Private IP-Adressen (RFC 1918): Definition, Zweck & NAT-Erklärung

Private IP-Adressen (RFC 1918): Definition, Zweck & NAT erklärt – verständliche Übersicht zu Adressräumen, Sicherheit, NAT-Funktionen und praktischen Lösungen für LANs.

Autor: Leandro Alegsa

In der Internet-Terminologie ist ein privates Netzwerk typischerweise ein Netzwerk, das einen privaten IP-Adressraum verwendet und dem Standard RFC 1918 folgt. Geräten können Adressen aus diesem Bereich zugewiesen werden, wenn sie nur innerhalb eines Intranets — also eines internen, nicht-öffentlichen Netzwerks — miteinander kommunizieren müssen. Solche Intranets nutzen häufig das Internet-Protokoll zur Adressierung und Vermittlung, ohne dass jede Adresse weltweit eindeutig sein muss.

RFC 1918 – reservierte IPv4‑Adressbereiche

RFC 1918 definiert drei zusammenhängende Adressbereiche, die für private Netze reserviert sind. Diese Adressen dürfen im öffentlichen Internet nicht geroutet werden:

  • 10.0.0.0/8 (10.0.0.0–10.255.255.255)
  • 172.16.0.0/12 (172.16.0.0–172.31.255.255)
  • 192.168.0.0/16 (192.168.0.0–192.168.255.255)

Diese Bereiche sind bewusst so groß gewählt, dass viele private Netze unterschiedliche Pläne nutzen können, ohne sich gegenseitig in lokalen Netzwerken zu kollidieren.

Warum private Adressen eingesetzt werden

Der Hauptgrund für private Adressen ist der knappe Vorrat an IPv4‑Adressen. Durch die Nutzung privater Adressen in lokalen Netzen und die Übersetzung auf wenige oder eine öffentliche Adresse mittels NAT (Network Address Translation) kann man viele Geräte betreiben, ohne für jedes Gerät eine öffentliche IPv4‑Adresse zu benötigen. Einer der langfristigen Ansätze zur Behebung dieses Engpasses ist IPv6, das deutlich mehr Adressen bereitstellt; IPv6 noch hat aber bislang nicht flächendeckend alle IPv4‑Netze ersetzt.

Routing, Sicherheit und die Rolle von Internet‑Routern

Im öffentlichen Internet gelten die RFC‑1918‑Adressen als nicht-routbar. Deshalb sollten Router im Internet so konfiguriert sein, dass sie Pakete mit diesen Quell‑ oder Zieladressen verwerfen. Diese Praxis isoliert private Netze grundlegend: Von außen ist ein Gerät mit einer RFC‑1918‑Adresse normalerweise nicht direkt erreichbar.

Diese Isolation ist jedoch keine vollständige Sicherheitslösung. Der Zugriff von außen kann weiterhin über Port-Weiterleitungen, VPN‑Zugänge, fehlerhaft konfigurierte Gateways oder kompromittierte interne Systeme ermöglicht werden. Private Adressen sind also eher ein Adressierungs- und Isolationsmechanismus als ein Ersatz für Firewalls oder Zugriffskontrollen.

NAT, Proxy und das „vermittelnde Gateway“

Wenn Geräte in einem privaten Netz mit dem öffentlichen Internet kommunizieren müssen, ist ein vermittelndes Gateway erforderlich, das die privaten Adressen „übersetzt“:

  • Typischerweise übernimmt ein NAT‑Gerät (z. B. ein Router mit NAT/PAT) oder ein Proxy-Server diese Aufgabe. NAT ersetzt in ausgehenden Verbindungen die private Quelladresse durch eine öffentliche Adresse des Gateways (oder führt Port‑Sharing durch).
  • Bei eingehenden Verbindungen ist oft eine Port‑Weiterleitung oder eine statische NAT‑Zuordnung nötig, damit Datenpakete an das korrekte interne Gerät gelangen.

Standardmäßig leiten öffentliche Internet-Router Pakete mit RFC‑1918‑Adressen nicht weiter. Interne Router innerhalb einer Organisation benötigen dagegen in der Regel keine spezielle Konfiguration, um RFC‑1918‑Pakete intern zu routen.

