Traffico multiplayer online di Xbox Live (Teredo Tunnel UDP 3544) bloccato da FTD

Introduzione

Questo documento descrive un problema riscontrato per consentire agli utenti di accedere alla funzionalità multiplayer online di Xbox Live da Xbox quando connessi tramite un sensore FTD (FirePower Threat Defense). Ogni volta che si tenta di stabilire una connessione multiplayer online da Xbox, non funziona tramite il sensore FTD.

Questo problema si verifica dopo aver migrato i servizi firewall da un'appliance Cisco ASA (Adaptive Security Appliance) a un dispositivo FirePower con FTD.

Lo scopo principale di questo documento è quello di spiegare come consentire al traffico multiplayer online di Xbox Live (Teredo tunnel UDP 3544) di funzionare attraverso l'FTD.

Contributo di Christian G. Hernandez R., Cisco TAC Engineer.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza della configurazione delle regole di prefiltro Cisco FirePower.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• Cisco FMC (FirePower Management Center) versione 6.2.3.1
• Cisco FTD v6.2.3.1

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

La funzionalità multiplayer online di Xbox per Xbox stabilisce un tunnel Teredo che utilizza la porta UDP 3544, come confermato nel prossimo documento Microsoft Xbox:

Porte di rete utilizzate da Xbox Live su Xbox One

Problema: traffico multiplayer online di Xbox Live (Teredo Tunnel UDP 3544) bloccato da FTD

Viene confermato che i sensori FTD bloccano il traffico multiplayer online di Xbox Live (Teredo tunnel UDP 3544) se non si utilizzano le regole predefinite di prefiltro del FMC:

Criterio pre-filtro predefinito visualizzato dall'interfaccia utente grafica di FMC:

Criterio pre-filtro predefinito rilevato da una CLI del sensore FTD (Command Line Interface):

> show access-list 
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list CSM_FW_ACL_; 8 elements; name hash: 0x4a69e3f3
access-list CSM_FW_ACL_ line 1 remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy
access-list CSM_FW_ACL_ line 2 remark rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE
access-list CSM_FW_ACL_ line 3 advanced permit ipinip any any rule-id 9998 (hitcnt=0) 0xf5b597d6 
access-list CSM_FW_ACL_ line 4 advanced permit 41 any any rule-id 9998 (hitcnt=0) 0x06095aba 
access-list CSM_FW_ACL_ line 5 advanced permit gre any any rule-id 9998 (hitcnt=0) 0x52c7a066 
access-list CSM_FW_ACL_ line 6 advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998 (hitcnt=0) 0x46d7839e access-list CSM_FW_ACL_ line 7 advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998 (hitcnt=0) 0xaf1d5aa5 

Nota: Le suddette regole di prefiltro dalle righe 6 e 7 sono le regole di prefiltro predefinite destinate a consentire il traffico del tunnel Teredo UDP 3544 attraverso l'FTD.

Tuttavia, il problema è che un FTD che non usa la regola di pre-filtro predefinita di fabbrica, blocca o elenca in nero questo traffico multiplayer online Xbox Live UDP 3544 che proviene da Xbox, ciò viene confermato con l'aiuto di un'acquisizione di pacchetti ASP (Accelerated Security Path) applicata nell'FTD, come segue:

firepower# capture asp type asp-drop all
firepower# show cap asp | i x.x.x.x
50243: 16:23:03.023054 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
51622: 16:23:04.023253 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
53990: 16:23:06.023588 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
58785: 16:23:10.024367 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
69006: 16:23:18.025145 x.x.x.x.3074 > y.y.y.y.3544: udp 61
89783: 16:23:34.026716 x.x.x.x.3074 > y.y.y.y.3544: udp 61

Nota: È possibile provare a autorizzare questo traffico attraverso l'FTD con un ACP (Access Control Policy) configurato per consentire il traffico UDP 3544. In seguito, si confermerà che gli stessi rilasci ASP saranno visualizzati sulla CLI dell'FTD.

Soluzione

Per consentire il traffico multiplayer online di Xbox Live (tunnel Teredo UDP 3544) attraverso l'FTD, è necessario configurare una regola di pre-filtro, per questo, si hanno 4 opzioni per configurare la regola di pre-filtro richiesta:

Configurare una normale regola di prefiltro

Esempio 1 

Configurare una normale regola di prefiltro con l'azione Analyze per consentire il traffico destinato a UDP 3544 con Any come destinazione:

Esempio 2

Configurare una normale regola di prefiltro con l'azione Fastpath per consentire il traffico destinato a UDP 3544 con Any come destinazione:

Configurare una regola di prefiltro del tunnel

Esempio 1 

Configurare una regola di prefiltro del tunnel con l'azione Analizza per consentire il traffico destinato a UDP 3544 con Any come destinazione:

Esempio 2

Configurare una regola di prefiltro del tunnel con l'azione Fastpath per consentire il traffico destinato a UDP 3544 con Any come destinazione:

Nota: Le quattro opzioni di cui sopra sono state confermate per consentire al laboratorio TAC di stabilire il tunnel Teredo (UDP 3544) tramite l'FTD. L'intenzione principale di utilizzare Any come indirizzo IP di destinazione per la configurazione della regola di pre-filtro è dovuta ai diversi indirizzi IP che Xbox può utilizzare per connettersi ai server multiplayer online Microsoft.

Informazioni correlate

• Configurazione e funzionamento dei criteri di prefiltro FTD

• Criteri di prefiltro e filtro

• Porte di rete utilizzate da Xbox Live su Xbox One