Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2764 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Port Forwarding Issues

garpace
Thanks all for the help -  have my UTM almost fully integrated into my network, and really excited about its capabilities even thus far.

I am having a few issues with port forwarding however.  I'm obligated for various reasons to have an Actiontec router between my UTM and the internet  - FIOS customer.  I'm double NATted - I can deal with that.

So I have internet -> Actiontec -> UTM -> rest of my network.  Previously, I had a netgear router instead of the UTM (my personal router - I have no faith in the Actiontec).

I am nearly positive I correctly configured port forwarding (firewall rules set up, masquerading set up, and specific NAT rules set up).  I have a NAS device inside my network with two mobile apps, both using the same port.  One app connects fine, but slowly.  The other app won't connect.

In looking at the logs, it looks like the Actiontec accepts the external traffic, forwards it to the UTM, the UTM accepts it, forwards it inside, and then the reply coming out gets stuck between the UTM and the Actiontec - the Actiontec is actually blocking it.  Is this an MTU issue?

192.168.0.5 is the address of the UTM inside the Actiontec's 192.168.0.0/24
****** is the IP of the external device I expect to connect in
YYYYYY is a random (to me) IP that I have no idea why is being referenced out
ZZZZZ is ANOTHER random (to me) IP that I have no idea why is being referenced out

The same logs repeat every time I try this.  I looked up YYYY and ZZZZ, and they belong to Akamai and Apple, respectively - are they error reports?  Is my NAS device trying to submit error reports about the Actiontec misbehaving.

Here are the logs:
Inbound Traffic Accepted Traffic - Service Destination Ports 5001-5006: TCP [******XX]:7296->192.168.0.5:5001 on clink1
Outbound Traffic Blocked - Default policy ICMP type 3 code 1 192.168.0.5->[YYYYYYYYY] on clink1 
Firewall Info Rate Limit 1 messages of type [15] Default policy suppressed in 1 second(s) 
Outbound Traffic Blocked - Default policy ICMP type 3 code 1 192.168.0.5->[YYYYYYYYY] on clink1
Outbound Traffic Blocked - Default policy First packet in connection is not a SYN packet: TCP 192.168.0.5:51809->[ZZZZZZZZZZZ]:5223 on clink1 

What to do?  Will turning on ICMP on the UTM help sort things out?  Should I back off MTUz?  The UTM is set up as a static IP, will moving it to DHCP help?


This thread was automatically locked due to age.
Parents
  • 0
    Hi, it is completely possible to remove the Actiontec router or move it to a LAN (or DMZ), IF you have an ethernet (not COAX) handoff from the ONT.

    I've posted about it in this thread:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/20490

    Have you confirmed the Gateway and DNS are set correctly on the NAS and app devices?

    MTU shouldn't matter; FiOS uses the default ethernet MTU (1500).

    If everything else is working, DHCP vs Static on the UTM WAN interface doesn't matter. (although it should be DHCP unless you're paying Verizon for a Static IP)


    ICMP type 3 means Destination Unreachable.
    Where is that coming from?

    Barry
Reply
  • 0
    Hi, it is completely possible to remove the Actiontec router or move it to a LAN (or DMZ), IF you have an ethernet (not COAX) handoff from the ONT.

    I've posted about it in this thread:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/20490

    Have you confirmed the Gateway and DNS are set correctly on the NAS and app devices?

    MTU shouldn't matter; FiOS uses the default ethernet MTU (1500).

    If everything else is working, DHCP vs Static on the UTM WAN interface doesn't matter. (although it should be DHCP unless you're paying Verizon for a Static IP)


    ICMP type 3 means Destination Unreachable.
    Where is that coming from?

    Barry
Children
  • 0 in reply to BarryG
    Hi, it is completely possible to remove the Actiontec router or move it to a LAN (or DMZ), IF you have an ethernet (not COAX) handoff from the ONT.


    Actually you can remove or move the Actiontec even if you have COAX, but you have to buy a COAX->Ethernet MOCA bridge device.

    Barry
  • 0 in reply to BarryG
    Actually you can remove or move the Actiontec even if you have COAX, but you have to buy a COAX->Ethernet MOCA bridge device.

    Barry


    I have a coax handoff from the ONT, and I don't have a COAX->Ethernet MOCA bridge device; so I am guess I am stuck with the Actiontec our front.

    I don't understand why what I am trying to do was possible with my relatively cheap netgear router, but not with the UTM box.

    The gateway and DNS server are both set to point at the UTM box's LAN IP (192.168.3.1).  I assume the DNS is set correctly on the iphone.

    I don't understand why two mobile apps written for my NAS device both have the same documentation as to what port they communicate on, and show up the same in logs, but one works and the other doesn't, but creates crazy logs.

    I appreciate your help!  But am really frustrated.  Any other ideas?
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?