Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 2 subscribers
  • Views 9510 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos-Astaro on Amazon EC2

closer46
Hi,

We managed a lot of hardware Sophos-Astaro, but now we'd like to create our first in the amazon cloud. But how?


I read this blogpost: You, Us, and the Amazon Cloud by Angelo Comazzetto


But i don't understand how it works exactly.
I know how can i creat a ec2 vm. i installed a utm9 on ec2 with "ami-b71713c3", but how can i control the server behind the firewall.


how can i build this szenario in the amazon cloud?
[URL="http://picload.org/image/aailwio/ec2_astaro.jpg"]
[/URL]


Witch VPC i have to create? "VPC with a Single Public Subnet Only" ?




thanks for help


This thread was automatically locked due to age.
Parents
  • 0
    I don't have the whole thing combined in one place, but these are all elements that are working in the real world.
    but how can i control the traffic to the windows server, if the utm have just one ip?

    I think two things are required.  In the WinServer instance, use a security group that only allows traffic to and from the public IP of the UTM instance and traffic from other machines in your VPC.  In the UTM create a NAT rule with automatic firewall rule:

    Full NAT: {group of allowed IPs} -> RDP -> Internal (Address) : from {public IP of UTM} to {public IP of WinSvr}


    This solution doesn't require a second interface for the UTM, and no masquerading is necessary.  In fact, this could be done with two instances in EC2.

    However, that doesn't use the VPC capability of the UTM.  I guess Bruce was thinking about that instead of the limited requirement you had of controlling the Windows Server.

    I just looked for the first time at the diagram in your first post (I usually don't click on external links unless I have the page open in a sandbox).  To do what you want is possible, but you'll need to import the VPC configuration into the UTM under 'Site-to-Site VPN'.  I don't think masquerading is needed.  I think the second ENI Bruce mentioned is because a VPC always uses a redundant connection, but he definitely has more experience with that.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob

    Thanks for your help! I tested this without VPC and Full NAT.

    In the UTM create a NAT rule with automatic firewall rule:

    Full NAT: {group of allowed IPs} -> RDP -> Internal (Address) : from {public IP of UTM} to {public IP of WinSvr}




    Like you said, this is my roule


    But it doesn't work.
    I also tested it with an other server in my own premise network, but the full nat roule doesn't work...

    It looks right! And i think this is a realy good idea to realize my szenario, but this full nat roule...hmm

    do you see the failure?

    Thanks
Reply
  • 0 in reply to BAlfson
    Hi Bob

    Thanks for your help! I tested this without VPC and Full NAT.

    In the UTM create a NAT rule with automatic firewall rule:

    Full NAT: {group of allowed IPs} -> RDP -> Internal (Address) : from {public IP of UTM} to {public IP of WinSvr}




    Like you said, this is my roule


    But it doesn't work.
    I also tested it with an other server in my own premise network, but the full nat roule doesn't work...

    It looks right! And i think this is a realy good idea to realize my szenario, but this full nat roule...hmm

    do you see the failure?

    Thanks
Children
No Data
Cookie Information Banner