Xbox Live Online Multi-Player-Datenverkehr (Teredo Tunnel UDP 3544) blockiert durch FTD

Einführung

Dieses Dokument beschreibt ein Problem, das Benutzern den Zugriff auf die Xbox Live-Online-Multi-Player-Funktion von der Xbox ermöglicht, wenn diese hinter einem FTD-Sensor (FirePower Threat Defense) angeschlossen wird. Jedes Mal, wenn Sie versuchen, eine Online-Multiplayer-Verbindung aus der Xbox herzustellen, funktioniert sie nicht über den FTD-Sensor.

Dieses Problem tritt auf, nachdem Sie die Firewall-Services von einer Cisco ASA (Adaptive Security Appliance) zu einer FirePower mit FTD migriert haben.

Der Hauptzweck dieses Dokuments besteht darin zu erklären, wie der Xbox Live-Online-Multi-Player-Datenverkehr (Teredo Tunnel UDP 3544) durch die FTD funktioniert.

Unterstützt von Christian G. Hernandez R., Cisco TAC-Engineer

Voraussetzungen

Anforderungen

Cisco empfiehlt, die Konfiguration der Cisco FirePower-Vorfilterregeln zu kennen.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:

• Cisco FMC (FirePower Management Center) v6.2.3.1
• Cisco FTD v6.2.3.1

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Hintergrundinformationen

Die Xbox Live Online Multi-Player-Funktion für die Xbox erstellt einen Teredo-Tunnel, der den UDP-Port 3544 verwendet, wie im nächsten Microsoft Xbox-Dokument bestätigt:

Von Xbox Live auf Xbox One verwendete Netzwerk-Ports

Problem: Xbox Live Online Multi-Player-Datenverkehr (Teredo Tunnel UDP 3544) blockiert durch FTD

Es wird bestätigt, dass die FTD-Sensoren den Xbox Live-Online-Multi-Player-Datenverkehr (Teredo Tunnel UDP 3544) blockieren, wenn Sie die werkseitigen Vorfilterregeln des FMC nicht verwenden:

Die Standard-Vorfilterrichtlinie wird über die grafische Benutzeroberfläche des FMC angezeigt:

Standard-Vorfilterrichtlinie aus einer FTD-Sensor-CLI (Command Line Interface):

> show access-list 
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list CSM_FW_ACL_; 8 elements; name hash: 0x4a69e3f3
access-list CSM_FW_ACL_ line 1 remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy
access-list CSM_FW_ACL_ line 2 remark rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE
access-list CSM_FW_ACL_ line 3 advanced permit ipinip any any rule-id 9998 (hitcnt=0) 0xf5b597d6 
access-list CSM_FW_ACL_ line 4 advanced permit 41 any any rule-id 9998 (hitcnt=0) 0x06095aba 
access-list CSM_FW_ACL_ line 5 advanced permit gre any any rule-id 9998 (hitcnt=0) 0x52c7a066 
access-list CSM_FW_ACL_ line 6 advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998 (hitcnt=0) 0x46d7839e access-list CSM_FW_ACL_ line 7 advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998 (hitcnt=0) 0xaf1d5aa5 

Hinweis: Die obigen Vorfilterregeln aus den Zeilen 6 und 7 sind die Standard-Vorfilterregeln, die den UDP 3544-Datenverkehr im Teredo-Tunnel durch die FTD ermöglichen sollen.

Das Problem besteht jedoch darin, dass eine FTD, die die werksseitige Vorfilterregel nicht verwendet, diese Xbox Live-Online-UDP 3544-Datenverkehr blockiert oder Blacklists aus der Xbox blockiert, dies mithilfe einer ASP-Paketerfassung (Accelerated Security Path) bestätigt wird, die in der FTD angewendet wird:

firepower# capture asp type asp-drop all
firepower# show cap asp | i x.x.x.x
50243: 16:23:03.023054 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
51622: 16:23:04.023253 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
53990: 16:23:06.023588 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
58785: 16:23:10.024367 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
69006: 16:23:18.025145 x.x.x.x.3074 > y.y.y.y.3544: udp 61
89783: 16:23:34.026716 x.x.x.x.3074 > y.y.y.y.3544: udp 61

Hinweis: Sie können versuchen, diesen Datenverkehr über FTD mit einer ACP (Access Control Policy) zuzulassen, die so konfiguriert ist, dass der UDP 3544-Datenverkehr zugelassen wird. Anschließend bestätigen Sie, dass dieselben ASP-Drops in der FTD-CLI angezeigt werden.

Lösung

Um den Xbox Live-Online-Multi-Player-Datenverkehr (Teredo Tunnel UDP 3544) über FTD zu ermöglichen, müssen Sie eine Vorfilterregel konfigurieren. Dafür stehen Ihnen vier Optionen zur Verfügung, um die erforderliche Vorfilterregel zu konfigurieren:

Konfigurieren einer normalen Vorfilterregel

Beispiel 1 

Konfigurieren Sie eine normale Vorfilterregel mit Analyze-Aktion, um den für UDP 3544 bestimmten Datenverkehr mit Any als Ziel zuzulassen:

Beispiel 2

Konfigurieren Sie eine normale Vorfilterregel mit Fastpath-Aktion, um den für UDP 3544 bestimmten Datenverkehr mit Any als Ziel zuzulassen:

Konfigurieren einer Tunnel-Vorfilterregel

Beispiel 1 

Konfigurieren Sie eine Tunnel-Vorfilterregel mit Analyze-Aktion, um den für UDP 3544 bestimmten Datenverkehr mit Any als Ziel zuzulassen:

Beispiel 2

Konfigurieren Sie eine Tunnel-Vorfilterregel mit Fastpath-Aktion, um den für UDP 3544 bestimmten Datenverkehr mit Any als Ziel zuzulassen:

Hinweis: Die vier oben genannten Optionen werden im TAC Lab bestätigt, damit der Teredo-Tunnel (UDP 3544) über FTD eingerichtet werden kann. Die Hauptaufgabe, Any als Ziel-IP-Adresse für die Konfiguration der Vorfilterregel zu verwenden, liegt in den unterschiedlichen IP-Adressen, die die Xbox für die Verbindung mit den Microsoft-Online-Multiplayer-Servern verwenden kann.

Zugehörige Informationen

• Konfiguration und Betrieb von FTD-Vorfilterrichtlinien

• Vorfilter- und Vorfilterrichtlinien

• Von Xbox Live auf Xbox One verwendete Netzwerk-Ports