Baffled

Hi Tramco,

1) This ones pretty easy.

Under "Network Protection" >> "NAT" >> "NAT" you want to setup a DNAT (Destination NAT) rule with the following:

Source: Any
Service: Your Service (create one defining port 81)
Destination: External WAN (Address)

Change the destination to: Your Server's IP
Change the service to: (Leave blank unless the server is listening on a different port then the firewall definition above).

The major mistake I notice people new to NATing make (often because consumer grade router bricks hide a lot of this) is to assume the matching destination has to be the internal server IP. It doesn't work because from the outside of your network, all the world sees is your firewall's external IP. NAT effectively hides your network from the world.

2) I'm assuming the Tivo is on the same network as the rest of your stuff and you don't have an Any/Any/Any firewall rule. If that's correct you need to create an explicit allow rule to permit the outbound traffic, the UTM will permit the returning inbound traffic as it's stateful

To setup the rule you'd first need to find out online what ports the Tivo uses to connect for updates.

Once you know that there are two ways to setup the rule. The broader rule  is to setup a firewall allow rule of (source / service / destination) Internal Network / Tivo Ports / Internet. That will allow any internal device to connect to the TiVo update service, useful if your Tivo uses a DHCP assigned address. If however the Tivo has a static address, you can tighten that rule to Tivo Device / Tivo Service / Internet.

I don't recommend tightening the destination any further as update servers can change IP's occasionally and while Tivo may update your box with new IP's, often times the changes are not publicized, especially if the update servers are prone to attack.

most likely it is the http proxy holding up the updates....tivo is linux based and the update files are highly compressed and take alooooong time to scan properly and this leads to timeouts.  I would set your tivo to a static ip inside your lan and then do an http proxy bypass in the advanced section for the tivo first....basiclaly treat the tivo like a netflix mobile device..[:)]

TheDrew and William,

No luck for Port 81

I followed Article ID: 115145

Scenario 1 - Common port on public interface

Example: Webserver host definition
 Goto Webadmin » Definitions & Users » Network Definitions
 New Network Definition
 Name: Webserver
 Type: Host
 Address: ***.***.***.***
 Comment: My internal webserver IP
Example: Webserver on HTTP TCP port 81

1) Create a DNAT rule

Goto Webadmin » Network Security » NAT
 New NAT rule
 Traffic Source: Any 
 Traffic Service: HTTP Port 81
 Traffic Destination: External (address)
 NAT Mode: DNAT (destination)
 Destination: Webserver
 Destination Service: left blank

 Click Save

 Once created click traffic light  from Red to Green

2) Create Packet filter access
 
Goto Webadmin » Network Security » Firewall
Select Rules tab
 New Rule
 Source: Any
 Service: HTTP
 Destination: Webserver
 Action: Allow
 Log traffic: 
 Comment: Allow http traffic to webserver

 Click Save

 Once created click traffic light  from Red to Green

I have tried it with and without firewall rule. And can access from outside :81 only.

In the same article I also tried Scenario 2 - New service port creation needed to forward

I will give the TiVo a shot later when I get home.

Possible issues:

• You should use automatic firewall rules in the DNAT.
  
• The firewall rule has no effect on port 81 traffic.
  
• DNATs don't work for accessing an internal device from another internal device.
  
• The "Webserver" definition might violate #3 in Rulz.

Cheers - Bob

Possible issues:

• You should use automatic firewall rules in the DNAT.
  
• The firewall rule has no effect on port 81 traffic.
  
• DNATs don't work for accessing an internal device from another internal device.
  
• The "Webserver" definition might violate #3 in Rulz.

Cheers - Bob

Thanks Bob

1.Selected automatic firewall rules in the DNAT
2.The firewall rule is not necessary? or my typo should read Service:HTTP Port 81?
3.Not violating Rulz #3 - Which by the way are great!

Because of 1, you might as well delete the firewall rule instead of correcting it. [:)]

Cheers - Bob

Possible issues:

• You should use automatic firewall rules in the DNAT.
  
• The firewall rule has no effect on port 81 traffic.
  
• DNATs don't work for accessing an internal device from another internal device.
  
• The "Webserver" definition might violate #3 in Rulz.

Cheers - Bob

i disagree with rulz 3..if i don't want something to be able to get onto every interface then ANY isn't a good idea.

