Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# NAT-Instances
Eine NAT-Instance bietet Network Address Translation (NAT). Sie können eine NAT-Instance verwenden, um Ressourcen in einem privaten Subnetz die Kommunikation mit Zielen außerhalb der Virtual Private Cloud (VPC) wie dem Internet oder einem On-Premises-Netzwerk zu ermöglichen. Die Ressourcen im privaten Subnetz können ausgehenden IPv4 Datenverkehr ins Internet initiieren, aber sie können keinen eingehenden Datenverkehr empfangen, der über das Internet initiiert wurde.
**Wichtig**
NAT AMI basiert auf der letzten Version von Amazon Linux AMI, 2018.03, die am 31. Dezember 2020 das Ende des Standardsupports erreicht hat. Die Wartungsunterstützung endet am 31. Dezember 2023. Weitere Informationen finden Sie im folgenden Blogbeitrag: [Amazon Linux AMI End of Life](https://aws.amazon.com/blogs/aws/update-on-amazon-linux-ami-end-of-life/).
Wenn Sie ein vorhandenes NAT-AMI verwenden, AWS empfiehlt die [Migration zu einem NAT-Gateway](vpc-nat-comparison.md#nat-instance-migrate). Die NAT-Gateways bieten bessere Verfügbarkeit, höherer Bandbreite und weniger Verwaltungsaufwand. Weitere Informationen finden Sie unter [Vergleich zwischen NAT-Gateways und NAT-Instances](vpc-nat-comparison.md).
Wenn NAT-Instances besser als NAT-Gateways zu Ihrem Anwendungsfall passen, können Sie Ihr eigenes NAT-AMI aus einer aktuellen Version von Amazon Linux erstellen, wie in [3. Erstellen eines NAT-AMI](work-with-nat-instances.md#create-nat-ami) beschrieben.
**Topics**
+ [Grundlagen zu NAT-Instances](#basics)
+ [Ermöglichen der Kommunikation außerhalb der VPC für private Ressourcen](work-with-nat-instances.md)
## Grundlagen zu NAT-Instances
Die folgende Abbildung stellt die Grundlagen einer NAT-Instance dar. Die Routing-Tabelle, die dem privaten Subnetz zugeordnet ist, sendet den Internetdatenverkehr von den Instances im privaten Subnetz zur NAT-Instance im öffentlichen Subnetz. Die NAT-Instance sendet anschließend den Datenverkehr zum Internet-Gateway. Der Datenverkehr ist der öffentliche IP-Adresse der NAT-Instance zugeordnet. Die NAT-Instance legt für Antworten eine hohe Portnummer fest. Wenn eine Antwort eingeht, sendet die NAT-instance diese abhängig von der Portnummer der Antwort an eine bestimmte Instance im privaten Subnetz.
Die NAT-Instance Internetzugang haben, d. h. sie muss sich in einem öffentlichen Subnetz (einem Subnetz, das eine Routing-Tabelle mit einer Route zum Internet-Gateway besitzt) befinden und über eine öffentliche oder Elastic-IP-Adresse verfügen.
![\[Diagramm, das die Einrichtung einer NAT-Instance in einer VPC zeigt\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/nat-instance_updated.png)
Um mit NAT-Instances zu beginnen, erstellen Sie ein NAT-AMI, erstellen Sie eine Sicherheitsgruppe für die NAT-Instance und starten Sie die NAT-Instance in Ihrer VPC.
Ihr NAT-Instance-Kontingent hängt von Ihrem Instance-Kontingent für die Region ab. Weitere Informationen finden Sie unter [Amazon-EC2-Service-Quotas](https://docs.aws.amazon.com/general/latest/gr/ec2-service.html#limits_ec2) in der *Allgemeine AWS-Referenz*.
# Ermöglichen der Kommunikation außerhalb der VPC für private Ressourcen
In diesem Abschnitt wird beschrieben, wie Sie NAT-Instances erstellen und mit ihnen arbeiten, um Ressourcen in einem privaten Subnetz die Kommunikation außerhalb der Virtual Private Cloud zu ermöglichen.
