Ports freischalten? - Kabelrouter - dslite? - verwirrt

[barmitzwa]

Hallo Leute, hoffe ihr könnt mir helfen.
Ich kämpfe derzeit mit meinem Kabel Internet (Primacom) und der Peer2peer Verbindung zu manchen Diensten (in diesem speziellem Fall GTA5 online).
Problem: ich fliege immer wieder aus dem online Modus brauche teilweise extrem Lang (>5min) um freien Spielen beizutreten.
Ziel: Ports freischalten (Liste liegt vor) bei dem Kabelrouter Technicolor TC7200_20 um den Spielinternen NAT auf "offen" zu bekommen. Dieser steht derzeit auf "moderat". Zumindest mit einer dmz ist mir das gestern Abend gelungen.. heute steht der NAT wieder auf moderat und so eine dmz ist jetzt für mich auch nicht die Lösung.

Die Port Freigabe erweist sich bei dem Router allerdings als sehr schwierig. Im Anhang habe ich ein Bild hochgeladen wo ihr die Einstellungen sehen könnt - meiner Meinung nach ist alles richtig. Die Lokale IP stimmt mit der des PC's überein und ich habe zu Testzwecken im zweiten Anlauf sogar die externe IP eingetragen.

Nach ein wenig Recherche im Netz bin ich darauf gestoßen, dass das Port Forwarding aufgrund der Umstellung von ipv4 auf v6 wohl immer mal Probleme macht. Genauer die Verwendung eines Dual Stack lite (ds-lite) Protokolls bei dem die ipv4 Adresse irgendwie nicht richtig zuordenbar ist. Im Routermenü direkt konnte ich nicht wirklich ausfindig machen ob Primacom bei mir DS oder DS-Lite einsetzt. Bei dem Test IPv6 test - IPv6/4 connectivity and speed test zeigt es mir bei Hostnamen "none" an. Das wäre wohl in Indikator dafür dass Primacom vollwertiges DS einsetzt.

Also ich weiß hier echt nicht so richtig weiter... habe sogar schon überlegt ob man den Technicolor einfach nur als Modem nutzen kann (ohne Router, Firewall, Filter usw) und dann dahinter eine Fritzbox hängen. Da war die Portfreigabe nämlich immer ein Kinderspiel.

Kann jemand Licht ins Dunkle bringen oder hat sonst irgendwelche hilfreichen Ratschläge?

PS: Internet ist soweit flott. Keine Störungen oder hohe Pings. Bis auf den P2P Onlinemodus von GTA hatte ich bisher ehrlich gesagt auch wenig bis keine Probleme

 

[Deep Thought]

Wenn du wirklich DS-Lite hast, teilst du dir mit anderen Teilnehmern eine IPv4-Adresse. Die Adressumsetzung (NAT) zwischen der öffentlichen IP und deiner zugewiesenen IP findet jetzt nicht mehr in deinem Router statt, sondern in einem Router bei deinem Provider.

Daraus folgt, du kannst keine Ports mehr öffnen (das könnte nur der Provider).


Um heraus zu finden, ob du DS-lite oder richtigen Dual Stack hast, kannst du die IPv4 Adressen vergleichen, die dein Router auf der Statusseite anzeigt (die öffentliche, vom Provider zugewiesene IP). Die muss identisch sein mit dem, was meineip.de (oder vergleichbare Seiten) anzeigen.

 

[naruto8073]

Lass dich von deinen Anbieter auf Dynamische IP umstellen und schon läuft alles bei dir.

 

[Deep Thought]

Ob die IP dynamisch (wechselnd) oder statisch (fest) ist spielt keine Rolle. Dynamisch wird sie eh schon sein. Was hier fehlt ist eine öffentliche IPv4 Adresse.

 

[Pisaopfer]

Dual-Stack-Lite stellt keine öffentlich routbare IP-Version-4-Adresse mehr zur Verfügung! Statt dessen wird eine nichtöffentliche IP-Version-4-Adresse zugeteilt die ausschließlich im Netz Deines Providers Gültigkeit hat und nicht routbar ist!

http://community.eu.playstation.com...n-bei-PS4-mit-IPv6-nicht-möglich/m-p/22592165

Das Problem hab ich auch seit letzten Sommer.

