DSL/I-10 Portforwarding

Thanatophobie · Beitrag von **Thanatophobie** » 13 Apr 2008, 22:51

Hallo,

nach einigen erfolglosen Versuchen einen UDP/TCP Ports weiterzuleiten, frage ich jetzt euch.

Für meinen Half Life server muss ich den Port 27015 (UDP/TCP) forwarden. Ich bin in LANconfig zu IP-Router-Maskierung-Service Tabelle gegangen und habe den Port 27015 unter der IP Adresse 192.168.100.1 freigegeben (Mein Router ist unter dieser IP zu erreichen, stimmt die IP dann so oder brauche ich eine andere?!).

Dann habe ich hier http://www.yougetsignal.com/tools/open-ports/ geguckt ob es geklappt hat - Fehlanzeige.
Das gleiche habe ich auch mit Port 6112 versucht (Warcraft 3), geht nicht.

Mangels fehlendem Wissen, bin ich jetzt schon mit meinem Latein am ende

Ich hoffe ihr könnt mir helfen,
auf Antwort hoffende, Thanatophobie.

gm · Beitrag von gm » 13 Apr 2008, 23:54

Hi Thanatophobie,

also im LANCONFIG unter IP-Router -> Maskierung -> Port-Forwarding-Tabelle legst du folgenden Eintrag an:

Code: Alles auswählen

- Anfangs-Port: 27015
- End-Port: 27015
- Gegenstelle: T-ONLINE (bzw. deine WAN-Verbindung)
- Intranet-Adresse: 192.168.1.210 (Die interne IP-Adresse von deinem HL-Server)
- Map-Port: 0
- Protkoll: UDP
- WAN-Adresse: 0.0.0.0
- Eintrag aktiv: Häkchen rein
- Kommentar: Half-Life Server

Das ist dann aber nur die halbe Miete, denn die Firewall muss die Daten auch noch passieren lassen (wichtig bei einer DENY_ALL Strategie der FW):
Dazu gehst du ebenfalls im LANCONFIG auf "Firewall/QoS" -> Regeln -> Regeln...
Hier legst Du folgende neue Regel an:

Code: Alles auswählen

Reiter Allgemein:
- Name dieser Regel: FW_ALLOW_IN_192.168.1.210_HL
- Diese Regel ist für die Firewall aktiv: Häkchen rein
- Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen: kein Häkchen
- Weitere Regeln beachten, nachdem diese Regel zutrifft: kein Häkchen
- Diese Regel hält die Verbindungszustände nach (empfohlen): Häkchen
- Kommentar: Erlaubt Verbindungen von der WAN-Seite zum HL-Server 
Reiter Aktion:
- neue Aktion hinzufügen und dabei keine Häkchen setzen, nur die Option "Übertragen" auswählen
Reiter QoS:
- keine Aktion
Reiter Station:
- Verbindungsquelle: "Verbindungen von allen Stationen:"
- Verbindungsziel: "Verbindungen an folgende Stationen:" hier die 192.168.1.210 eintragen
Reiter Dienste:
- Option bei "Benutzerdefinierte Protokolle" setzen -> Protokolle bearbeiten:
    - TCP: kein Häkchen
    - UDP: Häkchen
    - ICMP: kein Häkchen
    - Weitere IP-Protokolle leer lassen
    - Quell-Ports: kein Häkchen
    - Ziel-Ports: 27015 eintragen

Falls du QoS machen willst, ist dabei zu beachten, dass eine Bandbreitenreservierung nur für Verbindungen von aktiven Spielern stattfinden darf. Dazu musst die Firewall die Verbindungen, die nur den Status des Servers abrufen (ca. 4 bis 20 pro Sekunde!) von den echten aktiven Spielern auf dem Server unterscheiden. Dazu kann man einfach hergehen und sagen falls mehr als 50 Datenpakete pro Verbindung übertragen wurden handelt es sich um einen aktiven Spieler auf dem Server. Die Beiden Firewallregeln müssen dafür so aussehen (beide Regeln sollten eine höhere Prio als FW_ALLOW_IN_192.168.1.210_HL haben):

