Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Portfreigaben für Playstation 4 - was ist die saubere/sichere Lösung?

    Scheduled Pinned Locked Moved Deutsch
    17 Posts 5 Posters 4.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • m0njiM
      m0nji
      last edited by

      @raaalf:

      Was mir nicht klar ist: Warum ist
      allow 1024-65535 192.168.178.40/24 1024-65535  -> falsch
      und
      allow 1024-65535 192.168.178.40/32 1024-65535  -> richtig

      Weil du mit der 24er Maske die Begrenzung auf die einzelne IP wieder aufhebst und alle 254 Adressen Zugriff auf den Service haben.

      @raaalf:

      Als Subnetmask für das Interface 10_100_MBit (daran sind alle Clients wie die PS4 etc. angeschlossen) ist 255.255.255.0 definiert. Das entspricht in der CIDR-Notation /24. Ist /32 eine Besonderheit?

      Das ist korrekt, dass Interface soll ja auch alle 254 Adressen ansprechen können. /32 ist keine Besonderheit sondern einfach die Maske 255.255.255.255.

      @raaalf:

      Die im Service UPnP & NAT-PMP eingestellte Bandbreitenbegrenzung funktioniert nicht bzw. die PS4 geht nicht über den DSL-Anschluß ins Internet wie eigentlich unter UPnP & NAT-PMP eingestellt. Das erkenne ich an der in der PS4 angezeigten Internetgeschwindigkeit.

      Ich habe:

      • In der FRITZ!Box für den DSL-Anschluß für die pfSense "Exposed Host" eingestellt

      • Den Service UPnP & NAT-PMP aktiviert und wie im Screenshot zu sehen konfiguriert

        (zum Vergrößern bitte anklicken)

      • Alle Clients bekommen per DHCP von der pfSense eine statische IP zugeweisen

      • Das Gateway DSL_DLINK_UNTEN der FRITZ!Box für den DSL-Zugang ist unter System/Routing/Gateways/Edit als Default-Gateway konfiguriert

      • Die Playstation 4 wurde aus den Regeln für die Bandbreitenbegrenzung entfernt

      Für mich sieht es so aus als würde der UPnP & NAT-PMP-Service die in der UPnP Access Control Lists eingetragene IP der PS4 (192.168.178.40) - laienhaft ausgedrückt - nicht erkennen?

      Ob die Banbreitenbegrenzung im UPnP Service funktioniert, kann ich dir nicht sagen. Habe ich selber noch nie ausprobiert. Dafür gibts ja eigentlich die Limiter.
      Den besagten Gateway überprüfst du an der falschen Stelle. Der Default Gateway greift dann, wenn du unter "Firewall -> Rules -> Interface 10_100_MBit" ins Internet keine anderen Gateways als den Default definiert hast. Da du ja aber 2 Leitungen hast, hast du an dieser Stelle definiert, welche Endgeräte über welche Leitung gehen sollen. Oder hast du das noch gar nicht definiert? Dann stellt sich allerdings die Frage wozu 2 WAN Leitungen an der pfSense hängen ;)

      Ob UPnP funktioniert, kannst du unter Status -> UPnP prüfen. Hier werden dann die Hosts aufgelistet, die gerade einen Port geöffnet haben.
      Zum Thema DHCP. Du musst im DHCP Service einzelne Hosts anlegen mit den MAC Adressen und dann eine IP außerhalb des DHCP Bereiches verwenden. Anhand deiner Beschreibung kann ich mir nicht vorstellen, dass du JEDEM Endgerät eine statische IP zugewiesen hast über den DHCP Service. Hoffe hier kommt es nicht zu einem Kommunikationsproblem.

