ComputerBase Menü
Aktuelles

Exposed host (Fritz!Box) für Nintendo Switch

paul1508

paul1508

Captain
Registriert
Nov. 2005
Beiträge
3.792
Der integrierte Netzwerk/Internet Test der Nintendo Switch kategorisiert die Verbindungsqualität in NAT Type A-F ein. Prinzipiell habe ich hierbei an meiner Fritz!Box 7590 NAT Type B was meistens zu keinen Problemen führt. Die meisten anderen Spieler können sich dann mit mir (wenn ich den Server stelle) verbinden. Wenn mein Gegenüber jedoch NAT Type D hat brauch ich NAT Type A damit sich der gegenüber mit mir verbinden kann.
Nun würde der NAT Type A erreicht sein, wenn die richtigen Ports geforwarded werden. Nintendo schlägt dafür vor die Switch in eine DMZ zu bringen bzw. alle Ports frei zu machen. Die Fritzbox bietet hierfür die Möglichkeit ein Gerät als Exposed Host zu betreiben. Somit werden alle ingehenden Verbindungen an die Fritzbox weitergeleitet. Dies führt dazu, dass die Switch NAT Type A erhält

Ist das denn sicher? Muss ich mir da sorgen machen, dass meine Switch "angreifbar" wird? Kann ich getrost den Exposed Host aktivieren?
 
serz, na die geben ne range an für udp freigabe, direkt in die dmz würd ich die switch wenn möglich nicht stecken. Lt nintendo
  1. Geben Sie den Start- und Endport zur Weiterleitung ein. Bei der Nintendo Switch-Konsole sind das die Ports 1024 bis 65535.
  2. Stellen Sie UDP als Protokoll ein.

andere nintendo support seite definiert auch noch tcp ports.

Nintendo Switch - Switch​

  • TCP: 6667, 12400, 28910, 29900, 29901, 29920
  • UDP: 1-65535
wobei ich die range bei udp schon schlampig nenne...
 
  • Gefällt mir
Reaktionen: Raijin, Engaged und guzzisti
Ohne jetzt zu wissen was nintendo sich da mit dieser NAT Nomenklatur denkt:
Wenn ein geraet aus dem Internet erreichhbar ist, und darauf $Dinge aus dem Internet steuerbar sind, ist das genau so lange sicher, wie keine sicherheitslueckenn darin gefunden wird.
Ist ein Dienst anngreifbar, wird das jemand ausnutzen.

Expose so wenig wie es geht, pack Exposnierte dinge am besten in ein VPN und gut ist


AB´solut SiD schrieb:
UDP: 1-65535
Zum Vergrößern anklicken....
ruegenwalderindex.jpg
 
  • Gefällt mir
Reaktionen: Raijin, snaxilian, AB´solut SiD und eine weitere Person
Also liegt es da eher an der Faulheit von Nintendo hier kein UPnP zu unterstützen? ^^
 
  • Gefällt mir
Reaktionen: xexex
paul1508 schrieb:
Ist das denn sicher? Muss ich mir da sorgen machen, dass meine Switch "angreifbar" wird? Kann ich getrost den Exposed Host aktivieren?
Zum Vergrößern anklicken....
Nein, ja und nein!

Kannst du natürlich nichts für, aber das Netzwerkprotokoll bei der Switch ist schlichtweg eine Katastrophe. Keine Unterstützung für UPnP, keine Unterstützung für IPv6 und eine genauso lächerliche wie gefährliche Anweisung einfach alle Ports vom Router an die Switch umzuleiten.

Du kannst dir natürlich die Portweiterleitungen einrichten und sie bei Bedarf aktivieren. Dauerhaft würde ich den Router aber mit einer solchen Konfiguration nicht betreiben.
Ergänzung ()

paul1508 schrieb:
Also liegt es da eher an der Faulheit von Nintendo hier kein UPnP zu unterstützen?
Zum Vergrößern anklicken....
Das und der Faulheit kein IPv6 zu unterstützen, Portweiteleitung nützt dir nur was, wenn du überhaupt noch eine extern erreichbare IPv4 Adresse hast.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: snaxilian, madmax2010, paul1508 und eine weitere Person
Es gibt auch bei Konsolen Sicherheitsrelevante Aspekte:

https://www.pcgameshardware.de/Nint...Nintendo-schliesst-Sicherheitsluecke-1410361/

Außerdem:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
 
Das Problem bei exposed host oder Portweiterleitungen mit 1-65535, die nichts anderes sind als exposed host , ist, dass man damit womöglich Ports am Zielgerät - hier: Nintendo Switch - aus dem Internet erreichbar macht, die womöglich gar nicht für die Öffentlichkeit gedacht sind.