**Topics**
+ [1. Erstellen einer VPC für die NAT-Instance](#create-vpc-subnets)
+ [2. Erstellen einer Sicherheitsgruppe für Ihre NAT-Instance](#NATSG)
+ [3. Erstellen eines NAT-AMI](#create-nat-ami)
+ [4. Starten einer NAT-Instance](#NATInstance)
+ [5. source/destination Schecks deaktivieren](#EIP_Disable_SrcDestCheck)
+ [6. Aktualisieren der Routing-Tabelle](#nat-routing-table)
+ [7. Testen Ihrer NAT-Instance](#nat-test-configuration)
## 1. Erstellen einer VPC für die NAT-Instance
Gehen Sie wie folgt vor, um eine VPC mit einem öffentlichen Subnetz und einem privaten Subnetz zu erstellen.
**So erstellen Sie die VPC**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie **VPC erstellen** aus.
1. Wählen Sie unter **Resources to create** (Zu erstellende Ressourcen) die Option **VPC and more** (VPC und mehr) aus.
1. Geben Sie unter **Name tag auto-generation** (Automatische Generierung des Namens-Tags) einen Namen für die VPC ein.
1. Führen Sie zur Konfiguration der Subnetze folgende Schritte aus:
1. Wählen Sie unter **Number of Availability Zones** (Anzahl der Availability Zones) je nach Bedarf **1** oder **2** aus.
1. Stellen Sie unter **Number of public subnets** (Anzahl der öffentlichen Subnetze) sicher, dass ein öffentliches Subnetz pro Availability Zone vorhanden ist.
1. Stellen Sie unter **Number of private subnets** (Anzahl der privaten Subnetze) sicher, dass ein privates Subnetz pro Availability Zone vorhanden ist.
1. Wählen Sie **VPC erstellen** aus.
## 2. Erstellen einer Sicherheitsgruppe für Ihre NAT-Instance
Erstellen Sie eine Sicherheitsgruppe mit den in der folgenden Tabelle beschriebenen Regeln. Diese Regeln ermöglichen es Ihrer NAT-Instance, an das Internet gerichteten Datenverkehr von Instances im privaten Subnetz sowie SSH-Datenverkehr aus Ihrem Netzwerk zu empfangen. Die NAT-Instance kann auch Datenverkehr an das Internet senden, sodass Instances im privaten Subnetz Softwareaktualisierungen empfangen können.
Im Folgenden sind die empfohlenen Regeln für eingehenden Datenverkehr aufgeführt.
| Quelle | Protocol (Protokoll) | Port-Bereich | Kommentare |
| --- | --- | --- | --- |
| Private subnet CIDR | TCP | 80 | Erlauben Sie eingehenden HTTP-Datenverkehr von Servern zum privaten Subnetz. |
| Private subnet CIDR | TCP | 443 | Erlauben Sie eingehenden HTTPS-Datenverkehr von Servern zum privaten Subnetz. |
| Public IP address range of your network | TCP | 22 | Lässt eingehenden SSH-Zugriff auf die NAT-Instance von Ihrem Netzwerk zu (über das Internet-Gateway) |
Im Folgenden sind die empfohlenen Regeln für ausgehenden Datenverkehr aufgeführt.
| Ziel | Protocol (Protokoll) | Port-Bereich | Kommentare |
| --- | --- | --- | --- |
| 0.0.0.0/0 | TCP | 80 | Lässt ausgehenden HTTP-Zugriff auf das Internet zu |
| 0.0.0.0/0 | TCP | 443 | Lässt ausgehenden HTTPS-Zugriff auf das Internet zu |
**So erstellen Sie die Sicherheitsgruppe**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Sicherheitsgruppen** aus.
1. Wählen Sie **Create security group (Sicherheitsgruppe erstellen)** aus.
1. Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe ein.
