Zum Hauptinhalt springen

NAT-Varianten

Beim Einsatz einer eigenen Firewall oder eines Security-Gateways hinter einem Centro Business stehen verschiedene Betriebsmodi zur Verfügung. Die Wahl des richtigen Modus ist entscheidend für die Netzwerkstabilität, die VPN-Kompatibilität und die Nutzung von Swisscom-Zusatzdiensten wie blue TV oder dem Internet-Backup.

Dieser Leitfaden vergleicht die fünf verfügbaren Methoden: IP-Passthrough, PPP-Passthrough, DMZ, 1:1 NAT und Portweiterleitung. Er dient als Entscheidungsgrundlage für IT-Spezialisten, um die optimale Anbindung der eigenen Infrastruktur an das Swisscom-Netz sicherzustellen.


Übersicht

FeatureIP-PassthroughPPP-PassthroughDMZ1:1 NATPortweiterleitung
WAN-IP Host172.31.255.6Öffentliche IPÖffentliche IPpriv. LAN IPpriv. LAN IP
MTU Size15001492150015001500
Login (PPPoE)Centro BusinessEigene FirewallCentro BusinessCentro BusinessCentro Business
Centro Business-FirewallInaktivInaktivDMZ-FirewallLAN-FirewallLAN-Firewall
Port-BelegungPort 1*/5**Port 1*/5**Port 1*/5**BeliebigBeliebig
Anzahl Fix-IPs notwendigkeinemin. 1 Fix-IPmin. 4 Fix-IPmin. 4 Fix-IPmin. 4 Fix-IP
Internet BackupJaNeinJaJaJa
Blue TVJaJa mit Einschränkungen***JaJaJa

* Centro Business 2.0 / ** Centro Business 3.0

*** Radio sowie alle Apps wie Netflix, Youtube usw. funktionieren nicht.

IP-Passthrough (Swisscom-Spezialfall)

Bei diesem Verfahren terminiert der Centro Business die Internetverbindung, reicht den Traffic jedoch über ein dediziertes Transfer-Netz an die nachgelagerte Firewall weiter.

  • Technische Umsetzung: Swisscom nutzt hierfür ein Transfer-Subnetz (172.31.255.4/30). Die nachgelagerte Firewall wird mit der statischen IP 172.31.255.6 konfiguriert, während der Centro Business ein automatisches 1:1 NAT der öffentlichen IP auf diese Adresse durchführt.

  • Vorteile: Volle Unterstützung der Standard-MTU von 1500. Zudem bleiben alle Router-basierten Dienste wie VoIP und blue TV ohne zusätzliche Konfiguration voll funktionsfähig.

  • Besonderheit: Im Gegensatz zu Standard-Implementierungen sieht die Firewall am WAN-Interface nicht die öffentliche IP, sondern die IP des Transfer-Netzes. Dies muss bei der VPN-Konfiguration (NAT-Traversal) berücksichtigt werden.


Hier geht es zur IP-Passthrough Seite.

PPP-Passthrough (PPPoE)

gefahr

Ankündigung

Die Verwendung von PPP-Passthrough wird in den kommenden zwei bis drei Jahren schrittweise eingestellt, da das PPPoE-Verfahren als veraltet gilt und von moderner Netzwerkinfrastruktur zunehmend nicht mehr unterstützt wird.

Unsere Empfehlung:
Das Bedürfnis mittelfristig durch die DMZ Funktion oder IP-Passthrough zu ersetzten.

In diesem Modus agiert der Centro Business als transparenter Vermittler für das PPPoE-Protokoll (Point-to-Point Protocol over Ethernet).

  • Konfiguration: Die nachgelagerte Firewall übernimmt die aktive Einwahl in das Swisscom-Netz unter Verwendung der ISP-Zugangsdaten (Username/Passwort).

  • Vorteil: Die Firewall erhält die öffentliche IP-Adresse direkt auf ihrem WAN-Interface, was die Handhabung von VPN-Endpunkten und Port-Freigaben vereinfacht.

  • Nachteil: Die nutzbare Paketgröße reduziert sich durch den Protokoll-Overhead auf eine MTU von 1492. Ohne korrekte Anpassung (MSS-Clamping) kann dies zu erheblichen Performance-Einbußen oder Verbindungsabbrüchen führen.

  • Status: Dieses Verfahren gilt als veraltet und wird im Rahmen eines Phase-Outs mittelfristig nicht mehr unterstützt.


Hier geht es zur PPP-Passthrough Seite.

DMZ / Öffentliche Adressen

Dieser Modus ermöglicht die direkte Zuweisung von öffentlichen IP-Adressen an interne Endgeräte ohne jegliche NAT-Eingriffe.

  • Voraussetzung: Erfordert die kostenpflichtige Option „Fix IP Adressen“ mit einem Subnetz von mindestens 4 statischen IP-Adressen (z. B. ein /30er Netz).

  • Funktionsweise: Einem spezifischen Gerät (z. B. Server oder Firewall) wird eine öffentliche IP aus dem gemieteten Subnetz zugewiesen. Der Centro Business agiert dabei als transparenter Layer-3-Router für dieses Subnetz.

  • Sicherheit: Um das interne Netzwerk zu schützen, ist der Zugriff von der DMZ ins lokale LAN (Default-Subnetz des Routers) standardmässig blockiert.

  • Vorteile: Keine NAT-bedingten Paketkonflikte, volle MTU von 1500 Byte und volle Unterstützung des Swisscom Internet-Backups (LTE-Failover).


Hier geht es zur DMZ (Öffentliche Adressen) Seite.

1:1 NAT (Standard)

Das 1:1 NAT ordnet eine interne, private IP-Adresse fest einer externen, öffentlichen IP-Adresse zu. Im Gegensatz zum herkömmlichen Port Forwarding (PAT) werden hierbei alle Ports und Protokolle transparent durchgereicht.

  • Bidirektionale Kommunikation: Die Zuordnung zwischen der privaten und der öffentlichen Adresse bleibt permanent bestehen:

    • Inbound: Eingehender Traffic an die öffentliche IP wird vollständig an die spezifische interne IP weitergeleitet.

    • Outbound: Ausgehender Traffic des internen Hosts erscheint im Internet konsistent unter der zugewiesenen öffentlichen IP.


Hier geht es zur 1:1 NAT Seite.

Portweiterleitung

Die Port-Weiterleitung ist die gebräuchlichste Methode, um spezifische Dienste eines internen Hosts (z. B. Webserver auf Port 80/443) über die öffentliche IP des Centro Business erreichbar zu machen.

  • Funktionsweise: Eingehende Verbindungsanfragen an die öffentliche IP-Adresse des Routers werden auf Basis einer definierten Port-Nummer an eine spezifische interne, private IP-Adresse weitergeleitet.

  • Sicherheit: Im Gegensatz zu DMZ oder Passthrough-Modi bleibt die Firewall des Centro Business aktiv. Nur der explizit freigegebene Port wird geöffnet; der restliche Traffic zum internen Host wird weiterhin blockiert.

  • Einschränkung: Da die öffentliche IP-Adresse geteilt wird (Port Address Translation - PAT), kann ein spezifischer Port (z. B. TCP 443) immer nur an genau ein internes Gerät weitergeleitet werden.


Hier geht es zur Portweiterleitung Seite.

info

Fehlt Ihnen hier etwas? Geben Sie uns Feedback! pilot@swisscom.com Bitte beschreiben Sie in welchem Bereich, Sie was erwarten würden oder was wir besser machen könnten.

Letztes Update am