Probleme mit dynamischen Ports.

Started by Jayfrog, May 13, 2025, 09:25:22 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 13, 2025, 09:25:22 PM
Hallöchen!


Man versucht ja immer unnötige Ports geschlossen zu halten, nur wird das heute immer schwieriger, weil viele Spiele dynamischen
Ports nutzen, im Bereich von 49152:65535.

So auch bei Apex.

Wenn ich die Regel TCP/UDP IPv4 alles offen, an habe, läuft das Spiel, doch wenn ich versuche die besagte Portrange auf zu machen
klappt es nicht mehr.

Der Ressourcenmonitor zeigt mir für Apex aber nur diesen Bereich für TCP und UDP an und auch die Ausgabe der Opensense
zeigt bei Versuch zu connecten immer nur Ports in diesem Bereich an 192.168.1.2:59846.

Die Regel habe ich mehrfach überprüft, neu gemacht, von anderen kopiert usw.

Übersehe ich etwas?

Gibt es vielleicht ein Limit für die Portrange, so das diese Range = 49152:65535 zu groß ist?

Die Firewall von Windows ist aus und das es was mit Firewall der Sense zu tun hat, zeigt ja auch das es geht sobald ich alle Ports aufmache.

Danke!
May 13, 2025, 11:17:14 PM #1
Ich nehme an, Du sprichst von ausgehenden Ports, oder? Die unterliegen der outbound NAT und die verwendet per default dynamische, d.h. "umgeschriebene" Quellports. Eventuell versuchen Deine Spieleserver, per UDP an die Absender Daten zurück zu übertragen und benötigen "static ports", weil diese im verwendeten Protokoll mitgegeben werden.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
May 13, 2025, 11:32:58 PM #2
Quote from: meyergru on May 13, 2025, 11:17:14 PMIch nehme an, Du sprichst von ausgehenden Ports, oder? Die unterliegen der outbound NAT und die verwendet per default dynamische, d.h. "umgeschriebene" Quellports. Eventuell versuchen Deine Spieleserver, per UDP an die Absender Daten zurück zu übertragen und benötigen "static ports", weil diese im verwendeten Protokoll mitgegeben werden.

Danke!

Ich rede von Inbound Regeln, also die ganz normalen Ports die man gewöhnlich freigibt.
Die restlichen Ports für das Spiel sind ja freigegeben und wenn er noch mehr brauchen würden, müsste der Log der Opnsense und Windows das nicht ebenfalls anzeigen?

Bei beidem kommen für TCP und UDP jeweils nur diese bestimmen Ports von 40k-65k.

Was mich bei deinem Punkt wundert, ist die Tatsache das es ja geht sobald ich alle TCP/UDP Ports aufmachen.

Spezielles woanders muss ich nicht weiter freigeben..
May 13, 2025, 11:53:42 PM #3
Also, wenn Du von Port Forwarding zu einem PC im LAN sprichst:

1. Alle Ports freizugeben entspricht einem "Exposed Host" - damit machst Du Deine OpnSense quasi wirkungslose, weil alles, aber auch alles, ausnahmslos an Deinen PC weitergeleitet wird. Das ist ein Sicherheitsrisiko und auch für Spiele ziemlich ungewöhnlich, denn das ist fast nirgends möglich - beispielsweise bei CG-NAT.

2. Selbst große Bereich freizugeben, ist ein Risiko und recht ungewöhnlich. Höchstens werden einzelne Ports benutzt, oft wird eine Verbindung mit einem Spiele-Server aufgebaut, die dann rückwärts als Tunnel genutzt wird.

Ich weiß nicht genau, was die Anforderungen des konkreten Spiels sind oder was Du genau konfiguriert hast, deshalb weiß ich auch nicht, wieso es funktioniert, wenn Du "alle Ports öffnest".
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
May 14, 2025, 02:23:48 AM #4
Quote from: meyergru on May 13, 2025, 11:53:42 PMAlso, wenn Du von Port Forwarding zu einem PC im LAN sprichst:

1. Alle Ports freizugeben entspricht einem "Exposed Host" - damit machst Du Deine OpnSense quasi wirkungslose, weil alles, aber auch alles, ausnahmslos an Deinen PC weitergeleitet wird. Das ist ein Sicherheitsrisiko und auch für Spiele ziemlich ungewöhnlich, denn das ist fast nirgends möglich - beispielsweise bei CG-NAT.

2. Selbst große Bereich freizugeben, ist ein Risiko und recht ungewöhnlich. Höchstens werden einzelne Ports benutzt, oft wird eine Verbindung mit einem Spiele-Server aufgebaut, die dann rückwärts als Tunnel genutzt wird.

