Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 24 replies
  • Subscribers 2 subscribers
  • Views 28097 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

BitTorrent no longer working

BigO
Last week I took the plunge and updated my firewall from ASG 8.311 to UTM 9.106-17

Another problem that I have identified after doing the update is that I can no longer download torrents.
This was working fine in v8.x but no matter what I try, I cannot get it back up an running in v9.1

Due to another issue I was having, I redid the UTM 9.1 installation using a v9 backup file created from the initial installation, which was done using my latest v8.3.11 backup file.
This resolved my download manager issues (in part), but it did not fix the torrent downloads failing.

My torrent setup is pretty straight forward.
I have two service definitions; one for torrents in and one for torrents out, one DNAT rule and and IPS exception.
See attached image for how these are configured.

I have deleted all of these entries and recreated them, all to no avail.
These are exactly the same configurations that I had in v8.x, where they worked fine.

I have no idea what else I can do, other that a completely clean UTM 9.1 installation, which I would like to avoid if at all possible.

Any ideas????


This thread was automatically locked due to age.
  • 0
    Hi,

    1. sorry, I forgot you can use services in IPS exceptions.

    2. the log entry, is that FROM your internal IP? If so, your BT client is not using the ports you're expecting. Note some clients need multiple ports (uTorrent only needs 1).

    3. Your OUT definition would work better with 1:65535 for the dest ports, as lots of users run on port 80.

    4. do you have incoming and outgoing firewall rules to match your DNAT and allow outbound traffic?

    5. do you have Masquerading set up for your LANs?

    6. Yes, always use the SID (Snort ID) in rule modifications.

    Check the (firewall, IPS) logs again if you're still having trouble.

    Barry
  • 0 in reply to BarryG
    1. sorry, I forgot you can use services in IPS exceptions.

    What??? You cannot remember everything? Welcome to the club...

    2. the log entry, is that FROM your internal IP? If so, your BT client is not using the ports you're expecting. Note some clients need multiple ports (uTorrent only needs 1).

    Yes, the from address is my internal IP.
    I use the BitTorrent client and, as far as I know, it only uses the port you specify in the config area.

    3. Your OUT definition would work better with 1:65535 for the dest ports, as lots of users run on port 80.

    I created that service definition, but currently it is not in use. However, I will take your advice and change the settings, should the day come where I do end up using it.

    4. do you have incoming and outgoing firewall rules to match your DNAT and allow outbound traffic?

    No. I did not see any reason for this as all was working fine without them.

    5. do you have Masquerading set up for your LANs?

    Yes.

    6. Yes, always use the SID (Snort ID) in rule modifications.

    Noted, and thanks for the heads up with this.

    Check the (firewall, IPS) logs again if you're still having trouble.

    It's always a bit tricky with torrents, as you never really know if they are going to download or not. It's not like a file download link where you get presented with a save dialog box as soon as you click on the link.
    With torrents it all comes down to seeding and there is no guarantee that it will work.
    Currently I rely on seeing NAT Rule#1 displaying port traffic to know if any communication is occurring with the announce servers.

    This afternoon I went to download a couple of torrents and saw no activity in the firewall live log again. Only after enabling my Any > Any > Any rule did things start to happen.
    As mentioned previously, I hate having to enable this rule as it opens up my entire network. None the less, doing this lately has been the only way I have found to give the firewall a kick in the butt and to start downloading torrents.

    Looks like I may have to consider a clean install of UTM9.1 as this upgrade from v8.311 has given me a few painful things to deal with.
    As would be expected, I am not overly happy about that.
  • 0 in reply to BigO
    I read through this and believe it's important to reiterate Barry's 4th point.

