Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Portfreigabe klappt nicht

    Scheduled Pinned Locked Moved Deutsch
    10 Posts 4 Posters 1.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      PFsense User2019
      last edited by PFsense User2019

      Guten Abend zusammen,

      ich scheitere momentan an den Portfreigaben in der pfsense :-(
      Ich möchte 2 Ports an meinen PC weiterleiten. Einmal Port 5222 TCP/UDP und einmal Port 6666 TCP/UDP

      Mein Aufbau ist folgender:

      • Eine Fritzbox macht das Internet
      • Die Firewall hängt mit dem WAN Anschluss am Port 1 der FritzBox
      • Die FritrzBox gibt der pfsense über DHCP eine IP-Adresse
      • für die pfsense wurde ein Exposed Host eingerichtet

      In der Firewall habe ich aktuell folgende Einstellungen getroffen:

      Unter Firewall --> Erweiterte Einstellung --> Firewall & NAT habe ich folgendes eingestellt:

      alt text

      Ich habe im Internet gelesen das man das hier auf "Reines NAT" stellen muss.

      Dann habe ich noch unter Firewall --> NAT folgende Regel erstellt:

      alt text
      alt text

      Hier sage ich ja, wenn es über das WAN Interface (LAN 1) aus dem Internet kommt, dann soll er es zu meinem PC (LAN 2) auf den Port 6666 weiterleiten. Dies macht er aber nicht ☹

      Wenn ich extern nun diesen Port Prüfe, dann sehe ich in den Logs, das die Anfrage an die von der FritzBox vergebene WAN IP-Adresse meiner Firewall geht und nicht an meinen PC weitergeleitet wird.

      Was habe ich hier falsch gemacht?

      Schönen Abend euch allen

      Grüße PFSense User2019

      1 Reply Last reply Reply Quote 0
      • P
        PFsense User2019
        last edited by

        Guten Morgen,

        eine Nacht später bin ich selber auf den Trichter gekommen was falsch ist 😌
        Das Ziel ist falsch eingestellt. Dies muss ja auf WAN Network stehen.

        Jetzt wird der Port auf meinen PC weitergeleitet.
        Leider behebt das mein NAT Problem nicht wie gedacht 😕

        Schönes Wochenende wünsche ich euch

        Grüße

        PFSense User2019

        1 Reply Last reply Reply Quote 0
        • mike69M
          mike69 Rebel Alliance
          last edited by

          Moin @PFsense-User2019,

          durch die Löschung des Anfangpost ist es schwer zu erkennen, wie Du auf dein Lösungsansatz kommst. Hatte gestern schon mal reingeschaut, war leider schon zu müde zu antworten. :)

          Hatten kurzzeitig das gleiche laufen, Fritze als Router, IP der Sense als exposed Host. Da hat eine einfache Portfreigabe mit Rules unter WAN gereicht. Unter NAT Reflektion Mode oder NAT 1:1 Mappings wurde nichts konfiguriert. Daher stellt sich die Frage, ob das notwendig ist.

          Hast Du 2 x WAN?

          DG FTTH 400/200
          Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

          1 Reply Last reply Reply Quote 0
          • P
            PFsense User2019
            last edited by PFsense User2019

            Guten Abend ☺

            Oh entschuldige bitte 😕 , ich wollte den Post erst löschen da ich den Fehler gefunden hatte. Das Forum teilte mir jedoch mit das ich nicht die Rechte zum löschen habe, deswegen hatte ich nochmals darauf geantwortet. Anscheinend hatte ich die Rechte doch 😌

            Dies ist das erste mal das ich mit einer pfsense ein Portforwarding machen musste. Ich bin immer noch am lernen wie ich wo was eintragen muss 😅

            Ich betreibe nur 1x WAN :-)

            Mein Hauptproblem ist, das ich in manchen Games kein Multiplayer machen kann, da ich mitgeteilt bekomme das mein NAT-Modus Strict ist. Ich wollte durch die Portweiterleitung meinen NAT Modus ändern, was jedoch nicht klappt.

            Ein Freund der nur eine FritzBox betreibt hat keine Probleme. Ich kann machen was ich will und bekomme es nicht geändert.

            Die Frage ist, passt die Portweiterleitung so oder habe ich da was falsch gemacht? Laut Logs der Firewall wird es an meinen PC weitergereicht.

