Portfreigaben für Playstation 4 - was ist die saubere/sichere Lösung?
-
Hab nen Artikel zu dem Thema NAT Type 3 bzw Strict NAT geschrieben, vlt hilfts dir.
https://goo.gl/MtEkSP
Ceo
-
Hab nen Artikel zu dem Thema NAT Type 3 bzw Strict NAT geschrieben, vlt hilfts dir.
https://goo.gl/MtEkSP
Ceo
Schöner Artikel. 2 Anmerkungen aber dazu.
1. Damit bekommst du vielleicht NAT Typ 2 (wie auch schon von dir erwähnt). Für NAT Typ 1 benötigst du aber noch eine Firewall NAT Rule für alle möglichen Ports oder aber UPnP, wie oben beschrieben.
2. Erwähnt werden sollte vielleicht auch: bei mehreren Konsolen oder aber PCs und Konsole im Haushalt funktioniert das so nicht mehr. Mit der Static Port Regel verbietest du jedem anderen Gerät diesen Port nach außen zu benutzen. Static Port = first come, first serveFazit: Für NAT Typ 2 funktionieren beide Varianten. Static Port Outbound Regel ODER UPnP. Für NAT Typ 1 benötigst du beide Sachen. Sobald mehrere Konsolen oder PCs/Konsole benutzt werden, darf man keinesfalls die Static Port Variante benutzen. Bei Static Port gilt…"es kann nur einen geben" (Highlander...)
-
falls du dann immer noch kein nat typ 1 bekommst, ist zusätzlich noch unter firewall - nat - outbound eine manuelle regel notwendig für den static port. bei mir ist das aber bisher in keinem spiel am pc notwendig gewesen.
NAT Typ 1 wird er nie bekommen, das wäre direkte Verbindung mit dem Internet. Aber NAT Typ 2 gibts mit UPNP problemlos, ansonsten gibts Typ 3 - ergo closed - und das gibt Mecker mit dem Kleinvolk ;)
Viel bescheidener wird es dann bei mehreren Playstations.
Funktioniert bei uns Gott sei Dank problemlos. Beide UPNP, beide Typ 2, beide bislang problemlos online auch zusammen im gleichen Spiel. Also alles fein :)
Fazit: Für NAT Typ 2 funktionieren beide Varianten. Static Port Outbound Regel ODER UPnP. Für NAT Typ 1 benötigst du beide Sachen. Sobald mehrere Konsolen oder PCs/Konsole benutzt werden, darf man keinesfalls die Static Port Variante benutzen. Bei Static Port gilt…"es kann nur einen geben" (Highlander...)
Die Anmerkung mit static Port ist auch irreführend. Natürlich macht es Sinn AUCH der 2. PS4 bspw. static Port einzurichten. Denn: a) nicht immer sind beide gleichzeitig an, b) bekommen beide durch uPNP ihre eigenen Ports zugewiesen und machen sich diese auf und nicht jeder Multiplayer Titel benötigt gleiche Ports. Aber: wenn der abgehende Port bei der Outbound NAT umgeschrieben wird, kanns häufig mal Probleme geben mit den Kisten, deshalb ist es nicht verkehrt das für beide zu setzen.
-
Kann ich leider so nicht bestätigen JeGr. Gerade Titel wie Battlefield oder Counterstrike sind hier sehr sehr penibel. Bei Counterstrike und Static Port können 2 Spieler nicht auf den gleichen Server. Bei Battlefield ist es noch bescheidener. Port 3659 UDP wird zwingend vorausgesetzt. Titel wie Call of Duty lösen das besser, weil hier die Clients ab 3074 UDP anfangen und dann hochzählen. Nur der Call of Duty Server benötigt zwingend 3074. Static Ports ist absolut kein Allheilmittel, wie oft beschrieben wird. Deswegen gibts im Netz so extrem viele und unterschiedliche Guides. Diese Guides sind meist nur für ein bestimmtes Spiel.
Zum Thema PS4 und NAT Typ 1 will ich meine Hand nicht für ins Feuer legen. Ich weiß aber, dass die Verbindung aus UPnP + Static Port Outbound NAT = NAT Typ 1 bei Call of Duty und Rainbow Six Siege. Sind zumindest meine Ergebnisse nach mehreren Tests mit unterschiedlichen Configs.
Wahrscheinlich ist die Definition von NAT Typ 1 auch nicht überall gleich. Das man für NAT Typ 1 eine Direktverbindung benötigt, habe ich auch schon mehrfach gelesen.
Es gibt halt leider nicht DIE Anleitung, die überall funktioniert. Für mich gibt es zumindest die wenigsten Probleme mit aktivierten UPnP aber deaktivierten Static Port. -
Static Ports ist absolut kein Allheilmittel, wie oft beschrieben wird. Deswegen gibts im Netz so extrem viele und unterschiedliche Guides. Diese Guides sind meist nur für ein bestimmtes Spiel.
