Portfreigaben für Playstation 4 - was ist die saubere/sichere Lösung?

raaalf

Servus zusammen,

die Playstation 4 eines jugendlichen Hausmitbewohners… verlangt die Freigabe folgender Ports:

TCP: 465, 983, 1935, 3478-3480, 5223, 10070-10080
UDP: 3478, 3479, 3658, 10070

Da ich aus Unwissenheit keine "Löcher" in die pfSense bohren will hoffe ich auf einen Tipp von euch, wie die von der Playstation 4 für die Onlinespiele benötigten Ports am besten zur Verfügung gestellt werden.

Fall es wichtig ist: Die für die Playstation 4 zur Verfügung gestellte Bandbreite bzw. für alle Geräte (Smartphone, Fernseher/Netflix, Notebook etc.) des Hausmitbewohners ist per Traffic Shaper limitiert.

Die pfSense-Konfiguration sieht aktuell wie folgt aus (zum Vergößern bitte anklicken):

Ich habe im Forum bereits von der Einrichtung eines VLAN gelesen (dann kann die Bandbreite nicht mehr limitiert werden?), von der Aktivierung des UPnP & NAT-PMP-Services etc. UpnP habe ich bereits vor der pfSense in der FRITZBox 7270 für den DSL-Zugang von jeher deaktiviert da nicht 100 %ig sicher.

In der FRITZ!Box für den DSL-Zugang sowie den Gigacube für den LTE-Zugang wurden noch keine Portfreigaben eingerichtet. Diese muss ich auf jeden Fall einrichten, oder?  Die Sicherheit übernimmt dann die pfsense?

Wie gibt man Ports frei ohne unnötige Sicherheitsrisiken einzugehen?

Grüsse

Ralf

JeGr

Die Konsolen verlangen noch viel mehr Ports, da einige Multiplayer Games die Ports dynamisch aushandeln. Mit irgendwelchen Port Forwardings wirst du also eh nicht wirklich glücklich werden.

Ich habe im Forum bereits von der Einrichtung eines VLAN gelesen (dann kann die Bandbreite nicht mehr limitiert werden?)

Warum? Was hat ein VLAN mit der Bandbreiten Limitierung zu tun?

von der Aktivierung des UPnP & NAT-PMP-Services etc.

Das wird aber sehr wahrscheinlich am meisten Sinn machen für die Konsole. Ohne uPNP musst du selbst Mappen - was nicht glücklich macht. Machst du gar nichts, hat der PS4 Spieler NAT Typ 3 - das macht ihn nicht glücklich, denn damit kann er sich mit einigen Online Partien nicht verbinden. Ergo bleibt außer uPNP kaum eine sinnvolle Methode übrig um die Konsolen glücklich zu machen.

Ich würde in diesem Fall die Konsole gezielt über DSL rausschicken (LTE will man wahrscheinlich aus Latenz Gründen nicht wirklich) und dann nur für die IP der PS4 (entweder statisch vergeben oder per DHCP fest) einen Eintrag für uPNP definieren, damit nur die Konsole den Service nutzt. Da diese dann ihre Ports on demand aufmacht (und wieder zu) sollte da dann wenig schief gehen, und da das Ziel definiert nur die Konsole ist auch nicht wirklich ein wahnsinniges Risiko darstellen - die Konsolen sind an der Stelle ja durch ihr geschlossenes System durchaus "sicherer" als ein 08/15 PC.

Ich verstehe nur dein Schaubild nicht. Entweder die Fritzbox läuft hinter der pfSense als reiner Client im gleichen Subnetz 192.168.178.0/24 - dann ist sie KEIN Router - oder sie routet, dann ist aber auf beiden Seiten das gleiche Netz was nie funktionieren würde. Also stimmt so oder so was in deinem Schaubild nicht :) Ich mutmaße mal, dass hinter der Sense alles gleichberechtigt an einem Switch im gleichen Netz hängt, dann hat aber die Fritzbox in dem Netz kein wirkliches Stimmrecht mehr und auch keine Routing Funktion.

Gruß

raaalf

Hallo JeGr,

danke danke Dir für Deine Infos.