            Ich verstehe das bei der pfsense noch nicht so ganz 😖

            Ich wünsche ein schönes Wochenende

            Grüße

            PFSense User2019

            1 Reply Last reply Reply Quote 0
            • mike69M
              mike69 Rebel Alliance
              last edited by mike69

              Brauchst dich nicht entschuldigen, alles tutti. ☺

              Also online zocken mit zwei Konsolen hat hier noch nie funktioniert, weder Fritzbox only oder in Verbindung mit einer pfSense. Soweit ich mich erinnern kann, ist pro IP nur ein Account erlaubt. Wie es aktuell aussieht kann ich nicht sagen.
              Wir haben das so gelöst durch einen Foreneintrag hier:
              Habe ein Alias für alle Konsolen und ein Outbound Mapping erstellt.
              Screenshot_2020-07-04 pfSense home - Firewall NAT Outbound.png

              Screenshot_2020-07-04 pfSense home - Firewall NAT Outbound Edit.png

              Ersparst dir die Portweiterleitungen, NAT ist bei allen Konsolen moderat, und dem zocken steht nichts im Wege. Wie es bei Multiplayer und einer IP aussieht musst du mal testen.

              Eine Portweiterleitung sieht so aus:
              Screenshot_2020-07-04 pfSense home - Firewall NAT Port Forward Edit.png

              mit der passigen Firewallrule:
              Screenshot_2020-07-04 pfSense home - Firewall Rules Edit.png

              Alles kein Hexenwerk. ☺

              DG FTTH 400/200
              Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

              1 Reply Last reply Reply Quote 1
              • RicoR
                Rico LAYER 8 Rebel Alliance
                last edited by

                Vielleicht hilft das? https://forum.netgate.com/topic/154153/test-request-upnp-fix-for-multiple-consoles-playing-the-same-game-static-port-outbound-nat

                Ich bin allerdings kein Gamer, weiß nicht ob das exakt deinem Problem entspricht.

                -Rico

                1 Reply Last reply Reply Quote 0
                • P
                  PFsense User2019
                  last edited by

                  Guten Abend zusammen,

                  Vielen Dank für eure Antworten ☺

                  ich habe es endlich hinbekommen 😊
                  Ich habe es nach dieser Anleitung versucht

                  https://www.tweaking4all.com/network-internet/pfsense-strict-nat-xbox-one/

                  @mike69

                  Mit deinen Einstellungen funktioniert es auch👍 Vielen Dank.

                  Könnt ihr mir noch ganz kurz erklären, was ich da jetzt eingestellt habe?
                  Was bewirkt dieses Mapping?

                  Unterscheidet sich dies von den normalen Firewall Regeln?

                  Schönen Abend euch☺

                  1 Reply Last reply Reply Quote 0
                  • JeGrJ
                    JeGr LAYER 8 Moderator
                    last edited by

                    @PFsense-User2019 said in Portfreigabe klappt nicht:

                    Ein Freund der nur eine FritzBox betreibt hat keine Probleme. Ich kann machen was ich will und bekomme es nicht geändert.
                    Die Frage ist, passt die Portweiterleitung so oder habe ich da was falsch gemacht? Laut Logs der Firewall wird es an meinen PC weitergereicht.

                    Das liegt normalerweise immer an den Spielen selbst, wie die arbeiten. Ich hab seit Jahren mit mehreren PCs oder Konsolen kein Problem, dafür aber auch uPnP aktiv deshalb - auch wenn die Konsolen trotzdem immer NAT 2 anzeigen (immerhin kein NAT Level 3).

                    Könnt ihr mir noch ganz kurz erklären, was ich da jetzt eingestellt habe?

                    Was bewirkt dieses Mapping?

                    welches Mapping meinst du genau? Im Prinzip ist die Anleitung genau das was ich bei mir auch schon lange mache. Man packt die Konsolen in ein eigenes Netz (oder macht es eben auf dem LAN) und konfiguriert uPnP und NATPnP auf der pfSense und stellt sicher, dass die Konsolen ausgehend static port mapping nutzen, also bspw. ein Port 1234 ausgehend nach dem NAT auch noch 1234 bleibt. Allerdings kann das bei mehreren Konsolen kollidieren (man kann ja einen Port nicht zweimal mappen) aber dafür gibts normalerweise Ausweichports.

                    Aber wenns damit klappt ist das doch erstmal schön. Positiv anmerken muss man, dass in diesem Blogbeitrag wenigstens uPnP nicht generisch für alles und jeden freigegeben wird sondern nur auf die Konsole eingegrenzt wird (daher die Zuweisung der semi-statischen IP via DHCP, damit man sie greifen kann). Da habe ich andere Doks gesehen, die da wesentlich unbedachter vorgehen.