1. Wählen Sie für **VPC** die ID der VPC für Ihre NAT-Instance aus.
1. Fügen Sie unter **Regeln für eingehenden Datenverkehr** wie nachfolgend beschrieben die Regeln für eingehenden Datenverkehr hinzu:
1. Wählen Sie **Regel hinzufügen** aus. Wählen Sie **HTTP** als **Typ** und geben Sie den IP-Adressbereich Ihres privaten Subnetzes als **Quelle** ein.
1. Wählen Sie **Regel hinzufügen** aus. Wählen Sie **HTTPS** als **Typ** und geben Sie den IP-Adressbereich Ihres privaten Subnetzes als **Quelle** ein.
1. Wählen Sie **Regel hinzufügen** aus. Wählen Sie **SSH** als **Typ** und geben Sie den IP-Adressbereich Ihres Netzwerks als **Quelle** ein.
1. Fügen Sie unter **Regeln für ausgehenden Datenverkehr** wie nachfolgend beschrieben die Regeln für ausgehenden Datenverkehr hinzu:
1. Wählen Sie **Regel hinzufügen** aus. Wählen Sie **HTTP** als **Typ** und geben Sie 0.0.0.0/0 als **Ziel** ein.
1. Wählen Sie **Regel hinzufügen** aus. Wählen Sie **HTTPS** als **Typ** und geben Sie 0.0.0.0/0 als **Ziel** ein.
1. Wählen Sie **Create security group (Sicherheitsgruppe erstellen)** aus.
Weitere Informationen finden Sie unter [Sicherheitsgruppen](vpc-security-groups.md).
## 3. Erstellen eines NAT-AMI
Ein NAT-AMI ist so konfiguriert, dass NAT auf einer EC2-Instance ausgeführt wird. Sie müssen ein NAT-AMI erstellen und dann Ihre NAT-Instance mit Ihrem NAT-AMI starten.
Wenn Sie planen, ein anderes Betriebssystem als Amazon Linux für Ihr NAT-AMI zu verwenden, finden Sie in der Dokumentation zu diesem Betriebssystem Informationen zur Konfiguration von NAT. Stellen Sie sicher, dass Sie diese Einstellungen speichern, damit diese auch nach einem Instance-Neustart bestehen bleiben.
**So erstellen Sie ein NAT-AMI für Amazon Linux**
1. Starten Sie eine EC2-Instance, die läuft AL2023 oder Amazon Linux 2 läuft. Geben Sie unbedingt die Sicherheitsgruppe an, die Sie für die NAT-Instance erstellt haben.
1. Stellen Sie eine Verbindung mit Ihrer Instance her und führen Sie auf der Instance die folgenden Befehle aus, um iptables zu aktivieren.
```
sudo yum install iptables-services -y
sudo systemctl enable iptables
sudo systemctl start iptables
```
1. Gehen Sie auf der Instance wie folgt vor, um die IP-Weiterleitung so zu aktivieren, dass sie nach dem Neustart bestehen bleibt:
1. Erstellen Sie mithilfe eines Texteditors, wie **nano** oder **vim**, die folgende Konfigurationsdatei: `/etc/sysctl.d/custom-ip-forwarding.conf`
1. Fügen Sie die folgende Zeile in die Konfigurationsdatei ein.
```
net.ipv4.ip_forward=1
```
1. Speichern Sie die Konfigurationsdatei und schließen Sie den Text-Editor.
1. Führen Sie den folgenden Befehl aus, um die Konfigurationsdatei anzuwenden.
```
sudo sysctl -p /etc/sysctl.d/custom-ip-forwarding.conf
```
1. Führen Sie den folgenden Befehl auf der Instance aus und notieren Sie sich den Namen der primären Netzwerkschnittstelle. Diese Informationen sind für den nächsten Schritt erforderlich.
```
netstat -i
```
In der folgenden Beispielausgabe ist `docker0` eine von Docker erstellte Netzwerkschnittstelle, `eth0` ist die primäre Netzwerkschnittstelle und `lo` ist die Loopback-Schnittstelle.