Um sicherzugehen alles richtig zu machen, liste ich die Dinge auf, die ich meine erledigen zu müssen:

• die FRITZ!Box 7270 für den DSL-Zugang als Exposed Host konfigurieren, damit alle Ports für die pfSense freigegeben sind. Oder reicht es, in der FRITZ!Box 7270 für den DSL-Zugang UPnP zu aktivieren (doppeltes UPnP - gibt es das)?
• UPnP & NAT-PMP in der pfSense aktivieren. Unter "UPnP Access Control Lists/ACL Entries" gebe ich die IP der Playstation 4 ein und - optional? - die Ports bzw. den Port-Range, den die PS4 nutzen kann? Z. B. so: allow 1024-65535 192.168.178.40/24 1024-65535 [1]
• Müssen noch weitere Optionen im den UPnP & NAT-PMP-Einstellungen aktiviert/konfiguriert werden?

Die PS4 wird zuammen mit den weiteren Gerätschaften des Mitbewohners in einem Alias zuammengefasst. Dass Alias wiederum wird mit einer entsprechenden Firewall-Rule bandbreitenbegrenzt. Dies funktioniert einwandfrei. Muss ich hierbei etwas ändern?

Du hast recht: Meine Darstellung war falsch. Die zweite FRITZ!Box ganz unten ist natürlich nicht als Router konfiguriert sondern dient nur als Swtich. Ich hab den Fehler korrigiert. Danke für den Hinweis!

Ich habe im Forum bereits von der Einrichtung eines VLAN gelesen (dann kann die Bandbreite nicht mehr limitiert werden?)
Warum? Was hat ein VLAN mit der Bandbreiten Limitierung zu tun?

Ich habe mir einige Threads zu dem Thema im Forum durchgelesen. In einem Thread wurde dies erwähnt/behauptet. Je mehr ich gelesen habe, umso verwirrter wurde ich…

[1] Die Doku der pfSense ist in dem Punkt für mich nicht eindeutig/verständlich:

https://doc.pfsense.org/index.php/What_are_UPnP_and_NAT-PMP

Grüsse

Ralf

m0nji

Wie JeGr schon geschrieben hat, ist die sinnvollste und in diesem Fall sicherste Lösung UPnP damit die PS4 sauber funktioniert. Viel bescheidener wird es dann bei mehreren Playstations.

allow 1024-65535 192.168.178.40/24 1024-65535  -> falsch
allow 1024-65535 192.168.178.40/32 1024-65535  -> richtig

vergiss aber nicht per dhcp ein static mapping für die playstation einzurichten, damit upnp sauber funktioniert. es ist nicht sinnvoll der playstation selber statisch eine IP zu geben.
falls du dann immer noch kein nat typ 1 bekommst, ist zusätzlich noch unter firewall - nat - outbound eine manuelle regel notwendig für den static port. bei mir ist das aber bisher in keinem spiel am pc notwendig gewesen.

übrigens musst du beim konfigurieren des upnp services dich festlegen, für welche WAN verbindung (interface) der service funktionieren soll. aktuell werden noch keine multiwan konzepte unterstützt :(

raaalf

Hallo m0nji,

ich danke Dir für Deinen Post!

Was mir nicht klar ist: Warum ist

allow 1024-65535 192.168.178.40/24 1024-65535  -> falsch

und

allow 1024-65535 192.168.178.40/32 1024-65535  -> richtig

Als Subnetmask für das Interface 10_100_MBit (daran sind alle Clients wie die PS4 etc. angeschlossen) ist 255.255.255.0 definiert. Das entspricht in der CIDR-Notation /24. Ist /32 eine Besonderheit?

Die im Service UPnP & NAT-PMP eingestellte Bandbreitenbegrenzung funktioniert nicht bzw. die PS4 geht nicht über den DSL-Anschluß ins Internet wie eigentlich unter UPnP & NAT-PMP eingestellt. Das erkenne ich an der in der PS4 angezeigten Internetgeschwindigkeit.

Ich habe:

• In der FRITZ!Box für den DSL-Anschluß für die pfSense "Exposed Host" eingestellt

• Den Service UPnP & NAT-PMP aktiviert und wie im Screenshot zu sehen konfiguriert
  
  (zum Vergrößern bitte anklicken)

• Alle Clients bekommen per DHCP von der pfSense eine statische IP zugeweisen

• Das Gateway DSL_DLINK_UNTEN der FRITZ!Box für den DSL-Zugang ist unter System/Routing/Gateways/Edit als Default-Gateway konfiguriert

• Die Playstation 4 wurde aus den Regeln für die Bandbreitenbegrenzung entfernt

Für mich sieht es so aus als würde der UPnP & NAT-PMP-Service die in der UPnP Access Control Lists eingetragene IP der PS4 (192.168.178.40) - laienhaft ausgedrückt - nicht erkennen?

