Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 2 subscribers
  • Views 9508 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos-Astaro on Amazon EC2

closer46
Hi,

We managed a lot of hardware Sophos-Astaro, but now we'd like to create our first in the amazon cloud. But how?


I read this blogpost: You, Us, and the Amazon Cloud by Angelo Comazzetto


But i don't understand how it works exactly.
I know how can i creat a ec2 vm. i installed a utm9 on ec2 with "ami-b71713c3", but how can i control the server behind the firewall.


how can i build this szenario in the amazon cloud?
[URL="http://picload.org/image/aailwio/ec2_astaro.jpg"]
[/URL]


Witch VPC i have to create? "VPC with a Single Public Subnet Only" ?




thanks for help


This thread was automatically locked due to age.
  • 0
    You may need to read more about Amazon EC2/VPC ... the Sophos UTM works just the same in EC2 as any other system -- look for networking guides for VPC/EC2 on Amazon.

    One thing; yeah, you'll need more than one subnet, and you will need to setup the EC2 image with 2 (you'll need to add one) ENIs.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    I have to admit that I don't have anything other than a UTM instance configured in EC2.

    Bruce, about needing a second ENI for the UTM instance - if he has two separate VMs, is there any reason he can't use the public IP of the AD server in his configuration in the UTM?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Okay, i creat a new installation.
    here some screenshots, maybe you can see the failure.

    sorry i have to create 4 posts, because just 4 pictures per post 

    1. create a new VPC




    2. add a new subnet




    3. create a new ec2 virtual machine



  • 0
    4. put it in the vpc network

    [URL="http://picload.org/image/aapalcp/utm9_on_aws_05.png"]
    [/URL]


    5. add a second nic (eth1)

    [URL="http://picload.org/image/aapalig/utm9_on_aws_06.png"]
    [/URL]


    6. the the ip adress

    dhcp
    eth0 = 10.10.10.50
    eth1 = 10.10.11.50

    [URL="http://picload.org/image/aapalid/utm9_on_aws_07.png"]
    [/URL]

    [URL="http://picload.org/image/aapalio/utm9_on_aws_08.png"]
    [/URL]
  • 0
    7. add a windows 2012 server

    i also added a windows server 2012 in the vpc 10.10.11.0 with the ip 10.10.11.60




    8. add an elastic ip

    i added the fix ip adress to the 10.10.10.0 network to ip 10.10.10.50, thats the ip of the utm0 eth0




    9. the security group allow everything

    i'd like to controll all the traffic with the utm, so i allow everything in the vpc network.

  • 0
    10. sophos-astaro interfaces

    it looks okay, the interfaces have the correct ip

    [URL="http://picload.org/image/aapalpd/utm9_on_aws_12.png"]
    [/URL]


    11. firewall / nat

    so, i'd like to connect with rdp to the windows server 2012.
    new nat with that config



    firewall roule

    [URL="http://picload.org/image/aapacii/utm9_on_aws_14.png"]
    [/URL]

    masquerading
    [URL="http://picload.org/image/aapaciw/utm9_on_aws_15.png"]
    [/URL]


    thats my astaro and the windows server.
    but i can't connect by rdp.

    anybody know why?

    thanks!
  • 0
    We can't know if external links are safe, so, in the future, when attaching pictures, please [Go Advanced] and upload them to this BB.  I opened these in a sandbox, and they are malware-free at the moment.

    I can't answer your question, but some observations...

    As I said above, it's not clear to me why you need a second interface in the UTM; I would have preferred a single IP for the UTM and a fixed, public IP for each instance.  I'd think just a security group for the WinServer allowing only traffic from the UTM and outbound traffic to request Windows Updates.  I'd put a Full NAT at the UTM for RDP.

    In your present solution, I don't see why you need to masquerade, and I wonder if it isn't part of the problem.  Your Firewall rule 1 has no effect.  In your DNAT, since you aren't changing the service, you should leave that empty - it's not important here, but it's a good habit since sometimes it does (service groups or ranges). 

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    As I said above, it's not clear to me why you need a second interface in the UTM; I would have preferred a single IP for the UTM and a fixed, public IP for each instance.  I'd think just a security group for the WinServer allowing only traffic from the UTM and outbound traffic to request Windows Updates.  I'd put a Full NAT at the UTM for RDP.


    Hi Bob

    Thanks for your post!
    I don't understand it exactly.
    I created a second interface for the utm, that i controll the traffic from the internet to the second subnet, were the server are, like a normal utm installation. WAN with the public ip and a lan with just private ip adresses.

    but how can i control the traffic to the windows server, if the utm have just one ip?

    do you have this szenario in a productive installation and it works?


    thanks
  • 0
    I don't have the whole thing combined in one place, but these are all elements that are working in the real world.
    but how can i control the traffic to the windows server, if the utm have just one ip?

    I think two things are required.  In the WinServer instance, use a security group that only allows traffic to and from the public IP of the UTM instance and traffic from other machines in your VPC.  In the UTM create a NAT rule with automatic firewall rule:

    Full NAT: {group of allowed IPs} -> RDP -> Internal (Address) : from {public IP of UTM} to {public IP of WinSvr}


    This solution doesn't require a second interface for the UTM, and no masquerading is necessary.  In fact, this could be done with two instances in EC2.

    However, that doesn't use the VPC capability of the UTM.  I guess Bruce was thinking about that instead of the limited requirement you had of controlling the Windows Server.

    I just looked for the first time at the diagram in your first post (I usually don't click on external links unless I have the page open in a sandbox).  To do what you want is possible, but you'll need to import the VPC configuration into the UTM under 'Site-to-Site VPN'.  I don't think masquerading is needed.  I think the second ENI Bruce mentioned is because a VPC always uses a redundant connection, but he definitely has more experience with that.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob

    Thanks for your help! I tested this without VPC and Full NAT.

    In the UTM create a NAT rule with automatic firewall rule:

    Full NAT: {group of allowed IPs} -> RDP -> Internal (Address) : from {public IP of UTM} to {public IP of WinSvr}




    Like you said, this is my roule


    But it doesn't work.
    I also tested it with an other server in my own premise network, but the full nat roule doesn't work...

    It looks right! And i think this is a realy good idea to realize my szenario, but this full nat roule...hmm

    do you see the failure?

    Thanks
Cookie Information Banner