1. Ab dem 50 Paket diese Pakete mit einem Kennzeichen versehen (höhere Prio als die 2. Regel einstellen!):

Code: Alles auswählen

Reiter Allgemein:
- Name dieser Regel: QOS_TAG_OUT_192.168.1.210_HL
- Diese Regel ist für die Firewall aktiv: Häkchen rein
- Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen: kein Häkchen
- Weitere Regeln beachten, nachdem diese Regel zutrifft: Häkchen
- Diese Regel hält die Verbindungszustände nach (empfohlen): Häkchen
- Kommentar: Kennzeichnet die Datenpakete für die eine QoS-Reservierung vorzunehmen ist
Reiter Aktion:
- neue Aktion hinzufügen:
    - Aktion nur für Default-Route (z.B. Internet): Häkchen
    - Aktion nur für VPN-Route: kein Häkchen
    - Aktion nur bei DiffServ-CP: kein Häkchen
    - Aktion nur für gesendete Pakete: Häkchen
    - Aktion nur für empfangene Pakte: kein Häkchen
    - Option Physikale Transport-Richtung: auswählen 
    - Trigger: Pakete, 50, absolut
    - Zurücksetzen: kein Häkchen
    - Option Pro Verbindung auswählen
    - Option Übertragen auswählen
    - Markieren mit DiffServ-CP: EF -> Häkchen
    - Beim Rest kein Häkchen
 Reiter QoS:
- keine Aktion
Reiter Station:
- Verbindungsquelle: "Verbindungen von allen Stationen:"
- Verbindungsziel: "Verbindungen an folgende Stationen:" hier die 192.168.1.210 eintragen
Reiter Dienste:
- Option bei "Benutzerdefinierte Protokolle" setzen -> Protokolle bearbeiten:
    - TCP: kein Häkchen
    - UDP: Häkchen
    - ICMP: kein Häkchen
    - Weitere IP-Protokolle leer lassen
    - Quell-Ports: kein Häkchen
    - Ziel-Ports: 27015 eintragen

2. Regel (niedrige Priorität als 1. Regel)

Code: Alles auswählen

Reiter Allgemein:
- Name dieser Regel: QOS_PRIO_OUT_192.168.1.210_HL
- Diese Regel ist für die Firewall aktiv: Häkchen rein
- Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen: kein Häkchen
- Weitere Regeln beachten, nachdem diese Regel zutrifft: kein Häkchen
- Diese Regel hält die Verbindungszustände nach (empfohlen): Häkchen
- Kommentar: QoS für EF-gekennzeichnete Pakete
Reiter Aktion:
- neue Aktion hinzufügen:
    - Aktion nur für Default-Route (z.B. Internet): Häkchen
    - Aktion nur für VPN-Route: kein Häkchen
    - Aktion nur bei DiffServ-CP EF: Häkchen (EF auswählen)
    - Aktion nur für gesendete Pakete: Häkchen
    - Aktion nur für empfangene Pakte: kein Häkchen
    - Option Physikale Transport-Richtung: auswählen 
    - Trigger: kbit, 0, pro Sekunde
    - Option Pro Verbindung auswählen
    - Option Übertragen auswählen
    - Beim Rest kein Häkchen
 Reiter QoS:
- neue Aktion (1)
    - Aktion nur für Default-Route (z.B. Internet): Häkchen
    - Aktion nur für VPN-Route: kein Häkchen
    - Aktion nur bei DiffServ-CP EF: Häkchen (EF auswählen)
    - Aktion nur für gesendete Pakete: Häkchen
    - Aktion nur für empfangene Pakte: kein Häkchen
    - Aktion: Fragmentierung der übrigen Pakete eisnchalten auswählen, Max. Paketgröße 256 Byte
- neue Aktion (2)
    - Aktion nur für Default-Route (z.B. Internet): Häkchen
    - Aktion nur für VPN-Route: kein Häkchen
    - Aktion nur bei DiffServ-CP EF: Häkchen (EF auswählen)
    - Aktion nur für gesendete Pakete: Häkchen
    - Aktion nur für empfangene Pakte: kein Häkchen
    - Aktion: Mindestbandbreite garantieren auswählen: kbit, 48, pro Sekunde, kein Häkchen bei Erzwungen, pro Verbindung auswählen
- neue Aktion (3)
    - Aktion nur für Default-Route (z.B. Internet): Häkchen
    - Aktion nur für VPN-Route: kein Häkchen
    - Aktion nur bei DiffServ-CP EF: Häkchen (EF auswählen)
    - Aktion nur für gesendete Pakete: kein Häkchen
    - Aktion nur für empfangene Pakte: Häkchen
    - Aktion: Mindestbandbreite garantieren auswählen: kbit, 64, pro Sekunde, kein Häkchen bei Erzwungen, pro Verbindung auswählen
Reiter Station:
- Verbindungsquelle: "Verbindungen von allen Stationen:"
- Verbindungsziel: "Verbindungen an folgende Stationen:" hier die 192.168.1.210 eintragen
Reiter Dienste:
- Option bei "Benutzerdefinierte Protokolle" setzen -> Protokolle bearbeiten:
    - TCP: kein Häkchen
    - UDP: Häkchen
    - ICMP: kein Häkchen
    - Weitere IP-Protokolle leer lassen
    - Quell-Ports: kein Häkchen
    - Ziel-Ports: 27015 eintragen