      Intel i3-N305 / 4 x 2.5Gbe LAN @2.7.2-Release
      WAN: Vodafone 1000/50, Telekom 250/40; Switch: USW Enterprise 8 PoE, USW Flex XG, US-8-60W; Wifi: Unifi 6 Lite AP, U6 Mesh

      1 Reply Last reply Reply Quote 0
      • C
        ceofreak
        last edited by

        Hab nen Artikel zu dem Thema NAT Type 3 bzw Strict NAT geschrieben, vlt hilfts dir.

        https://goo.gl/MtEkSP

        Ceo

        1 Reply Last reply Reply Quote 0
        • m0njiM
          m0nji
          last edited by

          @ceofreak:

          Hab nen Artikel zu dem Thema NAT Type 3 bzw Strict NAT geschrieben, vlt hilfts dir.

          https://goo.gl/MtEkSP

          Ceo

          Schöner Artikel. 2 Anmerkungen aber dazu.
          1. Damit bekommst du vielleicht NAT Typ 2 (wie auch schon von dir erwähnt). Für NAT Typ 1 benötigst du aber noch eine Firewall NAT Rule für alle möglichen Ports oder aber UPnP, wie oben beschrieben.
          2. Erwähnt werden sollte vielleicht auch: bei mehreren Konsolen oder aber PCs und Konsole im Haushalt funktioniert das so nicht mehr. Mit der Static Port Regel verbietest du jedem anderen Gerät diesen Port nach außen zu benutzen. Static Port = first come, first serve

          Fazit: Für NAT Typ 2 funktionieren beide Varianten. Static Port Outbound Regel ODER UPnP. Für NAT Typ 1 benötigst du beide Sachen. Sobald mehrere Konsolen oder PCs/Konsole benutzt werden, darf man keinesfalls die Static Port Variante benutzen. Bei Static Port gilt…"es kann nur einen geben" (Highlander...)

          Intel i3-N305 / 4 x 2.5Gbe LAN @2.7.2-Release
          WAN: Vodafone 1000/50, Telekom 250/40; Switch: USW Enterprise 8 PoE, USW Flex XG, US-8-60W; Wifi: Unifi 6 Lite AP, U6 Mesh

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            falls du dann immer noch kein nat typ 1 bekommst, ist zusätzlich noch unter firewall - nat - outbound eine manuelle regel notwendig für den static port. bei mir ist das aber bisher in keinem spiel am pc notwendig gewesen.

            NAT Typ 1 wird er nie bekommen, das wäre direkte Verbindung mit dem Internet. Aber NAT Typ 2 gibts mit UPNP problemlos, ansonsten gibts Typ 3 - ergo closed - und das gibt Mecker mit dem Kleinvolk ;)

            Viel bescheidener wird es dann bei mehreren Playstations.

            Funktioniert bei uns Gott sei Dank problemlos. Beide UPNP, beide Typ 2, beide bislang problemlos online auch zusammen im gleichen Spiel. Also alles fein :)

            Fazit: Für NAT Typ 2 funktionieren beide Varianten. Static Port Outbound Regel ODER UPnP. Für NAT Typ 1 benötigst du beide Sachen. Sobald mehrere Konsolen oder PCs/Konsole benutzt werden, darf man keinesfalls die Static Port Variante benutzen. Bei Static Port gilt…"es kann nur einen geben" (Highlander...)

            Die Anmerkung mit static Port ist auch irreführend. Natürlich macht es Sinn AUCH der 2. PS4 bspw. static Port einzurichten. Denn: a) nicht immer sind beide gleichzeitig an, b) bekommen beide durch uPNP ihre eigenen Ports zugewiesen und machen sich diese auf und nicht jeder Multiplayer Titel benötigt gleiche Ports. Aber: wenn der abgehende Port bei der Outbound NAT umgeschrieben wird, kanns häufig mal Probleme geben mit den Kisten, deshalb ist es nicht verkehrt das für beide zu setzen.