 

[barmitzwa]

Um heraus zu finden, ob du DS-lite oder richtigen Dual Stack hast, kannst du die IPv4 Adressen vergleichen, die dein Router auf der Statusseite anzeigt (die öffentliche, vom Provider zugewiesene IP). Die muss identisch sein mit dem, was meineip.de (oder vergleichbare Seiten) anzeigen.

ist identisch. wie eingangs bereits erwähnt habe ich wohl vollwertiges DS

 

[Deep Thought]

Das Interface deines Routers finde ich in der Tat verwirrend.

Akzeptiert der Router auch ein Sternchen als Internal-IP?
Ansonsten würde ich bei Internal mal die öffentliche IP eintragen, und bei External die interne Ziel-IP. Denk dir einfach "Quelle und Ziel" statt "Internal und External".
Keine Ahnung, ob das von Telefunken wirklich so gedacht ist, aber so verstehe ich es jedenfalls.

Die Portnummern sollten bei Internal und External aber auf jeden Fall identisch sein, und nicht wie im Screenshot.

 

[barmitzwa]

Ja der Router bereitet allgemein nicht viel Freude..
Bei den Portnummern hat sich ein Fehler eingeschlichen, da hast du recht.

Habe es jetzt mal korrigiert und wie von dir vorgeschlagen die ip Adressen zu tauschen - leider ohne Erfolg. NAT steht immernoch auf Moderat und bei einem Online Portscanner (TCP Port Scan with Nmap :: Online Penetration Testing Tools | Ethical Hacking Tools) kommt auch folgendes negatives Ergebnis:
PORT STATE SERVICE
6671/tcp filtered unknown
6672/tcp filtered unknown
6673/tcp filtered unknown

bin ein wenig ratlos

edit: mittlerweile funktioniert es nichtmal mehr wenn ich den PC als dmz einstelle. Windows Firewall ist übrigens ausgeschaltet

 

[Deep Thought]

Noch ein Hinweis zu Port-Scannern: damit er einen offenen Port findet, muss auf dem Zielrechner auch ein Programm (ein Spiel oder anderer Server) antworten. Wenn beim Connect-Versuch niemand antwortet, weiß er nicht, ob dein Router schweigt, oder dein Wohnzimmer-PC.

Wenn möglich, teste die Weiterleitung mal mit irgend einem Gerät mit einer Weboberfläche (Port 80), etwa der Statusseite eines Netzwerkdruckes, Webcam oder was auch immer.

 

[barmitzwa]

Du wirst lachen aber so etwas besitze ich nicht.
Ich habe direkt den Spielserver angegeben (192.81.241.100), bei dem die ganzen Statistiken zusammen laufen. Wenn ich ihn in der Eingabeaufforderung anpinge antwortet er anständig.

Also ich habe jetzt mal noch einen kurzzeit Radikaltest gemacht- alles ausschalten. Firewall im Router, Virenscanner, Windowsfirewall sowieso und dmz für meinen PC. Siehe da: NAT immernoch auf Moderat. (Gestern war er zumindest mit einer dmz mal auf offen)

Ich vermute da wird direkt im DNS Server von Primacom etwas blockiert. Habe jetzt hier und da gelesen, dass einige auf Drittanbieter DNS zurückgreifen (z.b. OpenDNS). Mangels tieferer Fachkenntnisse erschließt sich mir daraus jedoch kein Nutzen.

 

[Deep Thought]

Wenn ich ihn in der Eingabeaufforderung anpinge antwortet er anständig.

Ping ist irrelevant, anderes Protokoll. Den Port kannst du mit "telnet IP PORTNUMMER" testen. (er muss keine "lesbare" Antwort liefern, sollte aber zumindest keinen Verbindungsfehler anzeigen)

Und DNS hat überhaupt nichts damit zu tun.


Moment mal...

Ich habe direkt den Spielserver angegeben (192.81.241.100), bei dem die ganzen Statistiken zusammen laufen.

Das ist keine Adresse in deinem Netzwerk. Was treibst du da eigentlich?
Du sollst den Port auf deinen Spiele-PC umleiten, nicht auf den Spielserver im Internet!

