Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 2968 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Possible NAT/IPS issue?

Jayson
Howdy All:

I'm having a bit of an issue getting programs like Ventrilo (voice over ip chat) and video games etc to play through the ASG.

I have setup Packet Filter Rules which is what I have done for other programs and those seem to work just fine, EVE, WOW (both games), Email, Google Chat etc... the list goes on of working rules/programs.

Nothing is showing up in the packet filter log or the IPS log. I would expect to see a dropped packet or something, but nothing for the ip addresses I'm trying to get to.

An examle would be: My ventrilo client ---> to friends ventrilo server.

Other people are able to connect just fine. If I take ASG out of the picture and run directly I can connect as well. 

I'm running one Masquerading rule: Internal --> External (which was made during install)
I'm running 15 packet filtering rules: I have moved the rule thats not working up and down the list to make sure another rule is not cancelling it out.

I know thats limited information, but maybe someone else has had the same issues and knows what I'm talking about?

Edit:

I should mention as well, if I turn off the rule Ive made for ventrilo I will then see the UDP packets being dropped on the packet filter log...


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BarryG
    Does it need an incoming DNAT setup?

    Barry


    I wouldn't think so, but I will be the first to stand up and say I don't know everything =P

    They are all client apps, so I'm not sure what would need to be setup in DNAT. Is it possible something is coming over port 1024? Wouldn't that show up on the logs tho? I'm getting nothing in the logs as far as blocked or dropped connections. However I do if I turn off the Packet Filtering Rules I've setup for the given apps...

    I'm using ASG at home. I'm only running client side apps. No servers.

    Thanks for any and all help.
  • 0 in reply to Jayson
    Read the docs/faqs for the app(s)... they usually tell you what you need to do if you have a firewall.

    1024 is usually uPnP, a Microsoft standard supported by some home routers, to automatically open ports for incoming traffic.
    It's not supported by Astaro (for good reasons), but you can normally manually setup the right access from the docs.

    Barry
  • 0 in reply to BarryG
    Read the docs/faqs for the app(s)... they usually tell you what you need to do if you have a firewall.

    1024 is usually uPnP, a Microsoft standard supported by some home routers, to automatically open ports for incoming traffic.
    It's not supported by Astaro (for good reasons), but you can normally manually setup the right access from the docs.

    Barry


    I've done that already, pretty standard practice really. The problem is this.

    I have already made the port rules. They "appear" to work as they should. I've tested this by turning them on and off. When they are off I can see the connections being dropped in the live log, and when they are turned on I no longer see them, however they continue to not work...

    Also, if I take ASG out of the picture and either run the cable line right to the test computer OR through either a Netgear or Linksys home router, then the programs work just fine. I can connect as expected.

    This pretty much tells me that the problem is ASG related and could be resolved I'm sure IF the ASG was reporting blocked or dropped connections which it's not.
  • 0 in reply to Jayson
    Ok - I need help here...

    I have gotten the apps in question to work, HOWEVER I'm very confused on if the network or my computer are safe doing this. Seems to me I just set it up to allow everything through...

    Network Security >> NAT >> DNAT/SNAT

    Name: Test Rule
    Group: Unchanged
    Position: 1 (default)
    Traffic Source: Any
    Traffic Service: Any
    Traffic Destination: External Address
    NAT Mode: DNAT (Destination)
    Destination: Definition for the computer I want to use
    Destination Service: Any

    Automatic Pack filter rule: checked (but I'm totally sure what this does, I know what I think it does =P)

    Set Rule to Active.

    Network Security >> Packet Filter

    Group: Left alone
    Position: Last (Default)
    Source: Any
    Service: Any
    Destination: Any
    Action: Allow
    Time Event: Left alone
    Log Traffic: Unchecked
    Comment: Left alone

    Activate Rule

    Test programs, they finally work. Turned off rules because I'm not sure if they are safe or not.

    Is this a safe setup? By safe I'm asking will this just allow everything in like it was a DMZ?
  • 0 in reply to Jayson
    These rules are unsafe...


    I'm not familiar with the specific protocols you're trying to allow through, but it sounds like maybe you need more info on how the specified service(s) operate, so you can define DNAT/SNAT/MASQ and Packet Filter rules to accomodate.  I've had to do some pretty wierd things to get online games to work (not that it's the Astaro's fault, just it seems that game developers take a devil-may-care attitude toward defining connection protocols that may have to traverse a firewall... considering that most home users have no concept of this or a real firewall, for that matter, I guess it's understandable) ... things like SNATing ports / IPs, you name it.  I always start, though, with more information from the Web or the Game manufacturer as to how the protocol works.
  • 0 in reply to BrucekConvergent
    These rules are unsafe...


    I'm not familiar with the specific protocols you're trying to allow through, but it sounds like maybe you need more info on how the specified service(s) operate, so you can define DNAT/SNAT/MASQ and Packet Filter rules to accomodate.  I've had to do some pretty wierd things to get online games to work (not that it's the Astaro's fault, just it seems that game developers take a devil-may-care attitude toward defining connection protocols that may have to traverse a firewall... considering that most home users have no concept of this or a real firewall, for that matter, I guess it's understandable) ... things like SNATing ports / IPs, you name it.  I always start, though, with more information from the Web or the Game manufacturer as to how the protocol works.


    That's the problem I'm having... I've done the research, I have made the packet filter rules for the ports that will be used. I get no drops or blocked connections in any of the logs I've looked at, but I still can not get the connections to work. I'm guessing I need a DNAT rule but I'll be damned if I can find a good example of how to set that up safely...

    As I look through the other posts I'm seeing a ton of other people saying they are having the same kind of issues. Some seem identical to mine others seem like they just are not making the packet filtering rule correctly, but no real resolution is ever shown.

    I'd be more than happy to write up tutorials on these items if I could figure out how they work =P
  • 0 in reply to Jayson
    Run a sniffer such as wireshark while you're playing the game.

    Barry
  • 0 in reply to BarryG
    Well here is what I've done as a test, and I think I may have just found the issue, but if I'm right, I do not know how to correct it.

    Using Ventrilo as the test program.

    I started a virtual, installed the Ventrilo SERVER on it and then tried to connect with my client. I still could not fully connect (just hangs) and I was still not getting any dropped packets on the live log. so I diconnected and boom there was a dropped connection! HOWEVER the ports in the log do no appear to be correct. So to test this I opened a cmd prompt on both systems, the client and the server. I ran NETSTAT -AN 10 on both and connected again. The open ports on both the client and server matched as port 1551, BUT did not match the ports being shown in the ASG live log. 

    Example: via netstat I show a local port of 1551 for the client connecting to 3784 on the server, in ASG its shown as 1558 connecting to 3784.

    I connected to my friends server AFTER turning off the filters Ive made, knowning that his servers port is 3784. The ASG live log shows it as 1024...

    Thoughts?
  • 0 in reply to Jayson
    Delete the DNAT rule
  • 0 in reply to ClausP
    I have no DNAT rules... The one above was for testing only. The only NAT rule I currently have is the default internal -> external