Prüfe vielleicht sicherheitshalber unter IP-Router->Maskierung dass das UDP-Aging auf maximal 40 Sekunden steht, falls Du da was dran gedreht hast. Denn nach dem ein Spieler aufgehört hat zu spielen wir die QoS-Reservierung noch 40 Sekunden (wenn es auf 40 steht) aufrechterhalten.

Wünsch Dir viel Spaß beim Daddeln.

Gruß
gm

Jirka · Beitrag von **Jirka** » 14 Apr 2008, 00:00

Hallo Thanatophobie,

den Port 27015 unter der IP Adresse 192.168.100.1 freigegeben (Mein Router ist unter dieser IP zu erreichen, stimmt die IP dann so oder brauche ich eine andere?!).

Natürlich stimmt die IP nicht und da muss eine andere rein, nämlich die Deines Half-Life-Servers. (Wenn dieser PC seine IP per DHCP bezieht, dann sollte man ihm mit BOOTP stets die gleiche zuweisen. (TCP/IP -> BOOTP))

Viele Grüße,
Jirka

Thanatophobie · Beitrag von **Thanatophobie** » 14 Apr 2008, 00:05

Hallo,
danke für die superschnelle und ausführliche Antwort!
Leider kann ich soviel garnicht Einstellen
Bild

Firewall/QoS finde ich auch nicht!

Edit:

Jirka hat geschrieben:Hallo Thanatophobie,
Natürlich stimmt die IP nicht und da muss eine andere rein, nämlich die Deines Half-Life-Servers. (Wenn dieser PC seine IP per DHCP bezieht, dann sollte man ihm mit BOOTP stets die gleiche zuweisen. (TCP/IP -> BOOTP))

Viele Grüße,
Jirka

Hmm, ich muss dort die MAC-Adresse angeben, was geb ich denn da an?

Jirka · Beitrag von **Jirka** » 14 Apr 2008, 00:16

den Screenshot hätte ich auch selber machen können...
na ja, wie auch immer ...
Unter BOOTP in der Stationen-Tabelle gibst Du die MAC-Adresse Deines Servers und die gewünschte IP an, sowie einen Namen. Steht aber doch alles da....

Viele Grüße,
Jirka

Thanatophobie · Beitrag von **Thanatophobie** » 14 Apr 2008, 00:21

Ich habe den Screenshot doch nur gemacht, um zu zeigen wie bei mir das Menü mit fehlenden Auswahlmöglichen aussieht, der vollständigkeit halber.

