Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 4515 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos Amazon VPC/EC2 install

kindnation
I am testing the Sophos AMI in Amazon VPC with two networks (WAN, SSN) and trying to run a debian host behind it.

Sophos is connected through the Internet gateway, and is working properly.  

In the subnet protected by Sophos (SSN), the debian host is pointing it's gateway at the Sophos UTM's SSN interface.  The debian host and the Sophos UTM interfaces are in the same (SSN) subnet, with masquerading the SSN out through the WAN interface.   I am using the HTML 5 VPN Portal to ssh to the debian host, and it connects fine.  I can ping from the host to the Sophos SSN interface but cannot ping anything beyond it.

When I try to apt-get update from debian, I can see that it resolves the IP, but it looks like it is trying to route over IPv6 and can't connect.


Err Debian mirrors HTTP redirector squeeze Release.gpg
Cannot initiate the connection to http.debian.net:80 (2a01:4f8:131:152b::42). - connect (101: Network is unreachable) [IP: 2a01:4f8:131:152b::42 80]
Err Index of /debian/ squeeze/main Translation-en
Cannot initiate the connection to http.debian.net:80 (2a01:4f8:131:152b::42). - connect (101: Network is unreachable) [IP: 2a01:4f8:131:152b::42 80]
Ign Debian mirrors HTTP redirector squeeze Release
Err Debian mirrors HTTP redirector squeeze/main Sources 

The security profiles and ACLs on the subnets are set to allow all for incoming and outgoing in the VPC.

Anyone have any ideas?


This thread was automatically locked due to age.
Parents
  • 0
    We might do that.  First, try disabling IPv6 in the UTM instance.  Also, take a look at DNS Best Practice.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    We might do that.  First, try disabling IPv6 in the UTM instance.  Also, take a look at DNS Best Practice.

    Cheers - Bob


    Sorry, back to what you were saying... It's possible that DNS is the issue, but I can't even ping outside of this subnet.  I can ping the Sophos network interface in the subnet (that I want to point as my gateway), but nothing is going through the gateway.  I already configured masquerading for the host.

    I'm not sure if I set up the routing on Amazon VPC correctly; the Sophos eth0 interface is in subnet1, and I associated the elastic IP and using the Internet gateway for the gateway.  Sophos eth1 is in subnet 2.  The debian host is also in subnet 2, and pointing to the Sophos eth1 interface as the gateway, but nothing is going through.
  • 0 in reply to kindnation
    Make sure you turn off source/destination checking for each ENI bound to the Sophos UTM Instance.  Also, a Micro instance for the UTM is not powerful enough... you will probably end up with at least the m1.small instance type.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Reply
  • 0 in reply to kindnation
    Make sure you turn off source/destination checking for each ENI bound to the Sophos UTM Instance.  Also, a Micro instance for the UTM is not powerful enough... you will probably end up with at least the m1.small instance type.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Children
  • 0 in reply to BrucekConvergent
    Make sure you turn off source/destination checking for each ENI bound to the Sophos UTM Instance.  Also, a Micro instance for the UTM is not powerful enough... you will probably end up with at least the m1.small instance type.



    I disabled the source/destination checking as well as put all devices in the same group that allows all traffic.  The server was still unable to point to Astaro as the gateway, but could ping the interface.  

    I ended up just killing it.  The Micro instance is unusable with 100% spikes throughout the day without any activity.  I also want to mention that you are charged .10 per 1000000 I/O on the EBS, which was close to .80 per day.  The hidden costs along with performance makes the Micro instance an unattractive option.  Choosing a larger instance might make running Sophos possible but costs are driven even higher with a larger instance.
  • 0 in reply to kindnation
    "Hidden" costs?  AWS details what they charge for pretty well... but it is a lot to read and comprehend the first time you use it [:)]

    As for the UTM, yes, I recommend using at least the m1.small instance type, as a minimum -- and it's very easy to implement, and I've found that the Sophos solution on AWS is very cost competitive with some of the other UTM / Security offerings in the AWS cloud; as with everything IT, there is a bit of a learning curve with AWS though.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Cookie Information Banner