Minecraftserver und Routerkaskade

Hallöle,
das ist immer ein feines Projekt für den Einstieg und sei froh über jede Minute, die Minecraft und nicht Fortnite gezockt wird.

Für Dich als einfachem Anwender bietet sich zugleich die Chance ein paar wichtige Grundkenntnisse zu erwerben, indem Du die Kids bei dem serverseitigen Teil begleitest und mitlernst. Auch durchaus gut für die Vater-Sohn-Beziehung (meist), hängt natürlich von den Umständen ab. Das ist Quality-Time. So kurz vor der Pubertät äußerst kostbar. Vielleicht darfst Du sogar mitspielen

Den Server zu isolieren ist keine schlechte Idee, denn die Kids laden sich alsbald gern eine Menge zweifelhafter Plugins drauf. Dieses Netz ist dann grundsätzlich als "schmutzig" anzusehen und das ist ein vorzüglicher Moment, über die Gefahren des Internets und den Umgang damit zu sprechen bzw. sich damit zu beschäftigen. Die Absicherung über Routerkaskade ("DMZ des kleinen Mannes") ist eine günstige und erprobte Variante.

Kurz und knapp: Zweiten Router ins Netz (der dahinter ein eigenes Netz aufspannt) - muss keine Fritzbox sein. Kann auch ein kleiner Mikrotik hEX o.ä. im Bereich von 50 EUR sein. Vielleicht bekommt der Junior ja später noch Lust darauf, Netzwerk zu machen. Da ist das das richtige Lerngerät und hier im Forum gibt's viel Unterstütung.

Egal mit was: Die gewünschte Portfreigabe vom 1. Router auf den zweiten und von dort auf den Minecraft-Server legen, fertig. Die Kids kriegen das schneller hin, als Du gucken kannst

Für die Routerkaskade findest Du hier einen vertiefteren Beitrag: https://www.heise.de/ratgeber/Router-Kaskaden-1825801.html

Mit dem Pi werden die Jungs aber nicht lange Freude haben, also fang besser schon mal an zu sparen. Wir betreiben hier seit 2017 einen MC-Server und als erstes musste ich seinerzeit 16 GB RAM nachrüsten Wenn da ein paar Kids spielen und die Welt nicht winzig sein soll, braucht es Power. Nicht übermäßig, aber ein gut ausgestatteter, halbwegs zeitgemäßer PC mit ordentlich RAM sollte es schon sein.

Wenn ein 10er im Monat drin ist, kann man sich auch einmieten, da gibt es spezialisierte Anbieter.

Viel Spaß und viele Grüße, commodity

Edit: Anders als der Kollege @maretz vorschlägt, würde ich hier kein VPN einsetzen und habe auch noch nie gelesen, dass das jemand so macht. Dies verlangsamt die Leistung des Netzzuganges spürbar und bringt keine nennenswerte zusätzliche Sicherheit für diesen Anwendungsfall.

Es geht natürlich auch alleine mit der Fritzbox. Exposed Host. Und da ist dann der Raspberry.
Da gibt man halt den Raspberry komplett frei ins Netz.
Für DMZ brauchts einen anderen Router. Die Fritzbox kann sowas nicht.
Aber man kann natürlich auch einen zweitzen Router mittels exposed Host freigeben und auf dem dann nur einzelne Ports an dem daran angeschlossenen Raspberry weiterleiten.
Ersteres ist quick and dirty, letzteres ausbau- und bastelfähig.

@commodity wenn man den minecraftserver hinter den zweiten router hängt kann von dem server ja trotzdem alles im normalen heimnetz erreicht werden. Wenn man das nicht will müsste man den minecraftserver an den ersten router hängen und alles andere hinter den zweiten.

@Ekkkke
Ich würde in der fritzbox lan 4 auf gastzugang stellen ( siehe https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/949_LAN-Gastz ... ), da den rpi anschliessen und portforwarding auf diesen einrichten. Damit ist der mit minimalem aufwand komplett von euerem normalen netz getrennt

@pebcak7123
Einwand total korrekt!
Ich hatte da den Aufbau von Heise (Link oben) vor Augen, aber die nehmen ja einen dritten Router (was prinzipiell auch sinnvoller erscheint, wenn man das so machen mag). Bei nur zwei Routern ist die DMZ natürlich vor dem zweiten Router und das private Netz dahinter. Dann braucht es auch nur eine Portfreigabe auf dem ersten Router zum MC-Server.

