Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    NAT auf LAN-Party mit einer public IP und mehreren Gamern

    Scheduled Pinned Locked Moved Deutsch
    11 Posts 3 Posters 1.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • m0njiM
      m0nji
      last edited by

      Hallo zusammen,

      ich werde in 2 Wochen mal wieder eine kleine LAN mit ein paar Kollegen (14 Personen) machen und in den letzten Jahren hatten wir immer extreme Probleme mit dem NAT. Entweder sind wir bei 2-3 gleichzeitigen Spielern aus Battlefield 3 geflogen oder hatten bei CoD MW3 immer Strikt NAT oder konnten zusammen nie CSS auf dem gleichen Server spielen. FIFA hatte ebenfalls Probleme.

      Kurz zur Konfiguration vor Ort und meiner angedachten Konfiguration:
      WAN 50/10 Mbit Fritzbox 7390 (192.168.178.1)
      WAN Upstream pfSense (192.168.178.100) -> ist auch als „Exposed Host“ in der Fritzbox konfiguriert
      LAN pfSense 172.21.21.0/24
      LAN Clients 172.21.21.150 – 185 (DHCP)
      System – Advanced – Firewall & NAT

      Screenshot NAT1

      Services UPNP

      Screenshot NAT2

      Firewall – NAT – Outbound
      Automatic NAT Outbound rule generation

      Ich bekomme leider erst nächste Woche noch ein Notebook mit einem 2. Steam und Origin Account, damit ich es live testen kann aber ich würde mich im Vorfeld freuen, wenn es ein paar Infos und Anregungen gibt von euch, ob das Setup so passen sollte oder ob ich noch etwas verändern sollte.

      Danke m0nji

      NAT1.PNG
      NAT1.PNG_thumb
      NAT2.PNG
      NAT2.PNG_thumb

      Intel i3-N305 / 4 x 2.5Gbe LAN @2.7.2-Release
      WAN: Vodafone 1000/50, Telekom 250/40; Switch: USW Enterprise 8 PoE, USW Flex XG, US-8-60W; Wifi: Unifi 6 Lite AP, U6 Mesh

      1 Reply Last reply Reply Quote 0
      • P
        pfadmin
        last edited by

        Moin,

        schmeiß die pfsense raus. Für deine LAN-Party sehe ich da keinen Sinn, außer Ärger mit doppeltem NAT. Oder schmeiß die Fritze raus und nimm ein reines Modem. Oder schalte wenigstens das NAT in der pfsense aus.

        Gruß
        pfsense

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          @pfadmin

          Komisch, wir mussten weder das eine noch das andere…  Aber wenn eh schon klar ist, dass es dort nicht um Sicherheit o.ä. geht, würde ich ggf. auch auf die pfSense verzichten und einfach die Fritzbox nehmen. Trotzdem: die pfSense mit Doppel-NAT und halbwegs sinnvoll konfigurierten uPNP hatten wir weder mit Konsolen noch mit Multiplayer aus dem gleichen Netz Probleme.

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • P
            pfadmin
            last edited by

            Von Sicherheitsanforderung hat er nichts geschrieben. Zu meiner Zeit stand der Server im LAN und einen ISDN Uplink konnten wir uns nicht leisten  8)
            Wenn man UPNP einsetzt, braucht man doch keine pfsense mehr, oder? Ich habe am Wochenende versucht Rainbow 6 Siege auf einem PC zum laufen zu bekommen bzw. die Verbindung zu einem Server herzustellen. Da weiss doch tatsächlich keiner, welche Ports das Ding von außen auf haben will und auch nicht wozu überhaupt. Verschiedenste Varianten inkl. Port 80 und 443 wurden verlangt. Wer programmiert denn bitte sowas? Das Spiel kann zum Server rausbimmeln und der Rest kann doch auf dieser Leitung zurückkommen. Ganz zu schweigen von der Überzeugungsarbeit, dass NAT wirklich nicht abzuschalten geht, ohne die Kiste direkt per PPPOE ins Internet zu hängen. Da wird dem Gamer irgendwas von strikter und offener und NAT vorgegaukelt und der "Admin hat wieder was blockiert". Komischerweise  hatte nur ein andere Teilnehmer Probleme, die angeblich auf unsere "strikte NAT" zurückzuführen sind. Machen die Spiele P2P und können dazu die Tricks von vor 10 Jahren nicht, um NAT zu umgehen?

