Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 5401 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing from remote network to AWS subnet

coe521
We are setting up AWS with Sophos UTM as our firewall. We successfully setup the public and private subnets ans we followed the instructions given in the video that Sophos have provided. So far Sophos UTM is working in AWS.

We enhanced it by setting up a site to site VPN connection from on premise to AWS. We can reached the machines residing in AWS private subnet from on premise machines (our office). Here's the challenging part on our side. We have a third subnet called "Admin Subnet" in AWS. The private subnet and Admin subnet can see each other but we cannot ping any machine in Admin subnet from on premise machines.

Here are the information of what we have.

VPC: 10.16.0.0/20
Public subnet: 10.16.0.0/24
Private subnet: 10.16.1.0/24
Admin subnet: 10.16.5.0/24
On Premise network: 10.20.8.0/21

UTM

Firewall (Allowed: ping, rdp, http, https)

On premise (10.20.8.0/21) ---> AWS VPC (10.16.0.0/20)

IPSEC

Connections: Local Networks (10.16.0.0/20), Remote Gateway (Gateway: public IP of on premise, Remote Network: 10.20.8.0/21)  

Amazon VPC

Network ACL: all traffic is allowed from and to 10.20.8.0/21
Security Group: All traffic is allowed from and to 10.20.8.0/21

We also tried to change the subnet of internal interface of UTM to bigger subnet (/20) but we are still getting "destination host unreacheable" when we ping a machine in AWS Admin subnet from on premise machine.

May I know what are the possible issue/s in our configuration?


This thread was automatically locked due to age.
  • 0
    Moved thread to "Management, Networking, Logging and Reporting" since it is not related to the original forum "UTM Manager (Formerly ACC)".
  • 0
    Hi, and welcome to the User BB!

    Is this a UTM in your office connected via IPsec to a UTM in your VPC or a UTM in your office with an Amazon Virtual Private Cloud configuration imported via the 'Setup' tab in 'Amazon AWS'?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    This a UTM in AWS connected to Cisco firewall in our office. We used IPSEC to connect the two networks.

    Thanks, Coe521
  • 0
    Bob, BTW, during the time that we asked help via this thread, we managed to make it working by changing the the allowed subnet in our on premise firewall and adding a static route in the UTM machine.

    This is the static route that we added. 

     route add -net 10.16.5.0 netmask 255.255.255.0 dev eth1

    It is working fine after that changes. However, after 2 weeks or more one of the staff reported that the 10.16.5.x network is not accessible in our on prem network.

    There's no changes happened for the past weeks. I checked the ACL in AWS VPC and all access needed are still allowed.

    At the moment, I can only ping 10.16.5.0 network from UTM machine if I add static route as below.

    route add -net 10.16.5.0 netmask 255.255.255.0 gw 10.16.1.1 dev eth1

    10.16.1.1 is the default gateway in AWS VPC going to 10.16.5.0 subnet. But when I use the 10.16.1.5 (UTM eth1), I cannot ping 10.16.5.0 network.

    Thanks in advance, Coe521
  • 0
    "route add -net 10.16.5.0 netmask 255.255.255.0 dev eth1" - you added that at the command line in the UTM in your VPC?

    I'm wondering now if you don't have a misconfiguration in the UTM's IPsec Connection.  Please click on [Go Advanced] and attach a picture of that open in Edit mode.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Yes Bob I have added that in the static route of the UTM (AWS instance). When I added a static route in the first time I configured UTM, it worked for about more than 2 weeks. After that it doesn't work.

    Note:

    10.16.0.5 (UTM NIC facing public) - this is on 10.16.0.0/24 subnet
    10.16.1.5 (UTM NIC facing private network - this is on 10.16.1.0/24 subnet

    We can reached both networks from on premise. The problem is the third subnet in AWS.

    10.16.5.0 network - I cannot reached it from on premise network. When I ping a machine in this subnet, I will receive "Destination Host Unreacheable".

    See attached "connection" and "remote gateway" configuration screenshots.
  • 0
    Hi Bob,

    Any feedback?

    Thanks,

    coe521
  • 0
    Any help from other members is highly appreciated? Thank you.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?