Messages

[nicht]

Das VLAN hat zunächst mal den Vorteil, dass Du den Spiele-PC, den Du bei Einsatz solcher Mechanismen als potentiell verseucht betrachten musst, von Deinen wertvollen Daten/Services in Deinem LAN isolieren kannst. Das ist praktisch wie ein komplett getrenntes Netz, in dem Du unsichere Praktiken akzeptierst (solange Du den PC nicht später wieder ein Deinem LAN anschließt).

Das VLAN ist dann genauso, als ob es auf dem Mond stünde und keinen Zugang zu Deinem LAN hat. Es ist nur zufällig so, dass beide Netze (VLAN und LAN) über die OpnSense verwaltet werden und sich einen Internet-Zugang teilen.

Mit "unsicheren Praktiken" meine ich, dass ohne Kontrolle durch OpnSense mit Freigabe großer Portbereiche alle Verantwortung auf der Windows-Firewall des Spiele-PCs liegt. Was das bedeutet, kannst Du ganz aktuell hier nachlesen.

Und übrigens: Du kannst im selben Subnetz (auf dem selben Interface) den Traffic nicht kontrollieren - er passiert die OpnSense nicht einmal, weil die Geräte direkt miteinander reden. Entsprechende Firewall-Regeln sind wirkungslos, siehe hier, Punkt 1.

Alles klar, danke!

Dann werde ich das so machen.

[hatten]

O.K., ich nehme (fast) alles zurück. Apex Legends ist offenbar wirklich so braindead programmiert, dass sie eingehende Ports die Menge brauchen. EA hat sogar die offizielle Liste von Ports, die sie mal hatten, wieder entfernt, weil diese sich ständig ändern. Aktuell ist es wohl wie folgt:

https://portforward.com/apex-legends/

Da sind Bereiche dabei wie 37000-40000, an anderer Stelle heißt es sogar bis 42000 - das sind mal eben 5000 Ports. Und offenbar kann es gar kein UPnP.

So, jetzt musst Du Dich entscheiden, Susi: Solche Spiele spielen oder OpnSense ihre Arbeit tun lassen. Im verlinkten Artikel wird vorgeschlagen, ein VPN zu verwenden. Ich würde einen solchen Spiele-PC mindestens in ein VLAN einsperren... Und: klar kannst Du per Port-Forwarding ganze Bereiche von-bis angeben.

Joa, und das sind noch die alten Ports, ohne den riesen Bereich von 49k-65k. :D

Ich weiß nicht warum bestimmte Spiele diesen Weg gehen, weil es aus meiner Sicht kaum Sinn macht, außer vielleicht um
DDoS Attacken minimal zu erschweren, weil man immer einen neuen Port raussuchen muss.

Mit diesem Problem hatten beide Spiele, PUBG & Apex, massiv zu kämpfen.

Ich war lange als Troubleshooter in der Community von PUBG aktiv und ich weiß daher das es kaum Leute gibt die darauf wert legen
die Ports geschlossen zu halten, eben weil fast alle Casualrouter nutzen.

Das mit den Vlans ist ein guter Tip, da muss ich mich mal einlesen, ich nehme aber an, das der Vorteil darin liegt das ich besser kontrollieren kann
wohin das Vlan Verbindung hat?

Ich hätte versucht den ganzen Sektor 168.1-50, den Zugang zu anderen Subnetzen zu verbieten, zum anderen werden ich wohl jedes mal nach dem zocken
die Ports wieder schließen. Das ist zwar mühsam, aber VPN kommt nicht in Frage.

Danke!

Also, wenn Du von Port Forwarding zu einem PC im LAN sprichst:

1. Alle Ports freizugeben entspricht einem "Exposed Host" - damit machst Du Deine OpnSense quasi wirkungslose, weil alles, aber auch alles, ausnahmslos an Deinen PC weitergeleitet wird. Das ist ein Sicherheitsrisiko und auch für Spiele ziemlich ungewöhnlich, denn das ist fast nirgends möglich - beispielsweise bei CG-NAT.

2. Selbst große Bereich freizugeben, ist ein Risiko und recht ungewöhnlich. Höchstens werden einzelne Ports benutzt, oft wird eine Verbindung mit einem Spiele-Server aufgebaut, die dann rückwärts als Tunnel genutzt wird.

Ich weiß nicht genau, was die Anforderungen des konkreten Spiels sind oder was Du genau konfiguriert hast, deshalb weiß ich auch nicht, wieso es funktioniert, wenn Du "alle Ports öffnest".

Ich hatte schon erklärt welchen Bereich ich genau frei geben muss, aber ich verstehe gut das man das schnell überließt, wieder vergisst.

