Xbox und NAT

[goebmaster]

Hallo zusammen,

ich verzweifle bald. Ich möchte bei meiner Xbox gerne ein "open nat" erreichen, bin aber nur bei "moderate". Dazu kommt, dass wenn ich in der Xbox den Port auf automatisch setze, er kurz die 3074 anzeigt, danach aber sofort auf irgend einen anderen Port wechselt. Ich erreiche auch nur den Moderate Status, wenn ich die unten verlinkte anleitung etwas abändere und bei der Outbound rule eben alle Ports statt nur 3074 eintrage. Sobald ich es wieder auf den 3074 ändere, bin ich bei Strict auf der Xbox. (Ist ja klar, da sie ständig einen anderen port benutzt)

Upnp hab ich für den Client aktiviert... funktioniert aber nicht.

ich bin nach dieser Anleitung vorgegangen:
https://niallbest.com/achieve-full-open-nat-with-port-forwarding-for-xbox-live-via-opnsense/


Die xbox sitzt im VLAN10 und wird auch so vom Mikrotik switch als untagged im VLAN10 behandelt. Die Xbox bekommt auch die richtige IP aus dem richtigen Subnet bei mir, das passt soweit.

Ich verstehe nur nicht, wieso die Box ständig von 3074 auf einen alternativen Port wechselt... verbinde ich die Box per Fritzbox direkt in das WLAN der Fritzbox funktioniert alles einwandfrei über Port 3074. (Ich habe zu Testzwecken das Wlan der Fritzbox aktiviert. Die OPNsense hängt als exposed host an der fritzbox)


Ich sehe auch in den Logfiles, wenn ich das "Nat überprüfen" lasse auf der Xbox, dass folgender Traffic geblockt wird:

Code Select Expand

HeimnetzVLAN May 3 13:30:25 [fe80::f916:4b4f:b2ad:5240]:5353 [ff02::fb]:5353 udp Default deny rule
HeimnetzVLAN May 3 13:30:24 fe80::f916:4b4f:b2ad:5240 ff02::16 ip Default deny rule
HeimnetzVLAN May 3 13:30:24 [fe80::f916:4b4f:b2ad:5240]:5353 [ff02::fb]:5353 udp Default deny rule
HeimnetzVLAN May 3 13:30:24 [fe80::f916:4b4f:b2ad:5240]:5353 [ff02::fb]:5353 udp Default deny rule
HeimnetzVLAN May 3 13:30:24 [fe80::f916:4b4f:b2ad:5240]:5353 [ff02::fb]:5353 udp Default deny rule
HeimnetzVLAN May 3 13:30:23 [fe80::f916:4b4f:b2ad:5240]:5353 [ff02::fb]:5353 udp Default deny rule
HeimnetzVLAN May 3 13:30:23 [fe80::f916:4b4f:b2ad:5240]:56303 [ff02::1:3]:5355 udp Default deny rule
HeimnetzVLAN May 3 13:30:23 [fe80::f916:4b4f:b2ad:5240]:5353 [ff02::fb]:5353 udp Default deny rule
HeimnetzVLAN May 3 13:30:23 [fe80::f916:4b4f:b2ad:5240]:5353 [ff02::fb]:5353 udp Default deny rule
HeimnetzVLAN May 3 13:30:23 fe80::f916:4b4f:b2ad:5240 ff02::16 ip Default deny rule
HeimnetzVLAN May 3 13:30:23 fe80::f916:4b4f:b2ad:5240 ff02::16 ip Default deny rule
HeimnetzVLAN May 3 13:30:23 [fe80::f916:4b4f:b2ad:5240]:5353 [ff02::fb]:5353 udp Default deny rule
HeimnetzVLAN May 3 13:30:23 [fe80::f916:4b4f:b2ad:5240]:5353 [ff02::fb]:5353 udp Default deny rule
HeimnetzVLAN May 3 13:30:23 fe80::f916:4b4f:b2ad:5240 ff02::16 ip Default deny rule
HeimnetzVLAN May 3 13:30:23 [fe80::f916:4b4f:b2ad:5240]:50278 [ff02::1:3]:5355 udp Default deny rule
HeimnetzVLAN May 3 13:30:22 fe80::f916:4b4f:b2ad:5240 ff02::16 ip Default deny rule
HeimnetzVLAN May 3 13:30:22 [fe80::f916:4b4f:b2ad:5240]:50278 [ff02::1:3]:5355 udp Default deny rule
HeimnetzVLAN May 3 13:30:22 fe80::f916:4b4f:b2ad:5240 ff02::16 ip Default deny rule
HeimnetzVLAN May 3 13:30:22 [fe80::f916:4b4f:b2ad:5240]:5353 [ff02::fb]:5353 udp Default deny rule
HeimnetzVLAN May 3 13:30:22 fe80::f916:4b4f:b2ad:5240 ff02::16 ip Default deny rule
HeimnetzVLAN May 3 13:30:22 fe80::f916:4b4f:b2ad:5240 ff02::16 ip Default deny rule
HeimnetzVLAN May 3 13:30:22 fe80::f916:4b4f:b2ad:5240 ff02::16 ip Default deny rule
HeimnetzVLAN May 3 13:30:22 fe80::f916:4b4f:b2ad:5240 ff02::16 ip Default deny rule
HeimnetzVLAN May 3 13:30:21 [fe80::f916:4b4f:b2ad:5240]:5353 [ff02::fb]:5353 udp Default deny rule
HeimnetzVLAN May 3 13:30:21 [fe80::f916:4b4f:b2ad:5240]:5353 [ff02::fb]:5353 udp Default deny rule


