• Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
    Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Fehler "HTTP 403 - Verboten", Portfreigabe an ConnectBox nötig für besondere, ältere Online-Spiele (LotRO)?

Diskutiere Fehler "HTTP 403 - Verboten", Portfreigabe an ConnectBox nötig für besondere, ältere Online-Spiele (LotRO)? im Internet und Telefon über das TV-Kabelnetz Forum im Bereich Internet und Telefon bei Unitymedia; Guten Abend zusammen, ich wollte mich nach vielen Jahren spaßeshalber wieder in "Herr der Ringe Online" einloggen, bisher hat das aber nicht...
PhilG

PhilG

Beiträge
10
Reaktionen
0
Guten Abend zusammen,
ich wollte mich nach vielen Jahren spaßeshalber wieder in "Herr der Ringe Online" einloggen, bisher hat das aber nicht funktioniert. Evtl. betrifft das auch andere Online-Spiele, die eine Portfreigabe benötigen?

Ich habe eine UM Connect-Box (alter 30 MBit Tarif), über die 2 Telefone, LAN und WLAN laufen.
Nach Start des Spiele-Launchers:
- lädt dieser restliche Patches herunter
- Windows-Admin Abfrage, die ich mit "Ja" bestätige
- Launcher startet erneut
- dann erscheint der Fehler "HTTP 403 - Verboten"

Habe mich ein wenig in die HTTP Fehler und die Themen IPv4 / IPv6 eingelesen, ebenfalls in die Knowledge-Base von StandingStoneGames und das LotRO Forum geschaut.

Die Spiele Apps (Launcher, normaler und x64-Client) habe ich als Ausnahmen zur Windows Firewall hinzugefügt (nach Update gelöscht und wieder hinzugefügt). In der Hilfe ist noch eine mögliche Portfreigabe erwähnt, für die Ports 9000-9100 und 2900 bis 2910, außerdem 80 (der scheint aber standardmäßig offen zu sein?).
Kann ich das im ConnectBox Router Menu einstellen, oder bedeutet das ein Sicherheitsrisiko?
Wie genau muss das konfiguriert werden? Ich nehme an, unter Erweiterte Einstellungen / Sicherheit / IP und Port Filter -> neue IPv6 Regel (eingehend) (!?) -> Protokoll UDP/TCP -> Quell / Ziel IP? Quell / Ziel Port? Ist in dem Fall die Quelle der Spiele-Server (Einstellung "Alle"?), das Ziel mein PC (Welche IP muss ich hier eintragen bzw geht das mit IPv6)?

VG
Philipp
 

Dragon

Beiträge
179
Reaktionen
8
HTTP 403 hat nichts mit der Firewall oder Portfreigaben zu tun. Der Zielserver weist die Anfrage ab, möglicherweise ist dort deine IP-Adresse aus irgendwelchen Gründen gesperrt.
 

why_

Beiträge
615
Reaktionen
72
Das Spiel scheint Tot zu sein, wahrscheinlich gibt es die Spielserver gar nicht mehr und die IP wurde schon irgendeinem anderen Kunden bei dem Hoster zu geteilt und der hat natürlich keine Ahnung was dein Spiel client von seinem Webserver will.
 
  • Haha
Reaktionen: PhilG
PhilG

PhilG

Beiträge
10
Reaktionen
0
Ok, ich bin leicht amüsiert, aber nur leicht. Der HTTP Fehler ist mir schon klar, aber warum sollte meine IP dort gesperrt sein? Der letzte Login meinerseits liegt über 10 Jahre zurück, damals mit anderer IP, bei anderem Internet-Provider. Außerdem erreiche ich problemlos deren Website, Forum und auch Benutzkonten-Bereich, kann mich also auf deren Servern einloggen.
signup.lotro.com/lotro.php?ftui=LOTROWeathertopHCVideo&cl=75&hf=1&abrs=975_1585997041

Und das Spiel ist keinesfalls tot, sondern erlebt gerade ein Comeback, da alle Addons bis Ende April aufgrund der Corona-Krise kostenlos zur Verfügung gestellt werden, weitere Infos auch auf gamestar.de.
 

Wetter

Beiträge
155
Reaktionen
1
Die Meldung kann auch einfach deswegen gekommen sein, weil der Login Server für das Spiel überlastet ist usw.

Ich weiß nicht wie die Box Firewall aufgebaut ist, aber du musst verstehen, dass nur Standardports wie 80 und 443 von deinen Netz, nach draußen offen ist, weil du ja schließlich nur so Webseiten ansteuern kannst. Alle anderen Ports sind normalerweise deaktiviert, damit keiner von außen auf deinen Rechner/Netzwerk einfach so was anrichten kann btw. irgendwas komisches von deinen Rechner eine Verbindung nach außen herstellt (Filesharing usw. )
Umgekehrt sollte Port 80 nicht für Außenstehende offen sein (also von außen zu deinem Rechner/Router), sondern nur die Ports die du oben bereits genannt hast.

Wenn die FW bei dir also soweit korrekt eingestellt ist, würde ich einfach später nochmal versuchen das Spiel zu starten. Vielleicht klappt das Login dann endlich.
 
PhilG

PhilG

Beiträge
10
Reaktionen
0
Soweit habe ich das verstanden, danke. Port 80 ist wohl von mir nach außen standardmäßig offen, für alles andere muss ich es erst checken. Unter Windows im Terminal geht das anscheinend mit dem Befehl "netstat –a".
Die von mir oben genannten Ports müssen "von mir nach außen hin" offen sein, ich weiß allerdings nicht, ob auch "von außen zu mir", aber wegen Sicherheit wohl eher nicht.
Mir ist aufgefallen, dass ich neben der Win Firewall noch die Unitymedia F-Secure Firewall habe, evtl. muss ich die Spiele-Clients und Ports dort auch freigeben, werde das überprüfen.