Probleme beim Verbinden mehrerer privater Netze

Schwierigkeiten entstehen, wenn zwei Netze verbunden werden sollen, die denselben privaten Adressraum verwenden (z. B. zwei Firmen, die jeweils 192.168.0.0/24 einsetzen):

  • Adressüberlappung führt zu Routingkonflikten und verhindert häufig zuverlässige Kommunikation zwischen den Netzen.
  • VPN‑Verbindungen und Site‑to‑Site‑Tunnels funktionieren nur eingeschränkt, wenn sich Adressbereiche überschneiden.

Gängige Lösungen sind:

  • Netzplan ändern und interne Adressen umnummern (empfohlene saubere Lösung).
  • Network‑Address‑Translation an den Verbindungsenden (z. B. NAT‑T auf VPN‑Gateways), sodass bei der Verbindung eine eindeutige Übersetzung stattfindet.
  • Aufsetzen von Proxies oder Application‑Level‑Gateways, die Kommunikation auf Ebene der Anwendung vermitteln.
  • Langfristig Umstieg auf IPv6 oder Verwendung von IPv6‑Übergangstechniken, wenn möglich.

Weitere relevante Adresstypen

Neben RFC‑1918 gibt es noch andere reservierte Bereiche, z. B. die Link‑local‑Adressen 169.254.0.0/16 (für automatische Zuweisung, wenn kein DHCP verfügbar ist) und bei IPv6 die sogenannten Unique Local Addresses (ULA, fc00::/7) für private IPv6‑Netze. Diese Bereiche sind ebenfalls nicht für das globale Routing vorgesehen.

Praktische Empfehlungen für Administratoren

  • Vermeiden Sie möglichst die Verwendung von sehr populären privaten Netzen (z. B. 192.168.0.0/24) in größeren Unternehmensumgebungen, um spätere Überschneidungen zu minimieren.
  • Planen Sie Adressräume zentral und dokumentieren Sie Subnetze, um Konflikte bei Fusionen oder Vernetzungen zu verhindern.
  • Nutzen Sie NAT bewusst: Es spart Adressen, aber verschleiert Endgeräte und erschwert manche Verbindungsarten und Fehlersuche.
  • Setzen Sie zwingend Firewalls, Zugangskontrollen und Monitoring ein — private Adressen allein garantieren keine Sicherheit.
  • Berücksichtigen Sie bei Neuinstallationen IPv6 und prüfen Sie, ob ein duales oder IPv6‑basiertes Design sinnvoll ist.

Zusammenfassend: Private IP‑Adressen nach RFC 1918 sind ein bewährtes Mittel, IPv4‑Adressen zu sparen und Netzwerke intern zu isolieren. Sie sind jedoch nicht per se sicher und erfordern beim Verbinden unterschiedlicher Netze oder beim Zugang zum Internet zusätzliche Mechanismen wie NAT, VPNs oder Proxies.

Private Adressen der Internet Assigned Numbers Authority (IANA)

Die Internet Assigned Numbers Authority (IANA) ist die Instanz, die die globale IP-Adresszuweisung, die Verwaltung der DNS-Root-Zone, die Medientypen und andere Internet-Protokollzuweisungen verwaltet. Sie wird von der ICANN betrieben.

Für jemanden, der mit den Grenzen der klassenweisenweisen Adressierung vertraut ist, ist es wichtig zu beachten, dass, obwohl der RFC 1918-Bereich von 172.16.0.0-172.31.255.255 in den traditionellen Klasse-B-Bereich fällt, der reservierte Adressblock nicht ein /16, sondern ein /12 ist. Dasselbe gilt für den Bereich von 192.168.0.0-192.168.255.255; dieser Block ist kein /24, sondern ein /16. Jemand kann jedoch immer noch (und viele Personen tun dies in der Regel) Adressen aus diesen CIDR-Blöcken verwenden und eine Subnetzmaske anwenden, die der traditionellen Klassengrenze der Adresse entspricht.