Ich gebe nicht alle Ports frei, nur alle für TCP/UDP.

Also IPv4 - TCP/UDP - Den Alias der zu meiner IP führt, der Rest sind in der Regel alles Sternchen.

Eben weil es ein Risiko ist, will ich so wenig Ports wie möglich frei geben, was bei Spielen wie Counter Strike auch noch funktioniert.
Andere, wie PUBG, oder eben Apex, haben auch feste Ports, aber jeder Server bekommt eine neuen, zufälligen Port.

Diese steigen nach jeder Runde an und immer im Bereich von 49152 - 65535.

Das Problem ist, das die meisten Spieler Standartrouter verwenden, die diese Ports alle offen haben, oder UPnP nutzen, aber das ist für Nutzer wie uns eben ausgeschlossen...

Rein theoretisch, würde eine Portrange/Regel mit 49152:65535 gehen?

Ich nehme an, Du sprichst von ausgehenden Ports, oder? Die unterliegen der outbound NAT und die verwendet per default dynamische, d.h. "umgeschriebene" Quellports. Eventuell versuchen Deine Spieleserver, per UDP an die Absender Daten zurück zu übertragen und benötigen "static ports", weil diese im verwendeten Protokoll mitgegeben werden.

Danke!

Ich rede von Inbound Regeln, also die ganz normalen Ports die man gewöhnlich freigibt.
Die restlichen Ports für das Spiel sind ja freigegeben und wenn er noch mehr brauchen würden, müsste der Log der Opnsense und Windows das nicht ebenfalls anzeigen?

Bei beidem kommen für TCP und UDP jeweils nur diese bestimmen Ports von 40k-65k.

Was mich bei deinem Punkt wundert, ist die Tatsache das es ja geht sobald ich alle TCP/UDP Ports aufmachen.

Spezielles woanders muss ich nicht weiter freigeben..

Hallöchen!


Man versucht ja immer unnötige Ports geschlossen zu halten, nur wird das heute immer schwieriger, weil viele Spiele dynamischen
Ports nutzen, im Bereich von 49152:65535.

So auch bei Apex.

Wenn ich die Regel TCP/UDP IPv4 alles offen, an habe, läuft das Spiel, doch wenn ich versuche die besagte Portrange auf zu machen
klappt es nicht mehr.

Der Ressourcenmonitor zeigt mir für Apex aber nur diesen Bereich für TCP und UDP an und auch die Ausgabe der Opensense
zeigt bei Versuch zu connecten immer nur Ports in diesem Bereich an 192.168.1.2:59846.

Die Regel habe ich mehrfach überprüft, neu gemacht, von anderen kopiert usw.

Übersehe ich etwas?

Gibt es vielleicht ein Limit für die Portrange, so das diese Range = 49152:65535 zu groß ist?

Die Firewall von Windows ist aus und das es was mit Firewall der Sense zu tun hat, zeigt ja auch das es geht sobald ich alle Ports aufmache.

Danke!

danach habe ich in Win 11 die temporären IPv6 Adressen ... deaktiviert

Wie macht man das?

Da gibt es verschiedene Wege, je nach dem ob man es mit CMD oder Powershell macht.

Für CMD = Randomizer

netsh interface ipv6 set privacy state=disabled store=active

netsh interface ipv6 set privacy state=disabled store=persistent

netsh interface ipv6 set global randomizeidentifiers=disabled store=active

netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent

Das sollte beides deaktivieren, aber du findest das auch leicht mit den Stichwörtern für Powershell.

Also doch NAT? :-P

Jap, das war die Ursache. :D

Auf der OPNsense hat WAN ein Prefix mit 800f:fffe drin und OPT1 eines mit 8098:4000 - also nicht dasselbe. Ich verstehe dich in dieser Beziehung nach wie vor nicht.

Die meinst bestimmt das Bild von der Opnsense, ja dort ist beides verschieden, ich meinte das Bild von der Ipv6 Prüfseite direkt vom Server.

Ich habe aber nun die Ursache gefunden, weil ich noch eine alte Ipv6 Regel im Outbound aktiv hatte.
Das war die Ursache. ^^

Benutz bitte keine externen Image-Hosting-Sites sondern häng die Bilder hier im Forum an den Post an.

Ich sehe da nicht, dass auf der OPNsense WAN und OPT1 dieselbe IPv6-Adresse hätten. Aber vielleicht hast du zu viel ausgeschwärzt.

Ich würde aber auch erwarten, dass der PC, der an OPT1 hängt, eine Adresse mit dem ...:4000:... Prefix bekommt.

Ok, das mit den Bildern werde ich in Zukunft so machen.

