Minecraft - Erfolgloser Versuch mit PortForwarding bei Fritzbox +DynDNS

BxB

Lieutenant
Registriert
Apr. 2005
Beiträge
799
Hallo zusammen,

ich bin grade echt ratlos, wie ich meinem Bro weiterhelfen kann, mir gehen die Ideen für die Ursache und Lösungsideen aus.
Ziel ist es für ein paar spezielle "Spielereien" bei ihm lokal im Netz auf einem der Rechner Minecraft zu hosten. und via DynDNS das angenehmer zu machen zu joinen, daher auch keine extra Software die tunneln. Alles aus dem eigenen Netz kann einwandfrei zugreifen, aber von außerhalb geht nichts - weder über die dyndns-adresse, noch direkt ipv4 - egal ob mit/ohne port.

Minecraft nutzt den Default-Port 25565, er hat eine Fritzbox, der Rechner hat Win10.
  • In der Fritzbox wurden für ipv4+6 für TCP und UDP die Forwardings für 25565 auf den PC eingestellt.
  • In der Windows-Firewall wurde für die java.exe für TCP+UDP für alle Netztypen die Verbindung zugelassen.
    So wie hier:
  • Er nutzt ipv64.net für DnyDns und ist in der Fritzbox eingetragen. Diese Adresse kann ich selbst auch anpingen.
    (die ipv4 dahinter nicht).
Habt ihr noch Ideen, woran es liegen könnte oder was man probieren könnte?

Gibt es bei bestimmten ISPs diverse Probleme, die das verhindern könnten? Wenn ja, wie kann man das checken?
 
Könnte ein DS-Lite Problem sein. Bei manchen Anbietern bekommt man keine öffentliche IPv4 mehr, da solche Adressen Mangelware sind.
 
BxB schrieb:
  • Er nutzt ipv64.net für DnyDns und ist in der Fritzbox eingetragen. Diese Adresse kann ich selbst auch anpingen.
    (die ipv4 dahinter nicht)
Dann habt ihr vermutlich DSLite und damit keine echte eigene v4 Adresse.
 
Bei DS-Lite steht dort DS-Lite-Tunnel.
Es gibt auch noch Dual Stack mit CGNAT. Dann fängt deine IPv4-Adresse zum Beispiel mit 100. an. Damit klappt es auch nicht.

Mein Tipp: Bucht bei Rasannnt die "Öffentliche IPv4 dynamisch" für 10€ mtl. hinzu. Schweineteuer, läuft aber dann.
 
Früher hatte er beim alten Internet ein Shared_Medium, dass alle paar Minuten er sogar ne andere Ip-Adresse hatte (viele Sachen haben ihn fix gebannt dafür ... ).

Beim jetzigen muss ich ihn mal schauen lassen.
Aber IP-Adresse hatte ich u.a. 185.x.y.z gesehen, aber als ich was beim dyndns korrigieren musste, kam auch mal eine 100.x.y.z kurz vor, ... die aber nur ich beim nslookup während des updates gesehen habe.

Aber wenn es DSL-Lite ist, dann wäre immerhin die Ursache erklärt.
Mal schauen, hab mir schon echt Fragen gestellt, warum es nicht ging ;-)
 
BxB schrieb:
Aber IP-Adresse hatte ich u.a. 185.x.y.z gesehen, aber als ich was beim dyndns korrigieren musste, kam auch mal eine 100.x.y.z kurz vor, ... die aber nur ich beim nslookup während des updates gesehen habe.
Du musst unterscheiden wo du die IP siehst.

Im Routermenü (Online-Status, o.ä.)
Das Routermenü zeigt dir die IP-Adresse, welche der Router am WAN-Port hat. Diese IP bekommt er vom Provider zugewiesen.

wieistmeineip.de, ping.eu, o.ä.
Solche Webseiten zeigen dir über welche öffentliche IP-Adresse diese Webseite aufgerufen wurde.

nslookup dyndns-domain
Damit siehst du welche IP-Adresse mit der dyndns-domain verknüpft wurde

Das sind 3 Paar Schuhe. Damit Portweiterleitungen mit dyndns funktionieren, müssen alle 3 dieselbe IP-Adresse zeigen. Ist das nicht der Fall, klappt es nicht.

