Portfreigabe klappt nicht



  • Guten Abend zusammen,

    ich scheitere momentan an den Portfreigaben in der pfsense :-(
    Ich möchte 2 Ports an meinen PC weiterleiten. Einmal Port 5222 TCP/UDP und einmal Port 6666 TCP/UDP

    Mein Aufbau ist folgender:

    • Eine Fritzbox macht das Internet
    • Die Firewall hängt mit dem WAN Anschluss am Port 1 der FritzBox
    • Die FritrzBox gibt der pfsense über DHCP eine IP-Adresse
    • für die pfsense wurde ein Exposed Host eingerichtet

    In der Firewall habe ich aktuell folgende Einstellungen getroffen:

    Unter Firewall --> Erweiterte Einstellung --> Firewall & NAT habe ich folgendes eingestellt:

    alt text

    Ich habe im Internet gelesen das man das hier auf "Reines NAT" stellen muss.

    Dann habe ich noch unter Firewall --> NAT folgende Regel erstellt:

    alt text
    alt text

    Hier sage ich ja, wenn es über das WAN Interface (LAN 1) aus dem Internet kommt, dann soll er es zu meinem PC (LAN 2) auf den Port 6666 weiterleiten. Dies macht er aber nicht ☹

    Wenn ich extern nun diesen Port Prüfe, dann sehe ich in den Logs, das die Anfrage an die von der FritzBox vergebene WAN IP-Adresse meiner Firewall geht und nicht an meinen PC weitergeleitet wird.

    Was habe ich hier falsch gemacht?

    Schönen Abend euch allen

    Grüße PFSense User2019



  • Guten Morgen,

    eine Nacht später bin ich selber auf den Trichter gekommen was falsch ist 😌
    Das Ziel ist falsch eingestellt. Dies muss ja auf WAN Network stehen.

    Jetzt wird der Port auf meinen PC weitergeleitet.
    Leider behebt das mein NAT Problem nicht wie gedacht 😕

    Schönes Wochenende wünsche ich euch

    Grüße

    PFSense User2019


  • Rebel Alliance

    Moin @PFsense-User2019,

    durch die Löschung des Anfangpost ist es schwer zu erkennen, wie Du auf dein Lösungsansatz kommst. Hatte gestern schon mal reingeschaut, war leider schon zu müde zu antworten. :)

    Hatten kurzzeitig das gleiche laufen, Fritze als Router, IP der Sense als exposed Host. Da hat eine einfache Portfreigabe mit Rules unter WAN gereicht. Unter NAT Reflektion Mode oder NAT 1:1 Mappings wurde nichts konfiguriert. Daher stellt sich die Frage, ob das notwendig ist.

    Hast Du 2 x WAN?



  • Guten Abend ☺

    Oh entschuldige bitte 😕 , ich wollte den Post erst löschen da ich den Fehler gefunden hatte. Das Forum teilte mir jedoch mit das ich nicht die Rechte zum löschen habe, deswegen hatte ich nochmals darauf geantwortet. Anscheinend hatte ich die Rechte doch 😌

    Dies ist das erste mal das ich mit einer pfsense ein Portforwarding machen musste. Ich bin immer noch am lernen wie ich wo was eintragen muss 😅

    Ich betreibe nur 1x WAN :-)

    Mein Hauptproblem ist, das ich in manchen Games kein Multiplayer machen kann, da ich mitgeteilt bekomme das mein NAT-Modus Strict ist. Ich wollte durch die Portweiterleitung meinen NAT Modus ändern, was jedoch nicht klappt.

    Ein Freund der nur eine FritzBox betreibt hat keine Probleme. Ich kann machen was ich will und bekomme es nicht geändert.

    Die Frage ist, passt die Portweiterleitung so oder habe ich da was falsch gemacht? Laut Logs der Firewall wird es an meinen PC weitergereicht.