 

[barmitzwa]

Was ich mir dabei gedacht hatte weiß ich auch nicht.
Habe das Ganze jetzt über den telnet Befehl geprüft (zunächst musste ich telnet server und client aktivieren).. leider wieder ohne Erfolg. "Verbindungsfehler"

Sowohl forwarding als auch das Verwenden einer dmz führt zum Fehler. Habe sowohl freigegebene TCP als auch UDP Ports probiert

Je mehr ich mich mit dem Thema befasse desto weniger steige ich durch. Zunächst war ich erstmal glücklich da ich (scheinbar) vollwertiges Dualstack habe... allerdings widerspricht sich das wieder extrem damit, dass nicht eine Portfreigabe möglich ist.

Teste ich vllt zu hektisch? Müssen die Einstellungen im Router irgendwie noch vom Kabelbetreiber quittiert werden? Habe es auch schon mit einem Routerneustart nach Rekonfiguration versucht...

 

[Deep Thought]

Mach doch einen Schritt nach dem anderen.

Du brauchst zuerst mal ein Gerät/Programm, dass auf eine Verbindung antwortet. Vorher brauchst du das Weiterleiten gar nicht erst probieren. Mit einem kaputten Auto mache ich ja auch erst mal eine Probefahrt im Hof, bevor ich auf die Autobahn fahre...

Also erst wenn du in deinem lokalen Netzwerk mit telnet auf einen offen Port zugreifen kannst, macht eine Weiterleitung überhaupt Sinn. Jedenfalls, wenn du einigermaßen systematisch vorgehen willst, statt im Nebel zu stochern. (Telnet funktioniert übrigens nur mit TCP, nicht mit UDP.)

leider wieder ohne Erfolg. "Verbindungsfehler"

Konkreter bitte. Welchen Rechner hast du auf welchem Port angesprochen, und lief da auch ein Programm, das auf diesem Port lauscht?

 

[barmitzwa]

okay der Reihe nach.
- Zweitcomputer (Laptop) organisiert
- beide sind im Router sichtbar, können sich auch gegenseitig anpingen (ich weiß, anderes Protokoll)
- die jeweiligen internen IP's habe ich mit dem Befehl ipconfig in Erfahrung gebracht
- telnet funktioniert hier aber leider nicht (ich arbeite an 192.168.0.10 und gebe "telnet 192.168.0.21 80" in der Eingabeaufforderung ein -> "Verbindungsfehler"

telnet server und client sind auf beiden Geräten aktiviert. Windows Firewall und Defender auf beiden deaktiviert. Somit scheint deine Vermutung bestätigt zu sein, dass in meinem Netzwerk allgemein etwas nicht stimmt. Wie gebe ich die Ports jetzt zunächst intern frei?

Vielen Dank, dass du dir die Zeit nimmst und so geduldig mit mir bist

 

[Deep Thought]

telnet funktioniert hier aber leider nicht (ich arbeite an 192.168.0.10 und gebe "telnet 192.168.0.21 80" in der Eingabeaufforderung ein -> "Verbindungsfehler"

Auf dem Zielrechner (192.168.0.21) muss natürlich auch ein Programm auf Port 80 hören und antworten. Das sag ich doch die ganze Zeit. Ports antworten nicht von selbst.

Notfalls installiere auf dem Zielrechner provisorisch einen Webserver. Etwa so was: https://www.heise.de/download/product/mini-webserver-2010-79319

 

[barmitzwa]

Ich habe jetzt mal testhalber einen Teamspeak Serveraufgesetzt. Wenn dieser läuft kann ich vom anderen Computer erfolgreich Verbindung zu Port 30033 aufbauen.
Wenn der Server aus ist "Verbindungsfehler"
Teilerfolg

 

[Deep Thought]

Gut. Jetzt kannst anfangen, mit der Portweiterleitung herum zu spielen, und herausfinden, wie das bei deinem Router funktioniert.

Starte den TS-Server wieder, und versuch, diesen Port auf diesen PC um zu leiten.
Beim Portscan musst du dann natürlich auch diesen Port scannen, und keinen beliebigen.