Bei Carrier-Grade-NAT (CGN) befindet sich der Router beispielsweise gar nicht direkt im Internet, sondern nur im "privaten" Netzwerk des Providers. Folglich liegt am WAN auch eine private IP-Adresse an oder - richtiger - eine IP aus dem CGN Bereich 100.64.0.0 - 100.127.255.255. Diese IP-Adressen sind nicht öffentlich, weil es sie auf der Erde 97562523865456 Mal gibt, bei x Kunden von y Providern in z Ländern.

Wenn ein Router einen dyndns-Account aktualisiert, macht er es sich normalerweise sehr einfach und überträgt seine eingestellte WAN-IP. Per nslookup bekommt man demnach eben auch genau diese 100.... IP zu sehen.


Und wie löst ihr das Problem jetzt?

1) Beim Provider eine eigene IPv4 beantragen (evtl. kostenpflichtig), also explizit ohne CGN.
2) Direkt mit IPv6 zugreifen
3) Mit einem IPv4-zu-IPv6 Tunnel arbeiten
4) Eingehendes VPN mit IPv6
5) Ausgehendes VPN zu einem Kumpel oder ggfs einem gemieteten VPN-Server
6) Zero-Config-VPN wie zB Tailscale
7) Server woanders hosten (Kumpel ohne CGN oder online gemietet)
8) LAN-Party :D


Übrigens: Wenn man die Windows-Firewall konfiguriert, bitte NICHT einfach blind für alle Profile freischalten. Im Heimnetzwerk ist das private Profil relevant und DA schaltet man etwas frei und nicht im öffentlichen Profil. Bei einem Stand-PC ist das zwar halb so wild, weil er zu 99% zu Hause bleibt, aber wenn man das zB auch an nem Laptop macht und den mal mit in den Urlaub nimmt, in ein Internetcafe oder einem beliebigen Hotspot, ist er im worst case offen wie ein Scheunentor, weil man blauäufig das öffentliche Profil der Firewall mit allen möglichen Freischaltungen durchlöchert hat. Youtube-Videos sind auch immer mit etwas Vorsicht zu genießen, weil nicht jeder, der sich für einen Experten ausgibt, auch ein Experte ist.
 
BxB schrieb:
Früher hatte er beim alten Internet ein Shared
Früher kommunizierte man mit Faxgeräte….

Du lebst im Heute und heute gibt es nichts mehr umsonst.
Um ein Server zuhause zu betreiben brauchst du eine öffentlich zugängliche IPv4 oder du stellst den minecraft Server über IPv6 ins Netz.
Vorsicht! Über IPv6 ist der gameserver direkt von aussen offen. Über IPv4 wird wenigsten der Router ein kleines Stück Sicherheit geboten
 
chrigu schrieb:
Vorsicht! Über IPv6 ist der gameserver direkt von aussen offen.
Naja, so weit würde ich jetzt auch nicht gehen. Eine Fritzbox z.B. aktiviert standardmäßig auch eine Firewall für IPv6 und schützt die Geräte in ihrem LAN. Und wenn man erst mal Portweiterleitungen bzw. Portöffnungen eingerichtet hat, dann ist es egal, ob IPv4 oder IPv6, dann kommen die Pakete auf jeden Fall beim Rechner an - ohne weiteren Schutz durch den Router.
 
  • Gefällt mir
Reaktionen: Raijin
chrigu schrieb:
Vorsicht! Über IPv6 ist der gameserver direkt von aussen offen.
Ähm. Nö.

In der Fritzbox hast du bei IPv6 kein Portweiterleitung sondern eine Portfreigabe.

Beim DynDNS-Anbieter musst du den Präfix und die Device-ID angeben, um direkt auf das Gerät hinter der Fritzbox zu kommen.

Im Gegensatz zu IPv4 hat das den Vorteil, dass du theoretisch jedes Gerät aus dem Internet über eine separate DynDNS-Andresse ansteuern könntest, nachdem du in der Fritzbox den entsprechenden Port für die entsprechende Device-ID freigeschaltet hast.
 
  • Gefällt mir
Reaktionen: JumpingCat
Zurück
Oben