Pilot und Copilot können nicht gegenseitig joinen

[AliManali]

Hi

Habe da ein Problem, wo ich nicht weiter komme. Habe einen Pilot- und Co Piloten Sitz. Bislang, wenn ich mich an einem Flugsimulator angemeldet hatte, musste ich mich mit Pilot- und Co Pilot per VPN verbinden. Vom Pilotensitz zum Copilotensitz musste ich in der Zywall eine allow all Regel machen, dann ging das. Wenn ich nur alleine flog (also nur mit random Clients), ging das auch ohne VPN.

Nun habe ich den Hauptserver bei mir. Seither muss ich mich mit dem Piloten Sitz per VPN verbinden, sonst können andere User bei mir nicht beitreten, und ich nicht bei ihnen. Stört mich eigentlich nicht weiter. Das Problem habe ich noch mit einem weiteren Flugsimulator Server, dass ich mich da per VPN verbinden muss. Mit VPN ist NordVPN gemeint, also ausgehende Verbindung zu einem Anbieter.

Aber im Moment kann ich nicht mit meinem CoPilot zusammen fliegen. Habe nun heraus gefunden, wenn ich bei beiden Clients die hosts Datei anpasse, dann geht die Verbindung (ohne VPN). Sogar vom Copilot zum Pilot, wo nichts separat beregelt wurde in der Zywall.

Also hosts Datei so:

192.168.50.50       www.meinedomain.ch
192.168.50.50       meinedomain.ch

oder

192.168.200.200       www.meinedomain.ch
192.168.200.200       meinedomain.ch

Dann geht es ohne VPN. Dann kann aber keiner von aussen auf unsere Sitzung beitreten. Im Normalfall muss man als Client gar nichts in der Firewall beregeln. Einfach mit dem Hauptserver verbinden, Sitzung erstellen und gut ist. Grossteil vom Verkehr wird glaube ich eh zwischen den Clients ausgehandelt. Wenn der Hauptserver weg ist, bleiben die Client Sitzungen bestehen, wenn auch bisschen buggy. Aber man sieht die Piloten weiter fliegen, obwohl der Server weg ist. Wird alles bisschen per UDP vermittelt.

meinedomain.ch steht exemplarisch für eine im Gameclient eingetragene Adresse, die auf den Hauptserver zeigt. Das funktioniert ja für alle, ausser für mich. Interessant dabei war auch, dass mein Kumpel (selber Provider) auch nicht beitreten konnte. Erst als er beim Provider eine fixe IP genommen hat, konnte er auf meine Session zugreifen. Das Problem hatten wir früher schon, das haben wir dann mit einer fixen IP auf beiden Seiten gelöst.

Lasst Euch nicht verwirren, dass Pilot und Copilot nicht im selben Adress Range sind. Das ist gewollt so. Klappt auch nicht, wenn der Copilot am LAN gestöpselt wird.

Hat da wer einen Plan, wo ich da ansetzten könnte, ohne VPN und ohne hosts Datei?

Gruss und danke

 

[Supaman]

Hört sich nach klassischem DNS Problem an.

Wenn Du per (Nord)VPN arbbeitestgehst Du aus Deinem Netz raus -> Exit Node N-VPN -> wieder bei Dir rein.
Wenn Du per Hosts Datei arbeitest, übermitelt das Spiel vermutlich die lokale IP als Ziel Server -> läuft nicht.

Lösungsmöglichkeiten:
per Unboud Split DNS einrichten
oder 2ter Internet Anschluss
oder externer VPS-VPN als zentraler Connector für alle

 

[AliManali]

Wenn Du per Hosts Datei arbeitest, übermitelt das Spiel vermutlich die lokale IP als Ziel Server -> läuft nicht.

Danke.

Ja genau, dann wird es auf die lokale Adresse aufgelöst. Das war auch das Ziel der Sache, dann läuft es ja. Zumindest lokal.

Im DNS zur Domain ist ein A-Eintrag @.meinedomain.ch = meine öffentliche IP eingetragen. Beim "Modem" als exopsed Host meine Zywall. Dort geht es per Portforwarding auf verschiedene Server. So z.B. ein Hosting Panel, bzw. Port 443, bei welchem eine Weiterleitung auf eine externe Domain eingerichtet ist. DNS Problem glaube ich weniger, weil ich kann mich mit dem Client ja auf den Server verbinden, und eine Sitzung hosten. Auch ohne VPN. Nur kann sich keiner auf die Sitzung verbinden.

Ich vermute, dass ich mit einem korrekten Routing schon weiter kommen würde. Nur wie, keine Ahnung. Auf dem Client, oder in der Zywall? Am Modem/Router kann man leider nicht viel einstellen, das ist so eine Providerbox. Auch bridged mode geht leider nicht.

