Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2234 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Xbox live doesn't work on AP30 but does on old AP

ducatiboy
I have had an astaro UTM since version 7, but I have since updated to version 9 and bought one of the AP30's as an access point.

I used to have a couple non-astaro AP's.  I have a Cisco one, can't remember the model but it's an older corporate B/G unit.  It was just an SSID and used the astaro DHCP server to give wireless devices IP addresses.

Anyway, I had an Xbox 360 on the old wireless network and have a static IP address setup in the DHCP pool to give it an IP address that is the same all the time because to make live not complain I need to forward ports to it.  I set all that up.  Everything worked perfectly.

I got the new AP30, by default it seemed to create a guest network during the setup.  Totally different IP range, and put in the masquerading rules etc.  I'm not using that for the Xbox.

I created a new SSID, set it up as WPA2 Personal, give it a password (all different from the old SSID).  Client traffic Bridge to AP LAN.  AES, 2.4 ghz, Client Isolation disabled, hide SSID no.

I connect the Xbox to this new SSID on my AP30 and now xbox live complains about NAT issues and that port 3047 is not open.  It gets the same IP address from the astaro DHCP server.  All the ports are forwarded the same.  But something seems to get blocked in when I'm connected to the AP30 instead of the other Cisco AP just sitting on the network.  

So in a desperate attempt to get this working I had been modifying my firewall rules.  I created 2 rules and put them as rule 1 and 2.  I defined the Xbox's static IP as a host and defined it as "Xbox" on the network.  My firewall rules are:
Allow Always: Source Any, Service Any, Destination Xbox
Allow Always: Source Xbox, Service Any, Destination Any

One would think that would allow all traffic in and out of the xbox.  And yes all the green check boxes are on.

In order to "port forward" what I needed to the xbox I created a NAT rule, which I defined all the xbox ports as I found on the internet, and created a group.  I even added some others that seemed like it was necessary.  Finally my rule ended up as:
DNAT, From Any, Using Service Any, Going to External WAN Address change destination to Xbox (the Ip host address I defined).
I think that pretty much forwards every port to it.

But still I connect to my old AP, that's just on the network and it works.  I connect to my AP 30 and it fails.  Anything I should look at?  View?  Try?  any help is greatly appreciated.

Thanks!
Steve


This thread was automatically locked due to age.
  • 0
    Have you looked into the packetfilter.log if something appears in there?
    Helmut
  • 0 in reply to hschaa
    Attached is a screen shot of my dashboard.  There is not a lot active here.  Here is a list of the logs I can look at.

    Which is the "packet filter" log?  Or do I need to activate it somewhere?

             Log name Activity Size
    Admin notifications Now 718 bytes
    Application Control   0 bytes
    Boot messages   0 bytes
    Client Authentication   0 bytes
    Configuration daemon Now 1.9 kB
    DHCP server Today 32.2 kB
    DNS proxy   0 bytes
    Device agent   0 bytes
    Directory user prefetch   0 bytes
    Dynamic Routing   0 bytes
    Endpoint Protection   0 bytes
    FTP Proxy   0 bytes
    Fallback messages Now 3.6 kB
    Firewall Today 55.8 kB
    HTML5 VPN Portal   0 bytes
    HTTP daemon Now 18.3 kB
    High availability   0 bytes
    Hotspots   0 bytes
    IPsec VPN   0 bytes
    IPv6   0 bytes
    Ident daemon   0 bytes
    Intrusion Prevention System   0 bytes
    Kernel messages   0 bytes
    Local logins   0 bytes
    Logging subsystem Today 635 bytes
    MiddleWare Today 667 bytes
    Multicast (PIM-SM) routing daemon   0 bytes
    POP3 proxy   0 bytes
    PPP daemon   0 bytes
    PPPoA   0 bytes
    PPPoE   0 bytes
    PPTP daemon   0 bytes
    RED   0 bytes
    Remote Configuration Manager   0 bytes
    SMTP proxy Now 88.1 kB
    SOCKS proxy   0 bytes
    SSH server   0 bytes
    SSL VPN   0 bytes
    Selfmonitoring   0 bytes
    Service Monitor daemon   0 bytes
    System messages Today 32.0 kB
    Up2Date messages Today 8.5 kB
    User authentication daemon Now 193 bytes
    Web Application Firewall   0 bytes
    Web Filtering   0 bytes
    Wireless Protection Now 585 kB
  • 0
    The Firewall log was named the Packetfilter log up until a year or two ago, so many of us still call it that.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    The Firewall log was named the Packetfilter log up until a year or two ago, so many of us still call it that.

    Cheers - Bob


    Thanks.  I thought I was not enabling a log somewhere or something.

    So when I look at the firewall log it looks like I have everything "working" like it should.  I had to go into the firewall rules and say "log traffic".  And then I took pictures.  So if you look here, you can see that my firewall rule #1 is allowing all traffic coming into the xbox.  And rule #2 should allow all traffic out of the xbox.  

    And if you look at the firewall log attachment, you can see some default drops of stuff outside the network poking in which is dropped.  But everything in rule #2 is ok.  nothing listed as rule #1 coming in.  

    It looks like everything is ok.  This is all going through the AP30 by the way, and it's still coming up as failed.
  • 0 in reply to ducatiboy
    Ok, now I took the xbox off the AP30 and connected it to the older Cisco AP that I have.  Different SSID but it's also supposed to bridge on the same lan so it still gets the same IP.

    FYI, my xbox is sitting on 192.168.1.82.  If you didn't notice that from the log traffic.

    So here is the firewall log now when I tested that.  Still the same 7 packets sent out.  Slightly different order.  But they all pass.  And all through rule #2.

    When it's connected to the Cisco AP it passes these tests.  When it's connected to the AP30 it fails.
  • 0 in reply to ducatiboy
    This looks indeed strange, however there is traffic flowing from the Xbox, so L2 connectivity looks alright. If the Xbox is associated to the AP is it possible to ping it from the UTM?
  • 0 in reply to hschaa
    This looks indeed strange, however there is traffic flowing from the Xbox, so L2 connectivity looks alright. If the Xbox is associated to the AP is it possible to ping it from the UTM?


    Works!  Solved!  Why?  I have no idea!  If you are curious, read on.

    Well, I don't know what I did, but thank you.  It is working, connected to the AP30.  Due to this suggestion, I decided to try pinging the xbox from the UTM.  That wasn't enabled and told me I needed to go into Network Protection - Firewall -ICMP and enable it.  I wasn't sure what to enable, so just for a test I checked everything.  Everything was originally UNCHECKED.  I checked everything, applied it (3 times).  And connected to the AP 30 for a test.

    WORKED!  first time that connecting to the AP30 didn't give me a "please forward port 3047, and your nat is not configured correctly".

    What's weird is that it won't respond to a ping.  From the UTM, or from a computer.  I can ping other network things.  Maybe the Xbox just doesn't respond to ping requests.

    Ok, I got something, now lets figure out which one of these is necessary.  Unchecked everything, hit apply.  Let just make sure it now fails.

    Nope, still works.  I had tried it before this.  Now what?  I needed to turn these on and then turn them off again?  This some weird Xbox issue?  I went back and forth a dozen times between my old AP and the AP30 and each time connected to the AP30 would report NAT errors.

    This morning's test was:
    Connect to AP30, test live - NAT error
    Connect to Cisco AP, test live - Works
    Tried to ping with UTM, checked all ICMP boxes.
    Tried to ping xbox, ping failed.  (maybe it has to be connected to the AP 30 for ping to work)
    Tried to ping NAS, ping success.  
    Connect to AP30, test live - Works
    Tried to ping xbox, ping failed.  (doesn't matter which AP it's connected to)
    Tried to ping NAS, ping success.  
    Ping from computer to both, xbox ping failed, nas ping success.  (so xbox doesn't respond to ping, not sure why but ok, moving on)
    Try to figure out which ICMP option is needed.
    ICMP - disable all options, hit apply
    Xbox still connected to AP30, test live - Works  (wait, what?)

    I'm stumped.  What changed because of this?  I have no idea, but it had to do something with the AP30 and those ICMP settings.  

    I'm working now, so that's good, but if someone sees something wrong with my troubleshooting techniques or what might have changed when I did this, I'm all ears, I would love to know what I did.
Unfiltered HTML