ekkkke
Goto Top

Minecraftserver und Routerkaskade

Hallo,

Unser 12 jähriger experimentiert gerne und hat jetzt einen raspberry pi und darauf scheinbar einen Minecraft Server laufen. Jetzt wollen seine Freunde da drauf und ich soll in der fritzbox einen Port öffnen.

Prinzipiell würde ich die gerne so viel experimentieren lassen wie möglich weil das ja eigentlich recht cool ist.

Frage: Wie kann ich ein setup aufbauen, das Ihnen Zugriff erlaubt und gleichzeitig verhindert dass unser privates Netz und die homeoffice Rechner in Gefahr geraten?

Ich hab hier einiges zu Routerkaskade gelesen. Ist das eine Möglichkeit?

Kennt wer eine Anleitung für Eltern, deren Kinder sowas machen wollen, um das sicher aufzubauen? Ich bin ja vermutlich nicht der einzige... Leider bin ich echt nur normaler Anwender... Hier läuft ne fritzbox und zwei Switches. Einlesen würde ich mich, wenn ich wüsste in welche Richtung.

Danke für die Hilfe.

Beste Grüße
Nathan Wind

Content-ID: 41514993096

Url: https://administrator.de/contentid/41514993096

Ausgedruckt am: 13.11.2024 um 10:11 Uhr

maretz
maretz 04.03.2024 um 21:37:01 Uhr
Goto Top
Naja, entweder ne fritte mitm vpn drauf u d dahinter nen zweiten router df euren internen kram macht oder nen guten router mit ner dmz für den server.... ganz nach belueben
commodity
commodity 04.03.2024 aktualisiert um 22:08:55 Uhr
Goto Top
Hallöle,
das ist immer ein feines Projekt für den Einstieg und sei froh über jede Minute, die Minecraft und nicht Fortnite gezockt wird. face-smile

Für Dich als einfachem Anwender bietet sich zugleich die Chance ein paar wichtige Grundkenntnisse zu erwerben, indem Du die Kids bei dem serverseitigen Teil begleitest und mitlernst. Auch durchaus gut für die Vater-Sohn-Beziehung (meist), hängt natürlich von den Umständen ab. Das ist Quality-Time. So kurz vor der Pubertät äußerst kostbar. Vielleicht darfst Du sogar mitspielen face-big-smile

Den Server zu isolieren ist keine schlechte Idee, denn die Kids laden sich alsbald gern eine Menge zweifelhafter Plugins drauf. Dieses Netz ist dann grundsätzlich als "schmutzig" anzusehen und das ist ein vorzüglicher Moment, über die Gefahren des Internets und den Umgang damit zu sprechen bzw. sich damit zu beschäftigen. Die Absicherung über Routerkaskade ("DMZ des kleinen Mannes") ist eine günstige und erprobte Variante.

Kurz und knapp: Zweiten Router ins Netz (der dahinter ein eigenes Netz aufspannt) - muss keine Fritzbox sein. Kann auch ein kleiner Mikrotik hEX o.ä. im Bereich von 50 EUR sein. Vielleicht bekommt der Junior ja später noch Lust darauf, Netzwerk zu machen. Da ist das das richtige Lerngerät und hier im Forum gibt's viel Unterstütung.

Egal mit was: Die gewünschte Portfreigabe vom 1. Router auf den zweiten und von dort auf den Minecraft-Server legen, fertig. Die Kids kriegen das schneller hin, als Du gucken kannst face-smile

Für die Routerkaskade findest Du hier einen vertiefteren Beitrag: https://www.heise.de/ratgeber/Router-Kaskaden-1825801.html

Mit dem Pi werden die Jungs aber nicht lange Freude haben, also fang besser schon mal an zu sparen. Wir betreiben hier seit 2017 einen MC-Server und als erstes musste ich seinerzeit 16 GB RAM nachrüsten face-big-smile Wenn da ein paar Kids spielen und die Welt nicht winzig sein soll, braucht es Power. Nicht übermäßig, aber ein gut ausgestatteter, halbwegs zeitgemäßer PC mit ordentlich RAM sollte es schon sein.

