Problem offenes NAT bei 2 Xbox Ones und Fritz!Box 6490

Belatis

Belatis

Enthusiast
Thread Starter
Mitglied seit
07.08.2007
Beiträge
1.890
Hallo an alle.

Ich möchte 2 Xbox Ones an der Fritz!Box 6490 betreiben (Dualstack IP-Anschluss, eigene öffentliche IPv4; öffentliche IPv6 deaktiviert). Für die erste Xbox hat die UPnP-Funktion der Fritzbox nichts gebracht, erst das Portforwarding half. Beide haben eine statische interne IP-Adresse. Wie bekomme ich nun die 2. Xbox mit offenem NAT versorgt? Exposed host?
Den Teredo-Filter habe ich schon deaktiviert.

Vom Verständnis her müssten doch die Ports von Xlive nur von "innen nach außen" offen sein oder? Sprich ein Portforwarding sollte nicht notwendig sein, ich stelle ja keinen Dienst zur Verfügung, sondern die Xbox verbindet sich mit den Microsoft Server ? Sprich Xbox -> Router über Port XXX -> WAN -> Microsoft Server und danach erlaubt der Router die Kommunikation über diesen Port?

Folgende Ports sind offen:
500 (UDP)
3074 (UDP/TCP)
3544 (UDP)
4500 (UDP)

Xbox*One Netzwerkports | Xbox*Live Netzwerkports

80,88 und 53 habe ich bewusst weggelassen. Habe so auch offenes NAT auf der ersten Xbox. Exposed Host würde ich, sofern möglich, vermeiden wollen.

Danke im Voraus.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Du muesstest den Boxen sagen koennen dass sie andere Ports verwenden sollen.

Durch PortForwarding kannst du lediglich einen Port einer internen IP zuweisen, braeuchtest den Port aber auf beiden Geraeten, das geht Netzwerkmäßig nicht.

Daher: Abweichende Ports auf den Boxen, falls möglich.

Andernfalls:
Eine Linuxkiste als Gateway basteln, diese trägst du in deiner Fritte als Exposed host ein.
Die Konsolen bekommen die Linux-Büchse als Gateway.
Den Linux-Rechner natuerlich sauber konfigurieren, da das Ding transparent im Internet hängt...

Hab leider keine Erfahrungen mit Konsolen aber das sollte meiner Meinung nach hinhauen :)
 
Was hast du denn genau vor?
Weil das klingt abenteuerlich...

Wenn es nur darum geht, die beiden Konsolen gleichzeitig in Richtung Internet Kommunizieren lassen zu können, musst du genau NICHTS machen. Denn die FB macht für dich ein NAT für jegliche Kommunikation aus dem internen Netzwerk in Richtung Internet und setzt dabei auf ihre eigene public IP um. (v4).

Wenn ich allerdings UPnP lesen, wird mir ziemlich schlecht... Sowas gehört aus meiner Sicht eigentlich verboten. Denn du als Nutzer hast schlicht nur noch bedingt Einfluss darauf, was die Kiste macht. UPnP erlaubt der Konsole einfach, Ports zu öffnen, ohne das du es explizit erlaubst. Du legst damit die "Sicherheit" vollkommen in die Hände der Konsole. -> baut die Konsole da Mist, kommt potentiell jeder in dein internes Netz.

@p4n0
was ändert die Linuxkiste am Netzwerk?
-> auch damit ist es nicht möglich, ein und den selben Port auf zwei verschiedene Konsolen zu forwarden. Was potentiell gehen kann ist ein Reverse Proxy. Oder eben verschiedene Ports nutzen... Die Frage ist eher, für was sollte bitte eine Konsole vom Internet aus erreichbar sein? Welcher Sinn steht dahinter, das Ding ins INet öffentlich ohne jegliche Restriktionen und damit potentiell für JEDERMANN!! angreifbar, zu stellen?
 