Fiktives Beispiel:

Nehmen wir mal an ein Spiel benötigt für Multiplayer Port 10000, um den Spielserver zu hosten, und Port 10001 für einen Voice-Chat. Beide Ports sind explizit für die Verwendung über das Internet gedacht und tendenziell auch weitestgehend sicher zu nutzen. Nehmen wir weiter an die Switch selbst hat auf Port 12345 einen Dienst aktiv, der ausschließlich für die lokale Nutzung vorgesehen ist, zB um das Gerät von einem PC aus zu flashen oder was weiß ich.
Mit zwei Portweiterleitungen für 10000 und 10001 könnte man nun sicher zocken (vorausgesetzt das Spiel ist bugfrei), aber eine Portweiterleitung 1-65535 bzw exposed host würde nun auch den eigentlich nur lokalen Port 12345 an die Switch weiterleiten und wenn's dumm läuft, merkt das ein (automatischer) Portscanner im www und plötzlich spielt jemand von außen Malware auf die Switch, um darüber Zugriff auf den Rest des Netzwerks zu erlangen.

Aus diesem Grunde sollten solche Komplett-Weiterleitungen bzw exposed ausschließlich verwendet werden, wenn sich an deren Ende ein Gerät befindet, wrlches explizit dafür gedacht ist. Das wären jeweils die WAN-Ports von Routern bzw Hardware-Firewals mit zB pfSense oder auch Server, die als Router/Firewall fungieren. Niemals sollte jedoch ein x-beliebiges Endgerät wie eine Konsole, Fernseher oder dergleichen als exposed host definiert werden.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: AB´solut SiD, paul1508 und guzzisti
@paul1508 für Konsolen einfach bei netzwerkübersicht auf das jeweilige Gerät gehen z.b deine Switch, und dann den Haken anmachen "eigenständige portfreigabe erlauben".

Das gleiche sollte dein Gegenüber auch machen.

Und wenn ihr trotzdem kein gescheiten NAT-Typ (offen) zustande bekommt liegt es vielleicht daran dass ihr kein echtes dual stack habt, in dem Fall an den internetanbieter wenden und freischalten lassen.
 
Raijin schrieb:
Niemals sollte jedoch ein x-beliebiges Endgerät wie eine Konsole, Fernseher oder dergleichen als exposed host definiert werden.
Zum Vergrößern anklicken....
Oben drauf kommt noch ein weiteres Problem, eine solche Portweiterleitung funktioniert nur für genau dieses eine Gerät. Hat man noch andere Konsolen oder Geräte im Einsatz die ebenfalls eine Portweiterleitung bräuchten, steht man dann im Regen.

Nur leider ist es bei der Switch so, eigenständig Ports per UPnP öffnen kann sie nicht und IPv6 unterstützt sie auch nicht. Somit bleibt dir im Zweifelsfall eben nur eine solche Krüppellösung.

EDIT: Zu der UPnP Aussage halte ich mich zurück, da es mindestens 100 verschiedene Aussagen zu diesem Thema im Internet gibt. Der TE kann ja vielleicht den Vorschlag von @Engaged befolgen und eine Rückmeldung geben. Voraussetzung damit das funktioniert ist allerdings sowieso, dass man auch eine von außen erreichbare IPv4 Adresse hat.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Engaged und Raijin
xexex schrieb:
Somit bleibt dir im Zweifelsfall eben nur eine solche Krüppellösung.
Zum Vergrößern anklicken....
Sind die tatsächlich verwendeten Ports denn nicht zu recherchieren? Ich kann mir beim besten Willen nicht vorstellen, dass die Ports komplett dynamisch sind und sich wirklich auf den kompletten Portbereich beziehen. Das wäre noch dümmer von Nintendo als die fehlende Unterstützung für UPnP und IPv6.
Naja, wer weiß, am Ende ist Nintendo eben auch nur ein Hersteller von Konsolen und hat vermutlich ähnlich viel Ahnung von Netzwerken wie ein Hersteller von Wischmops... Ehrlich gesagt ein Grund mehr, die Krüppellösung mit 1-65535 bzw exposed host nicht zu nutzen, allen Multiplayer Problemen zum Trotz..
 