Wenn ein 10er im Monat drin ist, kann man sich auch einmieten, da gibt es spezialisierte Anbieter.

Viel Spaß und viele Grüße, commodity

Edit: Anders als der Kollege @maretz vorschlägt, würde ich hier kein VPN einsetzen und habe auch noch nie gelesen, dass das jemand so macht. Dies verlangsamt die Leistung des Netzzuganges spürbar und bringt keine nennenswerte zusätzliche Sicherheit für diesen Anwendungsfall.
kpunkt
kpunkt 05.03.2024 um 06:26:59 Uhr
Goto Top
Es geht natürlich auch alleine mit der Fritzbox. Exposed Host. Und da ist dann der Raspberry.
Da gibt man halt den Raspberry komplett frei ins Netz.
Für DMZ brauchts einen anderen Router. Die Fritzbox kann sowas nicht.
Aber man kann natürlich auch einen zweitzen Router mittels exposed Host freigeben und auf dem dann nur einzelne Ports an dem daran angeschlossenen Raspberry weiterleiten.
Ersteres ist quick and dirty, letzteres ausbau- und bastelfähig.
Ekkkke
Ekkkke 05.03.2024 um 07:34:42 Uhr
Goto Top
Cool vielen Dank für die schnellenRückmeldungen.

Also basteln... Alleine wegen Lerneffekt.

Ich hab derzeit ne fritzbox cable 6591 und einen repeater 1200ax.

Wenn ich die beiden für das private Netz (in heise blaue zone) behalten will dann brauch ich davor ein weiteres Kabelmodem. Da hängt der Minecraft Server (ok ich fang an zu sparen) dran und die 6591. Wenn ich homeoffice zusätzlich sichern will kauf ich nen mikrotik.

Ist das prinzipiell richtig? Muss der neue kabelrouter irgendwas haben an mindest Standards dass der kein Flaschenhals wird? Haben derzeit Vodafone Gigabit (auch weil der Sohn gezockt hat plus Videokonferenz und dann bei mir im homeoffice gar nichts mehr ging parallel).

Danke!
pebcak7123
pebcak7123 05.03.2024 um 11:04:51 Uhr
Goto Top
@commodity wenn man den minecraftserver hinter den zweiten router hängt kann von dem server ja trotzdem alles im normalen heimnetz erreicht werden. Wenn man das nicht will müsste man den minecraftserver an den ersten router hängen und alles andere hinter den zweiten.

@Ekkkke
Ich würde in der fritzbox lan 4 auf gastzugang stellen ( siehe https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/949_LAN-Gastz ... ), da den rpi anschliessen und portforwarding auf diesen einrichten. Damit ist der mit minimalem aufwand komplett von euerem normalen netz getrennt
commodity
commodity 05.03.2024 aktualisiert um 11:25:06 Uhr
Goto Top
@pebcak7123
Einwand total korrekt! face-smile
Ich hatte da den Aufbau von Heise (Link oben) vor Augen, aber die nehmen ja einen dritten Router (was prinzipiell auch sinnvoller erscheint, wenn man das so machen mag). Bei nur zwei Routern ist die DMZ natürlich vor dem zweiten Router und das private Netz dahinter. Dann braucht es auch nur eine Portfreigabe auf dem ersten Router zum MC-Server.

Was den Vorschlag mit dem Gastzugang angeht: Hatte ich auch überlegt. Das ist aber problematisch:

a) würde er so sein (hoffentlich) schon genutztes Gastnetz verlieren
b) IMO ist im Gastnetz gar keine Portfreigabe möglich. https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/949_LAN-Gastz ...
Jedenfalls früher war das so (mit Fritzboxen mache ich praktisch nichts mehr).

Finde ich als Lösung nicht so passend.