```
Iface MTU RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
docker0 1500 0 0 0 0 0 0 0 0 BMU
eth0 9001 7276052 0 0 0 5364991 0 0 0 BMRU
lo 65536 538857 0 0 0 538857 0 0 0 LRU
```
In der folgenden Beispielausgabe ist die primäre Netzwerkschnittstelle `enX0`.
```
Iface MTU RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
enX0 9001 1076 0 0 0 1247 0 0 0 BMRU
lo 65536 24 0 0 0 24 0 0 0 LRU
```
In der folgenden Beispielausgabe ist die primäre Netzwerkschnittstelle `ens5`.
```
Iface MTU RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
ens5 9001 14036 0 0 0 2116 0 0 0 BMRU
lo 65536 12 0 0 0 12 0 0 0 LRU
```
1. Führen Sie auf der Instance die folgenden Befehle aus, um NAT zu konfigurieren. Wenn die primäre Netzwerkschnittstelle nicht vorhanden ist`eth0`, *eth0* ersetzen Sie sie durch die primäre Netzwerkschnittstelle, die Sie im vorherigen Schritt notiert haben.
```
sudo /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo /sbin/iptables -F FORWARD
sudo service iptables save
```
1. Erstellen Sie aus der EC2-Instance ein NAT-AMI. Weitere Informationen finden Sie unter [Erstellen eines Linux-AMI aus einer Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-ebs.html#how-to-create-ebs-ami) im *Amazon-EC2-Benutzerhandbuch*.
## 4. Starten einer NAT-Instance
Gehen Sie wie folgt vor, um eine NAT-Instance mithilfe der von Ihnen erstellten VPC, Sicherheitsgruppe und NAT-AMI zu starten.
**So starten Sie eine NAT-Instance**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie auf dem Dashboard **Launch Instance** (Instance starten) aus.
1. Geben Sie unter **Name** einen Namen für Ihre NAT-Instance ein.
1. Wählen Sie für **Anwendungs- und Betriebssystem-Images** Ihr NAT-AMI aus (wählen Sie **Browse more AMIs**, **My AMIs**).
1. Wählen Sie für **Instance-Typ** einen Instance-Typ aus, der die Anforderungen Ihrer NAT-Instance an Rechenleistung, Arbeitsspeicher und Speicherplatz erfüllt.
1. Wählen Sie unter **Schlüsselpaar** ein vorhandenes Schlüsselpaar aus oder **Erstellen Sie ein neues Schlüsselpaar**.
1. Führen Sie unter **Network settings** (Netzwerkeinstellungen) die folgenden Schritte aus:
1. Wählen Sie **Bearbeiten** aus.
1. Wählen Sie für **VPC** die erstellte VPC aus.
1. Wählen Sie für **Subnetz** das für von Ihnen erstellte öffentliche Subnetz aus.
1. Wählen Sie unter **Auto-assign public IP** (Öffentlche IP automatisch zuweisen) die Option **Enable** (Aktivieren) aus. Alternativ können Sie nach dem Start der NAT-Instance eine Elastic IP-Adresse zuweisen und sie der NAT-Instance zuweisen.
1. Wählen Sie unter **Firewall** die Option **Vorhandene Sicherheitsgruppe auswählen** aus und wählen Sie dann die Sicherheitsgruppe, die Sie erstellt haben, aus.
1. Wählen Sie **Launch Instance (Instance starten)** aus. Wählen Sie die Instance-ID, um die Instance-Detailseite zu öffnen. Warten Sie, bis der Instance-Status in **Wird ausgeführt** wechselt und die Statusprüfungen erfolgreich sind.
1. Deaktivieren Sie die source/destination Prüfungen für die NAT-Instance (siehe[5. source/destination Schecks deaktivieren](#EIP_Disable_SrcDestCheck)).
