UTM 9 Firewall regeln erstellen, Dienste freigeben

Question

Hi, ich habe vor ein paar Tagen meine Sophos UTM 9 eingerichtet. Soweit funktioniert auch alles bis auf ein paar Dienste. Dienste wie z.b Steam oder Teamspeak, die eine Verbindung zum Internet aufbauen funktionieren irgendwie nicht. Da steht dann Verbindung zum Netzwerk nicht m&ouml;glich oder Verbindung fehlgeschlagen. Die InternetVerbindung f&uuml;r Skype z.b. ist aber da. Auch die Internetverbindung generell ist da. In den Firewall Logs sehe ich das das Paket mit dem Port 9987 (Teamspeak Port) z.b. gedroppt wird. Nun muss ich wahrscheinlich eine Firewall Regeln anlegen die sowas erlaubt. K&ouml;nntet ihr mir ein Beispiel geben? Hab es n&auml;mlich versucht mehrere Male aber es hat nicht geklappt. Oder habt ihr z.b. eine Anleitung mit der ich sie erstellen kann. Eigentlich ist es ja ganz logisch, ich trage den freizugebenden Port ein und Quell und Ziel... Klappt aber nicht. 
 
 Ich will keine Portweiterleitung machen sondern einfach nur die verschiedenen Dienste f&uuml;r das Internet nutzen

StefanLorenzen · Answer

Hallo, 
 
 bei STEAM findest Du die ben&ouml;tigten Ports in der Hilfe. [8-|] 
 Gebe einfach diese Ports in der Firewall f&uuml;r Deine Gamer frei:

StefanLorenzen · Answer

jetzt auch mit den Ports / Port-Range: 
 TCP/UDP 27000:27000 
 MfG Stefan

StefanLorenzen · Answer

Hallo, 
 hast Du die die "Goldenen Regeln" von Bob beachtet? 
 --> ausgehenden Traffic hinter der "externen" IP-Adresse verstecken 
 
 Es gibt sonst Probleme mit den Anfrage/Antworten. Der (DSL-)Router oder auch Provider verwirft ggf. die Pakete, bzw der R&uuml;ckweg ist nicht m&ouml;glich. 
 WIe sieht denn Dein Firewall-Log aus? Ohne die Freigabe der STEAM-Ports sollten die Verbindungsversuche vom Client auf den unterschiedlichen Ports zusehen sein. 
 Hier ist ein Beispiel f&uuml;r eine Firewall-Regel: 
 
 Ist der Service richtig definiert? 
 
 MfG Stefan

StefanLorenzen · Answer

Hallo, 
 meine Portliste war nicht ganz vollst&auml;ndig. 
 Hier ist die Liste aufgef&uuml;hrt: 
 https://support.steampowered.com/kb_article.php?ref=8571-GLVN-8711&l=german 
 
 UDP 27000 bis & inklusive 27015 (Spiele-Client-Traffic) 
 UDP 27015 bis & inklusive 27030 (Normalerweise f&uuml;r Matchmaking und HLTV) 
 TCP 27014 bis & inklusive 27050 (Steam-Downloads) 
 UDP 27031 und 27036 (eingehend, f&uuml;r In-Home Streaming) 
 TCP 27036 und 27037 (eingehend, f&uuml;r In-Home Streaming) 
 UDP 4380 
 
 Steht Deine UTM direkt im Internet? Hinter einem (DSL-)Router? Eingehend werden einige auch einige Ports ben&ouml;tigt... 
 Du hast sicher auch Webprotection aktiviert? Wird dort etwas geblockt? 
 Zum Test kannst Du auch mal Webprotection abschalten. Dann siehst Du den ganzen Traffic im Firewall-Log und kannst dort erstmal analysieren/reagieren. 
 MfG Stefan

StefanLorenzen · Answer

Hallo, 
 Deine Informationen sind sehr d&uuml;rftig. Meine Fragen hast Du leider nicht beantwortet. 
 Die Hardware ist meist nicht das Problem. Der Fehler steckt meist zwischen den Kopfh&ouml;rern. [;)] 
 Was ist mit dem NAT? (der erste Tip von Bob) Hast Du die Grundregeln aus den RULZ beachtet?! 
 Was ist mit einem eventuell vorgeschalteten Router? Wie sieht die Anbindung aus? Kannst Du &uuml;berhaupt von dem Client &uuml;ber die UTM surfen? 
 MfG Stefan

StefanLorenzen · Answer

Hallo, 
 nutzen Deine internen Clients die UTM als Gateway? Dann m&uuml;sstest Du alle Anfragen ins Internet im Firewall Log sehen. Gew&uuml;nschter Traffic kann dann erlaubt werden. 
 Erlaubst Du denn Deinem Client ICPM (PING)? Im Log wird nur protokolliert, wenn es f&uuml;r eine Regel oder grunds&auml;tzlich aktiviert wurde. 
 Wenn der Proxy aktiviert ist, wird unter WEB Protection --> Filtering Options --> Misc eingstellt, welche DIenste &uuml;ber den Proxy gehen. 
 Alle anderen Dienste sollten im Firewall-Log erscheinen. 
 MfG Stefan

StefanLorenzen · Answer

Hallo, 
 
 In Deinem Firewall-Log sind IP, und MAC-Adressen unkenntlich. 
 srcmac="x" dstmac="x" srcip="192.168.x.x" 
 Hast Du diese Informationen ausgeblendet? 
 Beim Firewall Regelwerk ist zu beachten: "first match wins". 
 Erstelle doch mal eine neue Firewall-Regel ganz am Anfang mit den allen STEAM Ports f&uuml;r diesen Client. 
 
 MfG Stefan

StefanLorenzen · Answer

Hallo, 
 Hast Du es mal zum Test mit ANY bei den Diensten probiert? 
 Einfach um einen Tippfehler bei den Diensten oder Ports (TCP, UDP, TCP/UDP) auszuschlie&szlig;en... 
 
 MfG Stefan

StefanLorenzen · Answer

Hallo, 
 Hast Du bei dem Test den Proxy deaktiviert? 
 Bei eingeschalteten Proxy wird der Datenstrom bearbeitet! Die Firewall sieht dann nur noch einen Auszug des Traffics. 
 
 MfG Stefan

StefanLorenzen · Answer

Hallo, 
 jetzt kommst Du schon ein Paar Schritte weitern ;-) 
 Wenn Du mit ausgeschalteten Proxy arbeitest, die Firewall &ouml;ffnest, ist es nur noch ein bisschen Routing.... ;-) Masquerading nicht zu vergessen! 
 Erreicht Dein PC das Modem? Dein Modem wird das Client-Netzwerk nicht kennen. Daher d&uuml;rften nur Antworten kommen, wenn das Masquerading stimmt. 
 
 MfG Stefan

StefanLorenzen · Answer

Hallo, 
 Der Ping von der UTM funktioniert? 
 Support --> Tools --> Ping Check 
 Wenn die UTM eine Antwort erh&auml;lt, scheint dort etwas im Argen zu sein. 
 Kontrolliere mal die Objekte. Das Interface hat nur eine IP-Adresse? 
 
 MfG Stefan

StefanLorenzen · Answer

Hallo, 
 diese Information (IP-Adresse statt Netz) war aus dem Screenshot nicht zu erkennen. 
 Sch&ouml;n, dass Du erfolgreich warst. 
 Jetzt gilt es f&uuml;r Dich Dein Heim-Netz wieder abzusichern ;-) 
 Konfiguration Proxy, Firewall-Regelwerk, ... 
 MfG Stefan

StefanLorenzen · Answer

Bitte ;-)