@Ekkkke
Lastverteilung im Netz ist ein eigenes Thema und wird durch die Fritzboxen IMO nur rudimentär ermöglicht. Aber immerhin ein bisschen.
Die erhöhte Gesamtbandbreite "rettet" Dich vielleicht auch ohne weitere Maßnahmen, im Regelfall ist sie aber bei korrekter Verteilung im Netzwerk gar nicht nötig.
Wollen mal hoffen, dass Du jetzt nicht nen Anschluss hast, der gar keine IPv4-Freigaben auf den Junior-Pi ermöglicht... Ist das schon geklärt? Zum Anbieter Vodafone sage ich besser nur so viel: Viel Glück face-wink

Viele Grüße, commodity
pebcak7123
pebcak7123 05.03.2024 um 11:47:46 Uhr
Goto Top
portforwarding auf geräte im gastnetz geht, grad nochmal auf meiner fritte nachgeschaut.
bestehendes gastnetz ist problematisch, ja. Wobei man das Problem nicht hat wenn man den rpi einfach per wlan reinhängt da die fritzbox client isolation im gastnetz kann.
commodity
commodity 05.03.2024 um 18:33:10 Uhr
Goto Top
portforwarding auf geräte im gastnetz geht
Erstaunlich. (Nicht nur) für die 6591 schreibt AVM ausdrücklich:

Die IPTV-Wiedergabe und die Nutzung einzelner FRITZ!Box-Funktionen (z.B. Portfreigaben, Telefonie) sind im Gastnetz nicht möglich.
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-6591-Cable/949_LAN ...

Viele Grüße, commodity
Ekkkke
Ekkkke 05.03.2024 aktualisiert um 23:37:41 Uhr
Goto Top
Vielen Dank für die Antworten. Ich dachte bisher auch im Gastnetz ist Portfreigabe nicht möglich. Getestet hatte ich es nicht...

Das Netz wird auch schon benutzt, hauptsächlich vermutlich von den Freundinnen und Freunden der beiden Kinder.

Ich mach mich also erstmal auf die Suche nach einem gebrauchten Kabelmodem...
QDaniel
QDaniel 06.03.2024 aktualisiert um 00:08:16 Uhr
Goto Top
Ein zweites Kabelmodem bringt nichts, kannst ja nur eins verwenden (das der FB). Für das Zweite benötigst du ja zusätzliche Zugangsdaten.


Wie schon von meinem Vorrednern angesprochen , würde ich vorschlagen du legt dir ne Mikrotik zu.

Z.B. hAP ax lite (mit WLAN) oder hEX . Beide um die 60$ .

Den hängst du an die Fritzbox und richtest entweder nur Portforwarding oder gleich nen Exposed Host in der FB auf die Mikrotik ein.

Dann kann dein Jüngling hinter der Mikrotik walten wie er will.
Evtl. noch in der FB ne Statische Route zum Netz der Mikrotik einrichten dann kann er auch aus dem sicheren Netz auf die Server.

Das WLAN des hAP kannst du dann als Gast Netz nehmen.


P.S: Natürlich kannst du auch einfach das Mikrotik Netz als das sichere nehmen.
Dann kann dein Jüngling auf der Fritzbox selbstständig Sachen einrichten und alles andere ist durch die Mikrotik gesichert. Auf der Fritzbox kann dein Junge nicht zu viel falsch machen.
Ekkkke
Ekkkke 06.03.2024 um 06:57:27 Uhr
Goto Top
Danke, die Idee mit dem zweiten Modem war dass ich die komplette konfig fürs private Netz mit der Fritz plus mesh belassen kann? Ich degradiere das dann praktisch? Im Moment deckt die fritzbox Keller, EG, 1. OG ab. Im Dachgeschoss liegt LAN an dem ein 1200ax hängt. Der spannt für 1. OG und DG WLAN auf. Damit ist alles abgedeckt.

Ich dachte jetzt an zweites Kabelmodem von da in jetzige fritzbox fürs private Netz und in einen mikrotik für homeoffice.