    Ich verstehe das bei der pfsense noch nicht so ganz 😖

    Ich wünsche ein schönes Wochenende

    Grüße

    PFSense User2019


  • Rebel Alliance

    Brauchst dich nicht entschuldigen, alles tutti. ☺

    Also online zocken mit zwei Konsolen hat hier noch nie funktioniert, weder Fritzbox only oder in Verbindung mit einer pfSense. Soweit ich mich erinnern kann, ist pro IP nur ein Account erlaubt. Wie es aktuell aussieht kann ich nicht sagen.
    Wir haben das so gelöst durch einen Foreneintrag hier:
    Habe ein Alias für alle Konsolen und ein Outbound Mapping erstellt.
    Screenshot_2020-07-04 pfSense home - Firewall NAT Outbound.png

    Screenshot_2020-07-04 pfSense home - Firewall NAT Outbound Edit.png

    Ersparst dir die Portweiterleitungen, NAT ist bei allen Konsolen moderat, und dem zocken steht nichts im Wege. Wie es bei Multiplayer und einer IP aussieht musst du mal testen.

    Eine Portweiterleitung sieht so aus:
    Screenshot_2020-07-04 pfSense home - Firewall NAT Port Forward Edit.png

    mit der passigen Firewallrule:
    Screenshot_2020-07-04 pfSense home - Firewall Rules Edit.png

    Alles kein Hexenwerk. ☺


  • LAYER 8 Rebel Alliance

    Vielleicht hilft das? https://forum.netgate.com/topic/154153/test-request-upnp-fix-for-multiple-consoles-playing-the-same-game-static-port-outbound-nat

    Ich bin allerdings kein Gamer, weiß nicht ob das exakt deinem Problem entspricht.

    -Rico



  • Guten Abend zusammen,

    Vielen Dank für eure Antworten ☺

    ich habe es endlich hinbekommen 😊
    Ich habe es nach dieser Anleitung versucht

    https://www.tweaking4all.com/network-internet/pfsense-strict-nat-xbox-one/

    @mike69

    Mit deinen Einstellungen funktioniert es auch👍 Vielen Dank.

    Könnt ihr mir noch ganz kurz erklären, was ich da jetzt eingestellt habe?
    Was bewirkt dieses Mapping?

    Unterscheidet sich dies von den normalen Firewall Regeln?

    Schönen Abend euch☺


  • LAYER 8 Moderator

    @PFsense-User2019 said in Portfreigabe klappt nicht:

    Ein Freund der nur eine FritzBox betreibt hat keine Probleme. Ich kann machen was ich will und bekomme es nicht geändert.
    Die Frage ist, passt die Portweiterleitung so oder habe ich da was falsch gemacht? Laut Logs der Firewall wird es an meinen PC weitergereicht.

    Das liegt normalerweise immer an den Spielen selbst, wie die arbeiten. Ich hab seit Jahren mit mehreren PCs oder Konsolen kein Problem, dafür aber auch uPnP aktiv deshalb - auch wenn die Konsolen trotzdem immer NAT 2 anzeigen (immerhin kein NAT Level 3).

    Könnt ihr mir noch ganz kurz erklären, was ich da jetzt eingestellt habe?

    Was bewirkt dieses Mapping?

    welches Mapping meinst du genau? Im Prinzip ist die Anleitung genau das was ich bei mir auch schon lange mache. Man packt die Konsolen in ein eigenes Netz (oder macht es eben auf dem LAN) und konfiguriert uPnP und NATPnP auf der pfSense und stellt sicher, dass die Konsolen ausgehend static port mapping nutzen, also bspw. ein Port 1234 ausgehend nach dem NAT auch noch 1234 bleibt. Allerdings kann das bei mehreren Konsolen kollidieren (man kann ja einen Port nicht zweimal mappen) aber dafür gibts normalerweise Ausweichports.

    Aber wenns damit klappt ist das doch erstmal schön. Positiv anmerken muss man, dass in diesem Blogbeitrag wenigstens uPnP nicht generisch für alles und jeden freigegeben wird sondern nur auf die Konsole eingegrenzt wird (daher die Zuweisung der semi-statischen IP via DHCP, damit man sie greifen kann). Da habe ich andere Doks gesehen, die da wesentlich unbedachter vorgehen.