Nochmal zu meiner eigentlichen Frage aus generellem Interesse: Was muss ich in den ConnectBox Einstellungen eingeben, um bestimmte Ports "von mir nach außen" freizugeben?
 

why_

Beiträge
615
Reaktionen
72
Nochmal zu meiner eigentlichen Frage aus generellem Interesse: Was muss ich in den ConnectBox Einstellungen eingeben, um bestimmte Ports "von mir nach außen" freizugeben?
nichts. Das ganze unterfangen ist komplett Sinnlos da der Fehler bei lotro liegt und nichts mit deinem Anschluss zu tun hat. Das einzige was hier erreicht wird ist das du deine Connectbox verwurschtelst da du offensichtlich keine Ahnung hast was du da machst.
 
  • Gefällt mir
Reaktionen: Torsten1973
boba

boba

Beiträge
959
Reaktionen
151
Du musst bei dir überhaupt nichts einstellen. Standardmäßig sind "von dir nach außen" bereits sämtliche Ports offen. Die andere Richtung, "von außen zu dir", braucht man bei den heute üblichen Spielen nicht, solange der Spieleserver sich im Internet befindet. Nur bei Spielen, bei denen du zuhause bei dir eine Serverfunktionalität bereitstellst, müssen Ports freigegeben werden. Herr der Ringe Online braucht das aber nicht.
 
PhilG

PhilG

Beiträge
10
Reaktionen
0
Hier die Infos vom StandingStoneGames Support, für alle mit ähnlichen Problemen:

How can I lose connection while loading or playing the game but not lose connection to the internet?

Both DDO and LOTRO connect using encrypted UDP (User Datagram Protocol) packets over ports 9000 to 9010 (for the general data communication) and 2900 to 2910 (for the chat and voice chat connections) and they use "loose" routing methods, usually referred to as "asymmetrical packet routing". What this means is that while the game client sends data outbound (upstream) on port 'x', the response packets coming back from the server inbound (downstream) are using port 'y'.

Whenever there is an issue with these ports being accessible, the two-way data method being supported, or the inbound/outbound data being misrouted then connection issues at these stages can and do occur.


Bei mir hat sich das Problem gelöst, nachdem ich die UM AV/Firewall Software auf "Spiele-Modus" und den Steam-Client beendet (!) habe, dann hat der Launcher Verbindung bekommen (der Router hat die benötigten Ports wohl offen, und zwar in beide Richtungen, s.o., keine weiteren Portfreigaben nötig). Deswegen denke ich, es lag am Steam-Client.
 
PhilG

PhilG

Beiträge
10
Reaktionen
0
Du musst bei dir überhaupt nichts einstellen. Standardmäßig sind "von dir nach außen" bereits sämtliche Ports offen. Die andere Richtung, "von außen zu dir", braucht man bei den heute üblichen Spielen nicht, solange der Spieleserver sich im Internet befindet. Nur bei Spielen, bei denen du zuhause bei dir eine Serverfunktionalität bereitstellst, müssen Ports freigegeben werden. Herr der Ringe Online braucht das aber nicht.
help.standingstonegames.com/hc/en-us/articles/115002036707?input_string=lotrolauncher+cannot+connect

Laut dem Artikel des Supports braucht man die offenen Ports sowohl upstream als auch downstream. LotRO ist 2007 rum erschienen, also alles andere als ein aktuelles Spiel. :D
 

Dragon

Beiträge
179
Reaktionen
8
Der Artikel bestätigt die Aussage von boba.
 

