GameServer hinter einer Firewall

Aktuell führen wir noch einige Anpassungen durch, das Forum wurde jedoch bereits live geschaltet.

    Hallo zusammen,


    ich habe meine GameServer hinter einer Hardware Firewall.

    Dadurch haben diese eine Private IP aus dem 10er Netzwerk.

    Nach außen sind diese aber via Öffentlicher IP sichtbar und erreichbar(S und DNAT)

    Wie macht ihr das?

    ich kann zwar in den meisten Configs eine 10er IP angeben die aber dann überschrieben wird mit der öffentlichen und diese kann dann nicht gebunden werden

    und das game bzw. der Dedi-GS geht offline/startet nicht.


    Vg

    DasBiberlein

    Warum sollte man eine Hardware Firewall verwenden? finde ich Persönlich unnütz, außer man hat ein "größeres" Unternehmen mit eigenen Servern.

    Ich hoste bisher komplett alles bei Hetzner, deren Firewall reicht vollkommen zu. zudem bleiben ja sowieso keine Ports offen wenn die Gameserver aus sind und für alles andere sollte man schon ahnung haben wie man die Systemeigene Firewall richtig konfiguriert.

    Hallo Ricardo,


    Zitat von ricardo

    Warum sollte man eine Hardware Firewall verwenden? finde ich Persönlich unnütz, außer man hat ein "größeres" Unternehmen mit eigenen Servern.

    Ich hoste bisher komplett alles bei Hetzner, deren Firewall reicht vollkommen zu. zudem bleiben ja sowieso keine Ports offen wenn die Gameserver aus sind und für alles andere sollte man schon ahnung haben wie man die Systemeigene Firewall richtig konfiguriert.


    ich denke mal das steht hier nicht zur Diskussion.


    Hallo Biberlein,


    Für mich stellt sich die Frage welches Game und andere Grundsatzfragen. Irgendwoher muss die Gameserversoftware ja die IP erhalten und verarbeiten wenn diese die Config jedesmal anpasst. Über welche IP startet Tekbase das Serversystem an ?

    Hallo Ricardo,


    ich denke ich weiß wie man Firewalls einstellt ;) hab da so bisschen Erfahrung ;) aber egal


    Hallo Gamerzhost,


    z.B. Counter Strike Go ist eins dieser Game neben Barotrauma und das dritte das mir nun spontan entfallen (weitere Tests habe ich bisher nicht geschafft)

    Server fährt schön hoch bis er versucht die öffentliche IP zu greifen. Dann ist natürlich Schluss, da diese nicht auf dem Interface anliegt.

    Das AdminInterface liegt auf einem kleinem CloudServer bei Hetzner.

    Die GameServer sind bei mir in der Colocation.

    Tekbase greift über die Public IP(D-NAT) auf dem GameServer zu.

    Der GameServer sendet nach aussen ab der Firewall(S-NAT) die Public IP aber halt erst ab der Firewall.

    Würde ungern die Server direkt mit Public IP´s versorgen.


    Ich Installiere mal den CS:GO erneut und poste dann mal die letzte Zeile ich denke dann wird es klarer.



    Vg

    Biberlein

    in Tekbase hast Du die öffentliche IP eingetragen, was für micht heißt der Gameserver bekommt über Tekbase mit den Startparametern die öffentliche IP zugeteilt, was auch dann zu dem Fehler führt. Das ist schwierig und lässt sich so mit Tekbase glaube ich nicht so verwirklichen.


    Wenn ich das richtig sehe kannst Du die Internen IP`s im Tekbase eintragen und über IPtables ein Prerouting machen


    sprich


    Tekbase 192.168.1.10

    IPtables 192.168.1.10 --> öffentlicher IP


    somit gibt Tekbase die richtigen Parameter mit und steuert den Server über die öffentliche IP an.


    So ähnlich haben wir es, nur das wir bei uns eine Unterstützung für interne Netze direkt ins Tekbase eingebaut haben, damit entfällt das Prerouting.

    Ganz genau .. Tekbase vergibt im StartScript die öffentliche IP die es auf dem Interface nicht gibt.


    Das mit den IPTables schaue ich mir an, mal sehen was dann an der Firewall bei mir ankommt und wie ich das dann verarbeiten muss.

    das wäre mal ein Feature Vorschlag für Tekbase 9 ^^


    Oder ich packe das Teklab auch Intern, dann würden GS und Teklab auf den Internen IP´s Kommunizieren.

    Weiss jemand ob das mit dem DB Backup und wieder einspielen sauber klappt? ^^

    Mal Dr. Frankenstein ansprechen ob ich mal ne 10 tage Testlizenz bekomme zum Spielen.


    Weil so ist das aktuell doof.

    ich mache das auch nur alles, das Freunde mal sich ein zwei GameServer '"selber" starten und stoppen können. ^^


    Danke für den Tipp gamerzhost.de


    EDIT: erst jetzt Realisiert, wo kannst du die Internen IP´s der GameServer eintragen?

    die internen IP`s ganz normal bei dem Rootserver eintragen. dann passiert folgendes


    der Gameserver wird mit der richtigen IP gestartet nämlich der internen.


    dann besteht aber das Problem, das Tekbase das signal an die interne schickt, was nicht funktionieren würde, dazu brauchst dann das Prerouting von der internen auf die öffentliche IP.


    für CF:

    die einfachste Lösung für Tekbase wäre, das nicht über die GameserverIP der Gameroot angesteuert wird, sondern immer über die erste IP, so könnte der User, wenn über ein Nat gearbeitet wird, die erste IP zur ansteuerung benutzen und die anderen für die Gameserverinstall bzw. deren Startparameter.

    ahh jetzt verstehe ich denke ich ... du willst das auf dem TekLab über Prerouting raus schicken.

    das macht nun auch sinn für mich. ^^

    werde ich mal versuchen aber ich denke dann macht es mehr sinn das ich das Teklab nach intern hole.

    Hatte das damals nach "aussen" gepackt weil ich noch nicht genug IPv4 Adressen hatte was sich nun geändert hat.


    Danke für die Idee gamerzhost.de

    Zitat von gamerzhost.de

    für CF:

    die einfachste Lösung für Tekbase wäre, das nicht über die GameserverIP der Gameroot angesteuert wird, sondern immer über die erste IP, so könnte der User, wenn über ein Nat gearbeitet wird, die erste IP zur ansteuerung benutzen und die anderen für die Gameserverinstall bzw. deren Startparameter.

    das würde ich so direkt mit Unterschreiben.

    Aufteilen .... Verwaltungs-IP und GameServer IP für die StartSkripte

    Wäre super schick ^^

    wann fertig? CFrankenstein ^^

    Steht schon auf der todo ;)

    Bitte die Forumsuche und das Handbuch verwenden. Wenn die Suche erfolglos war, bitte ein Thema erstellen und das Problem ausführlich beschreiben. Dieser Ablauf spart Zeit und unnötige Fragen zu immer gleichen Problemen. Sie können aber auch im Kundenbereich ein Support-Ticket erstellen.


    Gefällt Ihnen TekLab? facebook-1.pngtwitter-1.pnglinkedin-1.png

    Hallo DasBiberlein , Ich habe ebenfalls eine HW Firewall davor. Hatte sich deine Problematik erledigt?

    Du hast geschrieben das du nicht genügend IP Adressen hast um tekbase nach intern zu holen, brauchst du ja auch theoretisch Garnicht.

    für deine zwecke kannst du ssl Zertifikate und Sub Domains nutzen, so landet autodiscover. oder Mail. bsp. bei deinem Mailserver. während game. bei deinem tekbase webserver landet.

    und deine Gameserver kannst du via SNAT Regel an die richtigen Clients im Internen netz Routen.



    Solltest du nun mehr als einen root server haben kannst du auf dem Webserver einfach deine Host´s datei editieren. Domäne -> Interne IP

    Beispiel:


    Game.deinedomain.de xxx.xxx.xxx.xxx (Deine Interne-IP rootserver1)

    Game2.deinedomain.de xxx.xxx.xxx.xxx (Deine Interne-IP rootserver2)


    Hier müsste natürlich auch noch ein SNAT für die jeweiligen games erstellt werden da Teklab leider immer nur dne Port vom angegeben Range-Port-Pool des Games ausgeht


    CFrankenstein Es wäre super wenn die Ports Serverseitig angegeben werden könnten.
    So kann ich in der Firewall die Bereiche angeben und muss nicht manuell den Port oder das SNAT erstellen.

    Sprich:

    (Port Bereich müsste man halt irgendwo eintragen können eventuell bei dem Jeweiligen Root Server)

    Port 25000-30000 auf rootserver 1

    Port 30001-35000 auf rootserver 2


    So würde ich dann die Bereiche auch auf der Firewall Natten


    So würde eine Game Installation auf root 1 vom Portbereich 25000 starten

    Eine Installation auf Root2 würde dann mit 30001 beginnen


    Das würde einiges an Arbeit automatisieren(Sofern man mehr als einen Rootserver nutzt)


    ricardo weder bei der systemeigenen noch von der Hetznereigenen FW kann man wirklich von einer Hardware-Firewall sprechen. dies sehe ich mehr als Portforwarding an.
    Eine vernünftige Firewall bietet da dann doch noch etwas mehr... Network, Web, E-mail, Webserver Protection, DoS/Floo-Schutz - Angriffsschutz, Intrusion Prevention, Lastenverteilung deiner WANS, Gesichter VPN, Protokollierung, sehen welche einzelnen Pakete rein sowie raus kommen, Contry-Blocking....... und noch vieles vieles mehr was hier aber zu lange dauern würde ;)

    Ich gebe dir aber auch recht, Jeder der für sich selber Hostet oder im Privatbereich ist muss dies nicht unbedingt... aber jeder, der mit anderen/Fremden Daten arbeitet (Kunden sowie Rechnungsdaten) sollte dies als ein Minimum ansehen. Und hat derjenige keine Ahnung sollte er sich einen IT-ler anstellen und ihm diese Aufgabe anvertrauen ;)

    Hop Simmens,


    im Grunde hat es sich erledigt nur um gesetzt habe ich es noch nicht.

    Pup IP´s habe ich genug zwei /28 reichen mir völlig aus.

    Ich werde die Verwaltung wohl nach Intern holen.

    Aber ich teste das PreRouting noch ^^ alleine schon aus Neugier ob´s klappt. :)

    Ach ja hier wollte ich vor langer Zeit schreiben das es mit dem Maskieren der IP tatsächlich funktioniert.

    Allerdings bekommt man, verständlicherweise, kein GameServer-Status zurück.

    Habe das GSV hinter die Feuerwand gezogen und es läuft wie es soll.


    Nur ein Wort warum ich eine Hardware Feuerwand nutze, liegt einfach darin das ich seit 23 Jahren in der IT tätig bin und davon jetzt rund 11 Jahre in der IT-Security.

    FortiGate, Plao Alto, CheckPoint sind wirklich keine unbekannten für mich und mir macht es eben Spaß das so zu tun :)