Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 8646 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Unable to Forward into TeamSpeak 3 Server

Ephram Rafael
Short forward: I've just started using the UTM OS on an old Dell Optiplex machine I had lying around. Dual core 3.0 GHz with 4 GB of memory, nothing special. Let me say: Wow. Thank you Sophos for providing home users such a fantastic product, for free.

Alright, now, the problem. I operate a Teamspeak server on my local network. The machine has a statically assigned IP, and for testing purposes, I have stripped it's internal software firewall away to inhibit conflicts.

On my internal network, I can point my Teamspeak client to that IP, and it jumps in no problem. When I switch to an external IP, my machine resolves a connection to the server, hangs for a few seconds, than errors out. Teamspeak's logging software leaves much to be desired, and I cannot tell exactly what part of the handshaking process fails.

The service requires UDP port 9987, and TCP ports 10011, and 30033 to be open for virtual voice service, server query, and file transfers, respectively. I have rules in the UTM allowing these ports incoming and outgoing from "Any" to "Internal (Network)", and vice versa. In NAT, I have a forwarding rule set up for DNAT. The configured traffic selector points "Any", running services "TeamSpeak3 Ports" (a group I've configured for the aforementioned three ports), and points it to "Internal (Network)". Destination Translation sets the host as the internal IP of the teamspeak server.

At the advice of another thread I was reading, I clicked "Automatic Firewall Rule". I know it's probably superfluous and lazy since I have configured that initial selection of ports, but it was recommended just to be sure. I will probably disable it when everything is working.

Can anyone help me diagnose why I cannot externally reach this server?


This thread was automatically locked due to age.
  • 0
    Another thread mentioned that the Interface of my Network Definition for the server must be changed to >, I just wanted to note that I have already done that.
  • 0
    When you say your DNAT rule points it to the Internal (Network) I think you might be a bit confused.  What you need to do is set up the DNAT rule for Source: Any Service: Teamspeak3 and Destination: External (WAN) Address not Internal (Network).  Then set the translated destination as the Internal Team speak server and leave the translated service blank as you don't intend upon changing the service ports.
  • 0
    ruhllatio, thank you so much, that absolutely worked. I apologize for the delay I went out having a good time and lost track of the when and where.

    Now, I'll admit I'm a huge TCP/IP newbie. Can you, or anyone really, explain to me why the DNAT rule needs to function in this manner? My young logic would suggest that what I'm trying to accomplish is take an external connection, running a specific set of ports, and route it to an internal host. Why, instead, does the rule require the destination to be an External WAN address. To me, that does not make sense.

    I do, however, relish opportunities to improve upon my knowledge.
  • 0
    Also, ruhllatio, the internet is sometimes a small place.

    You wouldn't happen to work in Orlando, Florida, would you?
  • 0 in reply to Ephram Rafael
    Yep, Orlando.  Fancy.  What most people are used to is port forwarding logic seen in most consumer grade gateways.  This is a very limited implementation of DNAT.  Most SOHO router port forwarding schema assume that there will only be one external IP address that is usually DHCP/PPPoE provided and bound to the WAN interface.  Of course, Sophos supports a lot more than that.

    So, instead of having to set just which port you want port forward, you have to set where the packet is coming from, the service and where the packet is going in order for it to match the translation rule.  This grants you a lot of flexibility, especially in the source field just in case you only want a particular subnet or host to be able to make use of the DNAT rule.

    Oh, and welcome to the community.  Look out for BAlfson and BarryG.  These guys really know their stuff, are very helpful, and most of all friendly.  I've learned plenty from both about the intricacies of Sophos just going through their post archive.
  • 0
    Hi, ER, I see you've been welcomed to the User BB by our newest guru here!  (Thanks, ruhllatio, for the shout out.)  I could name a dozen people (at least!) that contribute here that know more than I do, so always google site:astaro.org before posting whenever you have a question.

    One of the fundamental concepts that, IMHO, isn't well-enough explained in the User Manual is Traffic Selector.  In D/SNAT rules, Firewall rules, Quality-of-Service rules and Multipath rules, the first portion is always the Traffic Selector - the traffic that qualifies for the rule.  This is also the reason that there is a specific order for each set of rules.

    Cheers - Bob
  • 0 in reply to Ephram Rafael
    Now, I'll admit I'm a huge TCP/IP newbie. Can you, or anyone really, explain to me why the DNAT rule needs to function in this manner? My young logic would suggest that what I'm trying to accomplish is take an external connection, running a specific set of ports, and route it to an internal host. Why, instead, does the rule require the destination to be an External WAN address. To me, that does not make sense.


    I'm assuming you're running a 192.168.x.x or a 10.x.x.x address range. Both of those are not routable on the internet so any router beyond your own that sees those IP address ranges leaking out will drop them. So to use a private network range, you have to have a public IP that the rest of the Internet can see and you can DNAT.

    Your average consumer router assumes that because you have one IP on the WAN port, you must be wanting to DNAT off that one IP and hides that detail from you.

    Astaro OTOH, doesn't hide that detail from you because it's important. Astaro supports using more then one external IP address on the router so it's important to specify which External IP you're DNATing.
  • 0
    Do you also avoid Automatic Setup with VPN Users and create the User Network Firewall Rules yourself?

    Is there a reason behind this, personal preference or simply control?

    Cheers,
    Kyle
  • 0 in reply to DaMaN841
    Not certain what he's getting at.  His post doesn't seem to be relevant, given the lack of detail, and is three years late to the thread.  Makes me think it's a troll.
  • 0 in reply to Scott_Klassen
    I think you're right, and sadly, I fed the troll [:O]