Der schwärzen war nicht wirklich gut, aber man erkennt auch jeden Fall das OPT1 den selben Präfix hat wie WAN, was ja nicht sein darf.

Ich kann die temporären IPs und den Randomizer mal wieder einschalten, um zu sehen ob ich dann wieder eine IP vom ONT1 bekommen, aber
seltsam ist es auf jeden Fall und es macht mein Vorhaben quasi unmöglich...

Danke für die Antworten!

Zuerst der Nachweis.

Hier die IP vom LAN -> Gaming PC Win 10 mit Standardsettings.



Hier die IP vom OPT1 -> Server Win 11 mit deaktivierten temporäreren Adressen und deaktivierten Randomizer.



Als letztes noch der Nachweis von der Opnsense, wo man sehen kann das WAN die selbe IP hat wie OPT1



Bevor ich beim OPT1 die Einstellung unter Win 11 verändert habe, hatte ich dort ebenfalls eine IP die
im Präfixbereich des OPT1 lag. In Opnsense hatte ich nichts verändert.

Als ich gesehen hatte das die IP gleich ist, habe ich noch im Firefox die Proxyeinstellung auch aus gestellt, aber
es blieb das selbe.

Wie ich schon schrieb, habe ich bei NPTv6 noch nichts eingestellt.

Hast du NAT66 konfiguriert?

s.

Nein, das war bisher noch aus und ich habe nur die temporären IPs und den Randomizer ausgemacht, seit dem hat nimmt er die IP des WANs
davor nicht.

Ich wusste nicht mal dass das ohne eine Verbindung überhaupt geht...

Hallo!

Ich versuche gerade meinen Win 11 Server mit einer öffentlichen IPv6 erreichbar zu machen.


Wan Settings:

Präfix: 56
Sent präfix hint: An

OPT1 Settings:

Track Interface
Assign prefix ID: Standart 0

Nach euren Anweisung ist DHCP aus und RA auf Assisted.

Das lief soweit auch stabil, danach habe ich in Win 11 die temporären IPv6 Adressen und den Randomizer deaktiviert
damit die IPv6 von der MAC Adresse generiert wird.

Das hat am ersten Tag auch super funktioniert, doch beim nächsten hochfahren des PC, zeigt mir eine Überprüfung der IPv6 im Browser
die IPv6 das WAN Adapters an.

Ipconfig zeigt die IP, die im Bereich des OPT1 Präfix liegt.

Kann mir jemand erklären warum der Firefox nun die Adresse des WAN Adapters nimmt?

Proxy Settings von Firefox habe ich zum Test komplett deaktiviert, ohne Erfolg.

Danke!

Der Hinweis mit seinem Setup war wichtig, weil ich so noch mal das Video rausgesucht habe und in der Tat, ist mir ein Hauptpunkt
damals nicht aufgefallen.

Er macht NAT nämlich nur aus, weil seine Fritte das schon erledigt um Doppelt NAT zu verhindern, das habe ich wohl missverstanden/überhört.

Die Info hätte mir so einiges an Zeit eingespart, auch wenn ich trotzdem vermutet hätte, das man das ganze noch auf einem anderen Weg lösen kann.

Das es so nicht geht, ist also die Antwort die ich gesucht habe, so oder so, weil ich dann auch keine Lösung dazu finden konnte, weil es sie nicht gibt. :)

Danke für eure Zeit!

Hallöchen!

Vor einer ganzen Weile, habe ich ein Opnsense Video gesehen, wo jemand seine Settings erklärt hat.

Er hat keine Outbound Rules, sondern alles manuell eingestellt. Outbound war also deaktiviert.


Ich habe natürlich schon selbst geguckt, wie ich das einstellen kann, aber das einzige was ich finden konnte waren die Routen
die nur für Router für Router genommen werden soll, oder eine Bridge, was ebenfalls nicht dafür gedacht ist.

Mit den Firewall Regeln habe ich auch etwas rumprobiert, aber ebenso keinen Erfolg.

Daher meine Frage.

Wie kann ich ohne Outbound Regeln das einstellen?

Ist nicht wirklich wichtig, aber ich versuche natürlich immmer etwas zu lernen, daher wäre es gut dies zu wissen.

Danke!

Wie kommst du denn an das Logfile?

Was ich denke, wie man das tut:

- Terminal öffnen
- ssh root@meine.opn.sense
- cat /var/log/somelogfile
- copy & paste ins Forum

Anscheinend machst du irgendwas anders :-)

Danke, das werde ich dann mal machen, weil ich die Info aus der Weboberfläche genommen habe, dort wird es ja auch angezeigt.

Ich hätte nicht gedacht das es einen so großen Unterschied macht, aber ich melde mich noch mal wenn ich alles hab. Lg