1. Aktualisieren Sie die Routing-Tabelle, um Datenverkehr an die NAT-Instance zu senden (siehe [6. Aktualisieren der Routing-Tabelle](#nat-routing-table)).
## 5. source/destination Schecks deaktivieren
Jede EC2-Instance führt standardmäßig source/destination Prüfungen durch. Das bedeutet, die Instance muss entweder Quelle oder Ziel des gesendeten bzw. empfangenen Datenverkehrs sein. Eine NAT-Instance muss jedoch in der Lage sein, Datenverkehr zu senden bzw. zu empfangen, dessen Quelle oder Ziel sie nicht selbst ist. Daher müssen Sie die source/destination Prüfungen auf der NAT-Instance deaktivieren.
**Um die source/destination Überprüfung zu deaktivieren**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Instances** aus.
1. Wählen Sie die NAT-Instance aus.
1. Wählen Sie „**Aktionen**“, „**Netzwerk**“, „** source/destination Prüfung ändern**“.
1. Wählen Sie für die **Quell-/Zielprüfung** die Option **Stopp** aus.
1. Wählen Sie **Speichern**.
1. Wenn die NAT-Instance eine sekundäre Netzwerkschnittstelle hat, wählen Sie sie aus **Network interfaces (Netzwerkschnittstellen)** im Reiter **Networking** aus. Wählen Sie die Schnittstellen-ID aus, um zur Seite mit den Netzwerkschnittstellen zu gelangen. Wählen Sie **Actions (Aktionen)** und **Change source/dest. check (Quell-/Ziel-Prüfung ändern)** aus, löschen Sie **Enable (Aktivieren)** und wählen Sie **Save (Speichern)** aus.
## 6. Aktualisieren der Routing-Tabelle
Die Routing-Tabelle für das private Subnetz muss eine Route enthalten, die den Internetverkehr an die NAT-Instance leitet.
**So aktualisieren Sie die Routing-Tabelle**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Route Tables** (Routing-Tabellen) aus.
1. Wählen Sie die Routing-Tabelle für das private Subnetz aus.
1. Klicken Sie auf der Registerkarte **Routen** auf **Routen bearbeiten** und wählen Sie dann **Route hinzufügen**.
1. Geben Sie 0.0.0.0/0 als **Ziel** und die Instance-ID der NAT-Instance als **Ziel** an.
1. Wählen Sie **Änderungen speichern ** aus.
Weitere Informationen finden Sie unter [Konfigurieren von Routing-Tabellen](VPC_Route_Tables.md).
## 7. Testen Ihrer NAT-Instance
Nachdem Sie eine NAT-Instance gestartet und wie oben beschrieben konfiguriert haben, können Sie testen, ob die Instance im privaten Subnetz über die NAT-Instance als Bastion Host auf das Internet zugreifen kann.
**Topics**
+ [Schritt 1: Aktualisieren der Sicherheitsgruppe der NAT-Instance](#nat-test-security)
+ [Schritt 2: Starten einer Test-Instance im privaten Subnetz](#nat-test-launch-instance)
+ [Schritt 3: Pingen einer ICMP-fähigen Website](#nat-test-ping)
+ [Schritt 4: Bereinigen](#nat-test-clean-up)
### Schritt 1: Aktualisieren der Sicherheitsgruppe der NAT-Instance
Damit Instances in Ihrem privaten Subnetz Ping-Verkehr an die NAT-Instance senden können, fügen Sie eine Regel hinzu, die ein- und ausgehenden ICMP-Verkehr zulässt. Damit die NAT-Instance als Bastion-Server fungieren kann, fügen Sie eine Regel hinzu, die ausgehenden SSH-Datenverkehr zum privaten Subnetz zulässt.
**So aktualisieren Sie die Sicherheitsgruppe Ihrer NAT Instance**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Sicherheitsgruppen** aus.
1. Aktivieren Sie das Kontrollkästchen für die Sicherheitsgruppe, die mit Ihrer NAT-Instance verknüpft ist.
1. Wählen Sie auf der Registerkarte **Inbound rules (Regeln für eingehenden Datenverkehr) ** die Option **Edt inbound rules (Regeln für eingehenden Datenverkehr bearbeiten)** aus.