Das Problem ist, das mir eine "MAC-Adresse" nichts sagt, ich hoste den Server auf diesen PC Lokal.

gm · Beitrag von gm » 14 Apr 2008, 00:29

Hi,

oh shit, da habe ich nicht genau genug gelesen: Du hast einen "DSL/I-10" und da gibt es maximal eine 3er oder 4er Version von LCOS. Meine Infos beziehen sich alle auf die 7er Version von LCOS. Sorry, kann durchaus sein, dass es bei Dir einiges nicht gibt. Dachte Du hast einen "DSL/I-10+" der könnte nämlich mit dem 7er LCOS umgehen. Meine Beispiele beziehen sich auf einen Router aus der 1700er Serie.
Habe die ursprüngliche Nachricht noch um QoS erweitert, geht aber wahrscheinlich in der beschriebenen Variante auch nur bei den neueren LCOS-Versionen. Am Besten ein paar Euros in einen aktuellen LANCOM investieren, der "DSL/I-10" ist nicht mehr der Jüngste...

Thanatophobie hat geschrieben:Ich habe den Screenshot doch nur gemacht, um zu zeigen wie bei mir das Menü mit fehlenden Auswahlmöglichen aussieht, der vollständigkeit halber.

Hat mir dahingehend geholfen, dass ich genau gelesen habe was du für ein Gerät hast.

Thanatophobie hat geschrieben: Das Problem ist, das mir eine "MAC-Adresse" nichts sagt, ich hoste den Server auf diesen PC Lokal.

Die MAC-Adresse ist eine eindeutige Nummer deiner Netzwerkkarte. Sollte normalerweise nur einmal auf der ganzen Welt vorkommen.
Ich gehe davon aus, dass du unter Windows arbeitest: Zum Auslesen gehe auf START->Ausführen->Tippe "cmd" ein und enter danach schreibst du ins schwarze Fenster (Konsole); "ipconfig /all"

Code: Alles auswählen

C:\>ipconfig /all
Windows-IP-Konfiguration

        Hostname. . . . . . . . . . . . . : test
        Primäres DNS-Suffix . . . . . . . :
        Knotentyp . . . . . . . . . . . . : Hybrid
        IP-Routing aktiviert. . . . . . . : Nein
        WINS-Proxy aktiviert. . . . . . . : Nein
        DNS-Suffixsuchliste . . . . . . . : beispiel.intern

Ethernetadapter LAN-Verbindung:

        Verbindungsspezifisches DNS-Suffix: beispiel.intern
        Beschreibung. . . . . . . . . . . : Parallels Network Adapter
        Physikalische Adresse . . . . . . : 00-1C-42-4A-22-F3
        DHCP aktiviert. . . . . . . . . . : Ja
        Autokonfiguration aktiviert . . . : Ja
        IP-Adresse. . . . . . . . . . . . : 192.168.1.204
        Subnetzmaske. . . . . . . . . . . : 255.255.255.0
        Standardgateway . . . . . . . . . : 192.168.1.2
        DHCP-Server . . . . . . . . . . . : 192.168.1.3
        DNS-Server. . . . . . . . . . . . : 192.168.1.3
        Primärer WINS-Server. . . . . . . : 192.168.1.5
        Lease erhalten. . . . . . . . . . : Sonntag, 13. April 2008 23:38:42
        Lease läuft ab. . . . . . . . . . : Montag, 14. April 2008 23:38:42

C:\>

Das wo unter Physikalische Adresse steht ist die MAC-Adresse: 00-1C-42-4A-22-F3
Wenn Du diese wie von Jirka beschrieben am LANCOM entsprechend hinterlegst, wird der Router dem PC immer die gleiche IP-Adresse zuweisen und das Portforwarding klappt dann auch immer....

Gruß
gm

Jirka · Beitrag von **Jirka** » 14 Apr 2008, 00:44

Hallo,

Das Problem ist, das mir eine "MAC-Adresse" nichts sagt, ich hoste den Server auf diesen PC Lokal.

Aber was eine IP-Adresse ist weißt Du?
http://de.wikipedia.org/wiki/MAC-Adresse
Wenn Der Half-Life-Server=dieser PC Lokal ist, dann gibst Du einfach die IP-Adresse von diesem PC Lokal an in der Service-Tabelle. Und wenn dieser PC Lokal per DHCP eine Adresse bekommt, dann teilst Du ihm unter BOOTP eine feste zu (aus dem DHCP-Pool).