Joerg123

Beiträge
1.218
Reaktionen
46
vielleicht muss man erstmal verstehen, wie so eine Firewall funktioniert:
es gibt Software-Firewalls wie die von Windows, oder irgendwelchen Internet-Security-Softwarepaketen:
da müssen dann idR erstmal die Anwendungen als solches für die Netzwerkkommunikation zugelassen werden, als auch die verwendeten Ports. Ports in den meisten Fällen nur für "ungefragt eingehende Daten", bezüglich ausgehenden Daten reicht idR die Freigabe der Anwendung als solches (ist aber auch abhängig von der Software).
dann gibt es Router Firewalls:
hier werden idR ausgehende Daten nicht blockiert, sondern nur "ungefragt eingehende Daten". Dementsprechend braucht es auch nur Firewallregeln für eingehenden Traffic. Auf Anwendungsebene wie bei Software-Firewalls kann man in einem Router auch nicht sperren, wie auch, für den Router kommt alles aus dem Lan, von der dahinter liegende Anwendung/EXE-Datei weiss der Router nix.
Nehmen wir den Fall: du rufst eine Webseite auf. Dazu hast du eine URL, daraus macht der DNS-Server eine IP = ist schon mal klar, welcher Internetserver, oder auch lokale private Internetanschluss angesprochen wird. Parallel dazu, so TCP/IP-Protokoll-mässig, gibt es neben der IP dann noch Ports, denn sonst wäre eine IP auf eine Anwendung beschränkt, das wäre ja doof. Von diesen Ports gibt es ca 65tsnd, die also je IP genutzt werden können. Von diesen Ports sind einige genormte Ports, sogenannte Standardports, für das HTTP-Protokoll ist das Port 80, für HTTPS ist es Port 443. Tippt man jetzt nur www.unitymediaforum.de im Browser ein, wird der Browser nach dem auflösen der IP-Adresse diesen Server auf Port 80 ansprechen, steht in der Adresszeile https://unitymediaforum.de wird der Browser den Server auf Port 443 kontaktieren. Theoretisch kann man einen HTTP-Server auch auf einen anderen Port legen, z.B. auf die 88. Technisch tuts es das exakt genauso gut, nur nutzt der Browser erstmal den Standardport, oder man muss das mitgeben, z.B. www.unitymediaforum.de:88 - dann nutzt der Browser nicht den Standardport, sondern den direkt angegebenen. Wird man wohl nichts drüber erreichen (gehe ich mal von aus, ohne es zu testen), aber wenn man www.unitymediaforum.de:80 eingibt halt schon - nur muss man diese :80 nicht eingeben, denn wenn man keine Angabe : Portnummer macht, wird dieser Standardport per se genommen. Im Grunde gibt es immer nur <IP><Portnummer>, eine IP ohne ohne Portnummer hat keinen Wert, da könntest du genauso gut eine Ziffer der IP weglassen. Nur weil du einen Server auf Port 80 kontaktieren möchtest, müssen die Daten auf deiner Seite aber nicht auf Port 80 raus gehen. Per se wäre der Port 80 dann ja auch nur für einen Prozess (= eine Webbrowser-Kartekarte) nutzbar, heutzutage haben die meisten Leute aber 10 oder mehr Webseiten parallel auf. Also schickt dein PC deine Anfrage z.B vom freien Port, sagen wir 65432 an deinen Router (und den parallelen Aufruf einer weiteren Webseite schickt der PC halt von deiner Lan-IP mit der Portnummer 65431 usw).
So, jetzt kommt dein Datenpaket bestimmt für www.unitymediaforum.de:80 vom Lan aus bei deinem Router an, bzw. kommt beim Router schon an: 104.28.9.59:80 (denn die Namensauflösung macht der PC/das lokale Gerät). Jetzt packt die Router-Firewall deine Daten auf einen "nicht Standardport", so wie es schon der PC gemacht hat und schickt diese raus, sagen wir weil es leicht zu tippen ist, der Router schickt die Daten an den Server abgehend über Port 12345 raus, weil der noch frei ist, noch keine andere Anfrage eines anderen Lan-Gerätes in den letzten Minuten über diesen Port raus gegangen ist (meist wird der Port für 3-10 Minuten reserviert). Beim Server kommt die Anfrage auf Port 80 an, das ist gut so, weil auf Port 80 ein typischer HTTP-Server lauscht. Damit die gewünschten Daten jetzt zurück zu deinem PC kommen, muss der Server natürlich antworten. Dazu hat er die IP deines Routers und der Webserver weiss auch, dass die Anfrage von deinem Router über Port 12345 rausgegangen ist (weil das halt mit übermittelt wird, ist halt Teil des TCP/IP-Protokolls) - also schickt der Foren-Server die Daten zurück an die Internet-IP deines Routers und addressiert diese an Port 12345. Und dein Router weiss halt, dass ankommende Daten auf Port 12345 an die Lan-IP deines PCs und an Port 65432 zu schicken sind. Analysiert der Router auch nicht weiter, der nimmt einfach was auf einem Port wie der 12345 rein kommt und wenn der Router dafür eine lokale Gegenstelle gemappt hat, dann ändert der Router den Port auf die Port-Nummer auf welcher das lokale Gerät/dein PC vorher die Anfrage für den Forenserver an deinen Router geschickt hat. Wie erwähnt reserviert ein Router diesen virtuellen/"nicht Standard" Port für ca. 3 bis 10 Minuten, danach vergisst der Router das wieder, sonst wären selbst 65tsnd Ports zumindest nach ein paar Tagen im Betrieb schnell ausgereizt. Ausserdem, wenn die Router-Firewall den Port nicht irgendwann wieder schliesst, könnten dauerhaft Daten über diesen Port an deinen PC geschickt werden, dann braucht es keine Firewall mehr. Sagen wir einfach 3 Minuten, das reicht ja auch, wenn du das Forum hier aufrufst und nach 3 Minuten wäre noch nichts an Daten zurück gekommen, dann hat man auch keinen Bock mehr darauf (dann wäre der Server wohl auch down), ebenfalls hat ein Webbrowser einen Timeout und gibt dann ene Fehlermeldung aus. Für die zurückkommenden Datenpakete schickt dein PC auch eine "Erhalten-Antwort" zurück (zumindest bei TCP, bei UDP wird das nicht bestätigt, bei UDP glaubt der Server einfach, dass die Daten ankommen), womit die Verbindung halt in beide Richtungen aktiv bleibt, diese 3 Minuten Timeout immer wieder neu anfangen zu laufen.
Das ist der Standardweg für eine Standardanwendung, der für die meisten Anwendungen auch reicht.
Aber eben nicht für alles, so ein Spieleserver mag dir Daten deiner Mitspieler zuschicken wollen, ohne das du/die Spiele-Software auf deinem PC diese aktiv angefragt hast = es kommen also Daten an deinem Router an, welche keine Antwort auf von dir raus gesendete Daten sind. Wenn dein Router mit Daten die jetzt hier bei dem Beispiel des Spieles an Port 9000 oder 9010 (oder einer Nummer dazwischen) adressiert sind ankommen, weiss dein Router ja nicht, was er damit machen soll und welchem lokalen Lan-Gerät der Router das Datenpaket zuschicken soll, es existiert ja kein Mapping dafür. Also das "ungefragte Datenpaket" kommt an deiner Internet-IP an und auch immer mit einer Portnummer, diese gehört einfach vom TCP/IP-Standard mit dazu, keine Portnummer ist wie nur eine halbe IP-Adresse = funzt nicht.
Und nur dafür richtest du jetzt Freigaben im Router ein, damit der Router weiss: Daten die an Port 9000-9010 ankommen, gehen immer an die Lan-IP deines PCs und dort lauscht dann ja die Spiele-Software auf den Ports 9000-9010 auf eingehende Spiele-Daten. Beendest du das Spiel, lauscht auch keine Software mehr auf diesen Ports = die Datenpakete werden verworfen/gelöscht, denn kann dein Windows nix mit anfangen, wenn keine Software aktiv ist die sagt "Daten die auf Port 9000 ankommen sind für mich".
Von daher kann man im eigenen Lan/hinter dem eigenen Router auch einen HTTP-Server betreiben, also einen Server der standardmässig auf Port 80 lauscht, oder einen HTTPS-Server auf dem Standardport 443 und um diesen Server vom Internet aus erreichbar zu machen, muss man dann eben Port 80 freigeben für die lokale Lan-IP, welche dein privater Webserver im Lan erhalten hat. Damit kann dann jeder Externe über die Anfragen an "deine-Internet-IP:80" deinen Webserver aufrufen und parallel dazu kannst du natürlich andere Webseiten aufrufen, auch mit mehreren Browsern, auch mit mehreren Lan-Geräten parallel, weil die Standardportnummer nur beim angerufenen Server benutzt wird, aber dein Router schickt es halt wie im Beispiel über Port 12345 raus und bekommt dementsprechend die auf Port 12345 eingehenden Daten vom Server zurück, um diese weiter an deinen PC und den Port 65432. Rufst du eine weitere Karteikarte im Webbrowser auf, ist das technisch eine weitere Instanz, eigentlich nichts anderes wie einen anderen Webbrowser aufrufen. Und schickst du über die 2 Kartekarte, oder einen anderen Browser Anfragen an Webseiten raus, dann macht das der PC über einen anderen Port, der Port 65432 ist ja schon in Benutzung und dann weisst der Router diesen Daten natürlich eine andere Portnummer zu, z.B. die 12346. Und kommen jetzt Daten aus dem Internet bei deinem Router auf Port 12346 an, dann schickt der Router die Daten an die gleiche IP-Adresse/deinen PC, aber eben an die andere Portnummer zurück, womit die Daten am PC auch dem richtigen Prozess, der richtigen Karteikarte, bzw. dem zweiten Webbrowser zugewiesen werden. Schliesslich erwartet man ja, dass wenn man 3-4 Webseiten parallel aufruft, dass diese Seiten sich alle einzeln korrekt aufbauen und es nicht einen Klumpatsch aus Datensalat darstellt.

