Alternative zu Port forwarding?
Hallo Leute, ich hab da ne Frage. Also, ich hab mir grad eben einen Minecraft Pocket Edition Server mit Pocket Mine erstellt. Allerdings muss ich jetzt "port forwarden" sprich auf den Router übers Internet zugreifen und das da einstellen. Meine Eltern wollen das aber nicht! Gäbe es da eine Alternative um den Port freizuschalten?
2 Antworten
Du kannst mittels einem VPN Programm (= Hamachi, Tunngle, Teamviewer VPN ) einen Tunnel durch deinen Router öffnen, der sich direkt mit den anderen Spielern verbindet.
Das hat aber den Nachteil, dass bei falsch konfigurierter Firewall, dein PC öffen ist wie ein Buch und man an alle deine persönlichen Daten ran kann...
Der zweite Nachteil besteht aus den VPN Leitungen selbst. Wenn du der Host bist, verbinden sich alle mit dir - deren kompletter Internetverkehr wird aber dann durch diese Tunnels abgewickelt. Wenn jetzt einer der Mitspieler etwas anderes macht als nur zu zokken - beispielsweise, ein Video ansieht, dann belastet das DEINE Internetleitung, da der Datenverkehr über dich läuft.
Es wird also zusehends langsamer und eventuell bricht es ganz zusammen...
erkläre deinen Eltern, dass die Portfreigabe eines Ports oberhalb 1024 komplett unkritischist, denn kein Dienst aus dem Windows Betriebssystem "horcht" auf Ports größer 1023...
Die Portfreigabe ist also das sicherste Mittel, einen Server zu betreiben... wenn jemand versucht, dich zu hacken, wird er nur den Minecraftserver vorfinden und das schlimmste was passieren kann, ist, dass dieses Programm schliesst...
Alternativ, lass jemand anderen hosten, dessen Eltern sich mehr mit dem Internet auskennen...
btw. alle großen Server nutzen Ports zum hosten der Server - anders ginge es auch gar nicht - noch nicht... (IPv6 wird kommen und dann geht die Sicherheit eh flöten)
viel Erfolg
Das hat aber den Nachteil, dass bei falsch konfigurierter Firewall, dein PC öffen ist wie ein Buch und man an alle deine persönlichen Daten ran kann...
Das ist nicht der "Nachteil", sondern genau der Zweck eines VPN (Virtual Private Network). Man moechte verschluesselt ueber eine Untrust-Zone in eine Trust-Zone und sich - einfach ausgedrueckt - wie im "heimischen LAN" fuehlen.
Wenn du der Host bist, verbinden sich alle mit dir - deren kompletter Internetverkehr wird aber dann durch diese Tunnels abgewickelt.
Dafuer gibt es Split Tunneling. Dabei werden nur VPN-relevante Routen gepusht (oder "gepullt"). Das Default-Gateway selbst bleibt das Lokale.
erkläre deinen Eltern, dass die Portfreigabe eines Ports oberhalb 1024 komplett unkritischist, denn kein Dienst aus dem Windows Betriebssystem "horcht" auf Ports größer 1023...
Ports > 1024 zu oeffnen ist sicherheitsbezogen genauso kritisch wie Ports < 1024. Mit Windows hat das nichts zu tun, der imho wichtigste Dienst bei einem Windows - RDP - horcht z.B. an Port 3389.
Ohne administrative Rechte darf man diese Ports < 1024 nicht oeffnen, nichts desto trotz befindet man sich, egal ob man nun nach DNAT auf Port 35444 oder Port 5, immer auf LAN - und damit trust- - Seite. Das ist der eigentliche Sicherheitsaspekt, den es aus vielen Gruenden zu vermeiden gilt.
Die Portfreigabe ist also das sicherste Mittel, einen Server zu betreiben... wenn jemand versucht, dich zu hacken, wird er nur den Minecraftserver vorfinden und das schlimmste was passieren kann, ist, dass dieses Programm schliesst...
Das ist nicht richtig. Wenn jemand den Minecraft-Server kompromittieren wuerde, waere er direkt im LAN, der trusted Zone. Zwischen Minecraft Server und Heim-PCs gibt es keine weitere Instanz mehr, die fuer irgendeine Art Sicherheit sorgen koennte (LAN => directly connected => kein(!) Gateway fuer Kommunikation noetig).
Ergo ist ein DNAT/Portfreigabe ins LAN das unsicherste(!) Mittel, um einen Server zu betreiben.
btw. alle großen Server nutzen Ports zum hosten der Server - anders ginge es auch gar nicht - noch nicht... (IPv6 wird kommen und dann geht die Sicherheit eh flöten)
Diese "grossen" Server stehen in einer DMZ (untrust) oder direkt im Internet (untrust). (Ja, Ausnehmen bestaetigen die Regel, sind aber im professionellen Umfeld - selbst bei unbedarften Admins - eher selten).
Auch bei IPv6 brauchen wir noch Ports um Netzwerk Services zu benutzen (IPv4 und IPv6 == Layer3; TCP/UDP ("Ports) == Layer4). Da geht auch keine Sicherheit floeten.
cheers | barnim
P.S.: Die Idee des VPN ist fuer den Fragesteller selbst super.
Ja. Public IP bestellen und direkt durch deinen Router auf deinen Server routen.
Das wiederum willst _du_ aber nicht ;)
cheers | barnim
P.S.: Schaue, ob dein Router eine so genannte DMZ unterstuetzt / bauen kann. Das sollte die Bedenken der Eltern nichtig machen.
P.S.S.: Gameserver irgendwo mieten.
Per se nicht, nein.
Was du meinst sind sogenannte "exposed hosts".
Eine DMZ ist erstmal nicht mehr, als ein weiteres Netzsegment, aus dem per Default keine Verbindung ins LAN moeglich ist.
Man kann in DMZs routen oder - wie privat vorzuziehen - ebenso mit S/D/Full-NAT arbeiten wie beim bekannten "Port Forwarding" ins LAN.
cheers | barnim
DMZ öffnet meines Wissens nach, alle Ports für die angegebene IP - somit fällt der Firewallschutz nach aussen weg - ob dass die Eltern milde stimmen wird.... ?!