MC server hängt dann direkt am "neuen" Modem. Wo kommt dann eigentlich der PC vom Sohn hin? Ggf am besten direkt hinter einen zweiten mikrotik?
kpunkt
kpunkt 06.03.2024 um 07:20:32 Uhr
Goto Top
Du brauchst nur ein zweites Modem, wenn du auch einen zweiten Anschluss hast.
@QDaniel hats doch genau erklärt.

Ich persönlich würds so wie in seinem PS machen.
Fritte ans Modem, Raspy an die Fritte und freigeben. Per Port oder komplett exposed. Dann den Mikrotik an die Fritzbox und an den Mikrotik dann das heimische und abgesicherte Netz.
commodity
commodity 06.03.2024 um 08:45:39 Uhr
Goto Top
die Idee mit dem zweiten Modem war
Die Abhängigkeit von der Fritzbox führt zu umständlichen und teuren Lösungen - ist aber verständlich. Der Lösungsprozess ist schwierig. Wenn es irgendwann geschafft ist, wird vieles einfacher.

Du kannst das so machen, wie geplant. Ob Du die Fritzbox vor das private Netz legst oder einen anderen Router dafür nimmst, ist ja strukturell gleich.
Wichtig ist halt: Die zu schützenden Geräte sind hinter einem weiteren Router. Der Junior kann einen eigenen haben (Heise) oder ins Koppelnetz zum Kabelmodem.

Junior-PC: Ich persönlich halte Kindergeräte (auch Handys) für generell verseucht, deshalb haben sie bei mir ein eigenes Netz. Verzichte vielleicht auf die Trennung privat/HO und trenne lieber privat und Kind. Wenn Du einen Mikrotik einsetzen magst (Achtung: Super, aber wirklich steile Lernkurve!) kannst Du Dir ohnehin praktisch beliebig viele Netze abtrennen.

Grundsätzlich gilt für den Laien aber: Schritt für Schritt. Also besser erstmal machen als lange grübeln (und in der Dauerschleife landen). Also vielleicht mit der 2-Router-Lösung anfangen, damit der MC-Server zunächst aus dem Home-Netz kommt. Bei Erfolg dann weiter sehen. face-smile

Viele Grüße, commodity
QDaniel
QDaniel 06.03.2024 um 18:38:09 Uhr
Goto Top
Wenn dein jetziges Netz mit WLAN Mesh der Fritzbox und allem arbeitet, ist es vllt. am einfachsten ein anderen KabelROUTER an den Internetanschluss zu setzen und dann die vorhandene Fritzbox mit dem WAN port an den LAN Port des neuen Routers
Ekkkke
Ekkkke 06.03.2024 um 19:08:49 Uhr
Goto Top
Oh... Hab ich vermutlich Modem und Router verwechselt? Und euch verwirrt... Sorry...

Um sicherzugehen was wäre denn ein möglicher (günstiger) Kabelrouter? Ein Duplikat meiner fritzbox? Wobei das ja eher teuer ist... Oder bin ich da wieder falsch?

Ich glaub aber wir nähern uns dem Punkt, wo ich ausreichend Verständnis erreicht habe, einkaufen und loslegen kann...

... Um dann hier mit Fragen aufzulaufen, wenn wir nicht weiterkommen ;) . Aber ich habe schonmal berichtet dass wir durch die netten Leute hier im Forum und etwas Hardwareeinsatz zu einer Lösung finden werden. Thx!
kpunkt
kpunkt 07.03.2024 um 06:53:01 Uhr
Goto Top
Der Mikrotik wurde dir ja schon empfohlen. hAP ax lite. Findet man für unter 50 Euro.
Ekkkke
Ekkkke 07.03.2024 um 07:16:47 Uhr
Goto Top
Danke, aber aus der Wand kommt doch ein coax?
kpunkt
kpunkt 07.03.2024 um 08:34:15 Uhr
Goto Top
Und? Da hängt ja die Fritzbox dran. Der hAP kommt an die Fritzbox.
QDaniel
QDaniel 07.03.2024 aktualisiert um 20:32:40 Uhr
Goto Top
@kpunkt Der TA möchte sowenig wie möglich an seinem aktuellen WLA Mesh über die Fritzbox anpassen.
Daher war seine Idee ein anderen Kabelrouter davor zu stellen.