Damit ist hoffentlich etwas klarer, warum man manchmal Portfreigaben braucht, auch wenn das idR nicht nötig ist. Das Menü ist natürlich abhängig von der Router-Software. Manchmal kann man nur eine Portnummer pro Freigabe eintragen, idR bieten die Menüs aber die Möglichkeit Bereiche wie eben 9000 bis 9010 in einer Freigabe zu definieren. Und meist muss man dazu noch das Protokoll mit angeben, also TCP oder UDP (und manche Router bieten da noch mehr an), also gegebenenfalls je Protokoll eine Freigabe einrichten. Gute Firewalls lassen es auch noch zu den Internet-IP-Adressbereich festzulegen, von welchem Daten auf den freigegebenen Portnummern akzeptiert werden. Hat der Server immer die gleiche IP kann man das aus Sicherheitsgründen mit in der Firewallregel einstellen, ansonsten und "üblich" ist halt das Einrichten von Portfreigaben für "alle Internet-IP-Adressen" (und wenn die Daten nicht vom Server kommen, sondern zwischen den Spielern direkt ausgetauscht werden, muss es natürlich auch eine globale Freigabe für alle Internet-IPs sein).
Grundsätzlich können auch diese Freigaben automatisch eingerichtet werden, das nennt man dann UPnP (Ultra Plug and Play). Das muss das Betriebssystems des PCs/der Lan-Hardware unterstützen (konnte schon Windows XP, ist nichts neues), natürlich muss es auch die Spiele-Software unterstützen, dass diese überhaupt die Anfrage an das Betriebssystem weitergibt, einen Port öffnen zu lassen und es muss der Router unterstützen. Die meisten Router können das, aber es ist in der Regel von Werk ab deaktiviert. Auch hier wieder abhängig vom Router/der Router-Software, ob das nur global aktiviert werden kann, oder je PC/Lan-Gerät, also Lan-IP. Wenn man das nutzt, sollte man schon ab und an gucken, welche Ports sich hier einfach so ohne das du es eingerichtet hast automatisch geöffnet haben und für welche Lan-IP halt. Manche Programme lassen diese Ports auch wieder schliessen beim Beenden, aber nicht alle. Spielt bei dir auch glaub ich keine Rolle, unter dem Link zu konfiguration steht ja nix von UPnP (auch wenn das 2007 schon gefunzt hat). Aber zumindest könntest du testen, ob das Aktivieren von UPnP im Router eventuell schon reicht.
Eine Portfreigabe, egal ob manuell eingerichtet, oder automatisch, ist ein Abschnittsweise die Firewall abschalten, auf freigegebenen Ports gehen die eingehenden Daten halt immer ungefragt vom Router an die zugewiesene Lan-IP. Aber wenn z.B. das Spiel nicht aktiv ist, dann >>hört<< an deinem Windows (oder Mac, oder Linux, oder Android) auf diesem Port eben keine Anwendung auf die eingehenden Daten und das Datenpaket wandert in den Müll.