            Wie stellst du denn uPNP sinnvoll ein, ohne den Sinn einer pfsense zu unterlaufen? Temporär? Ich bin ja nur interessierter Laie und kein gelernter ITler ::)

            Gruß
            pfadmin

            1 Reply Last reply Reply Quote 0
            • m0njiM
              m0nji
              last edited by

              Hallo,

              prinzipiell gebe ich euch Recht und es wäre fast das sinnvollste alles über die Fritzbox laufen zu lassen. Aber ich muss dazu sagen, es ist eine über die Jahre gewachsene Konfiguration. Bis letztes Jahr mussten wir mit einer Multiwan Lösung leben aus 2Mbit DSL und 5Mbit LTE (war künstlich gedrosselt wegen Traffic Volumen). Damit hatte die pfSense schon ihre Daseinsberechtigung. Zusätzlich kam immer noch ein ESXi zum Einsatz mit einem Linux, Windows und NAS Server (BF3 Lanserver, Fileshare, CSS, TS3, CoD 2-5 etc.). Traffic Shapper war auch ein Thema, was bei der Anzahl der Leute und dem schmalen Internet einfach ein Muss war.

              Auch wenn wir jetzt hoffentlich eine relativ gute Leitung vorfinden werden, ist ein großes Ferienhaus was wir immer mieten, will ich an der sonst sehr guten Infrastruktur jetzt eigentlich nichts ändern.
              Das Thema Sicherheit ist tatsächlich für die 4 Tage kein Showstopper.

              Mich würde daher wirklich mal die Konfiguration interessieren @JeGr.
              @pfadmin: Ja bei Siege bekomme ich daheim(ebenfalls pfsense Infrastruktur) selbst ohne Doppel-NAT nur mit NAT-UPNP hin. Aber generell alle UPLAY Spiele sind ein Graus, was die Netzwerk-Topologie angeht…. :(
              Aso und was meinst du mit: "Oder schalte wenigstens das NAT in der pfsense aus." Wie soll das funktionieren ohne NAT?!

              An sich  würde ich ja ohne NAT-UPNP leben wollen, jedoch gestaltet sich das bei Spielen, die nun mal über einen Port nach außen und innen funken wollen, recht schwierig wenn man mehrere Teilnehmer hat.

              Grüße
              m0nji

              Intel i3-N305 / 4 x 2.5Gbe LAN @2.7.2-Release
              WAN: Vodafone 1000/50, Telekom 250/40; Switch: USW Enterprise 8 PoE, USW Flex XG, US-8-60W; Wifi: Unifi 6 Lite AP, U6 Mesh

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                Wie stellst du denn uPNP sinnvoll ein, ohne den Sinn einer pfsense zu unterlaufen? Temporär? Ich bin ja nur interessierter Laie und kein gelernter ITler ::)

                Was heißt denn unterlaufen? NAT-uPNP macht nur dann Ports auf, wenn bspw. ein Spiel sie anfordert. Dass da der Spiele-PC dann besser keine Virenschleuder sein sollte versteht sich. Allerdings sehe ich sooo viele Ports dann auch nicht offen, wenn das mal zuschlägt. Ist noch sehr überschaubar.

                Auf WAN und das Konsolen/Spiel-VLAN konfiguriert, evtl. noch Down/Up Bandbreite limitieren, loggen, default deny rein und dann bei den ACLs sowas rein:

                allow 1024-65535 <interne ip="">/32 1024-65535

                und das pro Kiste die das können soll. Damit sind auch gezielt nur die Kisten freigeschaltet die eingetragen sind aber kein NAS, Server oder anderer PC die irgendwas automatisch/automagisch erkennen wollen. Aber eigentlich ist der Dienst einfach aus, bis er mal gebraucht wird.

                Allerdings: manche Probleme rühren auch einfach daher, dass die pfSense beim NAT andere Ports nutzt als das Spiel selbst. Schaltet man dazu dann  bei der NAT das Port Mapping entsprechend auf static kann es ebenfalls schon sein, dass sich viele Probleme von selbst lösen (bspw. auch Konsolen mit NAT Typ 3 vs Typ 2).

                Gruß</interne>

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • P
                  pfadmin
                  last edited by

                  @m0nji:

                  Also und was meinst du mit: "Oder schalte wenigstens das NAT in der pfsense aus." Wie soll das funktionieren ohne NAT?!

                  Na du machst NAT auf der pfsense und auf der Fritzbox. Da sollte doch auf der pfsense reines Routing und Firewall reichen, ohne auch noch die Adressen umzusetzen. Oder sehe ich hier was nicht? Außerdem vielleicht mal über ein reines Modem statt Fritzbox nachdenken, minimiert Fehlerquellen.

                  Gruß
                  pfadmin

                  1 Reply Last reply Reply Quote 0
                  • m0njiM
                    m0nji
                    last edited by

                    @pfadmin:

                    Na du machst NAT auf der pfsense und auf der Fritzbox. Da sollte doch auf der pfsense reines Routing und Firewall reichen, ohne auch noch die Adressen umzusetzen. Oder sehe ich hier was nicht?

                    Nee NAT benötigst du trotzdem auf der pfSense. Sie muss doch wissen wohin sie eine eingehende Verbindung wieder umsetzt. Outbound NAT ausschalten würde auch nicht funktionieren, da dann die Regel greifen müsste: first come, first serve. Es können also nie 2 Leute das gleiche Spiel, auf den gleichen Ports spielen.

                    @JeGr ja wenn man bei NAT-Outbound eine hybrid Regel erstellt für das Subnetz und auf Static Port stellt, müsste der erste Client auch sofort ein Open-NAT bzw. NAT Typ 1 bekommen. Ein zweiter Nutzer sollte dann trotzdem in die Röhre schauen…das ist der Nachteil an Static Portmapping.

                    Ok ich seh schon...ich werde morgen mal ein paar Versuche unternehmen mit 2 Clients und gebe dann mal Feedback.
                    Irgendwie ist das gruselig und überall liest man andere Sachen, die man einstellen soll :D

                    Intel i3-N305 / 4 x 2.5Gbe LAN @2.7.2-Release
                    WAN: Vodafone 1000/50, Telekom 250/40; Switch: USW Enterprise 8 PoE, USW Flex XG, US-8-60W; Wifi: Unifi 6 Lite AP, U6 Mesh

                    1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator
                      last edited by

                      Wahrscheinlich genügt die uPNP schon, das kann dann ja durchaus eingegrenzt sein auf bestimmte IPs und man kann es auch wieder aus machen.

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 0
                      • m0njiM
                        m0nji
                        last edited by

                        @JeGr:

                        Wahrscheinlich genügt die uPNP schon, das kann dann ja durchaus eingegrenzt sein auf bestimmte IPs und man kann es auch wieder aus machen.

                        Ja genau das werde ich ausprobieren. Ich nehme die ACL Regel für das gesamte Subnet raus und füge 14 ACL Regeln für die einzelnen IPs ein. Mehr Aufwand aber es könnte auch sein, dass pfSense es nicht mag wenn dort nen Subnet angegeben wird.

                        Intel i3-N305 / 4 x 2.5Gbe LAN @2.7.2-Release
                        WAN: Vodafone 1000/50, Telekom 250/40; Switch: USW Enterprise 8 PoE, USW Flex XG, US-8-60W; Wifi: Unifi 6 Lite AP, U6 Mesh

                        1 Reply Last reply Reply Quote 0
                        • P
                          pfadmin
                          last edited by

                          @m0nji:

                          Nee NAT benötigst du trotzdem auf der pfSense. Sie muss doch wissen wohin sie eine eingehende Verbindung wieder umsetzt. Outbound NAT ausschalten würde auch nicht funktionieren, da dann die Regel greifen müsste: first come, first serve. Es können also nie 2 Leute das gleiche Spiel, auf den gleichen Ports spielen.

                          Ja klar, weil die pfsense dein Exposed Host ist und alles von der Fritz dorthin weitergeleitet wird. Jetzt habe ich das auch gesehen  :o

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.