Nintendo Switch - Doppeltes NAT

mrsunfire

@altmetaller Ich habe bei der Switch keinen Port geöffnet und nutze auch generell kein UPnP. Was funktioniert denn nicht?

altmetaller

@mrsunfire Ich bekomme nur den NAT „Type D“

mrsunfire

@altmetaller Und? Dürfte nichts ausmachen.

altmetaller

@mrsunfire Steht doch u.A. auch in der Dokumentation, was das „ausmacht“?!?

Und das lässt sich hier durchaus bestätigen…

Dobby_

Ich würde die Nintendo Switch direkt an die AVM FB anschließen wollen, zum Einen hat man dann den ganzen
Traffic nicht im LAN und zum Anderen ist es so, dass die
Switch an der AVM FB selbständig die Ports öffnen kann!

Muss man eben dort nur so konfigurieren.

Heimnetz > Netzwerk > Gerät auswählen

Ab dann kann die Switch die Ports selbständig öffnen die Sie
benötigt.

altmetaller

@dobby_ Funktioniert das wirklich bei Dir?

Weil: Das wäre dann doch die uPnP-Funktion, von der ich geschrieben habe, dass sie die Switch nicht hat (zumindest meine nicht).

Falls es bei Dir geht: Welchen Firmwarestand hat deine Switch und welches Protokoll nutzt sie, um die Ports in der FB zu öffnen?

Dobby_

@altmetaller

Funktioniert das wirklich bei Dir?

Ich habe eine Mediareceiver und ein Internetradio
an der AVM FB dranhängen (FB7490 Labor Firmware 7.51)
und die öffnen selbständig die Ports die sie brauchen und
diese werden bei längerer Nichtbenutzung auch wieder geschlossen.

Weil: Das wäre dann doch die uPnP-Funktion, von der
ich geschrieben habe, dass sie die Switch nicht hat
(zumindest meine nicht).

Ich denke die uPnP Funktion der AVM FB ist da locker besser zu geeignet als die der pfSense und das Hauptgrund ist folgender;

Wenn an der AVM mit der Nintendo Switch etwas schiefläuft, ist das LAN hinter pfSense immer noch gut geschützt!

Falls es bei Dir geht: Welchen Firmwarestand hat deine Switch und welches Protokoll nutzt sie, um die Ports in der FB zu öffnen?

Also ich weiß nur dass es bei anderen Leuten so funktioniert hat, da ich eben selber keine
Nintendo Switch besitze!

• AVM FB auf die letzte aktuelle Firmware updaten
• uPnP an der AVM FB aktivieren
• Die Nintendo Switch unter Heimnetz suchen
• Unter Heimnetz "Nintendo Switch" aktivieren (immer die selbe IP Adresse vergeben)
• Bei der selben Einstellung (Heimnetz > Netzwerk > NSwitch) die selbständige Portfreigabe aktivieren!
• Fertig.

Heimnetz > Netzwerk > Nintendo Switch

• Diesem Netzwerkgerät immer die gleiche IP-Adresse zuweisen.
• Selbstständige Portfreigaben für dieses Gerät erlauben

Heimnetz > Netzwerk > Netzwerkeinstellungen

• Statusinformationen über UPnP übertragen

Und dann einfach mal ausprobieren, im Menü der AVM seihst Du dann ja ob Ports geöffnet wurden!

Bob.Dig

@dobby_ Ein Internetradio braucht aber keinen offenen Port.

Ich zock ja lieber mit yuzu.

altmetaller

@dobby_ Es geht um den nicht vorhandenen uPnP-Client der Switch. Nicht um den uPnP-Server des Routers…

Und darum, ob man das irgendwie konterkarieren kann ohne die Switch zum Exposed Host zu machen.

Du verstehst nicht wirklich, worum es hier geht, oder? Seufz :-(

JeGr

@mrsunfire said in Nintendo Switch - Doppeltes NAT:

@altmetaller Ich frage mal ganz anders: wieso wird nicht ein Modem genutzt und so die NAT Probelmatik aus der Welt geschafft?