Gute Nacht,
Jirka

gm · Beitrag von gm » 14 Apr 2008, 01:08

Hi,

das Teil unter http://www.yougetsignal.com/tools/open-ports/ scheint nicht wirklich für HL zu funktionieren. Meinen Server zeigt es jedenfalls auch nicht an, obwohl da gerade Leute zocken.
Einen FTP-Server findet die Seite hingegen schon.

Gruß & gute n8
gm

Thanatophobie · Beitrag von **Thanatophobie** » 14 Apr 2008, 01:11

Ich habe die Mac-Adresse meiner (onboard

) Netzwerkkarte jetzt.
Diese habe ich dann bei Bootp angegeben, und die IP kann man sich dann aussuchen als wäre es eine DNS? Oder muss ich da 127.0.0.1 angeben?

Sorry, ist alles neues Gelände für mich, aber das bringt mich schon ein ganzes Stück weiter!

gm · Beitrag von gm » 14 Apr 2008, 07:56

Hi,

Thanatophobie hat geschrieben: Diese habe ich dann bei Bootp angegeben, und die IP kann man sich dann aussuchen als wäre es eine DNS? Oder muss ich da 127.0.0.1 angeben?

die 127.0.0.1 auf keinen Fall da eintragen, da diese eine besondere IP-Adresse ist (-> Wikipedia Loop-Back). In begrenzten Umfang kannst Du Dir eine IP-Adresse aussuchen: Wenn dein Router die IP 192.168.100.1 hat, verwendest Du normalerweise die Subnetmask 255.255.255.0. Dies bedeutet, dass du für deinen Rechner eine IP-Adresse aus dem Bereich 192.168.100.2 bis 192.168.100.254 aussuchen kannst. Mit DNS hat das aber zunächst mal gar nix zu tun.

Gruß
gm

Thanatophobie · Beitrag von **Thanatophobie** » 14 Apr 2008, 20:14

Geht leider noch immer nicht, habe als IP mal 192.168.100.150 gewählt, routr "rebootet" und dann versucht auf meinen Server zu connecten.

Ipconfig zeigt mir 192.168.100.92 an und nicht .150.

Beitrag von **LoUiS** » 14 Apr 2008, 20:39

Hi,

die im bootp eingetragene MAC Adresse passt nicht zur Netzwerkkarte, die im ipconfig angezeigt wird. Somit bekommt der Rechner natuerlich eine andere IP.

Ciao
LoUiS

gm · Beitrag von gm » 14 Apr 2008, 21:27

Hi Thanatophobie,

wie LoUiS schon schreibt hast du die MAC-Adresse für deinen Server in Bootp nicht richtig eingetragen. Die letzten 4 Stellen sind falsch.

Code: Alles auswählen

Soll: 001a929e0670
Ist:  001a929e1120

Ändere das bitte ab, starte sicherheitshalber den Router und anschließend den Rechner neu und schon müsste alles funktionieren.

Nur so am Rande: Es ist saugefährlich einen HL-Server direkt auf einem normalen Arbeitsplatzrechner laufen zu lassen. Dieses Stück Software würde ich nicht unbedingt als sicher und resistent gegen Hackerangriffe einschätzen. Sei also auf der Hut bzw. kümmere dich aktiv um die Sicherheit (z.B. extra DMZ-Netz, extra PC, extra Benutzer für den HL-Prozess mit minimal Rechten, usw.). In den einschlägigen HL / CS Foren wird dazu sicher etwas zu finden sein. Dazu sind aber schon etwas Netzwerk- und Betriebssystemkenntnisse nötig!

Gruß
gm

Thanatophobie · Beitrag von **Thanatophobie** » 14 Apr 2008, 23:52

Hi,

peinlicher Fehler meinerseits, aber ich bin froh das jetzt alles geht! Vielen Dank!!

Ich werde mich zum Thema Sicherheit auf jeden Fall noch schlau machen!
QoQ werde ich mir auch noch anschauen!

Nochmals vielen Dank an alle die mir geholfen haben!