Possible issues:

• You should use automatic firewall rules in the DNAT.
  
• The firewall rule has no effect on port 81 traffic.
  
• DNATs don't work for accessing an internal device from another internal device.
  
• The "Webserver" definition might violate #3 in Rulz.

Cheers - Bob

Thanks Bob

1.Selected automatic firewall rules in the DNAT
2.The firewall rule is not necessary? or my typo should read Service:HTTP Port 81?
3.Not violating Rulz #3

Update.

Thanks for the recommendations.

I was able to get TiVo configured by watching the firewall live log and finding the ten or so ports that were being blocked. 

Source:   
TiVo BR
TiVo LR

Service:
TiVo-123 UDP
TiVo-37 UDP
TiVo-443
TiVo-7287
TiVo-7288
TiVo-80
TiVo-8078
TiVo-8079
TiVo-8080:8089
TiVo-8081

Destination: 
Internet IPv4

One other thing I discovered was that I had to create two new web filtering exception to allow a number of Netflix urls and one for .MP4 videos (Which fixed my ipad playing videos also). So all is good.

I will tackle port 81 at a later date.

Always enjoy learning new things.

(Be sure you read "Addendum" and "Update 2" in this post, before you do anything described below.)

We had problems with TiVo updates as well. I found this helpful URL, which describes TiVo ports and servers:

Which Network Ports and IP Addresses Need to be Open When Using my TiVo DVR? - TiVo

I opened the requisite ports, but still no joy. The TiVo's built-in port tests passed, but I kept seeing "Could not get account status" in the second step of the connection page on the TiVo screen. Detailed error information showed an N15 error. TiVo's website is not helpful, saying that you should restart the TiVo, which does not fix the problem.

I swapped out our Sophos UTM and swapped in the old router, and TiVo updates were restored, which proved that the problem was not TiVo's remote servers. Clearly the Sophos UTM was blocking at least one communication from the TiVo. 

I restored the Sophos UTM to our Internet connection. I looked at the Web Filtering live log while running a TiVo update, and discovered that the Sophos UTM was blocking a connection from the TiVo's internal IP address. I went to Logging & Reporting, View Log Files, Web Filtering and searched the log file to see more details for the blocked connection. The entry included "web request blocked, reputation limit", reputation="suspicious" categoryname="Residential IP Address" and other info. The URL was "204.176.49.9/.../uploadFile.cgi

SOLUTION (NO LONGER NECESSARY - SEE UPDATE 2, below):

I created a new Exception List in Web Protection, Filtering Options:
Name: TiVo Updates
URL Filter: checked.  (All others remain unchecked.)
For all requests: Matching these URLs
Target Domains: "^http://[A-Za-z0-9.-]+/tivo-service/uploadFile\.cgi.*" (Omit double-quotes)

Activating this new exception solved the TiVo connection problem.

ANOTHER HINT:

After creating the Exception List, disable it and go to Web Protection, Policy Helpdesk and paste the URL from the blocked entry in the log. Verify that the new URL is still blocked. Enable the Exception List and rerun the Policy Helpdesk test to show that the URL is allowed.

At this point, your TiVo should be able to retrieve program updates without interference from your Sophos UTM.


ADDENDUM:
After further research, I learned that Sophos UTM Web Filtering relies on TrustedSource from MacAfee. I went to the TrustedSource website and entered the tivo-service URL above that the TiVo connects to. TrustedSource's website reports that the URL results in "Categorization: Residential IP Addresses; Reputation: Medium Risk", which is why the Sophos UTM blocks the connection. 

I sent an email to TrustedSource with a description of the issue and a request to re-categorize the IP addresses of TiVo's servers as published on their web page. I also notified TiVo of the problem. Other than an automatic reply from TrustedSource, neither organization has contacted me, which is not surprising since today is New Years Eve. 

Update 2:
I recently received an email message from MacAfee GTI Customer Response Team saying, "For all the IP range Tivo has, we only have 204.176.49.9 categorized as Residential IP Address. We have adjusted the rating with this IP already. Please allow some time for system update."

It seems that the family TiVo were unlucky enough to connect to the one IP address that was incorrectly marked in MacAfee's TrustedSource database. I checked on the TrustedSource website, and the URL is fixed. I tested with the TiVo and it works with the Exception List (described above) disabled.

Happy New Year! I hope this helps someone.