Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 16337 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Facetime with UTM 9.3

tbennett365
Hi

Another post from me I'm afraid, as I'm still finding my way around UTM.

I have a UTM deployment for home, and I'm trying to get facetime working for my Apple devices. When I make a facetime call, I get absolutely nothing back apart from a failure, eventually. Here's what I've done/tried so far:



When I look at the web protection list, I don't see any traffic when I try to make a facetime call. I've also checked the Network Protection log in Logging and Reporting, and I see attempts to connect to services using ports that have been defined in the Facetime service group that's used in the firewall rule. If I switch my apple device to another network and check the log from there (all be it a basic log on a home router) it says that its connecting to static.ess.apple.com on port 80. Even though I've already added apple.com as an allowed site in the internet filter, I added this second address, but it still doesn't work. 

'm possibly just missing something silly, but I really can't spot what it is at the moment. Is there some kind of additional config necessary for facetime?

Thanks for your help.


This thread was automatically locked due to age.
  • 0
    Can I ask whether there are any security implications by having a masquerading rule like this in place?
    No, it is necessary for full internet connectivity in a NATed network.  Should have been there in the first place.
  • 0
    That's great. I don't remember it being there to start with, although I suppose it is entirely possible I accidentally deleted it during this whole process.

    This now works exactly as required. Thanks again guys, your help has been invaluable!
  • 0 in reply to Scott_Klassen
    Sorry for the unclear NAT message [:$] Glad you got it working [;)] As Scott said, masquerading is necessary with NATed private IP addresses.

    As a general rule, proxy is only used for web traffic on port 80 and 443 (if ssl scanning is enabled). So you are necessarily using proxy for content filtering and av scan etc. All your other traffic like facetime etc is handled by firewall. You have to open the ports necessary for a certain service to work. That is why I had asked you to test without the web proxy. 

    You can go ahead and tweak your proxy as much as you like... as long as you don't block apple, facetime etc should work fine with the firewall rules in place.

    Some general comments:
    Try to use all your core services like dhcp/dns etc on the UTM. That way when you are troubleshooting everything is handled at the same place. Also for NAT to work correctly, your default gateway has to be the UTM. 

    Good luck with further testing.
  • 0
    Thanks guys. Just one more question, and really in asking this here I'm dragging in another question I asked under a different post, but which Scott commented on (https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/55556). The question is, can a VPN connection be made using a standard builtin Windows client?

    Reason I ask is because I really wanted to use UTM, but to do that I have to change my virgin media router to modem only mode, but in doing so I lose the extra ports that the router offers (modem mode only allows one port to be active, but I'd like to retain all 4 so that I have a 'raw' internet connection for a PS4). I thought about temporarily changing the router to modem only mode, configuring the Sophos VPN client based on that config, then reverting and then trying to do port forwarding at my virgin router through to UTM, but when I change between modes my ISP gives different DHCP address, so that kinda blows that idea apart.

    If it's not possible, it's fine. My Asus router can stay in router mode without DHCP being on, and I can carry on doing port 443 forwarding to it so it can then pass the traffic on to a Windows VPN server (it's for lab access to Hyper-V for when I'm at work).  I was just seeing if I could make my setup a bit less complex.

    Thanks a lot for your help