Was hat alle Welt immer ein Problem mit NAT44? Jessas. Spätestens wenn man mit DSlite oder CGNAT "gesegnet" ist, ist es eh vollkommen egal ob du Modem oder Router machst, weil von außen ohne weiteres nix mehr bei dir ankommen wird. Ganz egal ob Modem oder Router. Solangs dann nicht IPv6 ist, wird alles andere tot sein.

@altmetaller said in Nintendo Switch - Doppeltes NAT:

@mrsunfire Ich bekomme nur den NAT „Type D“

https://forum.netgate.com/topic/112631/nintendo-switch-needs-static-port-on-its-outbound-nat

Also Typ D ist schon fies. Aber soweit ich da rauslese, sollte das zumindest verbesserbar sein. Ich hatte tatsächlich auch schon das ein oder andere Switch Spiel am Start das problemlos lief auch ohne uPNP, static NAT outbound mache ich für alle Konsolen und Kram, das gibt bei den meisten eigentlich immer zumindest "moderate NAT" o.ä. so dass die größtenteils verbindungsfähig sind. Eingehend geht dann meist nichts, hatte ich aber tatsächlich noch kein Spiel, was das unbedingt brauchte (zumindest auf der Switch).

Hast du für die Kiste outbound mal static NAT versucht?

Ich muss mal schauen, was meine anzeigt...

Edit: Gerade nachgeschaut. Mit meinen üblichen Settings (eigenes VLAN, VLAN Bereich der Konsolen hat outbound static NAT, etc.) bekommt die Switch nen NAT Typ von B bescheinigt. Nicht A, klar, aber wie gesagt, B hat bei mir für den allermeisten Kram vollauf gereicht. A wirs wahrscheinlich wirklich nur "nackt am Netz" irgendwie geben. Nintendo schrieb irgendwo dazu:

In a Nintendo Switch, there are 5 NAT types: A, B, C, D and F.
If your console has NAT type A, that’s an indication that it will work with other devices with all types of NAT.
NAT type B is okay as it can work with most types of NAT also.
A Switch with NAT type C may find it hard to connect with some players that have restrictive NAT types.
NAT type D is restrictive since it can only work with players that have NAT type A.
NAT type F is really problematic as it blocks all types of communication, which means that your Switch will not be able to connect with other players at all.

Mit D ist man da somit recht klar im off, wie man offene Spieler braucht, die mit A semi-nackig im Netz hängen. B sollte aber wie gesagt mach- und erreichbar sein.

Cheers
\jens

altmetaller

@jegr said in Nintendo Switch - Doppeltes NAT:

Was hat alle Welt immer ein Problem mit NAT44? Jessas.

Ohne jetzt zu sehr vom Thema abweichen zu wollen: Seitdem es Fernsehserien wie "The big bang theorie" gibt denken Menschen, dass Wissen attraktiv macht. Daraus resultiert der Zwang, sich zu jedem Thema äußern zu müssen und gebetsmühlenartig jedes Mantra zu wiederholen, dass sie irgendwo mal aufgeschnappt haben.

Die Probleme mit doppeltem NAT sind tatsächlich seit gefühlt 20 Jahren obsolet (spätestens mit der Einführung von u-PnP). Ganz abgesehen davon, dass in diesem Fall im Modembetrieb die gleichen Probleme auftreten (würden)

Hast du für die Kiste outbound mal static NAT versucht?

Ja. Hatte aber nicht funktioniert. Ich habe, angeregt durch deine Erfahrung dass es so "eigentlich gehen müsste" die Outboundregel neu eingerichtet und jetzt funktioniert es auch bei mir.

NAT Typ von B

Bestätige. Ich denke, damit können wir beide leben

Aber jetzt noch mal ganz doof gefragt: Was genau habe ich damit jetzt eigentlich eingerichtet? Ich habe ja zwei Regeln für die Switch (eine zielt auf die W-LAN IP, die andere auf die IP von der LAN-Schnittstelle).

Wenn jetzt so 'n Datenpaket von Extern angetrudelt kommt: Woher weiß die pfSense, an welche IP sie das schicken soll? So richtig entspricht das ja nicht dem klassichen NAT-Gedanken?