Grüsse

Ralf

m0nji

@raaalf:

Was mir nicht klar ist: Warum ist
allow 1024-65535 192.168.178.40/24 1024-65535  -> falsch
und
allow 1024-65535 192.168.178.40/32 1024-65535  -> richtig

Weil du mit der 24er Maske die Begrenzung auf die einzelne IP wieder aufhebst und alle 254 Adressen Zugriff auf den Service haben.

@raaalf:

Als Subnetmask für das Interface 10_100_MBit (daran sind alle Clients wie die PS4 etc. angeschlossen) ist 255.255.255.0 definiert. Das entspricht in der CIDR-Notation /24. Ist /32 eine Besonderheit?

Das ist korrekt, dass Interface soll ja auch alle 254 Adressen ansprechen können. /32 ist keine Besonderheit sondern einfach die Maske 255.255.255.255.

@raaalf:

Die im Service UPnP & NAT-PMP eingestellte Bandbreitenbegrenzung funktioniert nicht bzw. die PS4 geht nicht über den DSL-Anschluß ins Internet wie eigentlich unter UPnP & NAT-PMP eingestellt. Das erkenne ich an der in der PS4 angezeigten Internetgeschwindigkeit.

Ich habe:

• In der FRITZ!Box für den DSL-Anschluß für die pfSense "Exposed Host" eingestellt

• Den Service UPnP & NAT-PMP aktiviert und wie im Screenshot zu sehen konfiguriert
  
  (zum Vergrößern bitte anklicken)

• Alle Clients bekommen per DHCP von der pfSense eine statische IP zugeweisen

• Das Gateway DSL_DLINK_UNTEN der FRITZ!Box für den DSL-Zugang ist unter System/Routing/Gateways/Edit als Default-Gateway konfiguriert

• Die Playstation 4 wurde aus den Regeln für die Bandbreitenbegrenzung entfernt

Für mich sieht es so aus als würde der UPnP & NAT-PMP-Service die in der UPnP Access Control Lists eingetragene IP der PS4 (192.168.178.40) - laienhaft ausgedrückt - nicht erkennen?

Ob die Banbreitenbegrenzung im UPnP Service funktioniert, kann ich dir nicht sagen. Habe ich selber noch nie ausprobiert. Dafür gibts ja eigentlich die Limiter.
Den besagten Gateway überprüfst du an der falschen Stelle. Der Default Gateway greift dann, wenn du unter "Firewall -> Rules -> Interface 10_100_MBit" ins Internet keine anderen Gateways als den Default definiert hast. Da du ja aber 2 Leitungen hast, hast du an dieser Stelle definiert, welche Endgeräte über welche Leitung gehen sollen. Oder hast du das noch gar nicht definiert? Dann stellt sich allerdings die Frage wozu 2 WAN Leitungen an der pfSense hängen ;)

Ob UPnP funktioniert, kannst du unter Status -> UPnP prüfen. Hier werden dann die Hosts aufgelistet, die gerade einen Port geöffnet haben.
Zum Thema DHCP. Du musst im DHCP Service einzelne Hosts anlegen mit den MAC Adressen und dann eine IP außerhalb des DHCP Bereiches verwenden. Anhand deiner Beschreibung kann ich mir nicht vorstellen, dass du JEDEM Endgerät eine statische IP zugewiesen hast über den DHCP Service. Hoffe hier kommt es nicht zu einem Kommunikationsproblem.

ceofreak

Hab nen Artikel zu dem Thema NAT Type 3 bzw Strict NAT geschrieben, vlt hilfts dir.

https://goo.gl/MtEkSP

Ceo

m0nji

@ceofreak:

Hab nen Artikel zu dem Thema NAT Type 3 bzw Strict NAT geschrieben, vlt hilfts dir.

https://goo.gl/MtEkSP

Ceo

Schöner Artikel. 2 Anmerkungen aber dazu.
1. Damit bekommst du vielleicht NAT Typ 2 (wie auch schon von dir erwähnt). Für NAT Typ 1 benötigst du aber noch eine Firewall NAT Rule für alle möglichen Ports oder aber UPnP, wie oben beschrieben.
2. Erwähnt werden sollte vielleicht auch: bei mehreren Konsolen oder aber PCs und Konsole im Haushalt funktioniert das so nicht mehr. Mit der Static Port Regel verbietest du jedem anderen Gerät diesen Port nach außen zu benutzen. Static Port = first come, first serve

Fazit: Für NAT Typ 2 funktionieren beide Varianten. Static Port Outbound Regel ODER UPnP. Für NAT Typ 1 benötigst du beide Sachen. Sobald mehrere Konsolen oder PCs/Konsole benutzt werden, darf man keinesfalls die Static Port Variante benutzen. Bei Static Port gilt…"es kann nur einen geben" (Highlander...)

