Probleme bei Portforwarding für einen Minecraft Server

[Lawor55]

Hallo! Dies ist mein erster Post in einem Online Forum daher hoffe ich mal das ich alles richtig mache.

Ziel: Minecraft Server mit meiner eigenen Hardware Hosten auf den meine Freunde einfach und immer über die gleiche Adresse joinen können.

Ich hatte Anfang des Jahres erfolgreich einen lokalen Minecraft Server gehostet und wollte diesen nun wieder reaktivieren. Also dachte ich kann ich ja einfach die noch bestehenden Portforwarding regeln in der FritzBox wieder anschalten, DynDNS von noip.com wieder erstellen und dann sollte es wieder genau so funktionieren.

Leider ist dies nicht der fall.
Meine erste Vermutung war dass das Problem durch das Setup für Internet am eigentlichen Host Desktop ausgelöst wird. Die Wlan Karte ist in der Zwischenzeit kaputt gegangen daher verbinde ich den Desktop jetzt so zum Internet:
Desktop Pc mit Windows 10 -Lan> Fritzbox 7490 im Mesh Repeater Modus -Wlan> Fritzbox 7590

Über die letzten Tage hab ich vieles probiert:
-DynDNS neu erstellt und in FritzBox eingefügt
-Portforwarding regeln in der Firewall des Desktops neu erstellt
-Portforwarding regeln in der FritzBox neu erstellt
-FritzBox auf Werkseinstellungen zurückgesetzt
-Auf einem anderen Desktop (Windows 11) den Server ausgeführt (und alle benötigten Regeln in Firewall auf Desktop und in der Fritzbox erstellt)
-Verbindung zum Router per LAN (über repeater so wie direkt zum Haupt Router als test) so wie über Wlan
viele dieser schritte auch nochmals in verschiedenen Kombinationen mit und nacheinander
wahrscheinlich auch noch einige andere dinge die ich vergessen hab aufzuzählen

Getestet ob die Verbindung funktioniert habe ich über den ping Befehl in cmd (um zu testen ob die dyndns funktioniert), https://www.portchecktool.com ,Nmap und natürlich über Minecraft selbst.
Die DynDNS scheint einwandfrei zu funktionieren und solange die nicht noch was mit Ports zutun hat sollte die kein Problem machen.
Minecraft und portchecktool gibt als Fehler immer "Connection timed out" an.
Nmap sagt das der 25565/tcp port zwar den minecraft Service hat aber im state filtered ist. Ich habe online nicht wirklich was dazu gefunden was filtered in dem fall heißt.

Seltsam ist das selbst wenn alles das mit Minecraft zutun hat aus ist und ich die Portforwarding Regeln in der Firewall lösche Nmap immer noch den Minecraft Service anzeigt und sagt der port sei filtered. Meines Verständnisses nach dürfte beides nur der fall sein wenn Portforwarding regeln existieren und ein Minecraft Server läuft.

Ich hatte hier im Forum ein paar mal was über DSLite gelesen aber soweit ich sagen kann habe ich das nicht. ich scheine nur eine IPv4 Adresse zu haben und kein IPv6 und in der Fritzbox und in online ip check tools stehen auch die gleichen IP Adressen.

Ich weiß nicht genau welche Informationen noch wichtig sind stelle aber gerne mehr bereit!

Wenn es alternative Lösungen neben DynDNS und portforwarding gibt bin ich auch dafür offen! (keine Sachen wie Hamachi. möchte nicht das Spieler etwas installieren müssen zum connecten. Meine freunde sind trottel verbinden sollte so einfach wie möglich für sie sein XD)

 

[riversource]

ich scheine nur eine IPv4 Adresse zu haben und kein IPv6 und in der Fritzbox und in online ip check tools stehen auch die gleichen IP Adressen.

Was ist das für eine IP-Adresse? Poste mal die ersten drei Blöcke aus der Fritzbox.

Wenn du sicher bist, dass es sich dabei um eine öffentliche IP handelt und die Portfreigaben stimmen, dann musst du Schritt für Schritt debuggen. Also: Wireshark auf dem PC ausführen und gleichzeitig einen Paketmitschnitt in der Fritzbox anlegen und dann schauen, bis wo die Pakete kommen.