Die derzeitigen privaten Internetadressen der IANA (auch als nicht routingfähig bezeichnet) sind:

Name

IP-Adressbereich

Anzahl der Adressen

klassenweise Beschreibung

größter CIDR-Block

definiert in

24-Bit-Block

10.0.0.0 – 10.255.255.255

16,777,216

einzelne Klasse A, 256 aneinandergrenzende Klasse B

10.0.0.0/8

RFC 1597 (veraltet), RFC 1918

20-Bit-Block

172.16.0.0 – 172.31.255.255

1,048,576

16 aneinandergrenzende Klasse Bs

172.16.0.0/12

16-Bit-Block

192.168.0.0 – 192.168.255.255

65,536

einzelne Klasse B, 256 aneinandergrenzende Klasse Cs

192.168.0.0/16

Um die Belastung der Root-Nameserver zu reduzieren, die durch die Reverse-DNS-Lookups dieser IP-Adressen verursacht wird, wird von anycast-Netzwerk AS112 ein System von "Black-Loch"-Nameservern bereitgestellt.

Verwandte Seiten

  • Internet-Protokoll-Suite
  • Kommunikationsprotokoll

Fragen und Antworten

F: Was ist ein privates Netzwerk?


A: Ein privates Netzwerk ist ein Computernetzwerk, das einen privaten IP-Adressraum nach dem Standard RFC 1918 verwendet. Es wird in der Regel für interne Netzwerke innerhalb einer Organisation oder für lokale Netzwerke (LANs) zu Hause oder im Büro verwendet.

F: Was war der Grund für die Einführung privater IP-Adressen?


A: Private IP-Adressen wurden aufgrund des Mangels an öffentlich registrierten IP-Adressen geschaffen, die durch den IPv4-Standard entstanden. Einer der Gründe, warum IPv6 geschaffen wurde, ist die Überwindung dieser Einschränkung des IPv4-Standards.

F: Wie gibt die Isolierung privaten Netzwerken Sicherheit?


A: Die Isolierung verleiht privaten Netzwerken eine grundlegende Form der Sicherheit, da es für externe Geräte in der Regel nicht möglich ist, eine direkte Verbindung zu Rechnern herzustellen, die diese privaten Adressen verwenden. Um diesen Schutz zu gewährleisten, sollten Router im Internet so konfiguriert sein, dass sie alle Pakete mit diesen Adressen verwerfen.

F: Wie können verschiedene Organisationen denselben privaten Adressbereich verwenden, ohne Adresskonflikte zu riskieren?


A: Da keine Verbindungen zwischen verschiedenen privaten Netzwerken über das Internet hergestellt werden können, können verschiedene Organisationen denselben privaten Adressbereich verwenden, ohne Adresskonflikte zu riskieren (Kommunikationsunfälle, die dadurch verursacht werden, dass eine dritte Partei über dieselbe IP-Adresse erreicht wird).

F: Welche Art von Gerät wird benötigt, wenn ein Gerät in einem privaten Netzwerk mit anderen Netzwerken kommunizieren muss?


A: Wenn ein Gerät in einem privaten Netzwerk mit anderen Netzwerken kommunizieren muss, wird ein "Vermittlungsgateway" (Zwischengateway) benötigt, um sicherzustellen, dass externe Geräte eine öffentlich erreichbare Adresse erhalten, damit Internet-Router die Kommunikation zulassen. Dieses Gateway ist normalerweise entweder ein NAT-Gerät oder ein Proxy-Server.

F: Müssen öffentliche Internet-Router zusätzlich konfiguriert werden, um Pakete mit RFC 1918-Adressen weiterzuleiten?


A: Öffentliche Internet-Router leiten standardmäßig keine Pakete mit RFC 1918-Adressen weiter und benötigen eine zusätzliche Konfiguration, um dies zu tun. Interne Router hingegen benötigen keine zusätzliche Konfiguration, um diese Pakete weiterzuleiten, was zu Problemen führen kann, wenn zwei getrennte Netzwerke verbunden werden, die beide ähnliche IP-Adressierungsschemata verwenden.


Suche in der Enzyklopädie
AlegsaOnline.com - 2020 / 2025 - License CC3