1. Wählen Sie **Regel hinzufügen** aus. Wählen Sie **All ICMP — IPv4** als **Typ** aus. Wählen Sie für **Quelle** **Benutzerdefiniert** aus und geben Sie den IP-Adressbereich Ihres privaten Subnetzes ein. Wählen Sie **Regeln speichern** aus.
1. Wählen Sie auf der Registerkarte **Regeln für ausgehenden Datenverkehr** die Option **Regeln für ausgehenden Datenverkehr bearbeiten** aus.
1. Wählen Sie **Regel hinzufügen** aus. Wählen Sie **SSH** für **Type** aus. Wählen Sie für **Ziel** **Benutzerdefiniert** aus und geben Sie den IP-Adressbereich Ihres privaten Subnetzes ein.
1. Wählen Sie **Regel hinzufügen** aus. **Wählen Sie **All ICMP — IPv4** als Typ.** Wählen Sie **Anywhere — IPv4** als **Ziel**. Wählen Sie **Regeln speichern** aus.
### Schritt 2: Starten einer Test-Instance im privaten Subnetz
Starten Sie eine Instance in Ihrem privaten Subnetz. Sie müssen den SSH-Zugriff von der NAT-Instance aus zulassen und dasselbe Schlüsselpaar verwenden, das Sie für die NAT-Instance genutzt haben.
**So starten Sie eine Test-Instance im privaten Subnetz**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie auf dem Dashboard **Launch Instance** (Instance starten) aus.
1. Wählen Sie Ihr privates Subnetz aus.
1. Weisen Sie dieser Instance keine öffentliche IP-Adresse zu.
1. Stellen Sie sicher, dass die Sicherheitsgruppe für diese Instance eingehenden SSH-Zugriff von Ihrer NAT-Instance oder aus dem IP-Adressbereich Ihres öffentlichen Subnetzes sowie ausgehenden ICMP-Datenverkehr zulässt.
1. Wählen Sie dasselbe Schlüsselpaar aus, das Sie für die NAT-Instance verwendet haben.
### Schritt 3: Pingen einer ICMP-fähigen Website
Um zu überprüfen, ob die Test-Instance in Ihrem privaten Subnetz Ihre NAT-Instance für die Kommunikation mit dem Internet verwenden kann, führen Sie den **ping**-Befehl aus.
**So testen Sie die Internetverbindung von Ihrer privaten Instance aus**
1. Konfigurieren Sie auf Ihrem lokalen Computer die SSH-Agent-Weiterleitung, sodass Sie die NAT-Instance als Bastion-Server nutzen können.
------
#### [ Linux and macOS ]
```
ssh-add key.pem
```
------
#### [ Windows ]
[Downloaden und installieren Sie Pageant](https://www.chiark.greenend.org.uk/~sgtatham/putty/), sofern es noch nicht installiert ist.
[Konvertiere deinen privaten Schlüssel mit Pu TTYgen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-from-windows.html#putty-private-key).
Starten Sie Pageant, klicken Sie in der Taskleiste mit der rechten Maustaste auf das **Pageant**-Symbol (ist möglicherweise ausgeblendet) und wählen Sie **Schlüssel hinzufügen**. Wählen Sie die erstellte PPK-Datei aus, geben Sie gegebenenfalls das Passwort ein und wählen Sie **Öffnen**.
------
1. Stellen Sie auf dem lokalen Computer eine Verbindung mit Ihrer NAT-Instance her.
------
#### [ Linux and macOS ]
```
ssh -A ec2-user@nat-instance-public-ip-address
```
------
#### [ Windows ]
Stellen Sie mit PuTTY eine Verbindung mit der NAT-Instance her. Unter **Authentifizierung** müssen Sie **Agent-Weiterleitung zulassen** auswählen und **Private Schlüsseldatei für Authentifizierung** leer lassen.