 

[NatokWa]

BLEIBT die IPv4 Adresse stabil bei dir oder wechselt die regelmäßig ?

habe selbst Kabel von Vodafone mit (nahezu) statischer IPv4 und nutze KEIN DynDNS sondern einn festen A-Eintrag um das über eine Domain direkt laufen zu lassen.
Die freigegebenen Ports (Also Forwarding) liegen auf der richtigen IP (wo auch der Server dran hängt) ?
Firewall auf dem Server ist entsprechend eingestellt ?

Habe meine Weg gewählt weil DynDNS absolut nicht funktioniert hat für den Zweck .... Server war ne Minute erreichbar und dann zig Minuten nicht ... dann wieder für ne MInute erreichbar usw. ohne das sich die IP geändert hätte (selbstverständlich) ... Natürlich sollte der Rest vom Netzwerk und vor allem auch der Server gut abgesichert sein !

 

[Der Lord]

Kurz mal zwei weitere Dinge um das Problem ggf etwas einzugrenzen:

Der Portchecker ist nicht so toll. Zeigt mir auch nur einige meiner Ports als offen an - sind aber definitiv offen. Falls möglich mal andere Quellen auch testen. Ich nutze einfach immer telnet o.ä. von einem vServer im Internet aus, aber gibt ja noch andere Dienste.

Was nicht ganz klar rauszulesen war: klappt denn der Zugriff auf den Minecraft-Server im lokalen Netzwerk? Nicht dass die Firewall der Kiste ggf. bereits den Zugriff blockt.

DynDNS als Verursacher können wir wohl ausschließen, wenn die IP offenbar korrekt zurückgegeben wird.

 

[Lawor55]

Was ist das für eine IP-Adresse? Poste mal die ersten drei Blöcke aus der Fritzbox.

91.96.216

Wenn du sicher bist, dass es sich dabei um eine öffentliche IP handelt und die Portfreigaben stimmen, dann musst du Schritt für Schritt debuggen. Also: Wireshark auf dem PC ausführen und gleichzeitig einen Paketmitschnitt in der Fritzbox anlegen und dann schauen, bis wo die Pakete kommen.

uhh ich hab gerade einmal geguckt ob ich das hinbekomme aber das sieht für mich aus wie ein neues fass ohne Boden. Ich kann gerne versuchen das umzusetzen aber weiß ich absolut nicht was oder wo ich etwas machen muss.

BLEIBT die IPv4 Adresse stabil bei dir oder wechselt die regelmäßig ?

Wechselt ungefähr einmal pro tag daher nutze ich die DynDNS die beim letzten mal vor ein paar Monaten keine Probleme gemacht hat.

Der Portchecker ist nicht so toll. Zeigt mir auch nur einige meiner Ports als offen an - sind aber definitiv offen. Falls möglich mal andere Quellen auch testen. Ich nutze einfach immer telnet o.ä. von einem vServer im Internet aus, aber gibt ja noch andere Dienste.

Ich kenne mich leider nicht super gut mit der ganzen Thematik aus und wei? daher nicht genau was telnet und ein vServer ist.

Was nicht ganz klar rauszulesen war: klappt denn der Zugriff auf den Minecraft-Server im lokalen Netzwerk? Nicht dass die Firewall der Kiste ggf. bereits den Zugriff blockt.

ja das funktioniert. nur sobald ich es über die public ip versuche geht es nicht mehr und die connection timed out

 

[Raijin]

Bei sowas spielen mehrere Aspekte eine Rolle.

Als erstes muss natürlich die IP-Adresse des Anschlusses überhaupt öffentlich erreichbar sein. Die von dir gepostete IP deutet darauf hin, dass dies der Fall ist. Aber nochmal sicherheitshalber nachgehakt: Die IP in den Interneteinstellungen der Fritzbox ist dieselbe wie sie zB bei ping.eu angezeigt wird?

Greift man über eine DDNS-Domain zu, muss sichergestellt werden, dass diese die korrekte IP enthält. Dazu nutzt man nslookup die.ddns.bla

Ist auch das überprüft und korrekt, kommen die Portweiterleitungen. Diese leiten eingehende Verbindungen zum eigentlichen lokalen Server weiter.

Der Server wiederum muss selbstverständlich gestartet und aktiv sein. Aber nicht nur das: Die Firewall des Server muss explizit Verbindungen aus dem www zulassen. Wenn hier zB "Quelle=nur lokales Subnetz" steht, wird jeder Verbindungsversuch, der über die Portweiterleitungen reinkommt, geblockt. Die Firewall des Server muss also für den fraglichen Port bzw die Anwendung (je nachdem wie die Regel angelegt wurde) auf "Quelle=beliebig" eingestellt werden.


