Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 28131 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Force uTorrent client out 2nd WAN connection

sneader
I have my Bittorrent client (uTorrent) set to use a specific port (61392).  I've defined a TCP/UDP service for this port.  I have followed the directions to create a Multipath Rule (example IPs used below to protect privacy)

Source:  internal machine (192.168.1.35)
Service:  uTorrent (port number 61392 tcp/udp)
Destination:  Internet IPv4
lft Persistence: by Interface
Bind interface:  ADSL2  (my 2nd Wan port, external IP 2.2.2.2)

I have saved and activated this rule.

I have also created a DNAT rule, with automatic firewall rule, to allow the traffic in, and our outbound rule is currently to allow anything out.

When I view the live log, I am seeing my internal machine sending packets, using the uTorrent port number I specified, out the 1st Wan port instead... here's the initial log entry in the Firewall log:

15:58:36 Default DROP Bittorrent
192.168.1.35 : 61392

1.1.1.1 : 61392
len=95 ttl=128 tos=0x00 s

(My firewall rule allowing uTorrent is only for the 2nd WAN port, thus Astaro is rightly blocking it outbound on the 1st WAN port)

With that Multipath rule, that traffic should not be going out 1.1.1.1, but 2.2.2.2.

To prove that I can create working Multipath rules, I created another rule, and specified that all traffic for another one of my machines should go out the same 2nd WAN interface, and yes, it works fine!  

I'm stumped... any ideas?

- Scott


This thread was automatically locked due to age.
  • 0
    Actually, even though that traffic is trying to go out the wrong WAN port... it shouldn't be blocked in the firewall, right?  Our firewall is set to allow ANY traffic outbound... what is causing it to be blocked?  I *do* have Bittorrent allowed under Application Control Rules, so that's not it (and this block is seen in the Firewall log)

    - Scott
  • 0
    You seem to misunderstand the App Control feature. Appcontrol does not block by default (in opposite to anything else in asg - pls read online help). Try to not block/allow anything in appcontrol - but leave the feature enabled to see the classified traffic.

    Regards
    Manfred
  • 0
    Thanks, Manfred, for your quick reply.  I will remove the "allow" rule in Application Control... it was just an idea to try to help.  Now, I am back to no entries in Application Control.

    Still, any ideas for why the Multipath rule is not taking effect?  Surely, I've done something wrong, but I have run out of ideas on where to look.

    Thanks again!

    - Scott
  • 0
    Hi, please describe your service definition for
    Service: uTorrent (port number 61392 tcp/udp)

    Is 61392 the SOURCE port, with 1024:65535 as the DEST port?

    Barry
  • 0
    Seems I have a couple of problems... one being my inability to force outbound traffic for port 61392 out the 2nd WAN port... and the other problem is why is the traffic being blocked in the firewall.

    For the second problem... here are entries from the firewall log, right after I start the uTorrent client:

    2012:01:10-17:45:00 astaro ulogd[4943]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" mark="0x303c" app="60" srcmac="0:14:21:f1:c6:83" dstmac="0:50:ba:54:10:a9" srcip="192.168.1.35" dstip="1.1.1.1" proto="17" length="95" tos="0x00" prec="0x00" ttl="128" srcport="61392" dstport="61392" 

    2012:01:10-17:45:00 astaro ulogd[4943]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" mark="0x303c" app="60" srcmac="0:14:21:f1:c6:83" dstmac="0:50:ba:54:10:a9" srcip="192.168.1.35" dstip="1.1.1.1" proto="17" length="58" tos="0x00" prec="0x00" ttl="128" srcport="61392" dstport="61392" 

    2012:01:10-17:45:00 astaro ulogd[4943]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:14:21:f1:c6:83" dstmac="0:50:ba:54:10:a9" srcip="192.168.1.35" dstip="1.1.1.1" proto="6" length="52" tos="0x00" prec="0x00" ttl="128" srcport="62588" dstport="61392" tcpflags="SYN" 

    When I look under Network Security > Firewall > Rules, there is only one rule:

    Internal Network > Any > Any
    Allow

    I would appreciate any pointers, to help understand why the outbound traffic is being dropped.  Maybe this will also help me with my first problem, with multipath.

    Thanks!

    - Scott
  • 0
    Hi Barry.  Service Definition for uTorrent:

    Type:  TCP/UDP
    Destination port:  61392
    Source port:  1:65535

    - Scott
  • 0
    Assuming uTorrent is set to use 61392, then you need to reverse the Source and Destination ports in your definition.

    e.g.
    Type: TCP/UDP
    Destination port: 1:65535
    Source port: 61392

    Also, do you have Masquerading or SNAT setup for your 2 internet connections?

    Barry
  • 0 in reply to BarryG
    Assuming uTorrent is set to use 61392, then you need to reverse the Source and Destination ports in your definition.

    e.g.
    Type: TCP/UDP
    Destination port: 1:65535
    Source port: 61392


    Thanks Barry, I will give it a try, but it doesn't make any sense to me. Can you help me to understand the "why"?  It seems that my current set up should have matched the traffic just fine... so I really need to learn what I am doing wrong.

    Also, do you have Masquerading or SNAT setup for your 2 internet connections?


    Yes.

    Masquerading is set up with 4 rules... 
      Server 1 > Interface ADSL1 primary address
      Server 2 > Interface ADSL2 primary address
      Server 3 > Interface ADSL2 primary address
      Internal Network > Uplink Interfaces primary address
    I believe the last entry is what provides basic NAT services to all clients on the network?  The workstation running uTorrent is not Server 1/2/3 but some other device.

    SNAT/DNAT
      There are 9 DNAT rules, 0 SNAT rules. 

    Thanks!!!

    - Scott
  • 0
    Barry, it worked!!  I do not understand it, and I surely need to!  I hope you can explain it... but that was the trick... I had to define two different uTorrent services... one with the source as 61392 and one with the destination as 61392... the Multipath rule got the one with Source 61392, and the DNAT rule (with auto firewall rule) got the one with Destination 61392.  

    Works -- thanks Barry!!!!!  (now try to help me understand LOL)

    - Scott
  • 0
    P.S. in my struggles to get this working, I had also created a Policy Route:

    Route Type:  Interface Route
    Source IF:  Internal
    Network:  PC (192.168.1.35)
    Service:  uTorrent
    Destination:  Internet IPv4
    Target Interface:  ADSL2

    Do you think this is necessary?  I'm having trouble understanding the difference between Multipath rules and Policy Routes.

    - Scott