Hier kommst du mit telnet vermutlich nicht mehr weiter, sondern nur mit einem Portscan von einer externen Seite.

 

[barmitzwa]

Habe in der Zwischenzeit schon etwas herumgespielt und den TS3 Client auf dem Handy installiert.

- selbes Netzwerk und Verbindung zu lokaler IP funktioniert
- selbes Netzwerk und Verbindung zu öffentlicher IP funktioniert, wenn ich im Router eine dmz für den PC aktiviere wo der Server läuft
- vom mobilen LTE Netz kann ich jedoch nicht zugreifen, egal ob dmz an oder aus (auf andere Server funktioniert es)
- Portcheck Dienste können auch keine Verbindung aufbauen, trotz dmz
- ich werde mal noch ein wenig mit verschiedenen Einstellungen herum probieren bis ich Zugang von extern habe...

noch eine Frage um sicher zu gehen nicht wieder etwas falsch verstanden zu haben: wenn die WAN IP die im Router angezeigt wird, die selbe ist wie bei wieistmeineip.de habe ich definitiv vollwertiges Dualstack und müsste diese IPv4 Adresse auch von extern erreichen können?

Noch etwas was ich nicht verstehe: wenn ich über ipconfig eingebe wird noch etwas von von Tunneladaptern aufgezählt.. nicht dass hier der Hase im Pfeffer liegt

 

[Deep Thought]

noch eine Frage um sicher zu gehen nicht wieder etwas falsch verstanden zu haben: wenn die WAN IP die im Router angezeigt wird, die selbe ist wie bei wieistmeineip.de habe ich definitiv vollwertiges Dualstack und müsste diese IPv4 Adresse auch von extern erreichen können?

Richtig.

Die Tunneladapter spielen keine Rolle.

selbes Netzwerk und Verbindung zu öffentlicher IP funktioniert, wenn ich im Router eine dmz für den PC aktiviere wo der Server läuft

Dieser Test ist leider ist nur bedingt aussagekräftig. Die Umleitung greift hier bereits, bevor die Daten das Heimnetz verlassen.
Das zeigt zumindest, dass du mit der Umleitung auf dem richtigen Weg bist. Aber nicht, ob der Router auch Anfragen von außen rein lässt.

Eine DMZ ist übrigens praktisch nur eine Portweiterleitung für alle Ports auf einen Rechner. Das ist zumindest zum testen wohl ganz praktisch. Der Zielrechner ist jetzt aber auch praktisch direkt am Internet, und leichter angreifbar. Nur zur Info.

- vom mobilen LTE Netz kann ich jedoch nicht zugreifen, egal ob dmz an oder aus (auf andere Server funktioniert es)
- Portcheck Dienste können auch keine Verbindung aufbauen, trotz dmz

Dann funktioniert deine Weiterleitung offenbar noch nicht richtig. Weiter probieren!
Vielleicht eine Firewall/Security-Einstellung im Router übersehen?

 

[barmitzwa]

Was eine dmz ist, ist mir ausnahmsweise bekannt. Ebenso dass damit alle Ports freigeben werden und damit quasi Vollzugriff auf den Rechner gegeben wird.
Die Idee dahinter war es den Zugriff erstmal so zu ermöglichen bevor das Scheunentor nach und nach auf die benötigten Ports eingeschränkt wird.

Die Firewall lässt leider nicht viele Einstellungen zu
- firewall protection off/low/medium/high - Standarteinstellung war hier low
- ipv6 firewall - standartmäßig an (hilft mir aber hier wohl nicht weiter)
- sowie weitere Sachen die aktiviert werden können aber standartmäßig aus waren (ip flood protection, port scan detection, verschiedene Filter usw.)


In den erweiterten Optionen habe ich noch eine interessante Einstellung gefunden - WAN Blocking (verstehe darunter, dass externe Zugriffe blockiert werden). Jedoch kann ich keinen Unterschied feststellen was die Verfügbarkeit angeht wenn der Haken gesetzt ist oder nicht


Selbst mit der radikalen Varinate (nur für wenige Sekunden aktiviert), also WAN Blocking aus, dmz an und firewall aus, kann ich nicht auf den Server vom mobilen Netz zugreifen.