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    1 Reply Last reply Reply Quote 0
                    • P
                      PFsense User2019
                      last edited by

                      Guten Abend ☺

                      Ich meinte dieses Mapping:

                      alt text

                      @JeGr

                      wenn ich deinen Post richtig verstehe stelle ich damit ein, das er mit dem Port 6666 ins Internet geht und auch noch nach dem NAT den Port 6666 hat?
                      Aber wieso ändert sich der Port nach dem NAT?

                      Bei anderen Firewall hatte ich sowas noch nicht.

                      Das würde heißen, wenn Port 6666 die Lokale Quelle und das entfernte Ziel sein soll muss ich dies über ein Mapping Regeln. Wenn dies egal ist mach ich das über eine Normale Firewall Regel?

                      Ich bin verwirrt😌

                      Ich wünsche euch einen schönen Abend

                      Grüße

                      PFsense User2019

                      1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator
                        last edited by

                        @PFsense-User2019 said in Portfreigabe klappt nicht:

                        das er mit dem Port 6666 ins Internet geht und auch noch nach dem NAT den Port 6666 hat?
                        Aber wieso ändert sich der Port nach dem NAT?

                        Einfach: Ein Gerät will eine externe Verbindung öffnen. Bspw. HTTPS. Dann spezifiziert das Protokoll: Server muss auf tcp/443 lauschen. Clients sollen von >1023 anfragen. Einfacher Fall, toll zu nutzen, denn keine Clients gehen sich gegenseitig auf den Keks. Füge NAT hinzu: immer noch kein großes Problem, denn selbst mehrere Kinder hinter der NAT können zum gleichen Ziel was aufbauen, weil die sich ausgehend eher selten überschneiden. Könnten sie aber! Und das bringt uns zum Problem: wenn jetzt 2 Clients sich entscheiden mit tcp/12345 abgehend zu senden und die gleiche IP aufrufen - was dann? NAT macht die IP Übersetzung und merkt sich 12345 interne IP -> 443 externe IP. Dann kommt der nächste - mit dem gleichen. Jetzt kommt die Antwort von extern -> wohin soll NAT nun die Pakete schicken? Oder anhand was soll es feststellen von wem die kamen? Geht nicht. Ergo randomisiert outbound NAT den Quellport zu irgendwas freiem in seiner Tabelle und schickt es so. Für HTTP/S bspw. ist der Quellport ja egal.
                        Zudem gibt es Möglichkeiten für IP Spoofing & Fingerprinting um herauszufinden, wieviele/welche Hosts hinter einem NAT stehen und ggf. deren Session zu klauen. Dagegen hilft Source Port Randomisierung. Und viele OS haben das historisch sehr lange sehr schlampig gemacht - wenn überhaupt (nicht genug Zufäligkeit).

                        Problem sind nun aber eben Dienste, die unbedingt wollen, dass die Verbindung von oder zu einem bestimmten Port kommt/geht. Die sind von einem zufälligen Port dann verwirrt oder funktionieren nicht. SIP bspw. oder auch IPsec. Daher gibt es für diese die Möglichkeit mit static port mappings. Da gehören dann auch "schlampige" Spiele rein, die P2P oder andere Mechanismen machen um keine eigenen Server nutzen zu müssen oder weil das angeblich so viel schneller wäre. Würde der Verbindungsaufbau schlicht über eine Art Connection Server gehen, an dem sich die Spieler anmelden (dafür sind oft genug die Lobbies) und anschließend werden die Verbindungen zusammengeschaltet geht das problemlos, da kein eingehender Verkehr benötigt wird. Bei P2P Sachen hat man meist einen oder mehrere bestimmte Ports die dann auf den jeweiligen PC/Konsole weitergereicht werden müssen (eingehend) ode die ausgehend gesprochen werden. Nur dann klappts.

                        Fun Fact: Du schreibst Satisfactory in deinem Screenshot: Dafür ist der ganze Spaß komplett unnötig 😁 Spielen hier 3 Menschis problemlos hinter NAT etc. miteinander. Einziges Problem ist da der Client und der EGS/Epic Binding zum Server, der oft beim ersten oder zweiten Mal Starten "strict NAT" ausgibt, beim Neustart des Spiels aber plötzlich auf Type 2 runtergeht (hinter NAT aber erreichbar) und Tada es geht. Muss man nur ab und an den Client mal neustarten bis der Server verstanden hat, was Phase ist 😃

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.