Was den Vorschlag mit dem Gastzugang angeht: Hatte ich auch überlegt. Das ist aber problematisch:

a) würde er so sein (hoffentlich) schon genutztes Gastnetz verlieren
b) IMO ist im Gastnetz gar keine Portfreigabe möglich. https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/949_LAN-Gastz ...
Jedenfalls früher war das so (mit Fritzboxen mache ich praktisch nichts mehr).

Finde ich als Lösung nicht so passend.

@Ekkkke
Lastverteilung im Netz ist ein eigenes Thema und wird durch die Fritzboxen IMO nur rudimentär ermöglicht. Aber immerhin ein bisschen.
Die erhöhte Gesamtbandbreite "rettet" Dich vielleicht auch ohne weitere Maßnahmen, im Regelfall ist sie aber bei korrekter Verteilung im Netzwerk gar nicht nötig.
Wollen mal hoffen, dass Du jetzt nicht nen Anschluss hast, der gar keine IPv4-Freigaben auf den Junior-Pi ermöglicht... Ist das schon geklärt? Zum Anbieter Vodafone sage ich besser nur so viel: Viel Glück

Viele Grüße, commodity

portforwarding auf geräte im gastnetz geht, grad nochmal auf meiner fritte nachgeschaut.
bestehendes gastnetz ist problematisch, ja. Wobei man das Problem nicht hat wenn man den rpi einfach per wlan reinhängt da die fritzbox client isolation im gastnetz kann.

Erstaunlich. (Nicht nur) für die 6591 schreibt AVM ausdrücklich:

https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-6591-Cable/949_LAN ...

Viele Grüße, commodity

Ein zweites Kabelmodem bringt nichts, kannst ja nur eins verwenden (das der FB). Für das Zweite benötigst du ja zusätzliche Zugangsdaten.


Wie schon von meinem Vorrednern angesprochen , würde ich vorschlagen du legt dir ne Mikrotik zu.

Z.B. hAP ax lite (mit WLAN) oder hEX . Beide um die 60$ .

Den hängst du an die Fritzbox und richtest entweder nur Portforwarding oder gleich nen Exposed Host in der FB auf die Mikrotik ein.

Dann kann dein Jüngling hinter der Mikrotik walten wie er will.
Evtl. noch in der FB ne Statische Route zum Netz der Mikrotik einrichten dann kann er auch aus dem sicheren Netz auf die Server.

Das WLAN des hAP kannst du dann als Gast Netz nehmen.


P.S: Natürlich kannst du auch einfach das Mikrotik Netz als das sichere nehmen.
Dann kann dein Jüngling auf der Fritzbox selbstständig Sachen einrichten und alles andere ist durch die Mikrotik gesichert. Auf der Fritzbox kann dein Junge nicht zu viel falsch machen.

Du brauchst nur ein zweites Modem, wenn du auch einen zweiten Anschluss hast.
@QDaniel hats doch genau erklärt.

Ich persönlich würds so wie in seinem PS machen.
Fritte ans Modem, Raspy an die Fritte und freigeben. Per Port oder komplett exposed. Dann den Mikrotik an die Fritzbox und an den Mikrotik dann das heimische und abgesicherte Netz.

Die Abhängigkeit von der Fritzbox führt zu umständlichen und teuren Lösungen - ist aber verständlich. Der Lösungsprozess ist schwierig. Wenn es irgendwann geschafft ist, wird vieles einfacher.

Du kannst das so machen, wie geplant. Ob Du die Fritzbox vor das private Netz legst oder einen anderen Router dafür nimmst, ist ja strukturell gleich.
Wichtig ist halt: Die zu schützenden Geräte sind hinter einem weiteren Router. Der Junior kann einen eigenen haben (Heise) oder ins Koppelnetz zum Kabelmodem.

Junior-PC: Ich persönlich halte Kindergeräte (auch Handys) für generell verseucht, deshalb haben sie bei mir ein eigenes Netz. Verzichte vielleicht auf die Trennung privat/HO und trenne lieber privat und Kind. Wenn Du einen Mikrotik einsetzen magst (Achtung: Super, aber wirklich steile Lernkurve!) kannst Du Dir ohnehin praktisch beliebig viele Netze abtrennen.

Grundsätzlich gilt für den Laien aber: Schritt für Schritt. Also besser erstmal machen als lange grübeln (und in der Dauerschleife landen). Also vielleicht mit der 2-Router-Lösung anfangen, damit der MC-Server zunächst aus dem Home-Netz kommt. Bei Erfolg dann weiter sehen.

Viele Grüße, commodity

Wenn dein jetziges Netz mit WLAN Mesh der Fritzbox und allem arbeitet, ist es vllt. am einfachsten ein anderen KabelROUTER an den Internetanschluss zu setzen und dann die vorhandene Fritzbox mit dem WAN port an den LAN Port des neuen Routers

Der Mikrotik wurde dir ja schon empfohlen. hAP ax lite. Findet man für unter 50 Euro.

Und? Da hängt ja die Fritzbox dran. Der hAP kommt an die Fritzbox.

@kpunkt Der TA möchte sowenig wie möglich an seinem aktuellen WLA Mesh über die Fritzbox anpassen.
Daher war seine Idee ein anderen Kabelrouter davor zu stellen.

@Ekkkke
Wenn du den eingebauten TV Tuner der FB nicht benutzt, kannst du auch ne günstigere FB nehmen und diese mit deinem WLAN Mesh einrichten. Ist zwar etwas aufwand die config auf die neue Box zu übertragen, dafür gibt es aber günstigere FBs.

Was mir grad noch auffällt an deinem Posting, und ich habe weitgehend das gleiche Setup.
Du schreibst ja, dass du eine Fritzbox Cable hast.

Hast du verifiziert, dass ihr eine full Stack IPv4 Adresse habt? Weil wenn ihr einen Vodafone Privatkundenvertrag habt, dann ist es sehr gut möglich, dass ihr einen sogn DS-Lite IPv4 Stack habt. Das sieht man in der Fritzbox im Reiter 'Internet'. Das bedeutet dann, das eure IPv4 Adresse zwischen einigen Vodafone Kunden geteilt wird, und Vodafone nach außen für euch ein NAT macht damit das alles funktioniert. Und weil Vodafone Vodafone ist, könnt ihr auf diesem NAT keine Portforwardings konfigurieren (bei 1&1 geht das z.b.), und Portfreigaben auf IPv4 auf deinem Router laufen einfach ins leere. (bei z.b 1&1 wird die dann deine Portfreigabe auf nen Random Port beim Provider NAT gelegt und auf deinen Port geforwardet. Nennt sich glaub CGNAT)

In dem Fall müsstet ihr dann versuchen den Minecraftserver auf IPv6 zu forwarden. Das habe ich so gemacht. Dabei drauf achten, dass alle Geräte auch wirklich IPv6 aktiv haben, von der Konsole des Raspberrys auch z.b. 'ping6 google.de' funktioniert usw.

Wenn ihr das hinbekommen habt, ist dann die Connection IP für die Friends dann wie folgt [aaaa:IPv6:Dummy]:Port
Und natürlich auch hier dann Portfreigabe usw konfigurieren.

Wie schon ein paar sagten, nen günstigen vRoot buchen wär vielleicht einfacher, und kompromitiert auch nicht potentiell dein Netzwerk. Dafür lernt man dann weniger über Netzwerk weil der vRoot einfach direkt im Internet hängt. Dafür muss man dann ipTables Firewall üben damit einem die Kiste nich gekapert wird 😂

Ja hast ne IPv4 , damit kannst du Portforwarding machen.

Aber ich sehe auch das kein IPv6 aktiv ist, solltest du wenn möglich zusätzlich aktivieren.