Xbox Live Online Multi-Player-Datenverkehr
(Teredo Tunnel UDP 3544) blockiert durch FTD
Inhalt
Einführung
Voraussetzungen Anforderungen
Verwendete Komponenten Hintergrundinformationen
Problem: Xbox Live Online Multi-Player-Datenverkehr (Teredo Tunnel UDP 3544) blockiert durch FTD
Lösung
Konfigurieren einer normalen Vorfilterregel Beispiel 1
Beispiel 2
Konfigurieren einer Tunnel-Vorfilterregel Beispiel 1
Beispiel 2
Zugehörige Informationen
Einführung
Dieses Dokument beschreibt ein Problem, das Benutzern den Zugriff auf die Xbox Live-Online- Multi-Player-Funktion von der Xbox ermöglicht, wenn diese hinter einem FTD-Sensor (FirePower Threat Defense) angeschlossen wird. Jedes Mal, wenn Sie versuchen, eine Online-Multiplayer- Verbindung aus der Xbox herzustellen, funktioniert sie nicht über den FTD-Sensor.
Dieses Problem tritt auf, nachdem Sie die Firewall-Services von einer Cisco ASA (Adaptive Security Appliance) zu einer FirePower mit FTD migriert haben.
Der Hauptzweck dieses Dokuments besteht darin zu erklären, wie der Xbox Live-Online-Multi- Player-Datenverkehr (Teredo Tunnel UDP 3544) durch die FTD funktioniert.
Unterstützt von Christian G. Hernandez R., Cisco TAC-Engineer
Voraussetzungen
Anforderungen
Cisco empfiehlt, die Konfiguration der Cisco FirePower-Vorfilterregeln zu kennen.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf den folgenden Software- und
Hardwareversionen:
Cisco FMC (FirePower Management Center) v6.2.3.1
●
Cisco FTD v6.2.3.1
●
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Hintergrundinformationen
Die Xbox Live Online Multi-Player-Funktion für die Xbox erstellt einen Teredo-Tunnel, der den UDP-Port 3544 verwendet, wie im nächsten Microsoft Xbox-Dokument bestätigt:
Von Xbox Live auf Xbox One verwendete Netzwerk-Ports
Problem: Xbox Live Online Multi-Player-Datenverkehr (Teredo Tunnel UDP 3544) blockiert durch FTD
Es wird bestätigt, dass die FTD-Sensoren den Xbox Live-Online-Multi-Player-Datenverkehr (Teredo Tunnel UDP 3544) blockieren, wenn Sie die werkseitigen Vorfilterregeln des FMC nicht verwenden:
Die Standard-Vorfilterrichtlinie wird über die grafische Benutzeroberfläche des FMC angezeigt:
Standard-Vorfilterrichtlinie aus einer FTD-Sensor-CLI (Command Line Interface):
> show access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
access-list CSM_FW_ACL_; 8 elements; name hash: 0x4a69e3f3
access-list CSM_FW_ACL_ line 1 remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy
access-list CSM_FW_ACL_ line 2 remark rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE
access-list CSM_FW_ACL_ line 3 advanced permit ipinip any any rule-id 9998 (hitcnt=0) 0xf5b597d6 access-list CSM_FW_ACL_ line 4 advanced permit 41 any any rule-id 9998 (hitcnt=0) 0x06095aba access-list CSM_FW_ACL_ line 5 advanced permit gre any any rule-id 9998 (hitcnt=0) 0x52c7a066 access-list CSM_FW_ACL_ line 6 advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998 (hitcnt=0) 0x46d7839e access-list CSM_FW_ACL_ line 7 advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998 (hitcnt=0) 0xaf1d5aa5
Hinweis: Die obigen Vorfilterregeln aus den Zeilen 6 und 7 sind die Standard-Vorfilterregeln, die den UDP 3544-Datenverkehr im Teredo-Tunnel durch die FTD ermöglichen sollen.
Das Problem besteht jedoch darin, dass eine FTD, die die werksseitige Vorfilterregel nicht verwendet, diese Xbox Live-Online-UDP 3544-Datenverkehr blockiert oder Blacklists aus der Xbox blockiert, dies mithilfe einer ASP-Paketerfassung (Accelerated Security Path) bestätigt wird, die in der FTD angewendet wird:
firepower# capture asp type asp-drop all firepower# show cap asp | i x.x.x.x
50243: 16:23:03.023054 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
51622: 16:23:04.023253 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
53990: 16:23:06.023588 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
58785: 16:23:10.024367 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
69006: 16:23:18.025145 x.x.x.x.3074 > y.y.y.y.3544: udp 61 89783: 16:23:34.026716 x.x.x.x.3074 > y.y.y.y.3544: udp 61
Hinweis: Sie können versuchen, diesen Datenverkehr über FTD mit einer ACP (Access Control Policy) zuzulassen, die so konfiguriert ist, dass der UDP 3544-Datenverkehr zugelassen wird. Anschließend bestätigen Sie, dass dieselben ASP-Drops in der FTD-CLI angezeigt werden.
Lösung
Um den Xbox Live-Online-Multi-Player-Datenverkehr (Teredo Tunnel UDP 3544) über FTD zu ermöglichen, müssen Sie eine Vorfilterregel konfigurieren. Dafür stehen Ihnen vier Optionen zur Verfügung, um die erforderliche Vorfilterregel zu konfigurieren:
Konfigurieren einer normalen Vorfilterregel
Beispiel 1
Konfigurieren Sie eine normale Vorfilterregel mit Analyze-Aktion, um den für UDP 3544 bestimmten Datenverkehr mit Any als Ziel zuzulassen:
Beispiel 2
Konfigurieren Sie eine normale Vorfilterregel mit Fastpath-Aktion, um den für UDP 3544 bestimmten Datenverkehr mit Any als Ziel zuzulassen:
Konfigurieren einer Tunnel-Vorfilterregel
Beispiel 1
Konfigurieren Sie eine Tunnel-Vorfilterregel mit Analyze-Aktion, um den für UDP 3544 bestimmten Datenverkehr mit Any als Ziel zuzulassen:
Beispiel 2
Konfigurieren Sie eine Tunnel-Vorfilterregel mit Fastpath-Aktion, um den für UDP 3544 bestimmten Datenverkehr mit Any als Ziel zuzulassen:
Hinweis: Die vier oben genannten Optionen werden im TAC Lab bestätigt, damit der Teredo- Tunnel (UDP 3544) über FTD eingerichtet werden kann. Die Hauptaufgabe, Any als Ziel-IP- Adresse für die Konfiguration der Vorfilterregel zu verwenden, liegt in den unterschiedlichen IP-Adressen, die die Xbox für die Verbindung mit den Microsoft-Online-Multiplayer-Servern verwenden kann.
Zugehörige Informationen
Konfiguration und Betrieb von FTD-Vorfilterrichtlinien
●
Vorfilter- und Vorfilterrichtlinien
●
Von Xbox Live auf Xbox One verwendete Netzwerk-Ports
●
