Wenn Portweiterleitungen nicht funktionieren, ein Server im Heimnetz von außen nicht erreichbar ist oder Online-Gaming plötzlich Einschränkungen zeigt, steckt häufig CGNAT dahinter. Carrier-Grade-NAT bedeutet, dass dein Internetanbieter mehrere Kunden hinter einer gemeinsamen öffentlichen IPv4-Adresse betreibt. Du erhältst dabei keine eigene öffentliche IPv4, sondern nur eine private Adresse im Providernetz.
Für viele Alltagsanwendungen ist das unproblematisch. Sobald jedoch eingehende Verbindungen benötigt werden, entstehen Einschränkungen.
Was ist CGNAT genau?
Beim klassischen NAT übersetzt dein Router interne IP-Adressen in eine öffentliche IP. Bei CGNAT passiert diese Übersetzung zusätzlich im Netz des Anbieters. Das führt zu einer doppelten Übersetzung:
- Heimrouter übersetzt private IP
- Provider übersetzt erneut in eine geteilte öffentliche IPv4
Du teilst dir die öffentliche Adresse mit vielen anderen Kunden. Eingehende Verbindungen lassen sich dadurch nicht gezielt deinem Anschluss zuordnen.
So erkennst du CGNAT zuverlässig
Ein CGNAT-Anschluss lässt sich relativ einfach identifizieren. Prüfe im Router die WAN-IP-Adresse. Wenn sie in einem dieser Bereiche liegt, handelt es sich nicht um eine echte öffentliche IPv4:
- 100.64.0.0 – 100.127.255.255
- 10.x.x.x
- 192.168.x.x
- 172.16.x.x – 172.31.x.x
Zusätzlich kann im Router-Menü „DS-Lite“ oder „IPv6 mit Tunnel“ angezeigt werden.
Ein weiterer Hinweis: Portweiterleitungen funktionieren trotz korrekter Konfiguration nie, und externe Porttests zeigen dauerhaft „geschlossen“.
Warum CGNAT eingesetzt wird
IPv4-Adressen sind weltweit knapp. Viele Anbieter nutzen CGNAT, um diese Ressourcen effizienter zu verwalten. Besonders betroffen sind:
- Kabelanschlüsse
- Glasfaser-Privattarife
- Mobilfunkverbindungen
Technisch ist CGNAT eine Übergangslösung, bis IPv6 vollständig verbreitet ist.
Welche Probleme entstehen durch CGNAT?
Für normales Surfen oder Streaming spielt CGNAT kaum eine Rolle. Einschränkungen treten bei folgenden Anwendungen auf:
- Eigene Server im Heimnetz
- NAS-Zugriff von außen
- Klassische Portweiterleitungen
- Peer-to-Peer-Anwendungen
- Bestimmte Online-Spiele
- Direkte VPN-Server im Heimnetz
Da keine eigene öffentliche IPv4 vorhanden ist, erreichen eingehende Verbindungen deinen Router nicht direkt.
Unterschied zwischen doppeltem NAT und CGNAT
Doppeltes NAT entsteht durch zwei Router im Heimnetz. CGNAT hingegen liegt im Netz des Anbieters. Selbst wenn dein Heimnetz korrekt konfiguriert ist, blockiert die Provider-Ebene eingehende Verbindungen.
Merkmal:
- Doppeltes NAT: WAN-IP ist privat, aber erste öffentliche IP gehört dir
- CGNAT: Öffentliche IPv4 wird geteilt, keine direkte Zuordnung möglich
Lösung 1: Öffentliche IPv4-Adresse buchen
Die effektivste Lösung ist eine echte öffentliche IPv4-Adresse. Viele Anbieter bieten:
- Business-Optionen
- Feste IPv4-Adresse
- Dual-Stack-Tarife
Teilweise ist dies kostenlos auf Anfrage möglich, oft jedoch kostenpflichtig. Nach Umstellung funktionieren Portweiterleitungen wieder normal.
Lösung 2: IPv6 gezielt nutzen
Wenn dein Anschluss natives IPv6 unterstützt, kannst du Dienste direkt über IPv6 erreichbar machen. Dafür sind folgende Schritte notwendig:
- Zielgerät benötigt globale IPv6-Adresse
- Firewall-Regeln im Router anpassen
- Zugriff über IPv6 testen
Da IPv6 keine klassische NAT-Struktur nutzt, sind direkte Verbindungen technisch möglich. Voraussetzung ist jedoch, dass auch der Zugriffspartner IPv6 unterstützt.
