Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 13562 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Crashplan and Firewall Rules

Tenshi
Anyone has successfully setup a NAT rule for Crashplan.

I can use it fine to send to data to their servers, but not to a "friendly" remote location!

I honestly don't remember all the permutations, but here are the actual rules that should make it work but doesn't...

SNAT: CrashPlanPC --> Any protocol --> DestinationCrashPlanPC (public IP) 
Source translation: External WAN Address
Automatic Firewall rule: Yes


DNAT: DestinationCrashPlanPC (public IP) --> Any protocol --> External WAN address
Destination translation: CrashPlanPC
Automatic Firewall rule: Yes



Unfortunately, in the log files, all I see are these: (in this example, DestinationCrashPlan to External WAN Address) 
09:18:34 	Default DROP 	TCP 	99.***.***.*** : 4242	→ 24.***.***.*** : 49979


Can anyone help?

Thanks!


This thread was automatically locked due to age.
  • 0
    Hi, Tenshi, and welcome to the User BB!

    You should create a service "Crashplan" with destination port 4242 and source 1:65535.

    If you have a maquerading rule 'Internal (Network) -> External', you don't need the SNAT, just a firewall rule: 'CrashplanPC -> Crashplan -> DestinationCrashPlanPC : Allow'.

    In the DNAT, you need to be certain you use the "External (Address)" object created by WebAdmin when the External interface was defined. So, you should have: 'DestinationCrashplanPC -> Crashplan -> External (Address) : DNAT to CrashplanPC'  Leave the 'Destination service' empty and check 'Automatic firewall rule'.

    Cheers - Bob
  • 0 in reply to BAlfson
    Unfortunately, that doesn't seem to work.

    From the log files, I can still see the Crasphlan PCs trying to talk to each other on random ports. From the crashplan documentation, that is usually when the port 4242 isn't open... but based on those rules it should be!

    Thanks again for all your help!

    Here is what I have so far...  
  • 0 in reply to Tenshi
    Tenshi...Did you get this working yet? I have the same trouble...[:(]
  • 0
    Hi, and welcome to the User BB!

    The CtrashPlan Support team should provide a document that shows how a session is started and continues.  I spent 2 minutes looking and found one mention of port 443, and no explicit documentation.

    It's difficult to see in Post #1 above what really happened.  If you're having a similar experience, please post the full line from the full logfile (not from the Live Log).

    Cheers - Bob
  • 0
    All,

    I have a home network with CrashPlan running on 4 different computers.  All of them have outgoing connections, but I only allow one computer to have incoming CrashPlan connections (via Astaro as well as CrashPlan).

    In Service Definitions I created a group called "CrashPlan."  In this group I have the following

    Name: "CrashPlan Incoming" 
    Type of Definition: TCP
    Destination Port: 4242
    Source Port: 1:65535

    Name: "CrashPlan Outgoing" 
    Type of Definition: TCP
    Destination Port: 4242
    Source Port: 1:65535

    In my firewall I have a rule that allows incoming CrashPlan connections so that my friends and family can backup to my server running the CrashPlan client.  The incoming firewall rule is below.

    Source: Any
    Service : CrashPlan Incoming
    Destination: "Server Name"
    Action:Allow

    To allow all of my computers running CrashPlan to upload to CrashPlan Central I created the following rule.

    Source: Internal (Network)
    Service: CrashPlan Outgoing
    Destination: Any
    Action:Allow

    I probably should change the Destination to just central.crashplan.com for increased security since I don't backup to anyone else's computer.

    Under DNAT/SNAT I have the following rule:

    Traffic Source: Any
    Traffic Service: CrashPlan Incoming
    Traffic Destination: External (WAN)
    NAT Mode: DNAT
    Destination: "Server Name"
    Destination Service: CrashPlan Incoming
    Automatic Firewall Rule: Checked


    Although, CrashPlan does its configuration over port 4242, they actually upload to central.crashplan.com on port 443.  Therefore, you would need to have an outgoing TCP port open on 443 which I imagine you already do.  If you have Web filtering enabled for HTTPS this may be causing an issue, but that is beyond my knowledge.

    Good Luck.  I hope this helps.