------
1. Führen Sie auf der NAT-Instance den **ping**-Befehl aus. Geben Sie dabei eine Website an, die für ICMP aktiviert ist.
```
[ec2-user@ip-10-0-4-184]$ ping ietf.org
```
Um sich zu vergewissern, dass die NAT-Instance über Internetzugriff verfügt, überprüfen Sie, ob Sie eine Ausgabe wie die folgende erhalten haben. Drücken Sie anschließend **Ctrl\$1C**, um den **ping**-Befehl abzubrechen. Überprüfen Sie andernfalls, ob sich die NAT-Instance in einem öffentlichen Subnetz befindet (ihre Routing-Tabelle enthält eine Route zu einem Internet-Gateway).
```
PING ietf.org (104.16.45.99) 56(84) bytes of data.
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=1 ttl=33 time=7.88 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=2 ttl=33 time=8.09 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=3 ttl=33 time=7.97 ms
...
```
1. Verbinden Sie sich von der NAT-Instance aus mit der Instance im privaten Subnetz unter Verwendung deren privater IP-Adresse.
```
[ec2-user@ip-10-0-4-184]$ ssh ec2-user@private-server-private-ip-address
```
1. Überprüfen Sie auf der privaten Instance, ob Sie eine Verbindung mit dem Internet herstellen können. Führen Sie dazu den Befehl **ping** aus.
```
[ec2-user@ip-10-0-135-25]$ ping ietf.org
```
Um sich zu vergewissern, dass Ihre private Instance über die NAT-Instance auf das Internet zugreifen kann, überprüfen Sie, ob Sie eine Ausgabe wie die folgende erhalten haben. Drücken Sie anschließend **Ctrl\$1C**, um den **ping**-Befehl abzubrechen.
```
PING ietf.org (104.16.45.99) 56(84) bytes of data.
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=1 ttl=33 time=8.76 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=2 ttl=33 time=8.26 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=3 ttl=33 time=8.27 ms
...
```
**Fehlerbehebung**
Wenn der Befehl **ping** auf dem Server im privaten Subnetz fehlschlägt, gehen Sie wie folgt vor, um das Problem zu beheben:
+ Stellen Sie sicher, dass Sie eine Website angepingt haben, auf der ICMP aktiviert ist. Andernfalls kann Ihr Server keine Antwortpakete empfangen. Führen Sie zum Testen denselben Befehl **ping** auf den Befehlszeilenterminal auf Ihrem lokalen Computer aus.
+ Stellen Sie sicher, dass die Sicherheitsgruppe für Ihre NAT-Instance eingehenden ICMP-Datenverkehr aus Ihrem privaten Subnetz zulässt. Ist das nicht der Fall, kann die NAT-Instance den Befehl **ping** von der privaten Instance nicht empfangen.
+ Stellen Sie sicher, dass Sie die source/destination Suche nach Ihrer NAT-Instance deaktiviert haben. Weitere Informationen finden Sie unter [5. source/destination Schecks deaktivieren](#EIP_Disable_SrcDestCheck).
+ Stellen Sie sicher, dass Ihre Routing-Tabellen korrekt konfiguriert sind. Weitere Informationen finden Sie unter [6. Aktualisieren der Routing-Tabelle](#nat-routing-table).
### Schritt 4: Bereinigen
Wenn Sie den Testserver im privaten Subnetz nicht mehr benötigen, beenden Sie die Instance, damit sie Ihnen nicht mehr in Rechnung gestellt wird. Weitere Informationen finden Sie unter [Beenden Ihrer Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html) im *Amazon-EC2-Benutzerhandbuch*.
Wenn Sie die NAT-Instance nicht mehr benötigen, können Sie sie anhalten oder beenden, sodass sie Ihnen nicht mehr in Rechnung gestellt wird. Wenn Sie ein NAT-AMI erstellt haben, können Sie bei Bedarf jederzeit eine neue NAT-Instance erstellen.