Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 3163 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Amazon EC2 secondary IP address

adriand
Hello,

We have deployed a test Sophos UTM v9 in Amazon AWS (micro instance for testing).

All good; Sophos in a public subnet with an associated elastic IP address. Got some servers behind it (we have a VPC, Sophos connected to a public subnet, VPC servers to a private subnet); Amazon Sophos is connected to our corporate Astaro with an IPsec s2s. Our datacenter servers can connect with the VPC servers and vice versa over the s2s tunnel.

With the associated elastic IP we can successfully DNAT and access from the Internet the VPC servers behind Sophos.

I added a secondary "public" IP address to the Sophos instance and "bound" it to another elastic IP address in order to do a full DNAT to a VPC server.

But I cannot assign the "public" IP address to Sophos UTM; when I try to add the additional IP within GUI, it says "The cable modem interface object 'Internal' is write protected."

This is pretty much a show killer as limits very much the Sophos usability in this scenario (unless we add extra interfaces, but this overcomplicates things).

Is this a micro instance limitation or a Sophos limitation ?

Thanks,
Adrian


This thread was automatically locked due to age.
  • 0
    Hi, Adrian,

    Isn't this a limitation of EC2?  Why not connect from your corporate Astaro directly using its VPC connector?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Its more a safety feature [;)] The idea is that you can't lockout yourself whatever you configure, eth0 will always be DHCP client.

    Yes, we should shorten that limitation. Back when I added that feature there were no additional addresses configurable on EC2.

    As a workaround, add a secondary Interface via EC2 to the instance and configure the additional IP address as /32 via WebAdmin on the second interface. It doesn't matter if its on another ethX interface, the UTM will respond on the first interface for that address too.

    Note: Please switch to small instances for productive systems. The UTM doesn't perform well with less than 1GB of memory.
  • 0
    Hello,

    Bob, with Astaro in EC2 we can protect the private servers and provide Internet access to them; since the Astaro is already there there is no reason to pay for the extra Amazon VPC connector and we have better control over the s2s.

    da_merlin, will try the workaround. A cool part with EC2 is that elastic IPs are free as long they are bound to an instance -> free static public IP addresses [:)]
    Yes, will switch to an appropriate instance for production.

    Btw, there are two AMI images: one with shop cart (payed) and a free one.
    What is the diff between them: on free one we can buy the license we need and use it there while the payed one already includes needing license and we pay only for the time we use it ?

    Thanks,
    Adrian
  • 0
    Both AMI images are the same. The marketplace AMI is BYOL, so it cost the same as the non-marketplace AMI. Maybe the will be an marketplace AMI with integrated license in the future, but nothing planned yet...

    Cheers
     Ulrich
Cookie Information Banner