  • Gefällt mir
Reaktionen: AB´solut SiD
Raijin schrieb:
Sind die tatsächlich verwendeten Ports denn nicht zu recherchieren?
Zum Vergrößern anklicken....
Now for the Part everyone probably came here to see. The ports, it appears to use a random port within the range of 45000-65535 UDP. I have looked at a number of matches and it seems to always stay within this particular port range so if you are having connection issues try and forward that to the switch. If you have Pfsense like me you will also want to setup a static outbound port for the NAT as the games do not like port randomization.
Zum Vergrößern anklicken....
Wie man so eine Krüppellösung auf den Markt bringen kann und damit auch noch so erfolgreich wird.... Keine Ahnung! Schon alleine der fehlende IPv6 Support ist für ein asiatisches Unternehmen äußerst fraglich, aber da scheint Sony ebenfalls noch Nachholbedarf zu haben, ich komme aus dem Kopfschütteln nicht mehr heraus.
Bitte beachte, dass PS5-Konsolen IPv6-Netzwerkverbindungen unterstützen, aber keine reinen IPv6-Netzwerkverbindungen zulassen. Wenn dein Router so eingestellt ist, dass er nur IPv6 unterstützt, ändere bitte deine Routereinstellungen, um IPv4 zu verwenden.
https://www.playstation.com/de-de/support/connectivity/internet-connect-playstation/
Zum Vergrößern anklicken....

Nur zur Erinnerung, die Xbox unterstützt IPv6 seit mindestens Xbox One.
IPv6 auf Xbox
Ihre Xbox-Konsole kann über zwei Protokolle, die Geräten die Übertragung von Informationen ermöglichen, eine Verbindung zu Netzwerken herstellen – über das traditionelle Kommunikationsprotokoll IPv4 und über die neuere Version IPv6. Damit Xbox per IPv6 eine Verbindung mit dem Internet herstellen kann, muss Ihr Heimrouter IPv6-fähig sein, und Ihr Internet-Dienstanbieter (Internet Service Provider, ISP) muss IPv6 unterstützen.
https://support.xbox.com/de-DE/help/hardware-network/connect-network/ipv6-on-xbox-one
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: AB´solut SiD, Raijin und Engaged
Das ist in der Tat bedenklich. Auch wenn ich Nintendo eben mit einem Wischmop-Hersteller verglichen habe, sollte man dennoch erwarten, dass sie mehr KnowHow haben als diese - stellen Multiplayer-Spiele doch einen signifikanten Teil der Netzwerk- und Internet-Anwendungen weltweit dar. Das ist ein Multi-Milliarden-Geschäft und man bekommt bei solchen Aktionen das Gefühl die haben da einen einzelnen Horst hingesetzt, der sich mal ein Youtube-Video angeschaut hat und jetzt voll den Durchblick hat.. Echt ein Hammer und ich bin froh, dass meine Nichten mit der Switch nur offline spielen..


Wenn man denn Wert darauf legt, mit der Switch online zu zocken und die NAT-Probleme (wie auch immer Nintendo 6!! NAT-Zustände definiert) zu störend sind, würde ich die Switch zumindest in der Form nicht innerhalb des Heimnetzwerks betreiben. Eine DMZ (nicht zu verwechseln mit exposed host) wäre für mich Pflicht, weil eine von der Switch ausgehende Bedrohung damit eingegrenzt wird.
 
  • Gefällt mir
Reaktionen: xexex und Engaged
Engaged schrieb:
Und dennoch weint das gerät ohne deaktivierten Teredo filter, keine Ahnung was MS sich dabei denkt.
Zum Vergrößern anklicken....
Dies ist allerdings eigentlich nur bei AVM ein Problem, also Geräten die außerhalb von Deutschland so gut wie keine Bedeutung haben. Der Hintergrund dürfte einfach sein, Teredo läuft über IPv4 und IPv6 gleichermaßen, auch wenn es laut Standard über IPv6 nicht verwendet werden sollte, aber man umgeht damit die Notwendigkeit UPnP zu verwenden.