Zuletzt bearbeitet:
fdsonne schrieb:
@p4n0
was ändert die Linuxkiste am Netzwerk?
-> auch damit ist es nicht möglich, ein und den selben Port auf zwei verschiedene Konsolen zu forwarden. Was potentiell gehen kann ist ein Reverse Proxy. Oder eben verschiedene Ports nutzen... Die Frage ist eher, für was sollte bitte eine Konsole vom Internet aus erreichbar sein? Welcher Sinn steht dahinter, das Ding ins INet öffentlich ohne jegliche Restriktionen und damit potentiell für JEDERMANN!! angreifbar, zu stellen?
Zum Vergrößern anklicken....

Dadurch erhalten beide Konsolen einen Transparenten Zugang zum Inet, und die restlichen Maschinen im Netz bleiben safe.
Wie gesagt, meine Erfahrung mit Konsolen belaeuft sich gegen 0. Daher weiß ich auch nicht ob sie bei nem transparentem Zugang doch variable / abweichende Ports nutzen koennen.

Sein Ziel ist es: Er möchte mit beiden Konsolen gleichzeitig online zocken. Anscheinend machen sich die Konsolenbetreiber ein leichtes Leben und lassen irgendwas auf den Dingern hosten
wofuer eingehende Verbindungen akzeptiert werden müssen.

Sicher ist das natuerlich nicht diese Kisten transparent ins Netz zu lassen. Sein Ziel koennte damit dennoch erreicht werden.

UPNP und andere Spielereien würde ich ebenso direkt verwerfen.
 
p4n0 schrieb:
Dadurch erhalten beide Konsolen einen Transparenten Zugang zum Inet, und die restlichen Maschinen im Netz bleiben safe.
Wie gesagt, meine Erfahrung mit Konsolen belaeuft sich gegen 0. Daher weiß ich auch nicht ob sie bei nem transparentem Zugang doch variable / abweichende Ports nutzen koennen.
Zum Vergrößern anklicken....

Was ist denn ein "transparenter Zugang"??
Keine Ahnung, hab ich so noch nicht gehört...

Wenn die Konsolen die Verbindung initieren, dann ist das dem Router davor ziemlich schnurz egal, wie viele dieser Konsolen da nun Online sind... Die Konsolen bauen ihre Connection intern über verschiedene IPs auf und werden am Router auf die public IP "genattet". Das ist Networkbasic erste Klasse, wenn man es überspitzt ausdrückt.
Ein Linux Router kann daran genau nichts ändern, denn auch der hält sich an Standards. Wenn er NAT macht, werden beide Konsolen auf die IP des Linux Routers umgesetzt. Wenn nicht, dann wird simpel geroutet. Mehr passiert da nicht... Weder unter Linux, noch mit einer FB oder sonstwedem Routerhardwarezeugs...


Die alles entscheidende Frage ist, was benötigen die Konsolen wirklich? Ist eine eingehende Verbindung über einen gewissen Port (oder eine gewisse Port Range) notwendig? -> wenn ja, dann muss der TE schauen, ob er das selbst definieren kann. Wenn das nicht zu definieren geht, gehts imho nicht mit IPv4. -> einzige sinnvolle Lösung wäre IPv6, denn da hat er (offenbar deaktiviert bei ihm) zumindest idR ein ganzes Netz zugewiesen vom Provider anstatt ner single IP. So könnte er für beide Konsolen je eine andere IPv6 Addresse nutzen und dort die selben Ports freischießen. Ob die Konsolen grundsätzlich v6 fähig sind, weis ich nicht... Wenn man ausschließlich v6 nutzt, sollte natürlich das Ziel (also die MS Server) ebenso via v6 erreichbar sein, sonst wirds blöd. Ebenso ist halt wieder die Frage, ob die Geräte im INet, welche offenbar dann eine Verbindung zur eigenen Konsole aufbauen, überhaupt v6 fähig sind.


Rein aus dem Bauchgefühl raus würde ich sagen, dass die Boxen bei gewissen Multiplayer Titeln die "Server" auf der Box hosten. Heist, will Player A) mit Player B) zusammen spielen und A) hostet das Spiel, dann muss natürlich B) auch A) erreichen... Im PC Bereich ist es dort idR üblich, dass man dafür den "Umweg" über die Server des Anbieters geht. Wie das bei den Konsolen ist, keine Ahnung...

Es wäre aus meiner Sicht aber ein NoGo, wenn ich mein internes LAN public ohne Restriktionen auf machen müsste, nur damit Online Gaming mit der Konsole geht. Zum Glück bin ich kein Konsolero :fresse: Nutze die PS4 nur für ne Hand voll Titel, die eben PS4 only sind. Und MP hat das Ding auch noch net gesehen ;)
 
fdsonne's Ansicht in Bezug auf Portforwarding und UPnP usw. teile ich auch (auch wenn es aus meiner Fragestellung eventuell anders erscheint).
Offenes NAT bringt Vorteile in Form von Spielersuche, Partychat und allgemeiner Online-Stabilität. Aber die "du must Port xyz öffnen"-Ansage kommt seit 360- und PS3-Zeiten immer wieder hoch. IPv6-Anschlüsse sollen, soweit mir noch bekannt, Probleme haben, da die Konsolen trotzdem über das Carrier Grade NAT IPv4 nutzen und dort keine Ports weitergeleitet werden können, was wiederum NAT-Probleme mit sich bringt und das Spielerlebnis trüben kann.

Verstehe halt auch nicht, warum man Port 80 und 53 (!) Forwarden soll. Ich will keinen DNS-Dienst oder Webdienst zur Verfügung stellen, sondern maximal nur selber benutzen, aber extern. Ich glaube hier wird eher gemeint, dass diese Ports Inbound->Outbound offen sind, um über die Konsole im Web zu Surfen oder den Store einzusehen. Jedoch müsste doch jeder Port von innen heraus standardmäßig erlaubt sein, in den "Consumer-Routern". Sprich wenn ich ne Verbindung zum TS3-Server aufbaue über Port 10xxx, dann nimmt der irgendeinen hohen Port für die Sprachübertragung, ohne das ich intern an meinem Router DNAT'e.

Ich werde mal den Microsoft-Support dazu befragen. Denke aber ich werde nur Standardantworten erhalten.

Danke soweit erstmal. Einen OpenWRT-Router habe ich noch übrig, den ich als "Exposed Host" nur für die Boxen abstellen könnte. Aber die Ports sind, soweit mir bekannt, festgelegt und nicht variabel. Port Triggering habe ich mal in einem Forum gelesen, soll hier helfen können, weil dadurch andere Ports ausgehandelt werden und ein Redirecting stattfindet. Sprich für Xbox Nr.2 würde z.B. Port 21122->3074 umgemünzt werden und vice versa.
 
Microsoft hat tatsächlich für das Problem von mehreren xbox Konsolen in einem Netzwerk nur zwei Lösungen vorgesehen.

Nummer 1 ist eine der Konsolen in ein DMZ stecken und die andere hinter das NAT und hoffen, dass der Router/Firewall die DMZ und Port Forwarding richtig priorisiert. (Mehr ein Witz als eine Lösung)

Nummer 2 ist ein Gateway mit guter UPnP Implementierung. Bei mir Zuhause mache ich das genau so. Dort sind PS3, PS4, xbox One und eine xBox 360(Mittlerweile verkauft) im Netz. Teilweise überschneiden sich die Standardports der Konsolen. Allerdings löst Microsoft das Problem sehr geschickt. Sobald die erste xbox nicht den Port 3074 bekommen kann, fordert sie automatisch Port 3075 an. Soweit ich weiß, kann man dieses Verhalten nicht manuell provozieren um alle Ports händisch freizugeben.