  • Guten Abend ☺

    Ich meinte dieses Mapping:

    alt text

    @JeGr

    wenn ich deinen Post richtig verstehe stelle ich damit ein, das er mit dem Port 6666 ins Internet geht und auch noch nach dem NAT den Port 6666 hat?
    Aber wieso ändert sich der Port nach dem NAT?

    Bei anderen Firewall hatte ich sowas noch nicht.

    Das würde heißen, wenn Port 6666 die Lokale Quelle und das entfernte Ziel sein soll muss ich dies über ein Mapping Regeln. Wenn dies egal ist mach ich das über eine Normale Firewall Regel?

    Ich bin verwirrt😌

    Ich wünsche euch einen schönen Abend

    Grüße

    PFsense User2019


  • LAYER 8 Moderator

    @PFsense-User2019 said in Portfreigabe klappt nicht:

    das er mit dem Port 6666 ins Internet geht und auch noch nach dem NAT den Port 6666 hat?
    Aber wieso ändert sich der Port nach dem NAT?

    Einfach: Ein Gerät will eine externe Verbindung öffnen. Bspw. HTTPS. Dann spezifiziert das Protokoll: Server muss auf tcp/443 lauschen. Clients sollen von >1023 anfragen. Einfacher Fall, toll zu nutzen, denn keine Clients gehen sich gegenseitig auf den Keks. Füge NAT hinzu: immer noch kein großes Problem, denn selbst mehrere Kinder hinter der NAT können zum gleichen Ziel was aufbauen, weil die sich ausgehend eher selten überschneiden. Könnten sie aber! Und das bringt uns zum Problem: wenn jetzt 2 Clients sich entscheiden mit tcp/12345 abgehend zu senden und die gleiche IP aufrufen - was dann? NAT macht die IP Übersetzung und merkt sich 12345 interne IP -> 443 externe IP. Dann kommt der nächste - mit dem gleichen. Jetzt kommt die Antwort von extern -> wohin soll NAT nun die Pakete schicken? Oder anhand was soll es feststellen von wem die kamen? Geht nicht. Ergo randomisiert outbound NAT den Quellport zu irgendwas freiem in seiner Tabelle und schickt es so. Für HTTP/S bspw. ist der Quellport ja egal.
    Zudem gibt es Möglichkeiten für IP Spoofing & Fingerprinting um herauszufinden, wieviele/welche Hosts hinter einem NAT stehen und ggf. deren Session zu klauen. Dagegen hilft Source Port Randomisierung. Und viele OS haben das historisch sehr lange sehr schlampig gemacht - wenn überhaupt (nicht genug Zufäligkeit).

    Problem sind nun aber eben Dienste, die unbedingt wollen, dass die Verbindung von oder zu einem bestimmten Port kommt/geht. Die sind von einem zufälligen Port dann verwirrt oder funktionieren nicht. SIP bspw. oder auch IPsec. Daher gibt es für diese die Möglichkeit mit static port mappings. Da gehören dann auch "schlampige" Spiele rein, die P2P oder andere Mechanismen machen um keine eigenen Server nutzen zu müssen oder weil das angeblich so viel schneller wäre. Würde der Verbindungsaufbau schlicht über eine Art Connection Server gehen, an dem sich die Spieler anmelden (dafür sind oft genug die Lobbies) und anschließend werden die Verbindungen zusammengeschaltet geht das problemlos, da kein eingehender Verkehr benötigt wird. Bei P2P Sachen hat man meist einen oder mehrere bestimmte Ports die dann auf den jeweiligen PC/Konsole weitergereicht werden müssen (eingehend) ode die ausgehend gesprochen werden. Nur dann klappts.

    Fun Fact: Du schreibst Satisfactory in deinem Screenshot: Dafür ist der ganze Spaß komplett unnötig 😁 Spielen hier 3 Menschis problemlos hinter NAT etc. miteinander. Einziges Problem ist da der Client und der EGS/Epic Binding zum Server, der oft beim ersten oder zweiten Mal Starten "strict NAT" ausgibt, beim Neustart des Spiels aber plötzlich auf Type 2 runtergeht (hinter NAT aber erreichbar) und Tada es geht. Muss man nur ab und an den Client mal neustarten bis der Server verstanden hat, was Phase ist 😃


Log in to reply