Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 1974 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing/Firewall question

petter.olsson
Hi guys,

This is a simplistic view of my current network:



I am trying to allow the 192.168.88.0/24 network access to the AMZN VPC network. If I ping the Astaro unit from 192.168.88.0/24 I see the echo request entering the Astaro unit (using tcpdump) but no replies are sent. What firewall (or other rules) rules would I need to allow the 192.168.88.0/24 full access to the AMZN VPC network?

Currently I have only one Firewall rule and one NAT rule:

Firewall rule: ANY - ANY - ANY
NAT Rule: Internal - External

I should point out that connectivity is working great from the 10.0.0.0/16 network to the AMZN VPC.

Any input is greatly appreciated.

Thanks
Petter


This thread was automatically locked due to age.
  • 0
    Hi, Petter,

    If I ping the Astaro unit from 192.168.88.0/24 I see the echo request entering the Astaro unit (using tcpdump) but no replies are sent.


    Pinging is regulated on the 'ICMP' tab in 'Firewall'.  Also, do you have a static route in the Astaro like '192.168.88.0/24 -> {Untangle 1}'?

    In order for the device in the AMazon VPC to know where to send a response, you have several choices.  For me, the most elegant solution would be to add 192.168.88.0/24 to 'Local Networks' in the IPsec Connection in the Astaro, and make the corresponding change in the Amazon VPC IPsec definition.  I suspect that you also need to do something similar with 10.254.0.0/16 with the IPsec definition between the two Untangles.

    Cheers - Bob
  • 0
    Hi Bob,

    Very helpful response. I forgot I did not have a static route on the Astaro unit so it had no clue how to respond to the ICMP packets it received. I added a static route and the 192.168.88.0/24 network can now ping the Astaro unit. Now what is left is to have the users coming from the same network be able to access the AMZN VPC. Any ideas around that? I can not seem to find this 'Local Networks' when using an Amazon IPSec.

    Thanks
    Petter
  • 0
    I can not seem to find this 'Local Networks' when using an Amazon IPSec.

    Oops! I hadn't internalized that you were using this new 'Amazon VPC' functionality. [[;)]]

    I haven't configured one of these yet, but I know there's a point where you tell it what your LANs are - just add the 192.168.88.0/24 there where you now have only 10.0.0.0/16 and then re-import the config file to the Astaro.

    It looks complex, but it's just making sure that each device knows the next-hop for traffic you want to enable.

    Cheers - Bob
    PS Danke, det hat Schpaß jemacht ! (If I remember my Berlinerisch! [[;)]])
  • 0
    Hmm, this is becoming interesting. So in the XML file I get from Amazon there is nothing listed about my internal network at all. I can not even see my 10.0.0.0/16 listed. Now, the connection is working as intended I just need to find a way to add this extra network in a way that you describe.

    Thanks
    Petter
  • 0
    I have had issues where I regulate icmp packets in Sophos and the packets still go through.
  • 0
    Also the icmp options in the firewall I have triple verified not to always work properly. I had all options unchecked and pings were still going through. Even after a reboot the pings were going through. Very strange behavior, I have searched everywhere in these forums but have not come across anyone who has had this issue. I'm testing the Sophos UTM product to see if it has the same qualities that our Cisco, Fortinet and Palo Alotos have in our various sites. Unfortunately it will be a hard sell to my director if we can't rectify these simple issues.
  • 0
    Hi, dhaman - which version - 9.100-16?  Are you testing on a bridge?  What firewall rules do you have?

    Cheers - Bob