NAT auf LAN-Party mit einer public IP und mehreren Gamern



  • Hallo zusammen,

    ich werde in 2 Wochen mal wieder eine kleine LAN mit ein paar Kollegen (14 Personen) machen und in den letzten Jahren hatten wir immer extreme Probleme mit dem NAT. Entweder sind wir bei 2-3 gleichzeitigen Spielern aus Battlefield 3 geflogen oder hatten bei CoD MW3 immer Strikt NAT oder konnten zusammen nie CSS auf dem gleichen Server spielen. FIFA hatte ebenfalls Probleme.

    Kurz zur Konfiguration vor Ort und meiner angedachten Konfiguration:
    WAN 50/10 Mbit Fritzbox 7390 (192.168.178.1)
    WAN Upstream pfSense (192.168.178.100) -> ist auch als „Exposed Host“ in der Fritzbox konfiguriert
    LAN pfSense 172.21.21.0/24
    LAN Clients 172.21.21.150 – 185 (DHCP)
    System – Advanced – Firewall & NAT

    Screenshot NAT1

    Services UPNP

    Screenshot NAT2

    Firewall – NAT – Outbound
    Automatic NAT Outbound rule generation

    Ich bekomme leider erst nächste Woche noch ein Notebook mit einem 2. Steam und Origin Account, damit ich es live testen kann aber ich würde mich im Vorfeld freuen, wenn es ein paar Infos und Anregungen gibt von euch, ob das Setup so passen sollte oder ob ich noch etwas verändern sollte.

    Danke m0nji






  • Moin,

    schmeiß die pfsense raus. Für deine LAN-Party sehe ich da keinen Sinn, außer Ärger mit doppeltem NAT. Oder schmeiß die Fritze raus und nimm ein reines Modem. Oder schalte wenigstens das NAT in der pfsense aus.

    Gruß
    pfsense


  • Moderator

    @pfadmin

    Komisch, wir mussten weder das eine noch das andere…  Aber wenn eh schon klar ist, dass es dort nicht um Sicherheit o.ä. geht, würde ich ggf. auch auf die pfSense verzichten und einfach die Fritzbox nehmen. Trotzdem: die pfSense mit Doppel-NAT und halbwegs sinnvoll konfigurierten uPNP hatten wir weder mit Konsolen noch mit Multiplayer aus dem gleichen Netz Probleme.



  • Von Sicherheitsanforderung hat er nichts geschrieben. Zu meiner Zeit stand der Server im LAN und einen ISDN Uplink konnten wir uns nicht leisten  8)
    Wenn man UPNP einsetzt, braucht man doch keine pfsense mehr, oder? Ich habe am Wochenende versucht Rainbow 6 Siege auf einem PC zum laufen zu bekommen bzw. die Verbindung zu einem Server herzustellen. Da weiss doch tatsächlich keiner, welche Ports das Ding von außen auf haben will und auch nicht wozu überhaupt. Verschiedenste Varianten inkl. Port 80 und 443 wurden verlangt. Wer programmiert denn bitte sowas? Das Spiel kann zum Server rausbimmeln und der Rest kann doch auf dieser Leitung zurückkommen. Ganz zu schweigen von der Überzeugungsarbeit, dass NAT wirklich nicht abzuschalten geht, ohne die Kiste direkt per PPPOE ins Internet zu hängen. Da wird dem Gamer irgendwas von strikter und offener und NAT vorgegaukelt und der "Admin hat wieder was blockiert". Komischerweise  hatte nur ein andere Teilnehmer Probleme, die angeblich auf unsere "strikte NAT" zurückzuführen sind. Machen die Spiele P2P und können dazu die Tricks von vor 10 Jahren nicht, um NAT zu umgehen?

    Wie stellst du denn uPNP sinnvoll ein, ohne den Sinn einer pfsense zu unterlaufen? Temporär? Ich bin ja nur interessierter Laie und kein gelernter ITler ::)

    Gruß
    pfadmin



  • Hallo,

    prinzipiell gebe ich euch Recht und es wäre fast das sinnvollste alles über die Fritzbox laufen zu lassen. Aber ich muss dazu sagen, es ist eine über die Jahre gewachsene Konfiguration. Bis letztes Jahr mussten wir mit einer Multiwan Lösung leben aus 2Mbit DSL und 5Mbit LTE (war künstlich gedrosselt wegen Traffic Volumen). Damit hatte die pfSense schon ihre Daseinsberechtigung. Zusätzlich kam immer noch ein ESXi zum Einsatz mit einem Linux, Windows und NAS Server (BF3 Lanserver, Fileshare, CSS, TS3, CoD 2-5 etc.). Traffic Shapper war auch ein Thema, was bei der Anzahl der Leute und dem schmalen Internet einfach ein Muss war.

    Auch wenn wir jetzt hoffentlich eine relativ gute Leitung vorfinden werden, ist ein großes Ferienhaus was wir immer mieten, will ich an der sonst sehr guten Infrastruktur jetzt eigentlich nichts ändern.
    Das Thema Sicherheit ist tatsächlich für die 4 Tage kein Showstopper.

