Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    DMZ für ein Interface

    Scheduled Pinned Locked Moved Deutsch
    7 Posts 2 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • mike69M
      mike69 Rebel Alliance
      last edited by

      Hallo.

      Besitze eine APU1D4 mit drei Netzwerkanschlüssen.

      re0 für WAN
      re1 für LAN
      re2 für GAMING

      Da die Spielekonsolen länger brauchen an ein Multiplayerspiel teilzunehmen als mit einer Fritte, soll GAMING sich komplett dem WAN öffnen. Eventuell bringt es eine Besserung. Weiß noch nicht.

      Hier der Outbound der Konsolen:

      WAN sieht jetzt so aus:

      GAMING so:

      Somit ist der Zugriff zum LAN blockiert.

      Ist das soweit in Ordnung? Oder lieber eine Regell wie Interface GAMING allow any to WAN net? Oder wie wird der Aufbau zum Multiplayerpiel beschleunigt?

      Gruß, Mike

      DG FTTH 400/200
      Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Ist das soweit in Ordnung? Oder lieber eine Regell wie Interface GAMING allow any to WAN net? Oder wie wird der Aufbau zum Multiplayerpiel beschleunigt?

        Da das Spielekonsolen sind, hilft meistens ein halbwegs sinnvoll konfigurierter UPNP Daemon, damit die Kisten bei Bedarf einen einkommenden Port für einen Spieleconnect aufmachen können. Damit hatte ich zumindest bei PS3/4 noch nie Probleme bspw. eine Online Sitzung zu bekommen.

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • mike69M
          mike69 Rebel Alliance
          last edited by

          Morgen.

          Da das Spielekonsolen sind, hilft meistens ein halbwegs sinnvoll konfigurierter UPNP Daemon, damit die Kisten bei Bedarf einen einkommenden Port für einen Spieleconnect aufmachen können. Damit hatte ich zumindest bei PS3/4 noch nie Probleme bspw. eine Online Sitzung zu bekommen.

          Werde das im Laufe des Tages testen, obwohl ich kein Freund von uPnP bei einer Firewall bin.

          DG FTTH 400/200
          Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            Das wertet aber die Diagnose auf NAT Type 2 bei den Playstations auf, sprich es gibt keine großen Probleme mehr. Zudem holen sich die Kisten nur einen Port wenn er benötigt wird. Das ganze noch in einem extra VLAN und getrennt vom Rest, da ist mir das dann eigentlich egal. Irgendwie muss man ja die Verbindung hinbekommen ;)

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • mike69M
              mike69 Rebel Alliance
              last edited by

              NAT 2 war vorher schon vorhanden. Und die Konsolen haben einen eigenen IP-Bereich. (192.168.10.0/24 gegenüber 192.168.2.0/24 für das LAN). Komischerweise läuft es ein bisschen geschmeidiger. Braucht manchmal zwei Anläufe, bis der Port aufmacht, danach so wie es sein soll. Werde weiterforschen.

              PS: Wenn das Interface GAMING komplett offen zum WAN sein soll, sind die oberen Einstellungen richtig, oder fehlt da noch was?

              DG FTTH 400/200
              Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                Nein, die Einstellungen stimmen nicht.

                1. Du wirst das Gaming Netz nicht "offen" zum WAN hinbekommen, weil du IMMER NAT hast. Es sei denn du hättest ein öffentliches Netz und könntest den Konsolen somit public IPs vergeben. Da das niemand haben wird, geht "offen" eh nicht.
                2. Da du mehrere Konsolen hast, geht auch kein exposed Host, da es eben mehrere Ziele geben kann
                3. Somit ist es egal was du machst, aber ohne UPNPd wirst du kein sinnvolles Handling der Ports eingehend hinbekommen
                4. Die Regel auf dem WAN Interface mit Destination Gaming Net ist Unfug aus obigen Gründen: du kannst faktisch nicht eingehenden Traffic auf eine der Konsolen NATten, da du nicht weißt welche du gerade brauchst und das dynamisch machen musst -> dafür ist ja gerade der upnp daemon da. Da du kein eingehendes NAT/Port Forward hast, wird es auch keine Pakete geben, die auf die Regel matchen, somit unnötig.
                5. Outbound Regel ist OK, Outbound NAT Regeln mit static Port sind wichtig, korrekt gelöst.

                Mein upnp für die Konsolen ist konfiguriert mit

                Enable (x)
                Allow Port Mapping (x)
                Ext. IF: WAN
                Int. IF: GAMING
                Log Packets… (x)
                deny access by default (x)
                user permissions 1: allow 1024-65535 192.168.10.0/24 1024-65535

                wenn die Konsolen alle in einem anderen kleinen IP Bereich sind, kann man das /24 ggf. auch kleiner fassen. Aber damit kann keine Konsole plötzlich Port Forwards via upnp anfordern auf Port 21,22,80,443 o.ä. sondern nur HighPorts die benötigt werden. Und per default kann auch keiner mal eben was anfordern, sondern nur die IP/das Netz was freigeschaltet ist.

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • mike69M
                  mike69 Rebel Alliance
                  last edited by

                  Nein, die Einstellungen stimmen nicht.

                  Er noch viel lernen muss, junger Padawan. ::)

                  Habe es nach deinen Angaben so konfiguriert und den IP Bereich mit 192.168.10.8/29 eingeschränkt. Nett von Sony, dass es den Port für XBox Live gleich mit öffnet. :)

                  Es läuft geschmeidiger, kein NAT Type von strict oder modarate, alles offen. Werde mal sehen, was passiert, wenn beide XBoxen ins Net wollen.

                  Danke für die Hilfe

                  Edit:

                  Beide XBOXen gehen nicht gleichzeitig online. :-\

                  DG FTTH 400/200
                  Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.