JeGr

falls du dann immer noch kein nat typ 1 bekommst, ist zusätzlich noch unter firewall - nat - outbound eine manuelle regel notwendig für den static port. bei mir ist das aber bisher in keinem spiel am pc notwendig gewesen.

NAT Typ 1 wird er nie bekommen, das wäre direkte Verbindung mit dem Internet. Aber NAT Typ 2 gibts mit UPNP problemlos, ansonsten gibts Typ 3 - ergo closed - und das gibt Mecker mit dem Kleinvolk ;)

Viel bescheidener wird es dann bei mehreren Playstations.

Funktioniert bei uns Gott sei Dank problemlos. Beide UPNP, beide Typ 2, beide bislang problemlos online auch zusammen im gleichen Spiel. Also alles fein :)

Fazit: Für NAT Typ 2 funktionieren beide Varianten. Static Port Outbound Regel ODER UPnP. Für NAT Typ 1 benötigst du beide Sachen. Sobald mehrere Konsolen oder PCs/Konsole benutzt werden, darf man keinesfalls die Static Port Variante benutzen. Bei Static Port gilt…"es kann nur einen geben" (Highlander...)

Die Anmerkung mit static Port ist auch irreführend. Natürlich macht es Sinn AUCH der 2. PS4 bspw. static Port einzurichten. Denn: a) nicht immer sind beide gleichzeitig an, b) bekommen beide durch uPNP ihre eigenen Ports zugewiesen und machen sich diese auf und nicht jeder Multiplayer Titel benötigt gleiche Ports. Aber: wenn der abgehende Port bei der Outbound NAT umgeschrieben wird, kanns häufig mal Probleme geben mit den Kisten, deshalb ist es nicht verkehrt das für beide zu setzen.

m0nji

Kann ich leider so nicht bestätigen JeGr. Gerade Titel wie Battlefield oder Counterstrike sind hier sehr sehr penibel. Bei Counterstrike und Static Port können 2 Spieler nicht auf den gleichen Server. Bei Battlefield ist es noch bescheidener. Port 3659 UDP wird zwingend vorausgesetzt. Titel wie Call of Duty lösen das besser, weil hier die Clients ab 3074 UDP anfangen und dann hochzählen. Nur der Call of Duty Server benötigt zwingend 3074. Static Ports ist absolut kein Allheilmittel, wie oft beschrieben wird. Deswegen gibts im Netz so extrem viele und unterschiedliche Guides. Diese Guides sind meist nur für ein bestimmtes Spiel.

Zum Thema PS4 und NAT Typ 1 will ich meine Hand nicht für ins Feuer legen. Ich weiß aber, dass die Verbindung aus UPnP + Static Port Outbound NAT = NAT Typ 1 bei Call of Duty und Rainbow Six Siege. Sind zumindest meine Ergebnisse nach mehreren Tests mit unterschiedlichen Configs.

Wahrscheinlich ist die Definition von NAT Typ 1 auch nicht überall gleich. Das man für NAT Typ 1 eine Direktverbindung benötigt, habe ich auch schon mehrfach gelesen.
Es gibt halt leider nicht DIE Anleitung, die überall funktioniert. Für mich gibt es zumindest die wenigsten Probleme mit aktivierten UPnP aber deaktivierten Static Port.

JeGr

Static Ports ist absolut kein Allheilmittel, wie oft beschrieben wird. Deswegen gibts im Netz so extrem viele und unterschiedliche Guides. Diese Guides sind meist nur für ein bestimmtes Spiel.

Habe ich auch nicht behauptet, sondern in Verbindung mit uPNP genügt es zumindest uns problemlos. Dass es im Einzelfall sein kann dass es nicht klappt - ja schade. Aber das ist dann Spielspezifisch und die Probleme dürften dann genauso bei 2 PCs auftreten, wenn beide abgehend den gleichen Port nutzen. Ich hatte bei zwei Kisten mit Typ 2 bislang keine Probleme mit irgendwas, aber CS oder BF sind für mich auch keine Konsolenspiele, vielleicht daher kein Problem.

raaalf

Guten Abend,

ich bitte um Entschuldigung aber ich muss mich nochmal zu dem Thema an euch wenden. Leider komme ich keinen Schritt weiter bzw. die PS4 zeigt trotz aller - meiner Meinung nach korrekten - Einstellungen in der pfSense nach wie vor NAT3 an.

