Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1395 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

connect Amazon VPC to LAN

noregrets
We are running version 8.306 on our ASG 220s.  I just set up an Amazon VPC and established the site-to-site VPN connection on our ASGs by using the config file Amazon provides for download.  The VPN connection is up and running fine.  However, I'm not clear on how to make the VPC available to our internal LAN and vice versa.  I've been searching the forum and documentation, but haven't come across any how-tos or something similar.  I would appreciate it if someone could point me in the right direction.

Thanks!


This thread was automatically locked due to age.
  • 0
    On the Amazon VPC site you have to adjust the routing tables and route your LAN network to your customer gateway. This is not ASG related, for more information see the Amazon documentation...

    Cheers
     Ulrich
  • 0 in reply to da_merlin
    I'll add that you probably also will need to tweak the security profiles, etc. of your VPN items (EC2 instances, etc.) as well... as Ulrich says, this is all stuff that has to be done on the Amazon side; there are docs on Amazon's site covering those details.

    Of course, you also need to define any necessary packet filter (firewall) rules on the UTM side for traffic going to / from the VPN over the VPN connection.
  • 0
    Thanks for the guidance, you were both correct.  The routing tables for the VPC do need to have the appropriate routes set up and the network ACLs/security groups for the VPC also need to be set up.  The nice thing is that a lot of that is done for you if you use Amazon's wizard to create the VPC and Astaro VPN connection.  I also had to define firewall rules on the UTM to allow traffic to/from our Amazon VPN connection.  

    In order to create the UTM firewall rules, I first had to create a network definition on the UTM for the subnet residing in our Amazon VPC.  While creating the definition, I expected to see an interface for the Amazon VPN connection that I could bind it to, but I had to bind it to > in order for it it work.  Is that correct?  After I created the definition, all I had to do is create a firewall rule on the UTM allowing traffic from that defined subnet (a subnet in our Amazon VPC) to reach our internal LAN.  Then I could resolve host names, join EC2 instances to our domain, etc.

    Everything seems to be working, but I would appreciate your opinion on whether or not I set up the network definition in the UTM correctly by binding it to > interface.

    Thanks!
  • 0
    That's the right way to leave all such definitions. 

    Cheers - Bob
  • 0 in reply to BAlfson
    Never use the interface binding feature, except in rare situations.  It often causes more problems than it solves if used randomly.