NAT-Varianten
Beim Einsatz einer eigenen Firewall oder eines Security-Gateways hinter einem Centro Business stehen verschiedene Betriebsmodi zur Verfügung. Die Wahl des richtigen Modus ist entscheidend für die Netzwerkstabilität, die VPN-Kompatibilität und die Nutzung von Swisscom-Zusatzdiensten wie blue TV oder dem Internet-Backup.
Dieser Leitfaden vergleicht die fünf verfügbaren Methoden: IP-Passthrough, PPP-Passthrough, DMZ, 1:1 NAT und Portweiterleitung. Er dient als Entscheidungsgrundlage für IT-Spezialisten, um die optimale Anbindung der eigenen Infrastruktur an das Swisscom-Netz sicherzustellen.
Übersicht
| Feature | IP-Passthrough | PPP-Passthrough | DMZ | 1:1 NAT | Portweiterleitung |
|---|---|---|---|---|---|
| WAN-IP Host | 172.31.255.6 | Öffentliche IP | Öffentliche IP | priv. LAN IP | priv. LAN IP |
| MTU Size | 1500 | 1492 | 1500 | 1500 | 1500 |
| Login (PPPoE) | Centro Business | Eigene Firewall | Centro Business | Centro Business | Centro Business |
| Centro Business-Firewall | Inaktiv | Inaktiv | DMZ-Firewall | LAN-Firewall | LAN-Firewall |
| Port-Belegung | Port 1*/5** | Port 1*/5** | Port 1*/5** | Beliebig | Beliebig |
| Anzahl Fix-IPs notwendig | keine | min. 1 Fix-IP | min. 4 Fix-IP | min. 4 Fix-IP | min. 4 Fix-IP |
| Internet Backup | Ja | Nein | Ja | Ja | Ja |
| Blue TV | Ja | Ja mit Einschränkungen*** | Ja | Ja | Ja |
* Centro Business 2.0 / ** Centro Business 3.0
*** Radio sowie alle Apps wie Netflix, Youtube usw. funktionieren nicht
DMZ / Öffentliche Adressen
Dieser Modus ermöglicht die direkte Zuweisung von öffentlichen IP-Adressen an interne Endgeräte ohne jegliche NAT-Eingriffe.
-
Voraussetzung: Erfordert die kostenpflichtige Option „Fix IP Adressen“ mit einem Subnetz von mindestens 4 statischen IP-Adressen (z. B. ein /30er Netz).
-
Funktionsweise: Einem spezifischen Gerät (z. B. Server oder Firewall) wird eine öffentliche IP aus dem gemieteten Subnetz zugewiesen. Der Centro Business agiert dabei als transparenter Layer-3-Router für dieses Subnetz.
-
Sicherheit: Um das interne Netzwerk zu schützen, ist der Zugriff von der DMZ ins lokale LAN (Default-Subnetz des Routers) standardmässig blockiert.
-
Vorteile: Keine NAT-bedingten Paketkonflikte, volle MTU von 1500 Byte und volle Unterstützung des Swisscom Internet-Backups (LTE-Failover).
Hier geht es zur DMZ (Öffentliche Adressen) Seite.
IP-Passthrough (Swisscom-Spezialfall)
Bei diesem Verfahren terminiert der Centro Business die Internetverbindung, reicht den Traffic jedoch über ein dediziertes Transfer-Netz an die nachgelagerte Firewall weiter.
-
Technische Umsetzung: Swisscom nutzt hierfür ein Transfer-Subnetz (172.31.255.4/30). Die nachgelagerte Firewall wird mit der statischen IP 172.31.255.6 konfiguriert, während der Centro Business ein automatisches 1:1 NAT der öffentlichen IP auf diese Adresse durchführt.
-
Vorteile: Volle Unterstützung der Standard-MTU von 1500. Zudem bleiben alle Router-basierten Dienste wie VoIP und blue TV ohne zusätzliche Konfiguration voll funktionsfähig.
-
Besonderheit: Im Gegensatz zu Standard-Implementierungen sieht die Firewall am WAN-Interface nicht die öffentliche IP, sondern die IP des Transfer-Netzes. Dies muss bei der VPN-Konfiguration (NAT-Traversal) berücksichtigt werden.
Hier geht es zur IP-Passthrough Seite.
PPP-Passthrough (PPPoE)
Ankündigung
Die Verwendung von PPP-Passthrough wird in den kommenden zwei bis drei Jahren schrittweise eingestellt, da das PPPoE-Verfahren als veraltet gilt und von moderner Netzwerkinfrastruktur zunehmend nicht mehr unterstützt wird.
Unsere Empfehlung:
Das Bedürfnis mittelfristig durch die DMZ Funktion oder IP-Passthrough zu ersetzten.
In diesem Modus agiert der Centro Business als transparenter Vermittler für das PPPoE-Protokoll (Point-to-Point Protocol over Ethernet).
-
Konfiguration: Die nachgelagerte Firewall übernimmt die aktive Einwahl in das Swisscom-Netz unter Verwendung der ISP-Zugangsdaten (Username/Passwort).
-
Vorteil: Die Firewall erhält die öffentliche IP-Adresse direkt auf ihrem WAN-Interface, was die Handhabung von VPN-Endpunkten und Port-Freigaben vereinfacht.
-
Nachteil: Die nutzbare Paketgröße reduziert sich durch den Protokoll-Overhead auf eine MTU von 1492. Ohne korrekte Anpassung (MSS-Clamping) kann dies zu erheblichen Performance-Einbußen oder Verbindungsabbrüchen führen.
-
Status: Dieses Verfahren gilt als veraltet und wird im Rahmen eines Phase-Outs mittelfristig nicht mehr unterstützt.
Hier geht es zur PPP-Passthrough Seite.
1:1 NAT (Standard)
Das 1:1 NAT ordnet eine interne, private IP-Adresse fest einer externen, öffentlichen IP-Adresse zu. Im Gegensatz zum herkömmlichen Port Forwarding (PAT) werden hierbei alle Ports und Protokolle transparent durchgereicht.
-
Bidirektionale Kommunikation: Die Zuordnung zwischen der privaten und der öffentlichen Adresse bleibt permanent bestehen:
-
Inbound: Eingehender Traffic an die öffentliche IP wird vollständig an die spezifische interne IP weitergeleitet.
-
Outbound: Ausgehender Traffic des internen Hosts erscheint im Internet konsistent unter der zugewiesenen öffentlichen IP.
-
Hier geht es zur 1:1 NAT Seite.
Portweiterleitung
Die Port-Weiterleitung ist die gebräuchlichste Methode, um spezifische Dienste eines internen Hosts (z. B. Webserver auf Port 80/443) über die öffentliche IP des Centro Business erreichbar zu machen.
-
Funktionsweise: Eingehende Verbindungsanfragen an die öffentliche IP-Adresse des Routers werden auf Basis einer definierten Port-Nummer an eine spezifische interne, private IP-Adresse weitergeleitet.
-
Sicherheit: Im Gegensatz zu DMZ oder Passthrough-Modi bleibt die Firewall des Centro Business aktiv. Nur der explizit freigegebene Port wird geöffnet; der restliche Traffic zum internen Host wird weiterhin blockiert.
-
Einschränkung: Da die öffentliche IP-Adresse geteilt wird (Port Address Translation - PAT), kann ein spezifischer Port (z. B. TCP 443) immer nur an genau ein internes Gerät weitergeleitet werden.
Hier geht es zur Portweiterleitung Seite.