Testen solltest du den Server explizit NICHT aus deinem Heimnetzwerk heraus, weil da noch NAT-Loopback mit von der Partie ist. Also nach Möglichkeit von einem anderen Internetanschluss (oder zB via Mobile Hotspot) und dann idealerweise auch direkt mit dem Game-Client und nicht mit Portscannern.


Noch eine kurze Anmerkung: Das Betreiben eines öffentlich erreichbaren Servers darf man nicht unterschätzen. Mit jeder Portweiterleitung im Router öffnet man ein weiteres potentielles Einfallstor für Eindringlinge. So wie jede Tür, jedes Fenster und jede Hunde-/Katzenklappe ein gewisses Einbruchsrisiko birgt.
Heutzutage kann man Gameserver für einen Spottpreis mieten. Minecraft habe ich zB bei g-portal ab 2,25€ pro Monat gefunden. Oftmals lohnt es sich dann gar nicht, einen eigenen Server zu betreiben, sowohl von den Kosten her (Hardware+Energie vs Miete) als auch von der Sicherheit.

 

[NatokWa]

Was auch wirhcig ist : Der Rebind-Schutz in der Fritze muss für die verwendete DNS ausgeschaltet sein .... das blockt auch "zuverläßig" jeden Versuch von außen auf den Server zu kommen.

Und zu den Servern für 2,25€ ....... Wenn man NUR Vanilla spielen will ... ok .... sobald aber Sachen wie Skyblock kommen .. vergiss es. Die Leistung der Server, vor allem wegen dem meist bescheuerten Model über den RAM ab zu rechnen, entspricht absolut nicht dem was man eig. erwarten würde.

Ich habe 4 Monate lang versucht einen MC-Server mit 2 Spielmodi (bentobox AcidIsland und Skyblock) auf zu bauen .... bei Inselgröße 500x500 hat es schon über 10 Minuten gebraucht um das Insellevel zu berechnen, ziel war 1000x1000 ......
Jetzt läuft mein Server stabil auf einem 5800X und 64GB Ram gut abgesichert bei mir zuhause mit 1000x1000'er Inseln, 3 Spielmodi + Spawnwelten und die Levelberechnung braucht ~5 Minuten.... Einen Mietserver der das Packt zahlt man SEHR teuer obwohl eher wenige Spieler drauf sind. Die GRUNDleistung der Mietserver stimmt einfach nicht.

 

[Lawor55]

Aber nochmal sicherheitshalber nachgehakt: Die IP in den Interneteinstellungen der Fritzbox ist dieselbe wie sie zB bei ping.eu angezeigt wird?

ja ist die selbe

Greift man über eine DDNS-Domain zu, muss sichergestellt werden, dass diese die korrekte IP enthält.

hier wird auch die richtige Adresse angezeigt aber interessanter weise kommt dort danach zwei mal die Meldung "DNS request timed out. timeout was 2 seconds." also hat es ja vielleicht doch irgend was mit noip.com zutun. werde ich nochmal einen genaueren blick raufwerfen.

Der Server wiederum muss selbstverständlich gestartet und aktiv sein. Aber nicht nur das: Die Firewall des Server muss explizit Verbindungen aus dem www zulassen. Wenn hier zB "Quelle=nur lokales Subnetz" steht, wird jeder Verbindungsversuch, der über die Portweiterleitungen reinkommt, geblockt. Die Firewall des Server muss also für den fraglichen Port bzw die Anwendung (je nachdem wie die Regel angelegt wurde) auf "Quelle=beliebig" eingestellt werden.

ich weiss nicht wirklich wo die Quelle Einstellung währ. Das einzige das ich gefunden hab das ähnlich klingt sind Edgeausnahmen. Das ist im Moment auf Edgeausnahmen blockieren gestellt was default war.

Testen solltest du den Server explizit NICHT aus deinem Heimnetzwerk heraus, weil da noch NAT-Loopback mit von der Partie ist. Also nach Möglichkeit von einem anderen Internetanschluss (oder zB via Mobile Hotspot) und dann idealerweise auch direkt mit dem Game-Client und nicht mit Portscannern.

Sollte es nicht aber trotzdem möglich für mich sein über die public ip und port beizutreten? direkt mit minecraft über hotspot kann ich erst in einigen stunden testen.

Noch eine kurze Anmerkung: Das Betreiben eines öffentlich erreichbaren Servers darf man nicht unterschätzen. Mit jeder Portweiterleitung im Router öffnet man ein weiteres potentielles Einfallstor für Eindringlinge. So wie jede Tür, jedes Fenster und jede Hunde-/Katzenklappe ein gewisses Einbruchsrisiko birgt.
Heutzutage kann man Gameserver für einen Spottpreis mieten. Minecraft habe ich zB bei g-portal ab 2,25€ pro Monat gefunden. Oftmals lohnt es sich dann gar nicht, einen eigenen Server zu betreiben, sowohl von den Kosten her (Hardware+Energie vs Miete) als auch von der Sicherheit.

Ja das Risiko ist mir bewusst. Der Server würde nur immer mal wieder in Verwendung sein und bei längeren Phasen in denen er nicht genutzt wird hab ich bisher immer die Portfreigaben und Firewall regeln wieder deaktiviert. Ich möchte nur ungern einen Server mieten da ich sowieso mehrere funktionierende Rechner habe mit besserer Hardware als ich billig mieten kann außerdem würde der Server nur unregelmäßig genutzt werden und daher eh nicht permanent laufen müssen.

 

[Raijin]

ich weiss nicht wirklich wo die Quelle Einstellung währ.

Start --> firewall --> Erweiterte Firewall --> Eingehende Regeln

Hier entweder nach der Portregel oder der Anwendungsregel suchen. Regel per Doppelklick öffnen und in den Eigenschaften den Reiter Scope/Bereich wählen. Dort sicherstellen, dass die Quell-IP auf beliebig steht.

Sollte es noch keine Regel geben, musst du eine anlegen.


Es kann allerdings auch sein, dass die Regel bereits existiert und wie oben beschrieben korrekt eingestellt ist. Dann liegt der Verdacht nahe, dass die Netzwerkverbindung des Server auf "öffentlich" geschaltet ist. Dabei blockt Windows so ziemlich alles weg, weil das öffentliche Profil zB für Hotels, o.ä. gedacht ist. Abhilfe wäre nun die Umstellung des Netzwerks am Server auf "privat". Wie das geht --> google

Sollte es nicht aber trotzdem möglich für mich sein über die public ip und port beizutreten? direkt mit minecraft über hotspot kann ich erst in einigen stunden testen.

Jein. Es ist für den Router ein Unterschied ob eine Verbindung von extern kommt und auf seine öffentliche IP zeigt oder ob die Verbindung von innen kommt und auf die öffentliche IP zeigt. Im letzteren Fall muss der Router die Verbindung quasi im WAN-Port aktiv um 180° drehen. Das nennt sich NAT-Loopback und ist je nach Router ab Werk ein- oder ausgeschaltet oder wird eventuell auch gar nicht unterstützt oder zB durch einen DNS-Rebind Schutz wie ihn @NatokWa schon erwähnt hat blockiert. Lokale Clients sollten sich nach Möglichkeit mit der lokalen IP des Servers verbinden, ändert nichts am Zusammenspiel mit anderen.

Der DNS-Rebind Schutz hat allerdings nichts mit dem Zugriff von außen (zB Kumpels) zu tun. Das ist ein rein lokaler Schutzmechanismus.

@NatokWa : Ok, wenn die Leistung nicht stimmt, kann ich das verstehen. Einen Versuch ist es meiner Meinung nach aber immer wert.

 

[Lawor55]

Start --> firewall --> Erweiterte Firewall --> Eingehende Regeln

Hier entweder nach der Portregel oder der Anwendungsregel suchen. Regel per Doppelklick öffnen und in den Eigenschaften den Reiter Scope/Bereich wählen. Dort sicherstellen, dass die Quell-IP auf beliebig steht.

habe mal sicherheitshalber einen screenshot gemacht einfach um sicher zu gehen das ich nicht irgend wo anders geguckt hab.

Es kann allerdings auch sein, dass die Regel bereits existiert und wie oben beschrieben korrekt eingestellt ist. Dann liegt der Verdacht nahe, dass die Netzwerkverbindung des Server auf "öffentlich" geschaltet ist. Dabei blockt Windows so ziemlich alles weg, weil das öffentliche Profil zB für Hotels, o.ä. gedacht ist. Abhilfe wäre nun die Umstellung des Netzwerks am Server auf "privat". Wie das geht --> google

Das Wlan netzwerk steht in Windows als privat. Oder muss man da was in der Fritzbox machen?

Lokale Clients sollten sich nach Möglichkeit mit der lokalen IP des Servers verbinden, ändert nichts am Zusammenspiel mit anderen.

Konnte es gerade einmal mit einem Freund testen. Wenn ich die lokale IP nutze komme ich rauf (auch ohne den Port anzugeben). Öffentliche IP funktioniert bei mir und Kumpel nicht. Wir bekommen beide auch die selbe Fehlermeldung in Minecraft zu der ich gelesen hatte etwas mit den Ports würde nicht stimmen.

Der DNS-Rebind Schutz hat allerdings nichts mit dem Zugriff von außen (zB Kumpels) zu tun. Das ist ein rein lokaler Schutzmechanismus.

Ich hatte auch da testweise mal die DynDNS Adresse hinzugefügt aber es hat nicht sichtlich was verändert.


In der Zwischenzeit hatte ich mir auch Wireshark runtergeladen. Zwar werde ich nicht wirklich schlau aus dem was ich lese aber es tauchen tcp anfragen mit dem 25565 port auf wenn ich oder der Freund versuchen über die DynDNS mit dem Server zu verbinden.

 

[NatokWa]

Failed to Connect heißt idr. das ihr garnicht beim Server ankommt ... ABER sagt denn das Log VOM Server irgendwas dazu ? Wenn da nix steht kommt auch NICHTS an, das würde nämlich ALLES anzeigen, selbst wenn einer anpingt oder Datenmüll sendet (DDOS etc.) zeigt die Console/das Log das an.

 

[Lawor55]

Der Server selber bekommt Garnichts aber mit Wireshark auf dem selben Desktop auf dem der Server läuft kann ich die anfragen sehen.

 

[NatokWa]

Wennd er Server nichts kriegt sind entweder diePorts falsch (Ich würde den Standartport lassen!) oder etwas fängt das ganze DOCH ab.
Bindet der Server die Lokale Adresse korrekt ?Keine Fehler im Startup vom Server ?

 

[Lawor55]

Ich habe es hinbekommen!

Natürlich wie man es von solchen Problemen kennt war die Lösung am ende einfacher als gedacht...

Auf dem Rechner auf dem ich heute getestet hab war das Problem das ich anscheinend eine zweite Firewall durch McAfee habe. Ich wusste nicht einmal das ich das Programm installiert habe aber gut. Ausschalten dieser hat ermöglicht sich mit dem Server zu verbinden. Ich hab versucht die Server Software zu der Firewall hinzuzufügen damit sie nicht eingeschränkt wird doch kann man in McAfee nur .exe hinzufügen und der Server wird über eine .jar gestartet.

Das ist aber kein Problem denn auf dem eigentlichen Rechner auf dem ich es ausführen wollte, auf den ich heute Mittag noch nicht wieder zugriff hatte war das Problem sogar noch einfacher zu lösen.
Dort war es tatsächlich das das LAN Netzwerk nicht auf Privat geschaltet war!

Ich hatte zu beginn kontrolliert ob es auf Privat geschaltet ist doch musste ich in der Zwischenzeit nochmal meinen Repeater und Router neu einstellen da diese nicht richtig in dem FritzBox Mesh Modus waren und ich im FritzBox Dashboard dann den Server Rechner nicht angezeigt bekommen, also auch kein Portforwarding einstellen konnte.
Dies hat dann anscheinend das Netzwerk für den Rechner wieder auf Öffentlich gestellt.


TLDR für den Fix:
-Überprüft ob Router und Repeater richtig im Mesh Modus sind und im Dashboard dieses Symbol an den Geräten angezeigt wird

-Portforwarding eingestellt in FritzBox und Firewall (überprüfen ob irgend welche tollen Antivieren Programme eigene Firewalls haben)

-Überprüfen ob die Netzwerke wirklich im Privat Modus sind


Vielen Dank für die schnelle Hilfe!

 

[NatokWa]

Da wäre es die Java.exe btw. für die Firewall da DIESE das ausführende Program ist.

Eine .jar ruft "nur" Java AUF um darin zu laufen.