Sieht für mich alles irgendwie nach IPv6 aus... die Box hat aber eine IPv4 adresse und ich habe auch nur auf dem WAN als Gateway Ip4 und IPv6. In den einzlenen VLAns ist das alles deaktiviert.... hab auch schon IPv6 komplett deaktiviert, Log bleibt unverändert.


Wahrscheinlich bin ich zu doof für die Firewall^^

[goebmaster]

Kurzer Nachtrag,

wenn ich das ganze jetzt fix auf einen alternativen Port einstelle bei der Xbox. Ist mein NAT komplett offen. Setz ich es jedoch auf "auto" zeigt er kurz 3074 an und geht dann auf einen alternative Port.

Genauso habe ich UPNP mal aktiviert und für den Client freigegeben.... Der öffnet mir allerdings absolut keine Ports... also ob das Plugin nicht funktioniert.

[mrk45k]

Ich habe keine XBox, aber eine PS4 und Switchs(Nintendo).
Und das mit dem NAT wie folgt erfolgreich gelöst:
Add: NAT Outbound rule
Interface: WAN
TCP/IP Version: IPv4
Protocol: any
source address: Single host or Network ..IP.der.x.box/32
source port: any
destination address: any
destination port: any
translation/target: interface address
static-port: haken
pool-options: default

der rest nichts bis auf die description.

[jimjohn]

Wenn du kein IPv6 brauchst, deaktiviere es im gesamten Netz doch einfach.

Ich habe auch eine Xbox, die kommt durch meine recht strengen Policies problemlos durch (NAT ist aber strict). Alle Dienste (YouTube, etc.) laufen, Xbox Live läuft, Multiplayer geht auch.

Problem mit der Xbox ist bei Xbox Live nur, dass einige DNS Server durch die BIND DNSBL Listen abgefangen werden (bzw. mit 0.0.0.0 beantwortet). Wenn man die DNSBL ausschaltet geht es.

Ich versuche gerade in einem anderen Thread, dieses Problem so zu lösen, dass die Xbox die entsprechenden DNS Anfragen aufgelöst bekommt, sonst aber kein anderer Netzwerkteilnehmer.

Bisher löse ich es so, dass ich der Xbox halt einen anderen DNS Server gebe als "meinen" auf der OPNsense. Ist aber keine Ideallösung.