    An Output Firewall Rule is necessary:
    Source: Torrent Host
    Service: Any or in your case BT-52525-OUT
    Destination: Any
    Action: Allow

    An Inbound Firewall Rule is necessary if you choose to not select Automatic Firewall rule:
    Source: Any
    Service: Any or in your case BT-52525-IN
    Destination: Torrent Host
    Action: Allow

    I'm going to venture a guess and assume the update didn't handle the Automatic Firewall rule flag? Either way, I hope this helps.
  • 0 in reply to DaMaN841


    An Output Firewall Rule is necessary:
    Source: Torrent Host
    Service: Any or in your case BT-52525-OUT
    Destination: Any
    Action: Allow

    An Inbound Firewall Rule is necessary if you choose to not select Automatic Firewall rule:
    Source: Any
    Service: Any or in your case BT-52525-IN
    Destination: Torrent Host
    Action: Allow


    I'm not sure I agree...
    The reason I say this is that I am currently downloading two torrents and do not have any inbound or outbound torrent related rules in the firewall, manually or automatically created.
    All that I have are the configurations I posted in the attachment in my first post.
    This is how I had it configured in v8.x and is the method suggested in the post I linked to by VelvetFog.

    Can you explain why you believe the inbound and outbound rules need to be there? 
    I am also assuming that if I had these rules in place that I would not need to have the NAT configuration that I have now. The way I see it, you can have either, but don't need both.

    I'm going to venture a guess and assume the update didn't handle the Automatic Firewall rule flag?

    I never had it set in the v8.x backup file that I used to do the update.
    Given that previously (pre UTM v9.1) you could not see automatically created rules, I never used them.

    Am I correct in my assumption that by "Torrent Host" you mean the PC that is running the torrent client.
  • 0
    Hi,

    NAT's don't work without corresponding firewall rules; the DNAT page has a checkbox for an 'auto firewall rule'; you can turn that on, or you can create your own firewall rule.

    Presumably you have an outbound rule which is allowing the outgoing traffic, but I hope you do not still have your ANY - ANY - ANY firewall rule turned on.

    Torrent Host is the PC, yes.

    Barry
  • 0
    Okay... I am confused.

    I do have an outbound rule for general internet traffic, but not one specifically for the torrent port.

    And no, that Any > Any > Any rule is only turned on as a last resort and for the minimum time possible.

    As I have said... downloading torrents with the configuration I have now seems to work just fine.
    The only problem I am really seeing now is that sometimes it just loses the plot. 
    Prior to the update, this configuration was rock solid and always worked.
  • 0 in reply to BigO
    If you claim to have it working without an Outbound and Inbound / Automatic Rule, then clearly you should look at your current Firewall Rules as well as Automatic Firewall rules. You can view Automatic Firewall rules now with UTM 9. I recall when I upgraded from UTM 8 to UTM 9 the install provided some rules and tagged each with "Created from upgrade". So just because you haven't used them, doesn't mean they might not have been created for you unbeknownst to you. It's worthwhile to confirm that.

    Torrent Host is the PC, that's correct, and it would be wise to do a quick filter to see what rules that host already has. If you're saying it is working, then there are probably rules already in place that satisfies at least some traffic. There isn't any magic here.
  • 0
    Under Network Protection > Firewall there are no automatic or user created rules for inbound or outbound torrent traffic.
    I have a service definition for "Web Surfing" which includes FTP, HTTP, HTTP PROXY, HTTP WEB CACHE, HTTPS, IMAP, POP3 and the firewall rule that uses that definition is Internal Network > Web Surfing > Any, but that's it.

    As I have said.... it works with only the settings I have in that attachment of my first post.
  • 0 in reply to BigO

    I do have an outbound rule for general internet traffic, but not one specifically for the torrent port.


    Hi,

    That is fine for the outgoing traffic.

    You still should have an inbound firewall rule, otherwise the DNAT is pointless.
    You can turn on the 'automatic firewall rule' on the DNAT entry, or create a rule manually.

    Note that torrents will download just fine without DNATs and inbound rules, but if you want to keep 'sharing' after you finish downloading, then you need the DNAT & rule.


    You should also review the firewall and IPS logs again, especially around the times that the client 'loses the plot'.

    Barry