Wie konfiguriere ich meine Hardware-Firewall (z. B. einen Router)?

From Second Life Wiki
Revision as of 11:44, 21 July 2010 by Khepri Contractor (Talk | contribs)

(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to: navigation, search

Hardware-Firewalls müssen den Zugriff auf bestimmte Netzwerk-Ports zulassen. Second Life muss auf die Ports 443/TCP, 12035/UDP, 12036/UDP, 12043/TCP und 13000-13050/UDP zugreifen können. Konfigurieren Sie Ihre Firewall so, dass ausgehender Traffic zu diesen Ports sowie zugehöriger eingehender Traffic zugelassen wird. Weitere Informationen dazu, wie Sie diese Änderungen bei Ihrer Firewall vornehmen, finden Sie in der Bedienungsanleitung Ihrer Firewall bzw. auf der Website des Firewall-Herstellers. Ab Version 1.13.2 vom 10. Januar 2007 müssen Sie UDP/TCP aktivieren, um auf Second Life zugreifen zu können.

Cisco

Wenn es sich bei Ihrer Hardware-Firewall um einen Cisco Router/Switch handelt, der eine reflexive Zugriffsliste verwendet (ab IOS 11.0), müssen Sie die folgenden Zeilen zu Ihrer Outbound-Zugriffsliste hinzufügen:

permit tcp any any eq 443
permit udp any any eq 12035 reflect outbound-SL
permit udp any any eq 12036 reflect outbound-SL
permit udp any any range 13000 13050 reflect outbound-SL

Fügen Sie in der Inbound-Zugriffsliste folgende Zeilen ein:

permit tcp any any established
evaluate outbound-SL
Speichern Sie die geänderten Zugriffslisten. Die Kommunikation von Second Life sollte nun über diesen Router möglich sein.

Linux Killerwall

Handelt es sich bei Ihrer Hardware-Firewall um ein Linux-Gerät, das Killerwall nutzt, fügen Sie folgende Zeilen zu Ihrer /etc/killerwall.acl hinzu:

IN IFACE <Ihre LAN-Schnittstelle> FROM 0.0.0.0/0 TO 0.0.0.0/0 tcp TOPORT 443 ACCEPT
IN IFACE <Ihre LAN-Schnittstelle> FROM 0.0.0.0/0 TO 0.0.0.0/0 udp TOPORT 12035 ACCEPT
IN IFACE <Ihre LAN-Schnittstelle> FROM 0.0.0.0/0 TO 0.0.0.0/0 udp TOPORT 12036 ACCEPT
IN IFACE <Ihre LAN-Schnittstelle> FROM 0.0.0.0/0 TO 0.0.0.0/0 udp TOPORT 13000-13050 ACCEPT

Starten Sie Killerwall anschließend neu. Killerwall erfasst automatisch alle zugehörigen Antwortpakete, sodass die Kommunikation von Second Life nun fehlerfrei funktionieren sollte.

Linux Firewall

Wenn es sich bei Ihrer Hardware-Firewall um ein Linux-Gerät handelt, das IPF (Linux Firewall) nutzt:

pass out quick on rl0 proto tcp from any to any port = 443 flags S keep state
pass out quick on rl0 proto udp from any to any port = 12035
pass out quick on rl0 proto udp from any to any port = 12036
pass out quick on rl0 proto tcp from any to any port = 12043 flags S keep state
pass out quick on rl0 proto udp from any to any port 12999 <> 13051
pass in quick on rl0 proto tcp from any to any port = 443 flags S keep state
pass in quick on rl0 proto udp from any to any port = 12035
pass in quick on rl0 proto udp from any to any port = 12036
pass in quick on rl0 proto udp from any to any port 12999 <> 13051

Kann ich hinter einer Firewall die Voice-Funktion nutzen?

Die Voice-Funktion ist, wie auch Second Life, so entwickelt worden, dass bei den meisten Firewalls keine weitere Konfiguration erforderlich sein sollte, um sie zu benutzen. Ihre Firewall-Software fragt möglicherweise beim erstmaligen Ausführen von „SLVoice.exe” und „SLVoiceAgent.exe” nach, ob diesen Programmen Internetzugriff gewährt werden soll, was sie bestätigen sollten.

  • Die folgenden Ports müssen in jeder Firewall-Infrastruktur offen sein:
    • Port 21002 – TCP – für Voice-Steuersignale
    • Ports 12000-13000 – UDP – für Voice-Daten
    • Port 80/443 – TCP – für den Webserver
    • Ports 5060 oder 5062 – UDP – für Voice-Steuersignale
  • Second Life-Voiceserver gibt es auch an folgenden IPs (diese Liste wird laufend ergänzt):
    • 64.127.123.194 bis 64.127.123.254
    • 64.147.180.130 bis 64.147.180.142
    • 69.80.215.226
    • 64.127.112.106
    • 70.42.62.21-25

Wenn die SIP-Verbindung an Port 5060 fehlschlägt (was zum Beispiel passieren kann, wenn der Router selbst VoIP-Dienste bereitstellt), versucht es unsere Software automatisch erneut an Port 5062. In seltenen Fällen, bei sehr restriktiven Firewalls, muss also auch Port 5062 offen sein.

Auf dieser Website können Sie überprüfen, ob Ihre Firewall für Voice konfiguriert ist und häufige Probleme identifizieren.

Welche Subnetze hat Second Life?

Informationen über die Subnetze von Second Life finden Sie in diesem Artikel.