zahni
Goto Top

PortForwarding von FritzBox zu pfSense

Für die volle Onlinefunktionalität der Playstation sollen lt. Sony diverse Ports freigeschaltet werden. pfSense hängt bei mir hinter der FB 7490.

1) Zunächst auf der FB7490 eingerichtet: Forwarding auf WAN-Schnittstelle der pfSende

fritzbox-portfreigaben


2) PortForwarding auf des pfSense

bildschirmfoto 2017-03-11 um 14.11.09

bildschirmfoto 2017-03-11 um 14.11.47

Trotzdem werden mir auf diversen Testseiten wie http://canyouseeme.org die Ports mit Error oder beim heisetool https://www.heise.de/security/dienste/Netzwerkcheck-2114.html als gefiltert angezeigt.

Auch auf der Playstation wird noch der NAT-Typ 3 angezeigt, 2 wäre lt. Sony optimal.

Content-ID: 331884

Url: https://administrator.de/contentid/331884

Ausgedruckt am: 15.11.2024 um 21:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 11.03.2017 aktualisiert um 15:08:13 Uhr
Goto Top
Zitat von @zahni:

Für die volle Onlinefunktionalität der Playstation sollen lt. Sony diverse Ports freigeschaltet werden. pfSense hängt bei mir hinter der FB 7490.

Wieso das? man braucht übehaupt keine Portweiterleitung vom NAT-Router zur Playstation. das einzige was sein kann, daß Du einige Ports auf der pfsense freigibst, auf dennen dann die Playstation raus darf.

Von daher: Vergiß es, ein Loch in Deine FW und FB zu bohren. DIe PS4 funktioniert auch so.

lks
zahni
zahni 11.03.2017 um 15:15:26 Uhr
Goto Top
Hi,
raus geht doch sowieso immer, da hat doch die pfsense eh nichts dagegen, oder?
Incoming traffic ist doch immer das Problem, was wenn die PS4 eben bestimmte Ports für bestimmte Spiele o.ä. benötigt.
Lochkartenstanzer
Lochkartenstanzer 11.03.2017 um 15:20:24 Uhr
Goto Top
Zitat von @zahni:

Hi,
raus geht doch sowieso immer, da hat doch die pfsense eh nichts dagegen, oder?
Incoming traffic ist doch immer das Problem, was wenn die PS4 eben bestimmte Ports für bestimmte Spiele o.ä. benötigt.

Also ich habe bisher nichts explizit freigeschaltet, sondern nur ausgehende Verbindungen erlaubt. Und meinJunior hat sich bisher nicht beschwert, daß irgendein Spiel nicht ginge. Von daher würde ich da mal nur drauf achten, daß die PS4 raus darf und keine Löcher bohren.

Oder hast Du festgestellt, daß irgendein Spiel nicht ginge?

lks
quax08
quax08 11.03.2017 um 16:46:42 Uhr
Goto Top
Hey,
Rein musst du nichts freigeben, wäre ja auch kontraproduktiv, die meisten Leute die an einer Ps4, XBOX oder auch die die am Pc zocken müssten dann ja immer Ports öffnen, dann kann man sich auch gleich eine Firewall sparen....

Einzig und allein auf deinem Interface wo die Ps4 hängt musst du, wenn du nicht eine "any to any" Regel hast, die Ports nach draußen hin erlauben, da die Spiele bzw die Konsole sonst nicht auf den geforderten Ports rauskommen....

Funktioniert hier mit einer pfsense auf aktuellem Stand ohne Probleme...

Gruß
Lochkartenstanzer
Lochkartenstanzer 11.03.2017 um 17:04:57 Uhr
Goto Top
Zitat von @quax08:

Funktioniert hier mit einer pfsense auf aktuellem Stand ohne Probleme...

Und auch mit jeder andern Firewall. face-smile

lks
quax08
quax08 11.03.2017 um 17:12:26 Uhr
Goto Top
Das ist korrekt ;)

Wollte ihm bloß sagen das es bei mir auch eine pfsense ist und es bloß an seinen Regel für das Interface liegen kann ;)

Hilfreich wäre hier mal ein Screenshot von seinem Interface um die Regeln zu sehen face-smile

Gruß
108012
108012 11.03.2017 um 17:29:51 Uhr
Goto Top
Hallo,

Für die volle Onlinefunktionalität der Playstation sollen lt. Sony diverse Ports freigeschaltet werden. pfSense hängt bei mir hinter der FB 7490.
Na dann einfach die Sony PS direkt hinter die AVM FB und alles läuft wie gewünscht!