Microsoft hat dazu auch eine Liste von "kompatibler" Netzwerkhardware veröffentlicht, welche in Tests mehrere xbox Konsolen über UPnP richtig verwalten konnten.

Networking Hardware Information - Xbox.com Forums


Von UPnP kann man halten was man möchte und in gewisser Weise vertrete ich die Meinung von Belatis und fdsonne. Allerdings ist jedes Protokoll nur so zuverlässig wie der Administrator, welcher sich darum kümmert. Ein Protokoll, welches gesichert ist wie Fort Knox kann unsicher sein, wenn sich niemand drum kümmert. Daher einfach mal drüber schauen, was passiert in meinem Netzwerk? Welche UPnP-Freigaben existieren? Ein durchschnittliches Heimnetzwerk sollte nicht so unübersichtlich und unkontrollierbar sein, dass UPnP eine Katastrophe wäre wenn man ein Auge darüber wacht. Letztendlich bestimmt man in seinem Haus oder seiner Wohnung selber darüber wer oder was in sein Netzwerk darf..
 
Scheinbar macht sich MS dort nicht die Mühe, die Richtung anzugeben... Denn in der Tat, DNS und HTTP brauchst du recht sicher nicht forwarden. Das hätte wenig Sinn und wäre auch ziemlich unnötig. Die Box müsste doch schlicht DNS Server spielen? Tut sie doch aber gar nicht...

Wenn du bei MS nachfragen willst, dann mach das mal. Sinnvollerweise brauchst du eigentlich nur die Aussage, welche Ports wirklich notwendig sind. Ich denke schon, dass man das dort rausbekommen sollte.
Und wie gesagt, auch wäre interessant, wie man die Ports selbst definieren kann. Denn bei zwei Konsolen kann es eben nicht der selbe Port sein... Das wird nix.

EDIT:
ctcn schrieb:
Nummer 1 ist eine der Konsolen in ein DMZ stecken und die andere hinter das NAT und hoffen, dass der Router/Firewall die DMZ und Port Forwarding richtig priorisiert. (Mehr ein Witz als eine Lösung)
Zum Vergrößern anklicken....

Was macht das bei einer einzigen public IP für einen Unterschied?
Egal ob "DMZ" oder nicht, der Router nattet den ausgehenden Traffic auf die selbe public IP. Und kann gleichsam incomming Traffic nur mit einem Port Forwarding auf ein definiertes Ziel leiten.
Wie viele Netze dahinter stehen, ist irrelevant. Wenn das Ding auf TCP 3074 angefragt wird, dann kann man diesen Port eben nur auf eine IP forwarden. Das ist entweder die in der angeblichen DMZ oder die Andere. Entweder/Oder. Mehr ist da nicht netzwerkseitig drin...
Bestenfalls kann man versuchen mit einem Reverse Proxy zu tricksen. Aber ich denke nicht, dass die XBox/PS4 das versteht. Denn man müsste in irgendeiner Weise mit einer Identifizierung arbeiten. Bspw. anhand einer URL anstatt einer IP. -> Name-Box-1.domain.tld auf die public IP und Name-Box-2.domain.tld auf die selbe public IP im DNS gelinkt, könnte via Reverse Proxy auseinander genommen und jeweils an die richtige Box weitergeschickt werden. Setzt aber vorraus, dass die Anfrage von Public eben auf den Namen und nicht auf der IP rein kommt. -> denke ich nicht, dass dies der Fall ist. Wobei man das möglicherweise auch mit einem anständigen Reverse Proxy hinbiegen könnte, nämlich wenn der Proxy die Pakete entsprechend verändert und die IP durch den richtigen Namen tauscht.

ctcn schrieb:
Nummer 2 ist ein Gateway mit guter UPnP Implementierung. Bei mir Zuhause mache ich das genau so. Dort sind PS3, PS4, xbox One und eine xBox 360(Mittlerweile verkauft) im Netz. Teilweise überschneiden sich die Standardports der Konsolen. Allerdings löst Microsoft das Problem sehr geschickt. Sobald die erste xbox nicht den Port 3074 bekommen kann, fordert sie automatisch Port 3075 an. Soweit ich weiß, kann man dieses Verhalten nicht manuell provozieren um alle Ports händisch freizugeben.
Zum Vergrößern anklicken....

