Xbox live doesn't work on AP30 but does on old AP

I have had an astaro UTM since version 7, but I have since updated to version 9 and bought one of the AP30's as an access point.

I used to have a couple non-astaro AP's.  I have a Cisco one, can't remember the model but it's an older corporate B/G unit.  It was just an SSID and used the astaro DHCP server to give wireless devices IP addresses.

Anyway, I had an Xbox 360 on the old wireless network and have a static IP address setup in the DHCP pool to give it an IP address that is the same all the time because to make live not complain I need to forward ports to it.  I set all that up.  Everything worked perfectly.

I got the new AP30, by default it seemed to create a guest network during the setup.  Totally different IP range, and put in the masquerading rules etc.  I'm not using that for the Xbox.

I created a new SSID, set it up as WPA2 Personal, give it a password (all different from the old SSID).  Client traffic Bridge to AP LAN.  AES, 2.4 ghz, Client Isolation disabled, hide SSID no.

I connect the Xbox to this new SSID on my AP30 and now xbox live complains about NAT issues and that port 3047 is not open.  It gets the same IP address from the astaro DHCP server.  All the ports are forwarded the same.  But something seems to get blocked in when I'm connected to the AP30 instead of the other Cisco AP just sitting on the network.  

So in a desperate attempt to get this working I had been modifying my firewall rules.  I created 2 rules and put them as rule 1 and 2.  I defined the Xbox's static IP as a host and defined it as "Xbox" on the network.  My firewall rules are:
Allow Always: Source Any, Service Any, Destination Xbox
Allow Always: Source Xbox, Service Any, Destination Any

One would think that would allow all traffic in and out of the xbox.  And yes all the green check boxes are on.

In order to "port forward" what I needed to the xbox I created a NAT rule, which I defined all the xbox ports as I found on the internet, and created a group.  I even added some others that seemed like it was necessary.  Finally my rule ended up as:
DNAT, From Any, Using Service Any, Going to External WAN Address change destination to Xbox (the Ip host address I defined).
I think that pretty much forwards every port to it.

But still I connect to my old AP, that's just on the network and it works.  I connect to my AP 30 and it fails.  Anything I should look at?  View?  Try?  any help is greatly appreciated.

Thanks!
Steve

This thread was automatically locked due to age.