Najo, das ist eigentlich ganz einfach, wenn man das mal aus IPv4-Sicht sieht: Wieviele "öffentliche" IP-Adressen hattest Du früher? Genau... "eine". Da hätten jetzt "mehrere" Geräte durchaus ein Problem. Das Problem wurde zwar schon vor langer Zeit "gelöst" in Form von IPv6, wo jedes Gerät seine eigene öffentliche IP-Adresse bekommt, es kommt aber nur sehr schleppend voran (wobei schon viel umgestellt ist).
Bei IPv4 hat man damals einfach zwischen öffentlichen und privaten Bereichen unterschieden. Privat ist z.B. 192.168.0.0/16. Verlassen Pakete mit diesen Quell-IPs das lokale Netz und wandern ins Internet, werden sie sofort verworfen. Das kann man ein bisschen mit folgendem Szenario vergleichen: Du fragst mich, wo ich wohne. Meine Antwort lautet: Zimmer 3 in Hausnummer 5! (192.168
.5.3), faktisch kann das aber "überall" sein. Das gleiche gilt für den privaten IP-Bereich.
Nun war man damals nicht so gönnerhaft mit IP-Adressen, das ursprüngliche alte Konstrukt (1 Rechner -> 1 Modem) war so langsam auch überholt. Findige Leute haben sich damals mittels Linux-Servern eigene Router für die LAN-Party, etc. gebaut. Heisst: Ein Rechner hat "Router" gespielt (Pakete rein, Pakete raus und vor allem auch: Pakete mit der WAN-IP maskieren). Später kamen dann die Router, die man heutzutage halt so kennt. Wählen sich beim Provider ein, nehmen die Maskierung automatisch vor und stellen intern ein Netz bereit inkl. weiteren benötigten Diensten (DHCP/DNS).
Damit der kleine Kasten dann noch mehr konnte, hat man auch direkt noch WLAN mit dazu gepackt. Das hat sich eine geraume Zeit gehalten, aber mittlerweile stopft man halt alles rein, was nur irgendwie geht, das gleiche sieht man derzeit auch bei den NAS-Geräten. Bei mir ist die Fritzbox halt was sie "ist" - ein Router. Da läuft kein WLAN, kein Smarthome-Zeugs, nix mit irgendwelchen USB-Speichern, kein Telefon, nada. Einfach nur "Pakete rein, Pakete raus, Maskierung für alles was ins Internet geht", dahinter läuft allerdings eine Firewall - ganz ähnlich wie bei Dir, nur mit mehreren Netzen hinter der Firewall.
Was damals noch immer so ein "Argument" war - wo doch die Rechner mit Modem immer "direkt" am Netz hingen - "Sicherheit", denn durch den vorgeschalteten Router (und die damit verbundene Firewall, welche per Standard sagt: "Alles darf raus und nix darf rein (was nicht vorher von innen angefragt wurde)"), zudem wurden die "eigentlichen" IP-Adressen der Clients durch via NAT "verschleiert" und waren somit von aussen bzw. in den Paketen nicht mehr sichtbar, sobald sie das lokale Netz verlassen haben.
Wenn Du irgendwann dann mal mit IPv6 zu tun hast, wirst Du feststellen, dass es da kein NAT mehr gibt bzw. wird es auch nicht mehr benötigt. Es gibt zwar noch "interne" IP-Adressen, aber jedes Gerät kriegt auch seine eigene öffentliche IP, damit ist das Thema "Routing" eigentlich auch direkt durch. Was zum Schluss noch bleibt, sind eben die Firewall-Regeln am WAN-Router.
Btw das mit dem NAT kennst Du sogar schon mehrfach: Dieses "standardmässige" von den Routern ist ein SNAT (Source-NAT / Quell-NAT) und besagt: Alles was von dort kommt, wird mit X übersetzt (LAN -> WAN-IP). Das Gegenstück dazu ist das DNAT (Destination-NAT / Ziel-NAT), bei IPv4 wäre das die klassische Portweiterleitung (externen Port X weiterleiten auf interne IP Port Y). Wenn Du an Deinem WAN-Router eine Portweiterleitung machst, passieren da übrigens "2" Dinge (vielleicht kannst Du es Dir hier schon denken). Zum einen findet ein DNAT statt, zum anderen wird aber auch eine Firewall-Regel erzeugt. Ich erwähne das, da es nicht immer bei allen Systemen so ist. So manch einer hat schon eine Portweiterleitung erstellt und sich gewundert, warum denn nix funktioniert. Alternativ auch gern andersrum - Firewall-Regel erstellt, aber die NAT-Regel hat gefehlt.
Also nochmal kurz zusammengefasst: "IPv4-Geiz" (ist bei IPv6 aber Schluss mit, öffentliche IPs für alle) und "Sicherheit" (durch Verschleierung und zusätzliche Firewall).
Weiss ja nicht, was Du sonst noch so treibst, aber ich geb Dir nochmal ein kurzes praktisches Beispiel mit an die Hand:
2 Netze werden über eine Site2Site-VPN-Verbindung verbunden. Ein Netz davon ist Deins (192.168.101.0/24), das andere ist meins (192.168.102.0/24). Nun kennen unsere Router die jeweilige Gegenstelle, womit Clients aus unseren beiden Netzen sich auch gegenseitig ansprechen können. Jut, soweit klar, aber nun hatte ich ja vorhin irgendwann erwähnt, dass ich mehrere Netze bei mir habe z.B. 192.168.103.0/24. Weil ich nicht möchte, dass Du dieses Netz erreichen kannst, ist es auch nicht Teil der VPN-Verbindung und somit hat Deine Seite auch keinerlei Infos über diese Netze.
So... nun möchte ich aber mit einem Client aus einem Netz - welches nicht Teil der VPN-Verbindung ist (192.168.103.0/24) - auf ein Gerät in Deinem Netz (192.168.101.0/24) zugreifen. Für mich funktioniert das zumindestens ausgehend. Das Paket wird bei Dir ankommen (Quell-IP z.B. 192.168.103.100), das Problem liegt aber darin, dass bei Dir niemand den Weg zu diesem Netz kennt. Was macht man, wenn man den Weg nicht kennt? -> Standard-Gateway, das wird schon Bescheid wissen... Dein Router weiss nur auch nichts von diesem Netz, also schickt er die Antwort weiter an sein Standard-Gateway (Internet), dort wird die Antwort dann einfach verworfen.
Die (unsaubere) Lösung wäre nun, dass ich meinerseits einfach eine NAT-Regel erstelle:
Quelle: 192.168.103.0/24
Ziel: 192.168.101.0/24
Maskierung: IP = z.B. 192.168.102.1
Die Netze 101 und 102 kennen sich ja, also kann das Gerät bei Dir die Antwort zu dem Gerät bei mir schicken, welches das ganze dann wiederum weiterleitet an die ursprüngliche IP des anfragenden Clients.
So, somit haben wir uns nun auch direkt kennengelernt, denn...
...und...
...beisst sich meist, da ich gerne auch mal etwas weiter und ausführlicher aushole
Ansonsten wäre die Antwort auch eher Ruhrpott-typisch ausgefallen in Form von "isso"
Falls noch irgendwas unklar sein sollte, einfach fragen, ich kann ja auch versuchen mich kurz zu fassen