Liebe Grüße,
Jörg

JeGr

@altmetaller said in Nintendo Switch - Doppeltes NAT:

Ja. Hatte aber nicht funktioniert. Ich habe, angeregt durch deine Erfahrung dass es so "eigentlich gehen müsste" die Outboundregel neu eingerichtet und jetzt funktioniert es auch bei mir.

Jawollo :) Sehr fein.

@altmetaller said in Nintendo Switch - Doppeltes NAT:

Aber jetzt noch mal ganz doof gefragt: Was genau habe ich damit jetzt eigentlich eingerichtet? Ich habe ja zwei Regeln für die Switch (eine zielt auf die W-LAN IP, die andere auf die IP von der LAN-Schnittstelle).

Nu da ist eigentlich recht fix erklärt. Wenn du jetzt nicht noch irgendwas als Port Forwarding drin hast (solltest du nicht?) passiert bei eintrudelndem Paket von extern - gar nichts :) Weil keine Redirection eingerichtet ist.
Was aber das Outbound Package Handling von NAT angeht: Es gibt einige Dienste/Geräte (Konsolen/Spiele bspw., aber auch VoIP und IPsec sind da mit dabei) die reagieren derbe mies darauf, wenn sie ausgehend einen Port aufmachen (und reporten), der dann auf dem outbound Gateway nochmal umgeschrieben wird. Genau das macht aber pfSense aus Sicherheitsgründen und randomisiert die ausgehenden Client-Highports. Im Normalfall sollte das nämlich egal sein (browsing bspw.) aber den Diensten ist es das nicht, denn sie kommunizieren in den Datenpaketen mit, dass sie über Quellport XY sprechen, kommen dann aber mit YZ beim Ziel an und das ist dann verwirrt. Daher die tiefe NAT Einstufung. Macht man static outbound NAT ohne Port Randomization geht Port 50156 der Switch bspw. auch als 50156 aus der pfSense raus und Antworten daran kommen auch wieder sauber an. Ähnlich wie beim STUN Problem fragen die eben auch: "hey ich habe dir was mit 50156 geschickt, ist das auch angekommen?" und wenn das nicht passt, gehen dir runter auf C/D. Wenn das aber passt versuchen sie noch auf dem Port was anzunehmen -> klappt das nicht, gibts ein B, sonst ein A weil ja transparent ein x-beliebiger Highport aufgemacht und weitergeleitet werden konnte. Mit B sind aber die meisten eben schon zufrieden, warum ich ja wie weiter oben beschrieben den Aufriß wegen Doppel, Trippel oder Quadruppel NAT nicht verstehe

Klar, irgendwelche Cheapskate Spiele mit purer P2P Anbindung ohne alles die komplett "elastisch" gebaut sind bekommt man damit nicht glücklich, die sterben aber eh aus, weil die meisten Spieler heute zumindest mit sowas wie CGNAT, NAT44, DSlite oder ähnlichem geschlagen sind. Und daher müssen die meisten Spiele inzwischen zumindest mal Connection Server wie Teamviewer/Anydesk/etc. anbieten, damit sich die Client mit Hole-Punching o.ä. eben zusammen connecten können.

altmetaller

@jegr Ja, fein. Lieben Dank!

Bei der X-Box (One) ist mir aufgefallen, dass die per uPnP Port 3074 aufmacht und darüber Teredo (schauder!) fährt.

Ich gucke mir die nächsten Tage mal an, Laut Microsoft soll die nämlich auch in der Lage sein, ohne Teredo Ports direkt zu öffnen bzw. zu nutzen...

JeGr

@altmetaller said in Nintendo Switch - Doppeltes NAT:

Bei der X-Box (One) ist mir aufgefallen, dass die per uPnP Port 3074 aufmacht und darüber Teredo (schauder!) fährt.

Teredo ist leider so ne MS Seuche, aber AFAIR haben sie das später abgestellt bzw. selbst in Windoof inzwischen runtergefahren. Aber nervig allemal. Teredo nimmt die eigentlich eher für v6 Tunneling nicht für den Rest.
XBoxen können aber eigentlich wie PS auch uPNP und sich damit ne Öffnung bohren, aber auch da reicht (für meinen Gebraucht) allermeistens das static port freigeben für die meisten Spiele :)