Vielleicht entdeckt ihr Experten einen Fehler in meiner Konfiguration oder habt noch einen Tipp?

(Zum Vergrößern bitte anklicken)

Unter "StatusUPnP & NAT-PMP" wird auch der Verbindungsaufbau der PS4 zu einem UDP-Port protokolliert. Sonst passiert jedoch nichts.

Bei der den DSL-Zugang herstellenden FRITZ!Box 7270 wurde für die IP der pfSense die Option "Exposed Host" eingestellt. Damit ist für die pfSense das Internet über den DSL-Zugang ohne jede Beschränkung verfügbar.

Die PS4 erhält eine statische IP (192.168.178.40). Diese IP wurde dem DSL-Zugang zugewiesen und bandbreitenbegrenzt. Die Zuweisung zum DSL-Zugang und die Bandbreitenbegrenzung funktionieren. Zumindest zeigt die PS4 unter "Geschwindigkeit (Download)" und "Geschwindigkeit (Upload)" je 1 MBit/s an. Die Bandbreitenbegrenzung ist leider erforderlich.
Grüsse

Ralf

esquire1968

Hallo!

Ich habe die Diskussion aufmerksam verfolgt und bin nun mit meiner Konfiguration nicht mehr ganz sicher.

Ich habe 2 Konsolen (PS4 und Wii) in einem Alias zusammengefasst und lediglich folgenden NAT/Oubound Eintrag erstellt:

Edit adwanced Outbound NAT Entry
-------------------------------------------
Interface		WAN
Protocol		any
Source			Alias Local_Consoles:32
Destination		Any

Translation
-------------------------------------------
Address			Interface Address
Port or Range	[leer]  Static Port [aktiv]

Damit bekomme ich auf der PS4 problemlos NAT2 was ja bekanntlich für das Online-Spielen reicht. NAT1 ist ja offensichtlich nicht möglich und auch nicht erforderlich.

Ist an meiner Einstellung etwas problematisch? Ich frage deshalb, weil in dieser Diskussion doch wesentlich mehr Einstellungen besprochen wurden.

Gruß,
Thomas

JeGr

@esquire Finde ich nicht. Ich habe auch nur die Konsolen alle per Static Port rausgeschickt und zusätzlich für die Konsolen eben noch uPNP laufen, das genügt denen bisher für alles was wir so drauf spielen mit den Kids. Allerdings spielen wir da auch selten was, was lokale Server oder sowas benötigt, vielleicht hatten wir deshalb die letzten Jahre einfach Glück ;) Aber weder Destiny (1/2) noch GR: Wildlands noch GTA oder sonstwas hat bislang gemeckert. Und das auch wenn beide Konsolen von uns in einem Match mit drin waren.

Grüße

raaalf

Hallo,

auf das Post von Thomas hin habe ich in meiner Konfiguration unter Firewall/NAT/Outbound folgende Regel (siehe unten) angelegt und zusätzlich die Einstellung auf "Hybrid Outbound NAT rule generation. (Automatic Outbound NAT + rules below)" geändert. Damit erhält die PS4 NAT2.

Was ich nicht einschätzen kann ist, ob diese Konfiguration ein Sicherheitsrisiko darstellt. Ich hoffe nicht.

(zum Vergrößern bitte anklicken)

Grüsse

Ralf

JeGr

Warum Sicherheitsrisiko? Das ist Outbound NAT. Inbound wird ja deshalb nicht mehr erlaubt als vorher (außer du hast upnp-natpnp aktiv). Und selbst wenn von außen Verbindungen erlaubt sind - dass man via direkter Spielverbindung eine PS4 hackt davon ist mir bislang noch nichts untergekommen ;)

raaalf

Hallo JeGr,

upnp-natpnp ist bei mir aktiv, exclusiv für die IP der PS4. Da ich mangels hinreichenden Kenntnissen zu den Konfigurationsmöglichkeiten nicht einschätzen kann,  welche Auswirkungen die von mir vogenommenen Einstellungen auf die Sicherheit der pfSense bzw. des Netzwerks haben, frage ich nach.

Gibt es außer dem von heise.de angebotenen

https://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

Gibts es weitere Test, die auf offene Ports etc. prüfen? Bzw. wie kann die Sicherheit der pfSense-Konfiguration geprüft werden (Stresstest)? Wie geht man dabei vor?

Grüsse

Ralf