Jetzt hast du deine Portfreigabe wie im Help-Forum beschrieben eingerichtet und... dann muss das immer noch nicht funktionieren, denn jetzt ist noch entscheidend, was für eine Art von IP du von deinem Provider bekommen hast :) der Spiele-Server von 2007 wird eine IPv4 haben und wenn du selber auch eine IPv4 vom Provider hast, dann kann der Server dir auf diese IP mit der du dich am Server angemeldet hast in Kombination mit deiner Portfreigabe auch ungefragt auf Port 9000-9010 Daten zusenden die direkt an deinem Internetrouter ankommen und mit der von dir eingerichteten Freigabe zu deinem lokalen PC gelangen = alles fein. Hast du aber nur eine IPv6 vom Provider (z.B. bei Unitymedia seit 4-5 Jahren für neue Privatverträge üblich), dann kann dein Router nicht direkt einen IPv4-Server ansprechen. IPv4 und IPv6 können parallel existieren, beim Internetanschluss spricht man dann von Dual Stack = du hast sowohl IPv4 wie auch IPv6 direkt an deinem Router anliegen/dein Internet-Router ist über beide Protokolle direkt erreichbar, die beiden Protokolle haben aber nichts miteinander gemeinsam. Daher schickt bei einem reinen IPv6-Internetanschluss dein Internetrouter Anfragen an eine IPv4 über ein Gateway deines Providers, welcher die Daten deines Routers die über IPv6 am Gateway ankommen auf IPv4 umwandelt. Auch das läuft über das beschriebene Portmapping, damit das Gateway zurückkommende Daten auch wieder an deine IP zurück schickt. Hier sind es halt nicht die lokalen Lan-Geräte in deiner Wohnung, sondern ein Haufen Unitymedia-Kunden, welche sich ein Gateway teilen. Damit hat dann der Spiele-Server nicht deine IPv4, die du eventuell halt gar nicht hast, sondern die IP vom Unity-Gateway. Und da würde bei "am Gateway ungefragt eingehenden Daten die keine Antwort auf ein von dir raus gesendetes Datenpaket sind" dieses Gateway eben nicht wissen, was es mit diesen Daten die da einfach so auf Port 9000 ankommen, machen soll (könnt ja auch dein Nachbar das gleiche Spiel spielen). Ist also wie mit der Firewall in deinem Internetrouter, einziger, grosser Unterschied: auf dem Gatewayserver kann der Endkunde/du keine Freigabe einrichten, das Ding steht irgendwo bei Unitymedia und nicht in deiner Wohnung *g* Für einen Kunden mit reiner IPv4-Adresse würde es sich genauso verhalten, wenn der Spiele-Server nur über IPv6 erreichbar wäre. Dann könnte der Spiele-Server über das IPv6 Protokoll zwar problemlos einen reinen IPv6 Internetanschluss ansprechen = Daten schicken, aber nicht an eine IPv4. Denn hast du nur IPv4, brauchst du zum Aufrufen von IPv6-Servern ebenfalls so ein Gateway, welches deine IPv4-Daten übersetzt auf IPv6 und da wäre das "keine Freigabe einrichten können durch den Endkunden" das gleiche. Allerdings gibt es kaum Spiele-Server welche nur über IPv6 zu erreichen sind, heutzutage üblich ist eher, dass Spiele-Server sowohl IPv6 wie auch IPv4 haben (also Dual Stack) um alle Kunden bedienen zu können, egal ob diese Kunden IPv4, IPv6, oder beides haben.
 
  • Gefällt mir
Reaktionen: PhilG und Torsten1973
boba

boba

Beiträge
959
Reaktionen
151
Weder für tcp noch für udp Verbindungen muss man bei Spielen, deren Server im Internet platziert sind, Ports im Router freigeben. Der Spiele-Client auf dem eigenen PC initiiert bei solchen Spielen jegliche Verbindungen, also ausgehend, und ausgehende Verbindungen werden immer automatisch zum Datenaustausch in beide Richtungen auf dem Router freigegeben. Schickt der Server Antwortdaten über dieselbe Verbindung zurück, kommen die auch ohne explizite Portfreigabe durch.

Udp hat zwar keine Verbindungen, aber der Router behandelt eingehende Pakete auch hier wie ausgehende Pakete: der Router nimmt automatisch eine Verbindung an, sobald das erste udp Paket vom Spiele-Client nach draußen zum Server gesendet wird. Kommen Antwortpakete auf denselben udp Port vom Server zurück, nimmt der Router automatisch an, dass das ein bidirektionaler Datenaustausch ist, und gibt sowohl eingehenden als auch ausgehenden Datenverkehr auf diesem udp Port frei. Auch hier für udp Ports muss man also keine explizite Portfreigabe durchführen.

Die lokale Windows-Firewall im eigenen PC handhabt das fast auch so. Wenn eine Anwendung das erste Mal aufs Internet zugreift, dann will die Firewall wissen, ob man ihr den Zugriff auf das Internet erlauben will. Erlaubt man das einmal, dann verhält sich die Windows Firewall zukünftig so, wie oben mit dem Router beschrieben. Verweigert man der Anwendung den Zugriff, dann wird sie blockiert und keinerlei Zugriff aufs Internet ist möglich. Um das zu korrigieren, wenn man sich verklickt hat, kann man in den Windows Firewall-Einstellungen einfach alle Regeln löschen, die sich auf das jeweilige Spiel beziehen. Die Regeln kann man ggf. am *.exe Dateinamen erkennen. Sind meist 1-3 Regeln. Startet man danach das Spiel, fragt die Windows Firewall erneut und man kann jetzt den Zugriff erlauben.
 
  • Gefällt mir
Reaktionen: PhilG

Joerg123

Beiträge
1.218
Reaktionen
46
Wie ne Firewall funktioniert und welche Datenpakete diese automatisch durchlässt, ist mir schon bewusst, aber so muss das ja gar nicht sein.
Gerade für gute Performance ist es sogesehen wichtig, dass der Client nicht regelmässig nach Updates fragen muss beim Server. Das bedeutet wenigstens 30ms verschwendete Zeit, das sind beim Zocken quasi Jahre.
Und ebenfalls ein deutlicher Performance-Vorteil, wenn die Clients ihre Daten direkt austauschen, ohne das die Daten erst noch über den Server gehen (der Server ist nur wichtig für den Kontaktaufbau der Spieleteilnehmer).
Schlussendlich würde ich einer Hilfe-Seite, welche speziell für das Spiel angelegt ist, aber auch eine gewisse Kompetenz zugestehen. Letzten Endes gibt es eine ganze Reihe von Spielen und Spielkonsolen, welche Portfreigaben benötigen und das ist nicht nur nötig um selber einen Server zu betreiben.
 
  • Gefällt mir
Reaktionen: PhilG
boba

boba

Beiträge
959
Reaktionen
151
Was haben "regelmäßig nach Updates fragen" mit Firewallfreigaben und Portweiterleitungen zu tun? Sowas findet nicht statt, auch treten bei ausgehenden Verbindungen keine 30 ms Latenzen durch nicht eingetragene Portweiterleitungen auf.
Die Behandlung von ausgehenden Verbindungen findet instant statt, ohne jegliche Verzögerung.

Der Mechanismus ist wie folgt:
Das erste Paket einer ausgehenden Verbindung, das SYN Paket einer tcp Verbindung, erkennt die Firewall bzw. der Router. Es trägt in die state-Tabelle der bekannten Verbindungen ein: lokal-IP, lokal-Port, remote-IP:remote-Port, Status: "half-opened".
Kommt ein ACK Antwortpaket zurück, d.h. hat die Gegenstelle im Internet die Verbindungsanfrage akzeptiert, so findet der Router bzw. Firewall den eben erstellten Eintrag anhand der Quell-IP:Quell-Port, Ziel-IP:Ziel-Port. Er setzt den Status auf "open". Nun können Daten mit den Paaren (remote-ip:remote-Port, lokal-ip:lokal-port) in beide Richtungen ausgetauscht werden. Bei einem NAT-Router dient diese Verbindungsstatus-Tabelle auch als NAT-Tabelle, weil das genau die Informationen sind, die das NAT benötigt. Sobald ein Verbindungsabbau-Paket (FIN) übertragen wird, wird der Status-Eintrag wieder gelöscht. Das anlegen, aktualisieren und löschen dieser Einträge kostet keine Zeit.

Bei udp läuft das prinzipiell genau so, mit dem Unterschied dass der Eintrag nicht beim Erkennen eines SYN Paketes erstellt wird (das gibts bei udp ja nicht), sondern beim Erkennen eines jeglichen Paketes, für das bisher noch kein Verbindungsstatus-Tabelleneintrag existiert. Entfernt wird so ein Eintrag auch nicht mit dem Erkennen des FIN-Paketes, das gibts da auch nicht, sondern nach dem Ablauf eines Timeouts, wenn über längere Zeit kein Datenpaket mehr übertragen wurde. Dürfte so in dem Bereich von einigen Minuten liegen.

Portfreigaben, die man in der Annahme anlegt, man würde durch sie das automatische Anlegen der Status-Einträge beschleunigen, sind komplett sinnlos. Da wir hier über ausgehende Verbindungen sprechen, ist der Eintrag bereits beim ausgehenden SYN Paket erstellt worden. Auch das Antwortpaket geht auf den Port, den der Client bestimmt, und nicht auf den Port, den man in der Portfreigabe angegeben hat. Das müssen nämlich nicht dieselben Ports sein - häufig ist es so, dass der Quellport am Client völlig zufällig vergeben wird.

Eine manuell erstellte Portfreigabe ist nur dazu da, bei eingehenden Verbindungsanfragen einem NAT-Router zu ermöglichen, den initialen Eintrag in der Verbindungstabelle zu erstellen. Er weiß nämlich bei ipv4 mit NAT erstmal nicht, an welche Maschine im LAN dieser Verbindungsaufbau überhaupt gehen soll. Die Portfreigabe liefert lokale-IP:lokale-Port, und erst mit diesen Informationen kann der Router das Paket an den lokalen PC weiterleiten und den "half-opened" Status-Eintrag in seiner Verbindungstabelle erstellen. Kommt ein Antwortpaket vom lokalen PC zurück, wird der Status auf "open" gesetzt und der Eintrag jetzt ist nicht mehr von dem Eintrag einer Verbindung zu unterscheiden, die in die andere Richtung aufgemacht worden ist.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: PhilG

Joerg123

Beiträge
1.218
Reaktionen
46
die zusätzlichen 30ms entstehen halt, wenn dein Spieleclient bei den anderen Teilnehmern die Daten erst abholen muss = erst ein (sinnloses/unnötiges) Datenpaket von dir zum Gegenspieler geschickt werden muss ? (zumindest bei mir beträgt ein Ping schon 20-25ms).

Du kannst eine andere IP-Adresse auf einem Port ansprechen (so eine Freigabe bei der Gegenstelle dafür existiert), hast dabei aber keinerlei Einfluss darauf, auf welchem Port das Paket deinen Rouer verlässt = auf welchem Port - und das auch nur für diese eine Spiele-Sitzung - der/die Gegenspieler ihre Antworten schicken muss und wenn du nicht selber aktiv immer wieder mal ein Paket über diesen, dir nicht mal bekannten, Port raus schickst, dann ist nach 3 bis 10 Minuten wieder vorbei, dann wird der Port vom Router wieder geschlossen, das Paket nicht mehr an deinen Spiele-Client geschickt. Mit einer Portfreigabe hingegen wissen alle Gegenspieler-Clients blind, dass Sie Daten an z.B. den Port 9000 schicken können und diese bei der Client-Software ankommt, der da auf dem lokalen PC läuft und an den Ports 9000 bis 9010 "lauscht" bzw eingehende Daten verarbeitet.

Kannst aber auch einfach mal googeln nach "portfreigabe onlinespiele", dann siehst du, dass das nicht nur bei einem Spiel so ist. Z.B. https://support.ubisoft.com/de-de/faqs/000012671/Folgende-Ports-benötigen-Sie-um-im-Internet-spielen-zu-können-1364550346706/ - ach das ist Hersteller-Support, die wollen bestimmt nur, dass es nicht so einfach ist, für unbedarfte User eine unüberwindbare Hürde darstellt ihre Router zu konfigurieren. Solche Leute sollten auch keine Ubisoft-Spiele spielen und die Spiele besser wieder umtauschen, würde ich als Entwickler auch so sehen.
Dort steht es auch nochmal direkt für ausgehende Daten, was dann eine Software-Firewall betrifft, denn ein normaler Internet-Router/Router-Firewall schickt erstmal alles raus, er lässt nur nichts rein, was nicht als Antwort kommt, bzw. was nicht auf diesem ausgehenden Port ankommt, den der User aber nirgends sieht und sicherlich nicht 9000 lauten wird und bei dem neuen Spiele-Start unterschiedlich ist.
 
  • Gefällt mir
Reaktionen: PhilG

why_

Beiträge
615
Reaktionen
72
Mal ganz im Ernst. Für wen macht ihr hier den Affentanz? Ich will euch nicht aufhalten aber dem TE hilft es nicht da er einen HTTP Status code zurück bekommt, somit erreicht was er erreichen will. Warum da 403 Forbidden kommt lässt sich nicht sagen, aber es lässt sich sagen das hier keinerlei Firewall Probleme vorliegen.
Naja falls noch was interessantes kommt macht mal ein TL;DR unter euren Text und schreibt da mal die interessanten Infos in Stichworten 🤣
 
  • Haha
Reaktionen: PhilG

why_

Beiträge
615
Reaktionen
72
Nein. Dann bekommt man Connection Refused oder Timed Out aber keinen HTTP Status code...
 
  • Gefällt mir
Reaktionen: Dragon

Joerg123

Beiträge
1.218
Reaktionen
46
Einbildung ist auch ne Bildung :)
aber was könnten schon Leute wissen, die das nur beruflich machen ?
 
  • Haha
Reaktionen: PhilG

why_

Beiträge
615
Reaktionen
72
Du willst mir erzählen das du das beruflich machst obwohl du da ein layer 5 Problem versuchst auf layer 4 zu beheben? Ich glaube wir haben hier ein layer 8 Problem
 

lupus

Beiträge
441
Reaktionen
48
Wenn ich Lotro und 403 google finde ich Treffer wo Internet Security Software Schuld ist. Hast du F-Secure oder andere Software laufen? Der Fehler wird dort liegen.
 
PhilG

PhilG

Beiträge
10
Reaktionen
0
Habe mir die obigen, teils etwas langen, Antworten durchgelesen, vielen Dank, sehr interessant.

Der Mechanismus ist wie folgt:
Das erste Paket einer ausgehenden Verbindung, das SYN Paket einer tcp Verbindung, erkennt die Firewall bzw. der Router. Es trägt in die state-Tabelle der bekannten Verbindungen ein: lokal-IP, lokal-Port, remote-IP:remote-Port, Status: "half-opened".
Kommt ein ACK Antwortpaket zurück, d.h. hat die Gegenstelle im Internet die Verbindungsanfrage akzeptiert, so findet der Router bzw. Firewall den eben erstellten Eintrag anhand der Quell-IP:Quell-Port, Ziel-IP:Ziel-Port. Er setzt den Status auf "open". Nun können Daten mit den Paaren (remote-ip:remote-Port, lokal-ip:lokal-port) in beide Richtungen ausgetauscht werden. Bei einem NAT-Router dient diese Verbindungsstatus-Tabelle auch als NAT-Tabelle, weil das genau die Informationen sind, die das NAT benötigt. Sobald ein Verbindungsabbau-Paket (FIN) übertragen wird, wird der Status-Eintrag wieder gelöscht. Das anlegen, aktualisieren und löschen dieser Einträge kostet keine Zeit.

Portfreigaben, die man in der Annahme anlegt, man würde durch sie das automatische Anlegen der Status-Einträge beschleunigen, sind komplett sinnlos. Da wir hier über ausgehende Verbindungen sprechen, ist der Eintrag bereits beim ausgehenden SYN Paket erstellt worden. Auch das Antwortpaket geht auf den Port, den der Client bestimmt, und nicht auf den Port, den man in der Portfreigabe angegeben hat. Das müssen nämlich nicht dieselben Ports sein - häufig ist es so, dass der Quellport am Client völlig zufällig vergeben wird.

Eine manuell erstellte Portfreigabe ist nur dazu da, bei eingehenden Verbindungsanfragen einem NAT-Router zu ermöglichen, den initialen Eintrag in der Verbindungstabelle zu erstellen. Er weiß nämlich bei ipv4 mit NAT erstmal nicht, an welche Maschine im LAN dieser Verbindungsaufbau überhaupt gehen soll. Die Portfreigabe liefert lokale-IP:lokale-Port, und erst mit diesen Informationen kann der Router das Paket an den lokalen PC weiterleiten und den "half-opened" Status-Eintrag in seiner Verbindungstabelle erstellen. Kommt ein Antwortpaket vom lokalen PC zurück, wird der Status auf "open" gesetzt und der Eintrag jetzt ist nicht mehr von dem Eintrag einer Verbindung zu unterscheiden, die in die andere Richtung aufgemacht worden ist.
Da ich am Router manuell keine Ports freigegeben habe, scheint der Spiele-Client dafür zu sorgen, und zwar nicht nur für einen lokal-port, sondern gleich für mehrere (die genannten ports 9000-9010 und 2900-2910). Wie im Artikel vom SSG Support von weiter oben und auch in der oben zitierten Antwort erwähnt, benutzen die ausgehenden und eingehenden Pakete nicht nur einen Port, sondern u.U. verschiedene ("asymmetrical packet routing"). Ich verstehe das so, dass beispielsweise der lokale Spiele-Client von Port 9000 aus ein Paket (über den Router) an den remote Spiele-Server sendet, und dieser das Antwort Paket beispielsweise an den lokalen Port 9001 zurück sendet.

Also nur mal eine THEORETISCHE Frage aus Interesse:
Falls man das am ConnectBox Router einstellen müsste, wäre dann der lokale PC die Quelle (also Quell IPv6=alle, Quell-Port Range=9000-9010 und 2900-2910) und der remote Server das Ziel (Ziel-IPv6:alle, Ziel-Port:beliebig)?

Ich habe nochmal die Verbindung getestet, es funktioniert nun auch mit:
- UM AV / Firewall in "normalem" Modus (nicht im "Spiele-Modus", was auch immer der macht?)
- mit sämtlichen anderen laufenden Clients (z.B. Steam, EpicGames, etc)
also ist mir der Grund der bisherigen 403 Fehler immer noch etwas unklar.

Das einzige, was ich gestern noch geändert habe, ist die Einstellung der Region (BW, Deutschland) per Webbrowser in meinem Benutzerkontenportal von StandingStoneGames, evtl. passt meine IP jetzt zur Region, und deshalb funzt es jetzt.
 
Thema:

Fehler "HTTP 403 - Verboten", Portfreigabe an ConnectBox nötig für besondere, ältere Online-Spiele (LotRO)?

Fehler "HTTP 403 - Verboten", Portfreigabe an ConnectBox nötig für besondere, ältere Online-Spiele (LotRO)? - Ähnliche Themen

  • Problem mit TC4400

    Problem mit TC4400: Hallo Zusammen, nachdem nun ein Techniker da war und die Pegel wieder stimmen (siehe hier...
  • Packet Loss via IPv4 und unkorrigierbare Fehler

    Packet Loss via IPv4 und unkorrigierbare Fehler: Hallo zusammen, ich betreibe ein TC4400 mit einer Fritzbox 7590 dahinter an meinem Anschluss. Leider habe ich das Problem, dass ich scheinbar...
  • FritzBox 6591 - Modemwerte bzw. Fehler

    FritzBox 6591 - Modemwerte bzw. Fehler: Guten Tag, ich habe derzeit extrem hohe Schwankungen. Mal habe ich beim Speedtest fast 1gbit, wie es sein sollte, danach nur noch 50mbit. Die...
  • Nicht korregierbare Fehler alle paar Tage

    Nicht korregierbare Fehler alle paar Tage: Hallo Leute, ich hab seit 3 Wochen 1GB Buisiness (mit Fritzbox - vorher 400er Leitung mit "alter Fritzbox": keine Probleme) und habe in...
  • Eigene 6591 / Modemwerte bzw. Fehler

    Eigene 6591 / Modemwerte bzw. Fehler: Hallo, ich betreibe im Unitymedia NRW Netz eine eigene FritzBox Cable 6591, sind die Modemwerte in Ordnung? Denn schon nach einer Uptime von ca 2...
  • Ähnliche Themen
  • Problem mit TC4400

    Problem mit TC4400: Hallo Zusammen, nachdem nun ein Techniker da war und die Pegel wieder stimmen (siehe hier...
  • Packet Loss via IPv4 und unkorrigierbare Fehler

    Packet Loss via IPv4 und unkorrigierbare Fehler: Hallo zusammen, ich betreibe ein TC4400 mit einer Fritzbox 7590 dahinter an meinem Anschluss. Leider habe ich das Problem, dass ich scheinbar...
  • FritzBox 6591 - Modemwerte bzw. Fehler

    FritzBox 6591 - Modemwerte bzw. Fehler: Guten Tag, ich habe derzeit extrem hohe Schwankungen. Mal habe ich beim Speedtest fast 1gbit, wie es sein sollte, danach nur noch 50mbit. Die...
  • Nicht korregierbare Fehler alle paar Tage

    Nicht korregierbare Fehler alle paar Tage: Hallo Leute, ich hab seit 3 Wochen 1GB Buisiness (mit Fritzbox - vorher 400er Leitung mit "alter Fritzbox": keine Probleme) und habe in...
  • Eigene 6591 / Modemwerte bzw. Fehler

    Eigene 6591 / Modemwerte bzw. Fehler: Hallo, ich betreibe im Unitymedia NRW Netz eine eigene FritzBox Cable 6591, sind die Modemwerte in Ordnung? Denn schon nach einer Uptime von ca 2...