UPnP wird ja nicht von allen Routern unterstützt und ist von vielen Stellen verrufen, über Teredo baut die Xbox hingegen praktisch ein eigenes Netzwerk auf in dem alle Geräte miteinander direkt kommunizieren können. Für die Anwender die meist nicht computeraffin sind definitiv der leichtere Weg, als ihnen zu erklären wie sie eine IPv6 Firewall zu konfigurieren haben.

Würde man jetzt anfangen "direct IPv6" zu unterstützen, müsste man das Xbox Netzwerk öffnen und erst damit hätte man wirklich ein Problem. Dann könnten tatsächlich direkte Verbindungen aus dem Internet, an den Servern von Microsoft vorbei, mit den im Xbox Netzwerk verbunden Geräten hergestellt werden. Damit hätte man dann fast ein noch größeres Problem als die Portweiterleitung bei Nintendo.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Engaged
Engaged schrieb:
@paul1508 für Konsolen einfach bei netzwerkübersicht auf das jeweilige Gerät gehen z.b deine Switch, und dann den Haken anmachen "eigenständige portfreigabe erlauben".
Zum Vergrößern anklicken....
Das ist ja quasi UPnP? Mit oder ohne dem Haken hab ich Nat Typ B.
 
paul1508 schrieb:
Das ist ja quasi UPnP?
Zum Vergrößern anklicken....
Das ist nicht "quasi" UPnP, bei AVM musst du UPnP für einzelne Geräte über diesen Punkt freischalten. Der Punkt UPnP unter Netzwerk, schaltet nur die Übertragung der Statusinformationen global ab. Das hinterlegte Gerät muss aber natürlich auch Ports darüber öffnen, das kannst du ja selbst während du eine Anwendung nutzt überprüfen.
1676114245901.png


Die Anleitung für UPnP bei AVM ist schlichtweg veraltet, früher musste man für alle Geräte entscheiden ob man es möchte oder nicht.
https://avm.de/service/newsletter/tipps/automatische-freigaben-fuer-online-spiele-einrichten/
 
  • Gefällt mir
Reaktionen: Engaged
Engaged schrieb:
Sozusagen UPnP für ein einzelgerät jo.

Ist B nicht gut?

Bei meiner Xbox heißt es offen, moderat, und strikt.

Hast du denn überhaupt ein internetanbieter mit öffentlicher IPv4?
Zum Vergrößern anklicken....
Wie im Eingangseintrag erklärt: Es geht ja mit B eh in 9 von 10 Fällen. Mit der exposed Host Einstellung bekomme ich A.
 
  • Gefällt mir
Reaktionen: Engaged
Ohne die Definition was Nintendo unter A-F versteht kann man das nur schwierig beurteilen. Wenn ich aber lese, dass du mit B weitestgehend klarkommst und nur dann Probleme auftreten, wenn dein Gegenüber D hat, liegt die Ursache in meinen Augen eigentlich eher bei dem anderen - zB DSLite.

Sind die Mitspieler denn Randoms oder gibt es ganz bestimmte Mitspieler, bei denen es jedes Mal Probleme gibt? Wenn ersteres, würde ich ehrlich gesagt gar nichts tun, bei letzterem ist es natürlich ein bischen ärgerlicher, aber da muss sich dann eher der Kumpel darum bemühen, von seinem Provider eine öffentliche IPv4 zu bekommen, bevor du ein potentielles Sicherheitsrisiko ins Internet stellst.
 
  • Gefällt mir
Reaktionen: xexex und Engaged
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Campari_Kurita
Fritzbox Exposed Host Funktion nutzen?
Antworten
17
Aufrufe
3.701
Campari_Kurita
Campari_Kurita
tiwa86
FB Exposed Host greift nicht > USG 3P > NAS
Antworten
4
Aufrufe
1.519
h00bi
h00bi
C
Warum ist ein exposed Host für Angriffe gefährdet?
Antworten
13
Aufrufe
13.429
t-6
t-6
K
NAT Typ "Strikt" selbst mit Exposed Host
Antworten
12
Aufrufe
7.267
Kiowa404
K
M
Verkabelung Exposed Host
Antworten
3
Aufrufe
1.652
Raijin
Raijin
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz