Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 3 subscribers
  • Views 3863 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Noob - User with TMobile (UMA) WiFi Issue

CaptnTony
I'm brand new to this organization and Astaro.  So, that being said, I'm sorry if this is a not the appropriate place to post this question.

What's happened is that I was hired as the IT guy at a small manufacturer - all IT services were previously outsourced for the previous 6 years.  The equipment looks to have all been very good choices (yes, even including Astaro [:)] ).  But, because I've got no working knowledge (yet) of the unit I can only ask for help on this one for now.  

One of the employees, previous to the installation of the Astaro firewall two days before I started, use to be able to you his T-Mobile phone's WiFi capabilities to make/receive calls over the corporate network.  Since the firewall was turned on, he can attach to and use the corporate WiFi (turn off T-Mobile antenna and browse internet just fine over the WiFi connection).  But he isn't getting an indicator that he gets when WiFi calling is working properly. It's a UMA (Unlicensed Mobile Access) indicator on his screen.

Is there something that I should be looking at inside of Astaro to allow his phone to connect to our WiFi and make/receive calls? 

Model: ASG220
Firmware version: 8.300
Pattern version: 24532

There is one update awaiting download - but I'm hesitant to do so until I understand what's going on so I can fix anything that might get messed up.  Just me being paranoid, er me.

Thanks in advance, your help is appreciated!

Todd


This thread was automatically locked due to age.
  • 0
    There isn't enough information in your post to give you an immediate answer.

    What WiFi equipment is being used? Is it an Astaro AP device or another WiFi router attached to the company network? If it is another WiFi device, is the Wifi traffic being routed or bridged to the network? If is is an Astaro AP device, was this also configured two days befor you started?

    What application was used to make the calls? Did it connect to the same network or another network, now separated by the Astaro?

    Just a few things I would like to know before even trying to give you an answer [:)]  

    And, of course, do you have administrative access to the Astaro? Otherwise your options will be very limited I'm afraid..
  • 0
    Thank you for the quick reply.

    Let's see if I can answer some right away (I'll research the others).

    We're using Cisco APs  (not sure as to the exact model at this time) on their own VLAN with routing being used to the various other VLANs in the org.

    As far as the application that is used, it's on his T-Mobile phone.  He enables WiFi calling (UMA) and 'is just able to make and receive calls' like normal.  Except that it's based on WiFi coverage rather than cell coverage and lucky him, his desk is only about 20' from the nearest AP so typically a very strong signal.  Before the Astaro was put in place (when he claims the UMA calling worked), he was using the same AP and network configuration, yes.  The Astaro hardware was a planned 'ad on' to the network that was in place and functioning for about a year.

    Yes, I have administrative access to the Astaro, just haven't had the time to invest in learning a whole bunch about it yet (just the basic nomenclature and barely enough of that at times it seems [:)] ).


    Anything else I can supply to help?  I was told by those on T-Mobile support site last night (just in case it may help):

    "Make sure to "enable ipsec passthrough" and possibly "allow fragmented packets" in your router settings."

    and

    "Here is a link that describes the ports for UMA:

     T-Mobile Blackberry Curve 8320 on Wi-Fi UMA and Edge at Monkeys Typing Shakespeare

    The UDP ports appear to be 500 and 4500. What celtic says is correct for most routers like mine with simple settings. The article describes rules for more advanced firewalls."
  • 0 in reply to CaptnTony
    What firewall rules do you have in place?
    Are you using proxies/Intrustion Prevention?
  • 0
    Also, is the device a Blackberry? I know on those you can go into Wi-Fi Diagnostics, and view the UMA status, such as UMA Wi-Fi available, Connection, error codes, etc.

    Look for something like that. I have used UMA on my Blackberry through my ASG without issue several times.
  • 0
    Yes, it is a BlackBerry.  It's not mine, so I'll see if I can have him look for UMA WiFi available and any error codes.

    As far as rules that we have in place, it was told to me that we are not 'locked' down and only have the very basic rules in place as far as monitoring traffic out.  In traffic, I believe is guarded by Intrusion Prevention (that I'll have to verify to be certain of though - I'll look and post what I can decipher about 2:00 CST -- the next chance I get at my desk today).  Thanks for the help, I appreciate it.

    Todd
  • 0
    NTP
    Terminal Applications
    Instant Messaging
    Email
    DNS
    Media Sharing
    FTP
    Web Surfing

    VLANs--->All on the above for Firewall Rules (I believe)

    As far as Intrusion Prevention, yes it is enabled and our VLANs group is assigned to local Networks list box.  Everything is denied with a Drop Silently policy.
  • 0 in reply to CaptnTony
    So if I understand correctly, the following firewall rules are enabled on the astaro:

    NTP
    Terminal Applications
    Instant Messaging
    Email
    DNS
    Media Sharing
    FTP
    Web Surfing

    Therefore all other traffic is blocked, and as your link for UMA ports describes, there are some specific ports needed for UMA to work. Those ports are not part of your firewall rules, and therefore will be blocked.

    Fortunately, Astaro comes with predefined definitions for the IPSec group. Therefore if this is the only thing preventing access, you should be able to make your user happy by adding, and then enabling, the following rule:

    Source: 
    Service: IPSec service group (this contains all necessary ports)
    Destination: Any

    You could check if your rule is applied by enabling the 'log traffic' checkbox, then open life log, filter on the IP address of the blackberry and have the user trying to make a call. It will also show you if anything else is blocked..
  • 0
    That did it!  Thank you so much, I appreciate it.

    Now, if there isn't a predefined service group, I can create those?  For instance, for IRC let's say (I'm guessing there's one already defined, but hypothetically).  I could define a service (service group) and then grant access to one of our network groups?

    He's very happy, btw.  Thanks for making me look good while learning it all.

    Anyone know of any video / educational guides for the system to help me learn what's all back there that I wouldn't find on my own? (like predefined service groups)


    Thanks again, appreciate the rapid response and detailed help.

    Have a good weekend.


    Todd
  • 0 in reply to CaptnTony
    That did it! Thank you so much, I appreciate it.

    You're welcome. I would suggest narrowing the rule down a bit, because now every device on the subnet can open ipsec to any device. Then again, if that is not a problem, leave it the way it is...

    Now, if there isn't a predefined service group, I can create those?  For instance, for IRC let's say (I'm guessing there's one already defined, but hypothetically).  I could define a service (service group) and then grant access to one of our network groups?


    O, yes and it's very easy indeed [:)]

    One of the very strong features of Astaro is it's flexibility to add things at any given point.

    For instance, you could go to Definitions & Users, Service Definitions, and then add all the ports (UDP/TCP) needed for your group. Then you could create the group and drag your defintions there. But you could also first create the group, then drag known service definitions to the group, and create new ones on the fly. Same for Network Definitions. 

    And then again, you could start creating a firewall rule, and then create network (group) definitions and service (group) definitions on the fly as well. 

    And if you're not happy with the names you've chosen, just change them and everything else will be adjusted accordingly.

    Just go to Definitions & Users, Service Definitions and see what's already there. If you're not sure whether or not a particular port is already defined, just search and it will reveal itself.

    Anyone know of any video / educational guides for the system to help me learn what's all back there that I wouldn't find on my own? (like predefined service groups)


    I would start with the manual, which is included in webadmin. Just go to Support->Manual, choose your preferred language, download and see if this gives you enough information to start with. Also, to understand the current configuration of your Astaro, the Support->Printable Configuration is a great help.
  • 0
    That did it! Thank you so much, I appreciate it.

    You're Welcome. I would suggest trying to narrow things down a bit further in this rule, since not only his blackberry but every device on the subnet can now open ipsec to any device everywhere. Then again, if that's not a problem, leave it the way it is...


    Now, if there isn't a predefined service group, I can create those?  For instance, for IRC let's say (I'm guessing there's one already defined, but hypothetically).  I could define a service (service group) and then grant access to one of our network groups?


    O, yes and it's very easy indeed [:)]

    One of the very strong features of Astaro is it's flexibility to add things at any given point.

    For instance, you could go to Definitions & Users, Service Definitions, and then add all the ports (UDP/TCP) needed for your group. Then you could create the group and drag your defintions there. But you could also first create the group, then drag known service defintions to the group, and create new ones on the fly. Same for Network Definitions. 

    And then again, you could start creating a firewall rule, and then create network (group) definitions and service (group) definitions on the fly as well. 

    And if you're not happy with the names you've chosen, just change them and everything else will be adjusted accordingly.

    Just go to Definitions & Users, Service Definitions and see what's already there. If you're not sure whether or not a particular port is already defined, just search and it will reveal itself.

    Anyone know of any video / educational guides for the system to help me learn what's all back there that I wouldn't find on my own? (like predefined service groups)


    I would start with the manual, which is included in webadmin. Just go to Support->Manual, choose your preferred language, download and see if this give you enough information to start with. Also, to understand the current configuration of your Astaro, the Support->Printable Configuration is a great help.