Derjenige, welcher den Sim vor mir hostete, berichtete von ähnlichen Problemen.

oder 2ter Internet Anschluss
oder externer VPS-VPN als zentraler Connector für alle

Ja klar, könnte den Dienst auch einfach extern hosten. Würde es aber gerne selbst lösen, wenn das geht. Falls es nicht möglich ist, muss ich halt wenn ein Gast da ist die Hosts Datei abändern.

Unbound Split DNS sagt mir nichts. Kann ich das mit dem DNS Server vom Plesk realisieren? DNS mache ich komplett extern bislang.

 

[Supaman]

Ich erläutere das mit dem Split-DNS mal an einem anderen Beispiel, ist verständlicher:

Man hat einen OnPremise Mailserver im Haus. Der Domänen MX Record zeigt per Subdomain auf die fixe IP ( 1x cname, 1x MX -> mail.mycompany.com )
Dazu passend hat man natürlich auch die Zertifikate.
Bei Mailserver Zugriff von extern über mail.mycompany.com + offene Ports ist alles schick.

Wenn Du nun aber aus dem internen LAN heraus mail.mycompany.com aufrufst, bekommst Du die PUBLIC IP aufgelöst.
Das will man aber nicht, bzw funktioniert nicht.
Daher trägt man im internen DNS Resolver für company.com eine eigene Zone ein, und dort für www, mail.mycompany.com etc die passenden Internen IPs,
ähnlich wie bei Deiner Hosts Datei. Also z.B. mail.mycompany.com soll nach 10.20.30.99 aufgelöst werden, fertig.
Und schon bekommen z.B. die PC Clients bei DNS Anfragen für mail.mycompany.com die LAN IP,
die Datenanbindung erfolgt direkt, und die Zertifikate sind auch in Ordnung.

Das kannst Du als Zone im Windows Server DNS eintragen, oder in der Firewall bei DNSMASQ oder UNBOUND,
hängt halt von Deinem internen genutzen (Firewall) DNS Dienst ab, das Prinzip ist aber überall das gleiche.

Du könntest DNS mit OPNsense oder OpenWRT realisieren. In beiden Produkten kann man auch Module nachinstallieren.

 

[AliManali]

Ja, ich habe eine pfsense, die ist aber noch nicht in Betrieb. Bzw. nur im Labor atm. Will den Provider wechseln, dann fahre ich direkt mit Glas da drauf. Die Sense hängt im Moment parallel zur Zywall am "Modem".

Denke, da ist noch ein bisschen Geduld gefragt meinerseits. Ich kann den Sim ja nutzen, halt nur per VPN. Wenn ich Gäste da habe, muss ich halt an der Hosts Datei rum basteln.

DNS Resolver hatte ich auch schon aktiv an der Zywall, noch am Cablemodem damals. Darauf hin hat mir mein Provider den Saft abgedreht, weil der missbraucht wurde. Hatte da mit dem betreffenden Pentester Kontakt, der hat das dann mit mir gefixt. Da bin ich noch vorsichtig im Moment mit. Weil Null Plan.

 

[p4n0]

Du kannst doch bei der PFSense genau das einstellen. Nat reflexion muesste das heißen.
Deine PFSense wird dann deine pubip auf die interne ip von deinem Server muenzen.
Solang da kein TLS mit Certpinning laeuft passt das in der Regel.

//edit: Sehe gerade die ist noch nich in Betrieb

 

[Supaman]

Für Dein Konstrukt wäre es ausreichend, wenn Du z.B. eine OpenWRT Instanz mit in Dein internes Netz aufnimmst,
und dort das Spli DNS konfigurierst.

Der Software Router kann parallel laufen, der muss nicht zwingend vor die Clients oder am Modem angeschaltet sein.
Und den trägst Du dann für die Clients als DNS ein.

Bedeutet: OpenWRT arbeitet nur als DNS Dienst, sonst nichts. Die Instannz kannst Du also als Stand-Alone installieren, ohne alles ändern zu müssen.
Also Router mit WAN Zugriff über Dein Internes LAN, LAN IP im internen gewünschten LAN,
DHCP = Off, und als DNS Server von extern trägst Du Google, oder die Zywall ein, trägst das Split DNS ein, fertig.

Zum testen änderst Du dann nur in den jeweiligen Clients den DNS Server, das er den OpenWRT befragt.

Warum OpenWRT? Solange man da nicht mit VLANs anfängt, ist das wesentlich überschaubarer und braucht kaum Ressourcen.
Die Standard VM läuft mit 2 Core, 256 MB Ram und 1 GB HDD super.