Bereitstellung ermöglichen. Unser Ansatz betont praktische Automatisierung, operative Effizienz und Resilienz.

Mehr entdecken

Für Security & SOC Teams

Security-Teams schützen Organisationen nicht, weil sie Berichte erstellen. Sie schützen Organisationen, weil Schwachstellen kontinuierlich gemanagt werden. Wir arbeiten mit Security- und SOC-Teams zusammen, um Prozesse zu stärken, Risiken proaktiv anzugehen und Compliance-Anforderungen zu erfüllen. Wir konzentrieren uns auf umsetzbare Praktiken, nicht auf Theorie.

Mehr entdecken

Verwandte Begriffe

STUN (Session Traversal Utilities for NAT)

STUN ist ein Protokoll, mit dem ein Client die öffentliche IP-Adresse und den Port erfährt, die sein NAT einer ausgehenden Verbindung zugeordnet hat.

Mehr entdecken

TURN (Traversal Using Relays around NAT)

TURN ist ein Protokoll, das Datenverkehr zwischen zwei Endpunkten relayt, wenn eine direkte Peer-to-Peer-Verbindung durch NAT nicht möglich ist.

Mehr entdecken

Peer-to-Peer (P2P)

Peer-to-Peer (P2P) ist ein Netzwerkmodell, bei dem Knoten direkt miteinander kommunizieren, statt allen Verkehr über einen zentralen Server zu leiten.

Mehr entdecken

Mesh-VPN

Ein Mesh-VPN ist eine VPN-Topologie, bei der jeder autorisierte Client direkte, verschlüsselte Peer-to-Peer-Verbindungen zu jedem anderen Client aufbaut. Nur Identität und Policy bleiben zentral.

Mehr entdecken

WireGuard

WireGuard ist ein modernes, schnelles und minimalistisches Open-Source-VPN-Protokoll mit aktueller Kryptografie, integriert in den Linux-Kernel und auf allen großen Betriebssystemen verfügbar.

Mehr entdecken

Wir sind für Sie da

Sie interessieren sich für unsere Trainings oder haben einfach eine Frage, die beantwortet werden muss? Sie können uns jederzeit kontaktieren! Wir werden unser Bestes tun, um alle Ihre Fragen zu beantworten.

Hier kontaktieren