    Mich würde daher wirklich mal die Konfiguration interessieren @JeGr.
    @pfadmin: Ja bei Siege bekomme ich daheim(ebenfalls pfsense Infrastruktur) selbst ohne Doppel-NAT nur mit NAT-UPNP hin. Aber generell alle UPLAY Spiele sind ein Graus, was die Netzwerk-Topologie angeht…. :(
    Aso und was meinst du mit: "Oder schalte wenigstens das NAT in der pfsense aus." Wie soll das funktionieren ohne NAT?!

    An sich  würde ich ja ohne NAT-UPNP leben wollen, jedoch gestaltet sich das bei Spielen, die nun mal über einen Port nach außen und innen funken wollen, recht schwierig wenn man mehrere Teilnehmer hat.

    Grüße
    m0nji


  • Moderator

    Wie stellst du denn uPNP sinnvoll ein, ohne den Sinn einer pfsense zu unterlaufen? Temporär? Ich bin ja nur interessierter Laie und kein gelernter ITler ::)

    Was heißt denn unterlaufen? NAT-uPNP macht nur dann Ports auf, wenn bspw. ein Spiel sie anfordert. Dass da der Spiele-PC dann besser keine Virenschleuder sein sollte versteht sich. Allerdings sehe ich sooo viele Ports dann auch nicht offen, wenn das mal zuschlägt. Ist noch sehr überschaubar.

    Auf WAN und das Konsolen/Spiel-VLAN konfiguriert, evtl. noch Down/Up Bandbreite limitieren, loggen, default deny rein und dann bei den ACLs sowas rein:

    allow 1024-65535 <interne ip="">/32 1024-65535

    und das pro Kiste die das können soll. Damit sind auch gezielt nur die Kisten freigeschaltet die eingetragen sind aber kein NAS, Server oder anderer PC die irgendwas automatisch/automagisch erkennen wollen. Aber eigentlich ist der Dienst einfach aus, bis er mal gebraucht wird.

    Allerdings: manche Probleme rühren auch einfach daher, dass die pfSense beim NAT andere Ports nutzt als das Spiel selbst. Schaltet man dazu dann  bei der NAT das Port Mapping entsprechend auf static kann es ebenfalls schon sein, dass sich viele Probleme von selbst lösen (bspw. auch Konsolen mit NAT Typ 3 vs Typ 2).

    Gruß</interne>



  • @m0nji:

    Also und was meinst du mit: "Oder schalte wenigstens das NAT in der pfsense aus." Wie soll das funktionieren ohne NAT?!

    Na du machst NAT auf der pfsense und auf der Fritzbox. Da sollte doch auf der pfsense reines Routing und Firewall reichen, ohne auch noch die Adressen umzusetzen. Oder sehe ich hier was nicht? Außerdem vielleicht mal über ein reines Modem statt Fritzbox nachdenken, minimiert Fehlerquellen.

    Gruß
    pfadmin



  • @pfadmin:

    Na du machst NAT auf der pfsense und auf der Fritzbox. Da sollte doch auf der pfsense reines Routing und Firewall reichen, ohne auch noch die Adressen umzusetzen. Oder sehe ich hier was nicht?

    Nee NAT benötigst du trotzdem auf der pfSense. Sie muss doch wissen wohin sie eine eingehende Verbindung wieder umsetzt. Outbound NAT ausschalten würde auch nicht funktionieren, da dann die Regel greifen müsste: first come, first serve. Es können also nie 2 Leute das gleiche Spiel, auf den gleichen Ports spielen.

    @JeGr ja wenn man bei NAT-Outbound eine hybrid Regel erstellt für das Subnetz und auf Static Port stellt, müsste der erste Client auch sofort ein Open-NAT bzw. NAT Typ 1 bekommen. Ein zweiter Nutzer sollte dann trotzdem in die Röhre schauen…das ist der Nachteil an Static Portmapping.

    Ok ich seh schon...ich werde morgen mal ein paar Versuche unternehmen mit 2 Clients und gebe dann mal Feedback.
    Irgendwie ist das gruselig und überall liest man andere Sachen, die man einstellen soll :D


  • Moderator

    Wahrscheinlich genügt die uPNP schon, das kann dann ja durchaus eingegrenzt sein auf bestimmte IPs und man kann es auch wieder aus machen.



  • @JeGr:

    Wahrscheinlich genügt die uPNP schon, das kann dann ja durchaus eingegrenzt sein auf bestimmte IPs und man kann es auch wieder aus machen.

    Ja genau das werde ich ausprobieren. Ich nehme die ACL Regel für das gesamte Subnet raus und füge 14 ACL Regeln für die einzelnen IPs ein. Mehr Aufwand aber es könnte auch sein, dass pfSense es nicht mag wenn dort nen Subnet angegeben wird.



  • @m0nji:

    Nee NAT benötigst du trotzdem auf der pfSense. Sie muss doch wissen wohin sie eine eingehende Verbindung wieder umsetzt. Outbound NAT ausschalten würde auch nicht funktionieren, da dann die Regel greifen müsste: first come, first serve. Es können also nie 2 Leute das gleiche Spiel, auf den gleichen Ports spielen.

    Ja klar, weil die pfsense dein Exposed Host ist und alles von der Fritz dorthin weitergeleitet wird. Jetzt habe ich das auch gesehen  :o