Habe ich auch nicht behauptet, sondern in Verbindung mit uPNP genügt es zumindest uns problemlos. Dass es im Einzelfall sein kann dass es nicht klappt - ja schade. Aber das ist dann Spielspezifisch und die Probleme dürften dann genauso bei 2 PCs auftreten, wenn beide abgehend den gleichen Port nutzen. Ich hatte bei zwei Kisten mit Typ 2 bislang keine Probleme mit irgendwas, aber CS oder BF sind für mich auch keine Konsolenspiele, vielleicht daher kein Problem.
-
Guten Abend,
ich bitte um Entschuldigung aber ich muss mich nochmal zu dem Thema an euch wenden. Leider komme ich keinen Schritt weiter bzw. die PS4 zeigt trotz aller - meiner Meinung nach korrekten - Einstellungen in der pfSense nach wie vor NAT3 an.
Vielleicht entdeckt ihr Experten einen Fehler in meiner Konfiguration oder habt noch einen Tipp?
(Zum Vergrößern bitte anklicken)
Unter "StatusUPnP & NAT-PMP" wird auch der Verbindungsaufbau der PS4 zu einem UDP-Port protokolliert. Sonst passiert jedoch nichts.
Bei der den DSL-Zugang herstellenden FRITZ!Box 7270 wurde für die IP der pfSense die Option "Exposed Host" eingestellt. Damit ist für die pfSense das Internet über den DSL-Zugang ohne jede Beschränkung verfügbar.
Die PS4 erhält eine statische IP (192.168.178.40). Diese IP wurde dem DSL-Zugang zugewiesen und bandbreitenbegrenzt. Die Zuweisung zum DSL-Zugang und die Bandbreitenbegrenzung funktionieren. Zumindest zeigt die PS4 unter "Geschwindigkeit (Download)" und "Geschwindigkeit (Upload)" je 1 MBit/s an. Die Bandbreitenbegrenzung ist leider erforderlich.
GrüsseRalf
-
Hallo!
Ich habe die Diskussion aufmerksam verfolgt und bin nun mit meiner Konfiguration nicht mehr ganz sicher.
Ich habe 2 Konsolen (PS4 und Wii) in einem Alias zusammengefasst und lediglich folgenden NAT/Oubound Eintrag erstellt:
Edit adwanced Outbound NAT Entry ------------------------------------------- Interface WAN Protocol any Source Alias Local_Consoles:32 Destination Any Translation ------------------------------------------- Address Interface Address Port or Range [leer] Static Port [aktiv]Damit bekomme ich auf der PS4 problemlos NAT2 was ja bekanntlich für das Online-Spielen reicht. NAT1 ist ja offensichtlich nicht möglich und auch nicht erforderlich.
Ist an meiner Einstellung etwas problematisch? Ich frage deshalb, weil in dieser Diskussion doch wesentlich mehr Einstellungen besprochen wurden.
Gruß,
Thomas -
@esquire Finde ich nicht. Ich habe auch nur die Konsolen alle per Static Port rausgeschickt und zusätzlich für die Konsolen eben noch uPNP laufen, das genügt denen bisher für alles was wir so drauf spielen mit den Kids. Allerdings spielen wir da auch selten was, was lokale Server oder sowas benötigt, vielleicht hatten wir deshalb die letzten Jahre einfach Glück ;) Aber weder Destiny (1/2) noch GR: Wildlands noch GTA oder sonstwas hat bislang gemeckert. Und das auch wenn beide Konsolen von uns in einem Match mit drin waren.
Grüße
-
Hallo,
auf das Post von Thomas hin habe ich in meiner Konfiguration unter Firewall/NAT/Outbound folgende Regel (siehe unten) angelegt und zusätzlich die Einstellung auf "Hybrid Outbound NAT rule generation. (Automatic Outbound NAT + rules below)" geändert. Damit erhält die PS4 NAT2.
Was ich nicht einschätzen kann ist, ob diese Konfiguration ein Sicherheitsrisiko darstellt. Ich hoffe nicht.
(zum Vergrößern bitte anklicken)
Grüsse
Ralf
-
Warum Sicherheitsrisiko? Das ist Outbound NAT. Inbound wird ja deshalb nicht mehr erlaubt als vorher (außer du hast upnp-natpnp aktiv). Und selbst wenn von außen Verbindungen erlaubt sind - dass man via direkter Spielverbindung eine PS4 hackt davon ist mir bislang noch nichts untergekommen ;)
-
Hallo JeGr,
upnp-natpnp ist bei mir aktiv, exclusiv für die IP der PS4. Da ich mangels hinreichenden Kenntnissen zu den Konfigurationsmöglichkeiten nicht einschätzen kann, welche Auswirkungen die von mir vogenommenen Einstellungen auf die Sicherheit der pfSense bzw. des Netzwerks haben, frage ich nach.
Gibt es außer dem von heise.de angebotenen
https://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1
Gibts es weitere Test, die auf offene Ports etc. prüfen? Bzw. wie kann die Sicherheit der pfSense-Konfiguration geprüft werden (Stresstest)? Wie geht man dabei vor?
Grüsse
Ralf
