Tráfego Multi-Player Online Xbox Live (Teredo Tunnel UDP 3544) Bloqueado por FTD

Opções de download

  • PDF     (516.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (516.3 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (367.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:27 de julho de 2018
ID do documento:213520

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve um problema visto para permitir que os usuários acessem o recurso de vários jogadores online do Xbox ao vivo do Xbox quando conectados por trás de um sensor FTD (FirePower Threat Defense). Sempre que tenta estabelecer uma ligação multijogador online a partir da Xbox, não funciona através do sensor FTD.

    Esse problema ocorre após a migração dos serviços de firewall de um Cisco ASA (Adaptive Security Appliance) para um FirePower com FTD.

    O principal objetivo deste documento é explicar como permitir que o tráfego Xbox de vários jogadores online (Teredo tunnel UDP 3544) funcione através do FTD.

    Contribuído por Christian G. Hernandez R., Engenheiro do TAC da Cisco.

    Prerequisites

    Requirements

    A Cisco recomenda que você conheça a configuração das regras de pré-filtro do Cisco FirePower.

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Cisco FMC (FirePower Management Center) v6.2.3.1
    • Cisco FTD v6.2.3.1

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    O recurso multiplayer online Xbox estabelece um túnel Teredo que usa a porta UDP 3544, como confirmado no próximo documento do Microsoft Xbox:

    Portas de rede usadas pelo Xbox Live no Xbox One

    Problema: Tráfego Multi-Player Online Xbox Live (Teredo Tunnel UDP 3544) Bloqueado por FTD

    Confirmado, os sensores FTD bloqueiam o tráfego de multijogadores online Xbox (Teredo tunnel UDP 3544) se você não usar as regras de pré-filtro padrão de fábrica do FMC:

    Política de pré-filtro padrão vista na GUI do FMC (Graphic User Interface):

    Política de pré-filtro padrão vista de um sensor FTD CLI (Command Line Interface):

    > show access-list 
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list CSM_FW_ACL_; 8 elements; name hash: 0x4a69e3f3
access-list CSM_FW_ACL_ line 1 remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy
access-list CSM_FW_ACL_ line 2 remark rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE
access-list CSM_FW_ACL_ line 3 advanced permit ipinip any any rule-id 9998 (hitcnt=0) 0xf5b597d6 
access-list CSM_FW_ACL_ line 4 advanced permit 41 any any rule-id 9998 (hitcnt=0) 0x06095aba 
access-list CSM_FW_ACL_ line 5 advanced permit gre any any rule-id 9998 (hitcnt=0) 0x52c7a066 
access-list CSM_FW_ACL_ line 6 advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998 (hitcnt=0) 0x46d7839e access-list CSM_FW_ACL_ line 7 advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998 (hitcnt=0) 0xaf1d5aa5

    Note: As regras de pré-filtro acima das linhas 6 e 7 são as regras de pré-filtro padrão destinadas a permitir o tráfego UDP 3544 do túnel Teredo através do FTD.

    Mas o problema é que um FTD que não usa a regra de pré-filtro padrão de fábrica, bloqueia ou bloqueia o tráfego UDP 3544 on-line do Xbox que vem do Xbox, isso é confirmado com a ajuda de uma captura de pacote ASP (Accelerated Security Path) aplicada no FTD, da seguinte forma:

    firepower# capture asp type asp-drop all
    firepower# show cap asp | i x.x.x.x
    50243: 16:23:03.023054 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
    51622: 16:23:04.023253 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
    53990: 16:23:06.023588 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
    58785: 16:23:10.024367 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
    69006: 16:23:18.025145 x.x.x.x.3074 > y.y.y.y.3544: udp 61
    89783: 16:23:34.026716 x.x.x.x.3074 > y.y.y.y.3544: udp 61

    Note: Você pode tentar permitir esse tráfego através do FTD com um ACP (Access Control Policy) configurado para permitir o tráfego UDP 3544; depois disso, você confirmará que as mesmas quedas de ASP serão vistas na CLI do FTD.

    Solução

    Para permitir o tráfego de vários jogadores online (Teredo tunnel UDP 3544) do Xbox através do FTD, você precisa configurar uma regra de pré-filtro; para isso, você tem 4 opções para configurar a regra de pré-filtro necessária:

    Configurar uma regra de pré-filtro normal

    Exemplo 1 

    Configure uma regra de pré-filtro normal com a ação Analisar para permitir o tráfego destinado ao UDP 3544 com Qualquer como destino:

    Exemplo 2

    Configure uma regra de pré-filtro normal com a ação Fastpath para permitir o tráfego destinado ao UDP 3544 com Any como destino:

    Configurar uma regra de pré-filtro de túnel

    Exemplo 1 

    Configure uma regra de pré-filtro de túnel com a ação Analisar para permitir o tráfego destinado ao UDP 3544 com Qualquer como destino:


    Exemplo 2

    Configure uma regra de pré-filtro de túnel com ação Fastpath para permitir o tráfego destinado ao UDP 3544 com Any como destino:

    Note: As 4 opções mencionadas acima estão comprovadamente funcionando bem no laboratório do TAC para permitir que o túnel Teredo (UDP 3544) seja estabelecido através do FTD. A principal intenção de usar Any como endereço IP de destino para a configuração de regra de pré-filtro é devido aos diferentes endereços IP que o Xbox pode usar para se conectar aos servidores de vários jogadores online da Microsoft.

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Christian G Hernandez R
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos