Privater Gaming-Server: Keine Verbindung von außen möglich

[Kyro0]

Ich hab mir vor ein paar Tagen einen zweiten PC zusammengebaut, der als (Ark)Gaming-Server für mich und ein paar Freunde dienen soll. Leider scheint aber der Zugriff von außen noch nicht zu funktionieren.

Mein Heimnetz ist folgendermaßen aufgebaut: ISP -> Fritzbox -> (Wlan)Router -> Server
Für den Sever benutze ich die Ports 7777 & 7778, diese hab ich in der Fritzbox auch freigegeben. Als IP hab ich dort den Router angegeben. Als DynDNS/DDNS-Anbieter benutze ich no-ip.com, die Daten sind auch entsprechend in der Fritzbox eingetragen.

Gleiche Konfiguration im Router: Ports freigegeben, DDNS eingetragen.
Auf dem Router läuft dd-wrt, Portfreigabe sieht so aus:

Protokoll	Von Netz	Von Port	IP-Adresse	Nach Port	Einschalten
TCP/UDP	Fritzbox-ip	7777	Server-ip	7777	✓

Selbiges für Port 7778.

Auf dem PC, der als Server dienen soll, sind die entsprechenden Ports in der Windows-Firewall auch freigegeben.

Wenn ich nun aber no-ip-hostname:7777 im Steam-Serverbrowser hinzufüge, bekomme ich keine Rückmeldung vom Server. Wenn ich die Adresse in Chrome eingebe, bekomme ich immer die Meldung "ERR_CONNECTION_REFUSED" angezeigt.

Hat eventuell jemand eine Idee, woran das Ganze hier scheitert?

 

[blablub1212]

Den DNS-Rebind Schutz hast du auch für deine DNS angepasst? Falls nicht, kannst du deinen eigenen Server nicht finden, deine Freunde hingegen schon.

 

[Kyro0]

Den DNS-Rebind Schutz hatte ich noch nicht angepasst, der Server ist allerdings auch von außen nicht auffindbar.

Müsste ich dann beim DNS-Rebind Schutz den Hostnamen von no-ip.com eintragen?

 

[Sternengucker80]

Dein Netzwerk ist schon komisch. Warum hast du 2 Nat's. Du hast 2 Router im Betrieb. Einmal die Fritte und den WLAN Router. Kein Wunder das da alles durcheinander kommt.
Die Fritte als Router nutzen und den WLAN als AP.
So schafft ja der eine gegen den anderen.

 

[Raijin]

Sehe ich ähnlich. Höchstwahrscheinlich kommt das Problem vom DoppelNAT. Da ich davon ausgehe, dass DoppelNAT nur gebaut wurde, weil man sich nicht besser zu helfen wusste, empfehle ich, das 2. NAT zu eliminieren.

Bei DoppelNAT musst du in der Fritzbox auf den 2. Router und im 2. Router auf die Server IP weiterleiten. Das ist ziemlich doof, sofern es nicht handfeste Gründe dafür gibt.

Wenn der DD-WRT Router als reiner Netzwerk-Router arbeitet (im Gegensatz zu Internet-Router) und somit das NAT deaktiviert ist, könntest du direkt von der FB aus auf die IP des Servers weiterleiten. Dazu braucht die FB nur eine statische Route ins Subnetz hinter den 2. Router.
Ich meine mich zu erinnern, dass man bei DD-WRT in den Advanced Settings dazu den Modus von Gateway auf Router umstellen musste. Ist aber schon ne Weile her, dass ich DD-WRT in der Hand hatte.

Noch einfacher wird es, wenn der 2. Router als AP eingerichtet ist, da so überhaupt gar kein zweites Netzwerk entsteht, sondern alles in einem Netz ist.

 

[Datax]

Hi, mir fällt erstmal folgendes auf:

Warum hast du auf dem (WLAN)-Router überhaupt deinen DDNS-Account von no-ip.com eingerichtet?

Deine öffentliche IP-Adresse kann doch nur deine FritzBox kennen,
da nur sie diese IP-Adresse auf dem WAN-Interface hat.

Der DDNS-Account ist nur auf der FritzBox einzurichten.

Wenn dein (WLAN)-Router ein DDNS-Update macht,
dann würde er zu no-ip.com seine ( private ) IP-Adresse seiner WAN-Schnittstelle übertragen.

Falls das WAN-Interface des (WLAN)-Routers gar nicht angeschlossen ist,
würde das DDNS-Update vermutlich gar nicht funktionieren und zumindest das DDNS-Update der FritzBox ( hoffentlich )
nicht überschreiben.

Schmeiß' erstmal die DDNS-Konfiguration aus dem (WLAN)-Router raus und prüfe,
ob du per "nslookup dein-hostname.no-ip.com" deine aktuelle öffentliche IP-Adresse zurück bekommst.

Falls das der Fall ist, dann hast du schon mal die halbe Miete.

Zwei DNATs hintereinander sind nicht wirklich schlimm,
wenn es auch nicht wirklich notwendig ist für diesen Fall.

Falls ich den Aufbau deines Netzwerks richtig verstanden habe,
könnte die Lösung deines Problems wie folgt aussehen:

Veränder mal' die DNAT-Regel auf dem (WLAN)-Router so,
dass sie wie folgt aussieht:

Protokoll Von Netz Von Port IP-Adresse Nach Port Einschalten
TCP/UDP ANY 7777 Server-ip 7777 ✓

Die FritzBox macht bei einer Portweiterleitung ( DNAT-Regel ) nicht noch zusätzlich ein SNAT,
wodurch die Quell-IP-Adresse der Datenpakete ebenfalls geändert würde.