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • m0njiM
              m0nji
              last edited by

              Kann ich leider so nicht bestätigen JeGr. Gerade Titel wie Battlefield oder Counterstrike sind hier sehr sehr penibel. Bei Counterstrike und Static Port können 2 Spieler nicht auf den gleichen Server. Bei Battlefield ist es noch bescheidener. Port 3659 UDP wird zwingend vorausgesetzt. Titel wie Call of Duty lösen das besser, weil hier die Clients ab 3074 UDP anfangen und dann hochzählen. Nur der Call of Duty Server benötigt zwingend 3074. Static Ports ist absolut kein Allheilmittel, wie oft beschrieben wird. Deswegen gibts im Netz so extrem viele und unterschiedliche Guides. Diese Guides sind meist nur für ein bestimmtes Spiel.

              Zum Thema PS4 und NAT Typ 1 will ich meine Hand nicht für ins Feuer legen. Ich weiß aber, dass die Verbindung aus UPnP + Static Port Outbound NAT = NAT Typ 1 bei Call of Duty und Rainbow Six Siege. Sind zumindest meine Ergebnisse nach mehreren Tests mit unterschiedlichen Configs.

              Wahrscheinlich ist die Definition von NAT Typ 1 auch nicht überall gleich. Das man für NAT Typ 1 eine Direktverbindung benötigt, habe ich auch schon mehrfach gelesen.
              Es gibt halt leider nicht DIE Anleitung, die überall funktioniert. Für mich gibt es zumindest die wenigsten Probleme mit aktivierten UPnP aber deaktivierten Static Port.

              Intel i3-N305 / 4 x 2.5Gbe LAN @2.7.2-Release
              WAN: Vodafone 1000/50, Telekom 250/40; Switch: USW Enterprise 8 PoE, USW Flex XG, US-8-60W; Wifi: Unifi 6 Lite AP, U6 Mesh

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                Static Ports ist absolut kein Allheilmittel, wie oft beschrieben wird. Deswegen gibts im Netz so extrem viele und unterschiedliche Guides. Diese Guides sind meist nur für ein bestimmtes Spiel.

                Habe ich auch nicht behauptet, sondern in Verbindung mit uPNP genügt es zumindest uns problemlos. Dass es im Einzelfall sein kann dass es nicht klappt - ja schade. Aber das ist dann Spielspezifisch und die Probleme dürften dann genauso bei 2 PCs auftreten, wenn beide abgehend den gleichen Port nutzen. Ich hatte bei zwei Kisten mit Typ 2 bislang keine Probleme mit irgendwas, aber CS oder BF sind für mich auch keine Konsolenspiele, vielleicht daher kein Problem.

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • R
                  raaalf
                  last edited by

                  Guten Abend,

                  ich bitte um Entschuldigung aber ich muss mich nochmal zu dem Thema an euch wenden. Leider komme ich keinen Schritt weiter bzw. die PS4 zeigt trotz aller - meiner Meinung nach korrekten - Einstellungen in der pfSense nach wie vor NAT3 an.

                  Vielleicht entdeckt ihr Experten einen Fehler in meiner Konfiguration oder habt noch einen Tipp?






                  (Zum Vergrößern bitte anklicken)

                  Unter "StatusUPnP & NAT-PMP" wird auch der Verbindungsaufbau der PS4 zu einem UDP-Port protokolliert. Sonst passiert jedoch nichts.

                  Bei der den DSL-Zugang herstellenden FRITZ!Box 7270 wurde für die IP der pfSense die Option "Exposed Host" eingestellt. Damit ist für die pfSense das Internet über den DSL-Zugang ohne jede Beschränkung verfügbar.

                  Die PS4 erhält eine statische IP (192.168.178.40). Diese IP wurde dem DSL-Zugang zugewiesen und bandbreitenbegrenzt. Die Zuweisung zum DSL-Zugang und die Bandbreitenbegrenzung funktionieren. Zumindest zeigt die PS4 unter "Geschwindigkeit (Download)" und "Geschwindigkeit (Upload)" je 1 MBit/s an. Die Bandbreitenbegrenzung ist leider erforderlich.
                  Grüsse

                  Ralf

                  1 Reply Last reply Reply Quote 0
                  • E
                    esquire1968
                    last edited by

                    Hallo!