@Ekkkke
Wenn du den eingebauten TV Tuner der FB nicht benutzt, kannst du auch ne günstigere FB nehmen und diese mit deinem WLAN Mesh einrichten. Ist zwar etwas aufwand die config auf die neue Box zu übertragen, dafür gibt es aber günstigere FBs.
Tami42
Tami42 09.03.2024 um 10:09:10 Uhr
Goto Top
Was mir grad noch auffällt an deinem Posting, und ich habe weitgehend das gleiche Setup.
Du schreibst ja, dass du eine Fritzbox Cable hast.

Hast du verifiziert, dass ihr eine full Stack IPv4 Adresse habt? Weil wenn ihr einen Vodafone Privatkundenvertrag habt, dann ist es sehr gut möglich, dass ihr einen sogn DS-Lite IPv4 Stack habt. Das sieht man in der Fritzbox im Reiter 'Internet'. Das bedeutet dann, das eure IPv4 Adresse zwischen einigen Vodafone Kunden geteilt wird, und Vodafone nach außen für euch ein NAT macht damit das alles funktioniert. Und weil Vodafone Vodafone ist, könnt ihr auf diesem NAT keine Portforwardings konfigurieren (bei 1&1 geht das z.b.), und Portfreigaben auf IPv4 auf deinem Router laufen einfach ins leere. (bei z.b 1&1 wird die dann deine Portfreigabe auf nen Random Port beim Provider NAT gelegt und auf deinen Port geforwardet. Nennt sich glaub CGNAT)

In dem Fall müsstet ihr dann versuchen den Minecraftserver auf IPv6 zu forwarden. Das habe ich so gemacht. Dabei drauf achten, dass alle Geräte auch wirklich IPv6 aktiv haben, von der Konsole des Raspberrys auch z.b. 'ping6 google.de' funktioniert usw.

Wenn ihr das hinbekommen habt, ist dann die Connection IP für die Friends dann wie folgt [aaaa:IPv6:Dummy]:Port
Und natürlich auch hier dann Portfreigabe usw konfigurieren.

Wie schon ein paar sagten, nen günstigen vRoot buchen wär vielleicht einfacher, und kompromitiert auch nicht potentiell dein Netzwerk. Dafür lernt man dann weniger über Netzwerk weil der vRoot einfach direkt im Internet hängt. Dafür muss man dann ipTables Firewall üben damit einem die Kiste nich gekapert wird 😂
Ekkkke
Ekkkke 09.03.2024 um 13:10:45 Uhr
Goto Top
Was man alles lernt... Danke.

In der fritzbox steht das aus dem Bild.
1000007550

Und hier: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/3749_Erreichb ...

Würde ich dem entnehmen dass ich ne erreichbare IP habe?
QDaniel
QDaniel 09.03.2024 um 14:53:28 Uhr
Goto Top
Ja hast ne IPv4 , damit kannst du Portforwarding machen.

Aber ich sehe auch das kein IPv6 aktiv ist, solltest du wenn möglich zusätzlich aktivieren.
Ekkkke
Ekkkke 09.03.2024 um 19:44:04 Uhr
Goto Top
Ok super. Dankeschön. Dann hol ich mir ne gebrauchte aus der Liste und hänge die dann vorne dran.

1000007556

Sobald ich eine habe melde ich mich sehr sicher...

Und irgendwann kommt eh die vm für ihn. Aber unabhängig davon muss ich ihn jetzt eh von unserem Netz trennen. Heute früh kam er mit dem PC unterm Arm von nem Kumpel zurück wo er vermutlich die ganze Nacht nur gezockt hat... ;).

Naja Wer kennt das nicht... Wobei früher ging ja gefühlt die halbe Nacht drauf bis das LAN funktionierte...
Ekkkke
Ekkkke 09.03.2024 um 20:55:20 Uhr
Goto Top
Jetzt hab ich gerade die Welt des branding vs no branding kennengelernt. OMG face-smile