Was ist eine "gute UPnP Implementierung"?
Nehmt es mir nicht übel, aber wenn man sich minimal mehr als die übliche Home-Netzwerk-Kenntnise aneignet, stellt man fest, dass es keinen Unterschied macht. UPnP ist UPnP. Gibts da gut und schlecht? Ich sag mal nein...

ctcn schrieb:
Von UPnP kann man halten was man möchte und in gewisser Weise vertrete ich die Meinung von Belatis und fdsonne. Allerdings ist jedes Protokoll nur so zuverlässig wie der Administrator, welcher sich darum kümmert. Ein Protokoll, welches gesichert ist wie Fort Knox kann unsicher sein, wenn sich niemand drum kümmert. Daher einfach mal drüber schauen, was passiert in meinem Netzwerk? Welche UPnP-Freigaben existieren? Ein durchschnittliches Heimnetzwerk sollte nicht so unübersichtlich und unkontrollierbar sein, dass UPnP eine Katastrophe wäre wenn man ein Auge darüber wacht. Letztendlich bestimmt man in seinem Haus oder seiner Wohnung selber darüber wer oder was in sein Netzwerk darf..
Zum Vergrößern anklicken....

Das Problem ist doch, es ist nicht mit dem Drüberschauen getan. Was hast du denn als Anwender für Möglichkeiten? Entweder du enablest das und hoffst, dass die Geräte keinen Mist bauen oder du machst es selbst.
Sobald du es den Geräten überlässt, legst du das Vertrauen über dein Netzwerk in die Hände der Konsole (oder eben anderen Geräten mit UPnP)
Da geht es keineswegs um das Protokoll, sondern ganz simpel und einfach nur um die potentiellen Risiken, dass ein Gerät selbst Ports von public öffnet, die man nicht geöffnet haben will. Ob UPnP dabei selbst möglicherweise unsicher ist, ist mir persönlich dabei ziemlich egal. Es gehört sich einfach nicht, dass ein Gerät sich selbst Access zu etwas erlaubt. Wenn das Gerät Access haben soll, dann sollte der Anwender in der Lage sein, diesem Gerät/der IP/dem FQDN diesen Access zu gewähren...

Das ist wie, wenn du dem Einbrecher pauschal schonmal den Schlüssel in die Hand drückst, du riegelst zwar die Tür vorn zu, gibst aber den Schlüssel raus... In der Hoffnung, wird schon keiner Mist damit machen...
 
Zuletzt bearbeitet:
fdsonne schrieb:
Was macht das bei einer einzigen public IP für einen Unterschied?
Zum Vergrößern anklicken....

Gar keinen. Daher auch meine Meinung zu Microsofts Lösungsansatz.

ctcn schrieb:
(Mehr ein Witz als eine Lösung)
Zum Vergrößern anklicken....

fdsonne schrieb:
Was ist eine "gute UPnP Implementierung"?
Nehmt es mir nicht übel, aber wenn man sich minimal mehr als die übliche Home-Netzwerk-Kenntnise aneignet, stellt man fest, dass es keinen Unterschied macht. UPnP ist UPnP. Gibts da gut und schlecht? Ich sag mal nein...
Zum Vergrößern anklicken....