                    Ich habe die Diskussion aufmerksam verfolgt und bin nun mit meiner Konfiguration nicht mehr ganz sicher.

                    Ich habe 2 Konsolen (PS4 und Wii) in einem Alias zusammengefasst und lediglich folgenden NAT/Oubound Eintrag erstellt:

                    Edit adwanced Outbound NAT Entry
-------------------------------------------
Interface		WAN
Protocol		any
Source			Alias Local_Consoles:32
Destination		Any

Translation
-------------------------------------------
Address			Interface Address
Port or Range	[leer]  Static Port [aktiv]

                    Damit bekomme ich auf der PS4 problemlos NAT2 was ja bekanntlich für das Online-Spielen reicht. NAT1 ist ja offensichtlich nicht möglich und auch nicht erforderlich.

                    Ist an meiner Einstellung etwas problematisch? Ich frage deshalb, weil in dieser Diskussion doch wesentlich mehr Einstellungen besprochen wurden.

                    Gruß,
                    Thomas

                    1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator
                      last edited by

                      @esquire Finde ich nicht. Ich habe auch nur die Konsolen alle per Static Port rausgeschickt und zusätzlich für die Konsolen eben noch uPNP laufen, das genügt denen bisher für alles was wir so drauf spielen mit den Kids. Allerdings spielen wir da auch selten was, was lokale Server oder sowas benötigt, vielleicht hatten wir deshalb die letzten Jahre einfach Glück ;) Aber weder Destiny (1/2) noch GR: Wildlands noch GTA oder sonstwas hat bislang gemeckert. Und das auch wenn beide Konsolen von uns in einem Match mit drin waren.

                      Grüße

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 0
                      • R
                        raaalf
                        last edited by

                        Hallo,

                        auf das Post von Thomas hin habe ich in meiner Konfiguration unter Firewall/NAT/Outbound folgende Regel (siehe unten) angelegt und zusätzlich die Einstellung auf "Hybrid Outbound NAT rule generation. (Automatic Outbound NAT + rules below)" geändert. Damit erhält die PS4 NAT2.

                        Was ich nicht einschätzen kann ist, ob diese Konfiguration ein Sicherheitsrisiko darstellt. Ich hoffe nicht.


                        (zum Vergrößern bitte anklicken)

                        Grüsse

                        Ralf

                        1 Reply Last reply Reply Quote 0
                        • JeGrJ
                          JeGr LAYER 8 Moderator
                          last edited by

                          Warum Sicherheitsrisiko? Das ist Outbound NAT. Inbound wird ja deshalb nicht mehr erlaubt als vorher (außer du hast upnp-natpnp aktiv). Und selbst wenn von außen Verbindungen erlaubt sind - dass man via direkter Spielverbindung eine PS4 hackt davon ist mir bislang noch nichts untergekommen ;)

                          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                          1 Reply Last reply Reply Quote 0
                          • R
                            raaalf
                            last edited by

                            Hallo JeGr,

                            upnp-natpnp ist bei mir aktiv, exclusiv für die IP der PS4. Da ich mangels hinreichenden Kenntnissen zu den Konfigurationsmöglichkeiten nicht einschätzen kann,  welche Auswirkungen die von mir vogenommenen Einstellungen auf die Sicherheit der pfSense bzw. des Netzwerks haben, frage ich nach.

                            Gibt es außer dem von heise.de angebotenen

                            https://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

                            Gibts es weitere Test, die auf offene Ports etc. prüfen? Bzw. wie kann die Sicherheit der pfSense-Konfiguration geprüft werden (Stresstest)? Wie geht man dabei vor?

                            Grüsse

                            Ralf

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.