1) Zunächst auf der FB7490 eingerichtet: Forwarding auf WAN-Schnittstelle der pfSende
Danach ist die pfSense aber vorne an deren WAN Interface "offen" und somit ist die Kaskade nichts mehr wert!!!!!!
Denn die Kaskade setzt man ja auf das alles was sich hinter der ersten Station (AVM FB) befindet einen offenen
Port erhält und alles was hinter der zweiten Station ist sicher ist weil kein Port offen ist am WAN Interface.

Gruß
Dobby
zahni
zahni 12.03.2017 aktualisiert um 13:27:42 Uhr
Goto Top
Ok, danke erstmal

alles wieder rückgängig gemacht!

Lt. Junior funktioniert auch alles, außer der lebensnotwendige "Party-Modus", bei dem man sich untereinander in eine Party einlädt und per Headset miteinander sprechen und spielen kann. Hier kommt von der PS4 der Hinweis, dass der NAT-Typ geändert werden muss.

Hier nochmal ein Screenshot vom LAN-Interface, müsste ja so in Ordnung sein.

bildschirmfoto 2017-03-12 um 13.13.10

Interessant wäre mal bei den PS4-Nutzern, was bei euch im entsprechenden Menu der PS4 steht.

bildschirmfoto 2017-03-12 um 13.26.07
108012
108012 12.03.2017 um 13:42:23 Uhr
Goto Top
Hallo,

wenn Du (Ihr) eine AVM FB habt und dahinter eine pfSense habt Ihr zweimal NAT!
Und wenn Ihr die PS4 "nur" direkt hinter die AVM FB hängt dann ist es nur einmal NAT!

Gruß
Dobby
zahni
zahni 12.03.2017 um 14:00:52 Uhr
Goto Top
Hallo Dobby, d.h. ich sollte die PS4 mal direkt an einen LAN-Anschluss der FB hängen?
Ist das mit 2xNAT grundsätzlich ein Problem bzw. was wäre eine Lösung?

Habe die FB ja nur aus einem einzigen Grund am laufen, weil eine ISDN-Anlage am S0-Port hängt.

Grüße
Karim
108012
Lösung 108012 12.03.2017 um 15:41:49 Uhr
Goto Top
Hallo Dobby, d.h. ich sollte die PS4 mal direkt an einen LAN-Anschluss der FB hängen?
Ja genau das sollst Du bitte einmal probieren und zusätzlich noch die Einstellungen in der AVM FB anpassen
hinsichtlich des Gamings! (Priorisierung)

Ist das mit 2xNAT grundsätzlich ein Problem bzw. was wäre eine Lösung?
Kann sein muss aber nicht, nur wenn es das ist, ist es schnell mit dem umstecken eines Kabel erledigt!

Habe die FB ja nur aus einem einzigen Grund am laufen, weil eine ISDN-Anlage am S0-Port hängt.
Da kann dann auch IP Kameras, IPTVs, Spielekonsolen, das Internetradio und VOIP Telefone dran, denn
das ist alles nichts für das LAN was geschützt sein soll und wo solche Störfaktoren nicht zwingend drinnen sein müssen!
Der PC und die WLAN APs eventuell interne oder lokale (LAN) Server Drucker und Scanner sowie auch andere Netzwerkgeräte
sollen da rein die eben besonders geschützt werden sollen oder müssen und von den Vorteilen der Firewall (pfSense) profitieren
sollen wie zum Beispiel dem Captive Portal mit Voucher System für WLAN Gäste, der Radius Server für eigene WLAN Geräte und
der OpenLDAP Server für alle Kabel gebunden Geräten. Eventuell auch der Squid Proxy oder IDS zur Erhöhung der Sicherheit im LAN.

An der AVM FB den DHCP Server ausschalten, an LAN Port 4 die DMZ Funktion aktivieren und die pfSense dran anschließen und dann
einfach die anderen Geräte oder auch eventuell mittels eines kleinen Switches direkt an die AVM FB anschließen fertig! An meiner AVM
FB habe ich Entertain, IPTV, Internetradio und ein NAS auf das ich aus dem LAN hinter der pfSense und von unterwegs via VPN zugreifen
möchte und das war es, alles andere PCs, WSs, Drucker, Server habe ich im LAN hinter der pfSense!

Gruß
Dobby
zahni
zahni 12.03.2017 um 20:25:58 Uhr
Goto Top
Also, PS4, TVs, etc. alles per Switch an die FB direkt gehängt, alles andere wie gehabt über pfSense.
Funktioniert alles bestens, auch der Party-Mode der PS4