Das war etwas umgangssprachlich beschrieben, man könnte es so aufteilen:

Gut = Hält sich an RFC 6970 bzw. 6887 oder 6886
Böse = Das CPE verhält sich wie eine Blackbox und tut was sie will

Bei alten D-Link und Netgear Customer-grade CPEs hat UPnP Port-Forwarding selten richtig funktioniert, soweit ich mich richtig erinnern kann..

fdsonne schrieb:
Das Problem ist doch, es ist nicht mit dem Drüberschauen getan. Was hast du denn als Anwender für Möglichkeiten? Entweder du enablest das und hoffst, dass die Geräte keinen Mist bauen oder du machst es selbst.
Sobald du es den Geräten überlässt, legst du das Vertrauen über dein Netzwerk in die Hände der Konsole (oder eben anderen Geräten mit UPnP)
Da geht es keineswegs um das Protokoll, sondern ganz simpel und einfach nur um die potentiellen Risiken, dass ein Gerät selbst Ports von public öffnet, die man nicht geöffnet haben will. Ob UPnP dabei selbst möglicherweise unsicher ist, ist mir persönlich dabei ziemlich egal. Es gehört sich einfach nicht, dass ein Gerät sich selbst Access zu etwas erlaubt. Wenn das Gerät Access haben soll, dann sollte der Anwender in der Lage sein, diesem Gerät/der IP/dem FQDN diesen Access zu gewähren...
Zum Vergrößern anklicken....

Ich gebe Dir in dem Punkt recht, dass man selber nicht bestimmen kann nach welchen Ports das Gerät fragen wird. Allerdings kann jeder Nutzer die tatsächliche Gefahr selbst abwägen. Customer-grade Equipment ist nach "außen hin" offen genug und hat erhebliche Sicherheitslücken (siehe TR-069, Telnet, etc.). Port-Forwarding passiert ohnehin massenhaft auf dem NAT-Gateway. Einfach mal in den Network Translation Table schauen und Firefox öffnen. Mein letzter Test im Labor zeigte etwas über 30 Einträge in der Table an, welche per default je nach Vendor verschieden lange time-outs haben (Spezifisch kann ich nur Cisco nennen: TCP=1min, DNS=1min, UDP=5min, TCP ohne FIN oder RST=24Std). Das kann aber auch nach Browser variieren.

Wenn das Gateway korrekt nach den UPnP oder NAT-PMP Standards arbeitet, dann ist auch nicht von einer größeren Sicherheitslücke auszugehen als über einer manuellen Portweiterleitungen. Denn dann erlaubt das Gateway nur Portweiterleitungen an die interne IP von der die Anfrage besendet wurde.

Wobei man dann wieder bei "Los!" wäre und sich fragen müsste: Wie sehr vertraue ich meinem SOHO-Router?

Diese Grundsatzdiskussion führt dem OP aber auch nicht wirklich zum Ziel. Ich hatte lediglich das "Zitiert", was Microsoft zu multiplen Konsolen in einem Netzwerk sagt. Dass UPnP funktioniert, sehe ich jeden Tag Zuhause. :)
 
Soderle,

ich möchte Feedback zum dem Thema loswerden.

Einen Anruf beim Xbox-Support habe ich nicht in Erwägung gezogen. Ich habe seit Juli mit einer Sophos UTM und Portforwarding auf meine Xbox One gelebt. Jetzt habe ich aus Interesse die Firewall-Distri pfSense im Einsatz. Hier habe ich die UPNP-Funktion für 2 Xbox Ones eingerichtet. Soweit ist das bisher nur auf diese zwei Hosts beschränkt. Anderen Geräten ist die Nutzung zumindest über die Konfiguration nicht gestattet.

Beide Xbox Ones haben offenes NAT ohne Portforwarding. Das ändert zwar nichts an den Securitybedenken der Portweiterleitung, da diese nun auf Anfrage einfach freigegeben werden. Jedoch ist die Funktion auf diese beschränkt.

Das wollte ich nur nochmal rückmelden, weil die Frage noch offen war. Schönen Abend noch.
 
Anmelden, um zu antworten.

Ähnliche Themen

*$Ben$*
[Kaufberatung] Netzwerkaufbau für Remote / Streaming Fritz!Box Cable 6660 zusätzlicher Router?
Antworten
12
Aufrufe
490
*$Ben$*
*$Ben$*
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh