Cloudflare für FiveM einrichten: DDoS-Schutz und Performance
Cloudflare für FiveM: DNS-Konfiguration, DDoS-Schutz, Proxy-Einstellungen und was du beachten musst, damit FiveM korrekt funktioniert.
FiveM-Server sind ein beliebtes Ziel für DDoS-Angriffe. Besonders wachsende Server mit aktiver Community erleben früher oder später Versuche, sie durch Traffic-Floods vom Netz zu nehmen. Cloudflare ist eine der effektivsten und kostengünstigsten Möglichkeiten, deinen Server zu schützen — aber die Konfiguration für FiveM hat spezifische Eigenheiten.
Dieser Guide ist Teil unseres umfassenden FiveM-Server-Setup-Guides.
Was kann Cloudflare für FiveM leisten?
Cloudflare kann:
- Deine echte Server-IP verstecken (wenn richtig konfiguriert)
- DDoS-Angriffe abwehren (Layer 3/4 und Layer 7)
- DNS-Management vereinfachen
- Webseiten und APIs deines Servers schützen (z.B. Admin-Panel, Website)
Cloudflare kann NICHT (standardmäßig):
- Game-Traffic direkt proxyen — FiveM verwendet UDP-Port 30120, den Cloudflare's Standard-Proxy nicht unterstützt
- In-Game-Verbindungen transparent routen wie bei HTTP/HTTPS
Das bedeutet: Für den direkten Spielverbindungs-Schutz brauchst du eine andere Lösung (z.B. Cloudflare Spectrum oder dedizierte DDoS-Mitigation beim Hoster).
Setup: DNS mit Cloudflare für FiveM
Schritt 1: Domain zu Cloudflare hinzufügen
- Auf cloudflare.com einloggen → "Add a Site"
- Deine Domain eingeben (z.B.
mein-server.de) - Free-Plan oder Pro-Plan auswählen
- Nameserver deines Domain-Registrars auf die von Cloudflare angezeigten ändern
Schritt 2: DNS-Records einrichten
Im Cloudflare-Dashboard → DNS → folgende Records anlegen:
Für die Haupt-Domain:
| Typ | Name | Wert | Proxy |
|---|---|---|---|
| A | @ | Deine Server-IP | DNS only (grau) |
| A | play | Deine Server-IP | DNS only (grau) |
Wichtig: Den Record NICHT proxyen (orange Wolke deaktivieren → grau = DNS only). Cloudflare's Proxy funktioniert nur für HTTP/HTTPS. FiveM-UDP-Traffic muss direkt zur Server-IP.
Für die Webseite (wenn vorhanden):
| Typ | Name | Wert | Proxy |
|---|---|---|---|
| A | www | Webserver-IP | Proxied (orange) |
| CNAME | panel | txAdmin-Domain | DNS only (grau) |
Schritt 3: server.cfg anpassen
Stelle sicher, dass dein FiveM-Server auf die korrekte IP und den richtigen Port hört:
endpoint_add_tcp "0.0.0.0:30120"
endpoint_add_udp "0.0.0.0:30120"
Spieler verbinden sich dann über play.mein-server.de:30120 oder mein-server.de:30120.
Cloudflare Spectrum: Echter DDoS-Schutz für FiveM-Traffic
Cloudflare Spectrum ist ein kostenpflichtiger Add-on, der TCP/UDP-Traffic proxyen und schützen kann — also auch FiveM-Spielverbindungen.
Voraussetzungen:
- Cloudflare Pro-Plan oder höher (Spectrum ist ein kostenpflichtiges Add-on)
- Zugriff auf Cloudflare Spectrum im Dashboard
Konfiguration:
- Dashboard → Spectrum → "Add an Application"
- Protocol: UDP
- Port: 30120
- Origin: Deine Server-IP + Port 30120
- Edge IP Connectivity: Automatic
Nach der Konfiguration wird der FiveM-Traffic über Cloudflare geroutet, bevor er deinen Server erreicht. Deine echte IP bleibt verborgen.
Kosten: Spectrum wird nach Datendurchsatz abgerechnet. Bei hochfrequentierten Servern kann dies signifikant sein — prüfe die Cloudflare-Preisliste.
Website und Web-APIs schützen
Wenn du eine Webseite oder eine API (z.B. für Bewerbungen, Whitelist, Shop) betreibst, kann Cloudflare diese vollständig schützen:
Web Application Firewall (WAF)
Im Dashboard → Security → WAF:
- OWASP-Regeln aktivieren
- Rate Limiting für API-Endpoints einrichten
- Bot-Protection aktivieren (verhindert automatisierte Angriffe auf dein Panel)
DDoS-Schutz für HTTP
Cloudflare schützt HTTP/HTTPS-Traffic automatisch auf allen Plänen. Für erhöhten Schutz:
- Under Attack Mode aktivieren (Dashboard → Security → Settings)
- Länder-Blocking für bekannte Angriffs-Regionen
- IP-Reputation-Blocking
Häufige Probleme und Lösungen
Problem: Spieler können sich nicht verbinden nach Cloudflare-Setup
Ursache: Der DNS-Record ist proxied (orange Wolke).
Lösung: Den A-Record auf DNS only (graue Wolke) setzen. FiveM-UDP-Traffic kann nicht über Cloudflare's Standard-Proxy geroutet werden.
Problem: txAdmin ist nach Cloudflare nicht erreichbar
Ursache: txAdmin läuft auf einem nicht-standard-Port (oft 40120), der nicht direkt über Cloudflare-Proxy funktioniert.
Lösung:
- Den txAdmin-Record ebenfalls auf DNS only setzen, oder
- Nginx als Reverse Proxy einrichten und txAdmin hinter HTTPS auf Port 443 erreichbar machen
Problem: DDoS-Angriff trifft trotz Cloudflare
Ursache: Die echte Server-IP wurde geleakt (z.B. durch frühere DNS-Records, alte Server-Announces oder Spieler, die die IP-Adresse kennen).
Lösung:
- Server auf eine neue IP migrieren
- Cloudflare Spectrum für UDP-Traffic aktivieren
- IP nie direkt in Community-Kanälen teilen
Empfohlene Cloudflare-Einstellungen für FiveM-Server
| Einstellung | Empfehlung | Begründung | |---|---|---| | SSL/TLS Mode | Full (Strict) | Für Webseiten; verhindert MITM-Angriffe | | DDoS Protection | High | Aktiviere erhöhte Schwellenwerte | | Bot Fight Mode | An | Blockiert bekannte Bots | | Browser Integrity Check | An | Für Webseiten | | Challenge Passage | 30 Minuten | Balance zwischen Sicherheit und UX |
Fazit
Cloudflare ist ein wertvolles Werkzeug für FiveM-Server, aber mit klaren Grenzen: Standard-DNS-Schutz versteckt deine IP (sofern korrekt konfiguriert) und schützt deine Webseite — jedoch nicht den direkten Game-Traffic. Für vollständigen UDP-Schutz ist Cloudflare Spectrum oder DDoS-Mitigation beim Hoster notwendig.
Das Wichtigste: DNS-Records für FiveM niemals proxyen — das unterbricht Spielverbindungen.
Für weitere Infos zur Server-Sicherheit lies unseren FiveM-Server-Security-Guide.