Lösung 3: Reverse Proxy oder Cloud-Tunnel
Ein praktischer Weg ist die Nutzung eines externen Tunnels. Dabei baut dein Heimserver eine ausgehende Verbindung zu einem Cloud-Dienst auf. Eingehende Anfragen laufen über diesen Tunnel zurück.
Vorteile:
- Keine öffentliche IPv4 erforderlich
- Kein Port im Router notwendig
- Funktioniert auch hinter CGNAT
Diese Lösung wird häufig für Webserver oder Fernzugriff genutzt.
Lösung 4: VPN mit externer Gegenstelle
Statt einen VPN-Server im Heimnetz zu betreiben, kann ein externer VPN-Server genutzt werden. Dein Heimnetz baut eine ausgehende Verbindung dorthin auf. Von außen verbindest du dich ebenfalls zu diesem Server.
Das Prinzip:
- Heimnetz → VPN-Server
- Externes Gerät → VPN-Server
- Verbindung wird intern vermittelt
So lassen sich CGNAT-Beschränkungen umgehen.
CGNAT bei Mobilfunkanschlüssen
Bei LTE- oder 5G-Anschlüssen ist CGNAT nahezu Standard. Öffentliche IPv4-Adressen sind dort selten verfügbar. Wer Server betreiben möchte, benötigt:
- Speziellen Business-Tarif
- Statische IPv4-Option
- Alternativ Tunnel-Lösungen
Gerade bei mobilen Routern ist das ein häufiger Stolperstein.
Schrittweise Prüfung bei Verdacht auf CGNAT
Gehe strukturiert vor:
- WAN-IP im Router prüfen
- Öffentliche IP über externen Dienst vergleichen
- Portweiterleitung extern testen
- Anbieter kontaktieren
- Tarifoptionen prüfen
Wenn WAN-IP und externe IP nicht übereinstimmen oder die WAN-IP privat ist, liegt sehr wahrscheinlich CGNAT vor.
Sicherheitsaspekt von CGNAT
Ein positiver Nebeneffekt: Da keine direkte öffentliche IPv4 existiert, sind eingehende Angriffe deutlich erschwert. Dein Heimnetz ist von außen nicht direkt erreichbar. Das erhöht die Basissicherheit, schränkt aber Flexibilität ein.
Fazit
CGNAT verhindert klassische Portweiterleitungen, da keine eigene öffentliche IPv4-Adresse vorhanden ist. Erkennen lässt sich das über private WAN-IP-Bereiche oder DS-Lite-Anzeigen im Router. Wer Dienste von außen erreichbar machen möchte, benötigt entweder eine echte öffentliche IPv4, setzt auf IPv6 oder nutzt Tunnel- und VPN-Lösungen. Mit der richtigen Strategie lassen sich die Einschränkungen technisch sauber umgehen.
Häufige Fragen zu CGNAT
Ist CGNAT dasselbe wie doppeltes NAT?
Nein. Doppeltes NAT entsteht im Heimnetz durch zwei Router. CGNAT wird vom Anbieter eingesetzt.
Funktionieren Portweiterleitungen bei CGNAT?
Nein, klassische IPv4-Portweiterleitungen sind nicht möglich.
Kann ich CGNAT deaktivieren?
Nur der Anbieter kann eine öffentliche IPv4-Adresse bereitstellen.
Ist CGNAT unsicher?
Im Gegenteil: Es verhindert direkte eingehende Verbindungen und erhöht die Grundsicherheit.
Funktioniert IPv6 trotz CGNAT?
Ja, IPv6 ist davon unabhängig und kann direkte Verbindungen ermöglichen.
Warum nutzen Anbieter CGNAT?
IPv4-Adressen sind knapp. CGNAT ermöglicht die gemeinsame Nutzung einer Adresse.
Betrifft CGNAT auch Glasfaser?
Ja, insbesondere bei Privattarifen wird CGNAT häufig eingesetzt.
Ist Gaming mit CGNAT problematisch?
Teilweise. Einige Spiele zeigen eingeschränktes NAT oder Verbindungsprobleme an.
