Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 4471 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos Amazon VPC/EC2 install

kindnation
I am testing the Sophos AMI in Amazon VPC with two networks (WAN, SSN) and trying to run a debian host behind it.

Sophos is connected through the Internet gateway, and is working properly.  

In the subnet protected by Sophos (SSN), the debian host is pointing it's gateway at the Sophos UTM's SSN interface.  The debian host and the Sophos UTM interfaces are in the same (SSN) subnet, with masquerading the SSN out through the WAN interface.   I am using the HTML 5 VPN Portal to ssh to the debian host, and it connects fine.  I can ping from the host to the Sophos SSN interface but cannot ping anything beyond it.

When I try to apt-get update from debian, I can see that it resolves the IP, but it looks like it is trying to route over IPv6 and can't connect.


Err Debian mirrors HTTP redirector squeeze Release.gpg
Cannot initiate the connection to http.debian.net:80 (2a01:4f8:131:152b::42). - connect (101: Network is unreachable) [IP: 2a01:4f8:131:152b::42 80]
Err Index of /debian/ squeeze/main Translation-en
Cannot initiate the connection to http.debian.net:80 (2a01:4f8:131:152b::42). - connect (101: Network is unreachable) [IP: 2a01:4f8:131:152b::42 80]
Ign Debian mirrors HTTP redirector squeeze Release
Err Debian mirrors HTTP redirector squeeze/main Sources 

The security profiles and ACLs on the subnets are set to allow all for incoming and outgoing in the VPC.

Anyone have any ideas?


This thread was automatically locked due to age.
  • 0
    Hi, and welcome to the User BB!

    How does the Debian instance get DNS for IPv6?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi, and welcome to the User BB!

    How does the Debian instance get DNS for IPv6?

    Cheers - Bob


    Thanks for the welcome Bob.  I currently have this same setup hosting from VMware Fusion hosting from home and everything works perfectly.   I figured I would test out Amazon's VPC/EC2 with micro instance to test Sophos' performance with the free instance. 

    Everything is configured exactly the same.  I set the Debian interface in /etc/network/interfaces and point to the UTM to do DNS and forwarding from Google's NS.

    If you don't mind taking a look around I can give you remote access to user portal and access the server.  It's just the fresh install of Debian behind the UTM so feel free to do whatever you want.
  • 0
    We might do that.  First, try disabling IPv6 in the UTM instance.  Also, take a look at DNS Best Practice.

    Cheers - Bob
  • 0
    It's a non-production system and I wanted to test how well Sophos performs with the micro instance.  

    In the VMware environment I gave it just 512M ram and 15 Gig HD.  The Amazon micro instance is 2 compute units, 640M ram and 30 gig of EBS storage.  I'm running VMware Fusion.

    The VMware is rock solid with CPU levels below 10%.  The Amazon micro hits 100% CPU utilization very often and makes it unresponsive to pings often.  :-(

    I'll give you access to my Amazon and the Sophos instance so you check the routing and configuration.  I'm wondering if Amazon blocks routing devices in the VPC?  If it works, it might be a feasible solution for people to host their own personal blog with Amazon.  But the performance is still a huge question mark.
  • 0 in reply to kindnation
    The Micro instance is free for the first year, and if you pay for reserved instance, it's .012/hour, or ~$105/per year.  Having Sophos UTM and an additional micro instance for a server would end up being just ~$105 for the first year, and ~$210/year for the following year.

    The Amazon micro instance seems to be an attractive price point for entry. It would be a viable choice for someone who wanted to protect their personal blog/mail, etc with Sophos.  Less than $9/month for the first year, or less than $18/month for the second year.

    So my caveat is that there's issues with performance and also I still haven't figured out why I can't use the Sophos as a gateway for the debian host.  

    Here's the hardware/log for Sophos running on Amazon (micro instance) and Sophos running in VMware:

    Sophos-Amazon_micro.jpg

    Sophos on Amazon VPC/Micro instance

    vs.


    Sophos-VMware.jpg

    Sophos on VMware Fusion, running on my laptop.

    I am running the 32-bit version of Sophos in VMware, and perhaps that is the issue, since the Amazon micro instance only has 640 megs of RAM, but is running the 64-bit version.  Perhaps someone from Astaro/Sophos could add a 32-bit Sophos AMI for running on the micro instance?
  • 0 in reply to BAlfson
    We might do that.  First, try disabling IPv6 in the UTM instance.  Also, take a look at DNS Best Practice.

    Cheers - Bob


    Sorry, back to what you were saying... It's possible that DNS is the issue, but I can't even ping outside of this subnet.  I can ping the Sophos network interface in the subnet (that I want to point as my gateway), but nothing is going through the gateway.  I already configured masquerading for the host.

    I'm not sure if I set up the routing on Amazon VPC correctly; the Sophos eth0 interface is in subnet1, and I associated the elastic IP and using the Internet gateway for the gateway.  Sophos eth1 is in subnet 2.  The debian host is also in subnet 2, and pointing to the Sophos eth1 interface as the gateway, but nothing is going through.
  • 0 in reply to kindnation
    Make sure you turn off source/destination checking for each ENI bound to the Sophos UTM Instance.  Also, a Micro instance for the UTM is not powerful enough... you will probably end up with at least the m1.small instance type.
  • 0 in reply to BrucekConvergent
    Make sure you turn off source/destination checking for each ENI bound to the Sophos UTM Instance.  Also, a Micro instance for the UTM is not powerful enough... you will probably end up with at least the m1.small instance type.



    I disabled the source/destination checking as well as put all devices in the same group that allows all traffic.  The server was still unable to point to Astaro as the gateway, but could ping the interface.  

    I ended up just killing it.  The Micro instance is unusable with 100% spikes throughout the day without any activity.  I also want to mention that you are charged .10 per 1000000 I/O on the EBS, which was close to .80 per day.  The hidden costs along with performance makes the Micro instance an unattractive option.  Choosing a larger instance might make running Sophos possible but costs are driven even higher with a larger instance.
  • 0 in reply to kindnation
    "Hidden" costs?  AWS details what they charge for pretty well... but it is a lot to read and comprehend the first time you use it [:)]

    As for the UTM, yes, I recommend using at least the m1.small instance type, as a minimum -- and it's very easy to implement, and I've found that the Sophos solution on AWS is very cost competitive with some of the other UTM / Security offerings in the AWS cloud; as with everything IT, there is a bit of a learning curve with AWS though.