Ich weiß nicht genau, was die Anforderungen des konkreten Spiels sind oder was Du genau konfiguriert hast, deshalb weiß ich auch nicht, wieso es funktioniert, wenn Du "alle Ports öffnest".

Ich hatte schon erklärt welchen Bereich ich genau frei geben muss, aber ich verstehe gut das man das schnell überließt, wieder vergisst.

Ich gebe nicht alle Ports frei, nur alle für TCP/UDP.

Also IPv4 - TCP/UDP - Den Alias der zu meiner IP führt, der Rest sind in der Regel alles Sternchen.

Eben weil es ein Risiko ist, will ich so wenig Ports wie möglich frei geben, was bei Spielen wie Counter Strike auch noch funktioniert.
Andere, wie PUBG, oder eben Apex, haben auch feste Ports, aber jeder Server bekommt eine neuen, zufälligen Port.

Diese steigen nach jeder Runde an und immer im Bereich von 49152 - 65535.

Das Problem ist, das die meisten Spieler Standartrouter verwenden, die diese Ports alle offen haben, oder UPnP nutzen, aber das ist für Nutzer wie uns eben ausgeschlossen...

Rein theoretisch, würde eine Portrange/Regel mit 49152:65535 gehen?
May 14, 2025, 09:17:00 AM #5 Last Edit: May 14, 2025, 09:22:56 AM by meyergru
Ehrlich gesagt, verstehe ich nicht wirklich, was Du da tust.

Ich lese da raus, dass Du die Ports 49152-6535 "freigibst" - anscheinend "eingehend" und "nur TCP/UDP", aber wie? Per Port Forwarding oder nur als Firewall-Regel (die nicht funktionieren würde, NAT sei dank)? Am Rande: Wo, außer bei "nur TCP und UDP" gibt es denn Deiner Meinung nach noch Portnummern? Also: Siehe Punkt 2, das ist hochgradig unsicher und ich bin mir zu 99% sicher, dass das nicht notwendig ist.

Außerdem hast Du gesagt, dass es damit nicht immer läuft, erst wenn Du "alle Ports freigibst" (again: wie?) funktioniert es zuverlässig. Damit lädst Du dann endgültig das gesamte Internet ein, Deinen PC zu bombardieren und schaltest OpnSense quasi komplett aus (die mein Punkt 1).

Und welche Ports die Server benutzen, ist vollkommen egal, wenn Du nur ausgehend jeden Port kontaktieren kannst, was der Default für das LAN ist.

Letzlich: UPnP geht auf OpnSense sehr wohl - genauso, wie im Baumarkt-Router.



Eine konkrete Anfrage könnte so lauten: Ich habe folgendes konfiguriert (Screenshots oder konkrete Angaben der gewählten Einstellungen). Ich will folgendes erreichen... es funktioniert aber manchmal nicht. Ich habe dann folgendes geändert (neue Screenshots), dann ging es. Mein Spiel XYZ benötigt UPnP - wie kann ich das erreichen oder anders lösen?
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
May 14, 2025, 10:20:18 AM #6 Last Edit: May 14, 2025, 10:22:37 AM by meyergru
O.K., ich nehme (fast) alles zurück. Apex Legends ist offenbar wirklich so braindead programmiert, dass sie eingehende Ports die Menge brauchen. EA hat sogar die offizielle Liste von Ports, die sie mal hatten, wieder entfernt, weil diese sich ständig ändern. Aktuell ist es wohl wie folgt:

https://portforward.com/apex-legends/

Da sind Bereiche dabei wie 37000-40000, an anderer Stelle heißt es sogar bis 42000 - das sind mal eben 5000 Ports. Und offenbar kann es gar kein UPnP.

So, jetzt musst Du Dich entscheiden, Susi: Solche Spiele spielen oder OpnSense ihre Arbeit tun lassen. Im verlinkten Artikel wird vorgeschlagen, ein VPN zu verwenden. Ich würde einen solchen Spiele-PC mindestens in ein VLAN einsperren... Und: klar kannst Du per Port-Forwarding ganze Bereiche von-bis angeben.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
May 14, 2025, 12:36:14 PM #7
Quote from: meyergru on May 14, 2025, 10:20:18 AMO.K., ich nehme (fast) alles zurück. Apex Legends ist offenbar wirklich so braindead programmiert, dass sie eingehende Ports die Menge brauchen. EA hat sogar die offizielle Liste von Ports, die sie mal hatten, wieder entfernt, weil diese sich ständig ändern. Aktuell ist es wohl wie folgt:

https://portforward.com/apex-legends/

Da sind Bereiche dabei wie 37000-40000, an anderer Stelle heißt es sogar bis 42000 - das sind mal eben 5000 Ports. Und offenbar kann es gar kein UPnP.

So, jetzt musst Du Dich entscheiden, Susi: Solche Spiele spielen oder OpnSense ihre Arbeit tun lassen. Im verlinkten Artikel wird vorgeschlagen, ein VPN zu verwenden. Ich würde einen solchen Spiele-PC mindestens in ein VLAN einsperren... Und: klar kannst Du per Port-Forwarding ganze Bereiche von-bis angeben.


Joa, und das sind noch die alten Ports, ohne den riesen Bereich von 49k-65k. :D

Ich weiß nicht warum bestimmte Spiele diesen Weg gehen, weil es aus meiner Sicht kaum Sinn macht, außer vielleicht um
DDoS Attacken minimal zu erschweren, weil man immer einen neuen Port raussuchen muss.

Mit diesem Problem hatten beide Spiele, PUBG & Apex, massiv zu kämpfen.

Ich war lange als Troubleshooter in der Community von PUBG aktiv und ich weiß daher das es kaum Leute gibt die darauf wert legen
die Ports geschlossen zu halten, eben weil fast alle Casualrouter nutzen.

Das mit den Vlans ist ein guter Tip, da muss ich mich mal einlesen, ich nehme aber an, das der Vorteil darin liegt das ich besser kontrollieren kann
wohin das Vlan Verbindung hat?

Ich hätte versucht den ganzen Sektor 168.1-50, den Zugang zu anderen Subnetzen zu verbieten, zum anderen werden ich wohl jedes mal nach dem zocken
die Ports wieder schließen. Das ist zwar mühsam, aber VPN kommt nicht in Frage.

Danke!

May 14, 2025, 12:47:11 PM #8 Last Edit: May 14, 2025, 12:51:47 PM by meyergru
Das VLAN hat zunächst mal den Vorteil, dass Du den Spiele-PC, den Du bei Einsatz solcher Mechanismen als potentiell verseucht betrachten musst, von Deinen wertvollen Daten/Services in Deinem LAN isolieren kannst. Das ist praktisch wie ein komplett getrenntes Netz, in dem Du unsichere Praktiken akzeptierst (solange Du den PC nicht später wieder ein Deinem LAN anschließt).

Das VLAN ist dann genauso, als ob es auf dem Mond stünde und keinen Zugang zu Deinem LAN hat. Es ist nur zufällig so, dass beide Netze (VLAN und LAN) über die OpnSense verwaltet werden und sich einen Internet-Zugang teilen.

Mit "unsicheren Praktiken" meine ich, dass ohne Kontrolle durch OpnSense mit Freigabe großer Portbereiche alle Verantwortung auf der Windows-Firewall des Spiele-PCs liegt. Was das bedeutet, kannst Du ganz aktuell hier nachlesen.

Und übrigens: Du kannst im selben Subnetz (auf dem selben Interface) den Traffic nicht kontrollieren - er passiert die OpnSense nicht einmal, weil die Geräte direkt miteinander reden. Entsprechende Firewall-Regeln sind wirkungslos, siehe hier, Punkt 1.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
May 14, 2025, 01:48:38 PM #9
Quote from: meyergru on May 14, 2025, 12:47:11 PMDas VLAN hat zunächst mal den Vorteil, dass Du den Spiele-PC, den Du bei Einsatz solcher Mechanismen als potentiell verseucht betrachten musst, von Deinen wertvollen Daten/Services in Deinem LAN isolieren kannst. Das ist praktisch wie ein komplett getrenntes Netz, in dem Du unsichere Praktiken akzeptierst (solange Du den PC nicht später wieder ein Deinem LAN anschließt).

Das VLAN ist dann genauso, als ob es auf dem Mond stünde und keinen Zugang zu Deinem LAN hat. Es ist nur zufällig so, dass beide Netze (VLAN und LAN) über die OpnSense verwaltet werden und sich einen Internet-Zugang teilen.

Mit "unsicheren Praktiken" meine ich, dass ohne Kontrolle durch OpnSense mit Freigabe großer Portbereiche alle Verantwortung auf der Windows-Firewall des Spiele-PCs liegt. Was das bedeutet, kannst Du ganz aktuell hier nachlesen.

Und übrigens: Du kannst im selben Subnetz (auf dem selben Interface) den Traffic nicht kontrollieren - er passiert die OpnSense nicht einmal, weil die Geräte direkt miteinander reden. Entsprechende Firewall-Regeln sind wirkungslos, siehe hier, Punkt 1.


Alles klar, danke!

Dann werde ich das so machen.
Print
Go Up Pages1
User actions