Die Quell-IP-Adresse bleibt die öffentliche IP-Adresse des Routers,
über den, welche Person auch immer, eine Verbindung zu deinem Server aufbauen möchte.

Deshalb schlagen die Verbindungen auf dem (WLAN)-Router auch weiterhin mit der öffentlichen (Quell)-IP-Adresse auf.

Da du die öffentlichen Quell-IPs nicht vorher kennst,
kannst du einfach "ANY" ( gilt also für alle öffentlichen IPs ) bei der DNAT-Regel auf deinem (WLAN)-Router eintragen.

Durch dieses Durch-GeNATe reißt man sich natürlich große Sicherheitslücken ins Netzwerk,
da das gesamte Internet so eine Verbindung zu Port 7777 + 77778 deines Gaming-Servers aufbauen kann.

Ist vermutlich erstmal nicht schlimm, aber diese Ports könnten auch mit Verbindungsversuchen ( bewusst ) überflutet werden von welchen bösen Buben des Internets auch immer.

Sicherheitslücken in der Server-Software deines Gaming-Servers könnten so natürlich auch direkt ausgenutzt werden...

Falls es weiterhin noch nicht funktionieren sollte,
dann poste bitte mal dein genaues Setup ( Angaben über Verkabelung + IP-Adressen von FritzBox und WLAN-Router etc. ).

Gruß, Datax

 

[Kyro0]

Erstmal danke an alle für die Tipps!

Ehrlich gesagt weiß ich auch nicht so recht, warum der Router nicht mehr als AP lief... wahrscheinlich hab ich bei einer anderen Bastelei einfach vergessen, das Ganze wieder richtig einzustellen. Lief ja -> keine weiteren Gedanken drum gemacht... jaja ich weiß, kann nicht mal seinen Router richtig einstellen, will aber einen Server betreiben

Jedenfalls läuft der Router nun als AP, den DDNS-Kram hab ich auch rausgeschmissen. Jetzt läuft auch alles!

Zur Sicherheit: Kennt jemand empfehlenswerte Webseiten zu dem Thema? Den Thread zum Thema Server hier auf Computerbase hab ich grade gefunden, allerdings ist der doch "relativ" oberflächlich gehalten.

 

[Raijin]

Deine öffentliche IP-Adresse kann doch nur deine FritzBox kennen,
da nur sie diese IP-Adresse auf dem WAN-Interface hat.

Der DDNS-Account ist nur auf der FritzBox einzurichten.

Wenn dein (WLAN)-Router ein DDNS-Update macht,
dann würde er zu no-ip.com seine ( private ) IP-Adresse seiner WAN-Schnittstelle übertragen.

[..]

Zwei DNATs hintereinander sind nicht wirklich schlimm,
wenn es auch nicht wirklich notwendig ist für diesen Fall.

Ich sag mal ganz platt: Nö, nicht zwangsläufig. DD-WRT ist ein embedded Linux und da kommt es darauf an wie der DDNS-Client arbeitet und/oder wie der DDNS-Anbieter mit Updates umgeht. Nach deiner Aussage dürfte ein DDNS-Client auf einem PC hinter einem NAT-Router ja gar nicht funktionieren, weil der PC ja recht selten direkt im www sitzt. Viele Consumer-Router nutzen in der Tat die IP-Adresse an ihrem WAN-Port, ohne darüber nachzudenken. Es gibt aber einerseits die Möglichkeit, die WAN-IP über eine CheckIP-Seite zu ermitteln, und andererseits kann auch der DDNS-Anbieter diese selbst feststellen, wenn in der Update-URL keine IP mitgeliefert wird, indem er einfach die Quell-IP verwendet. Letzteres tun so ziemlich alle DDNS-Anbieter, die mir bekannt sind bzw. die ich bisher genutzt habe.

Zum Thema DoppelNAT: Vieles ist "nicht schlimm", aber sinnfreies DoppelNAT innerhalb eines Heimnetzwerks kann zu diversen Problemen führen. Hätte der TE das nun so gelassen und die Portweiterleitungen repariert, wäre hier morgen der nächste Thread aufgetaucht warum er denn von einem PC an der Fritzbox aus nicht auf einem Drucker hinter dem 2. Router drucken kann. Ein paar Tage später ist es das NAS, das nur von der Hälfte der Geräte gesehen wird, etc..

Zur Sicherheit: Kennt jemand empfehlenswerte Webseiten zu dem Thema? Den Thread zum Thema Server hier auf Computerbase hab ich grade gefunden, allerdings ist der doch "relativ" oberflächlich gehalten.

Dir ist schon klar, dass "das Thema Server" nicht in ein 3-seitiges Tutorial passt, oder? Wenn man sich mit Servern beschäftigt, muss man sich auch mit den Grundlagen beschäftigen. Nur weil es im www etliche Seiten und im Handel etliche Bücher gibt, die Schritt für Schritt die Einrichtung eines Servers zeigen, heißt das noch lange nicht, dass diese Schritte auch korrekt sind. Blindes Abtippen von Anweisungen oder Einspielen von fertigen Konfigurationen, birgt stets Risiken, da auch die Tutorials fehlerhaft sein können. Man sollte die Schritte immer nachvollziehen können, sie verstehen. Daher: Grundlagen. Fang also am besten mit einem beliebigen Netzwerk-Buch an bevor du auf die Idee kommst, dir zB einen Miet-Server im www zu buchen, weil du da gerne TS oder sowas hosten willst ;-)