Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 5403 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing from remote network to AWS subnet

coe521
We are setting up AWS with Sophos UTM as our firewall. We successfully setup the public and private subnets ans we followed the instructions given in the video that Sophos have provided. So far Sophos UTM is working in AWS.

We enhanced it by setting up a site to site VPN connection from on premise to AWS. We can reached the machines residing in AWS private subnet from on premise machines (our office). Here's the challenging part on our side. We have a third subnet called "Admin Subnet" in AWS. The private subnet and Admin subnet can see each other but we cannot ping any machine in Admin subnet from on premise machines.

Here are the information of what we have.

VPC: 10.16.0.0/20
Public subnet: 10.16.0.0/24
Private subnet: 10.16.1.0/24
Admin subnet: 10.16.5.0/24
On Premise network: 10.20.8.0/21

UTM

Firewall (Allowed: ping, rdp, http, https)

On premise (10.20.8.0/21) ---> AWS VPC (10.16.0.0/20)

IPSEC

Connections: Local Networks (10.16.0.0/20), Remote Gateway (Gateway: public IP of on premise, Remote Network: 10.20.8.0/21)  

Amazon VPC

Network ACL: all traffic is allowed from and to 10.20.8.0/21
Security Group: All traffic is allowed from and to 10.20.8.0/21

We also tried to change the subnet of internal interface of UTM to bigger subnet (/20) but we are still getting "destination host unreacheable" when we ping a machine in AWS Admin subnet from on premise machine.

May I know what are the possible issue/s in our configuration?


This thread was automatically locked due to age.
Parents
  • 0
    Bob, BTW, during the time that we asked help via this thread, we managed to make it working by changing the the allowed subnet in our on premise firewall and adding a static route in the UTM machine.

    This is the static route that we added. 

     route add -net 10.16.5.0 netmask 255.255.255.0 dev eth1

    It is working fine after that changes. However, after 2 weeks or more one of the staff reported that the 10.16.5.x network is not accessible in our on prem network.

    There's no changes happened for the past weeks. I checked the ACL in AWS VPC and all access needed are still allowed.

    At the moment, I can only ping 10.16.5.0 network from UTM machine if I add static route as below.

    route add -net 10.16.5.0 netmask 255.255.255.0 gw 10.16.1.1 dev eth1

    10.16.1.1 is the default gateway in AWS VPC going to 10.16.5.0 subnet. But when I use the 10.16.1.5 (UTM eth1), I cannot ping 10.16.5.0 network.

    Thanks in advance, Coe521
Reply
  • 0
    Bob, BTW, during the time that we asked help via this thread, we managed to make it working by changing the the allowed subnet in our on premise firewall and adding a static route in the UTM machine.

    This is the static route that we added. 

     route add -net 10.16.5.0 netmask 255.255.255.0 dev eth1

    It is working fine after that changes. However, after 2 weeks or more one of the staff reported that the 10.16.5.x network is not accessible in our on prem network.

    There's no changes happened for the past weeks. I checked the ACL in AWS VPC and all access needed are still allowed.

    At the moment, I can only ping 10.16.5.0 network from UTM machine if I add static route as below.

    route add -net 10.16.5.0 netmask 255.255.255.0 gw 10.16.1.1 dev eth1

    10.16.1.1 is the default gateway in AWS VPC going to 10.16.5.0 subnet. But when I use the 10.16.1.5 (UTM eth1), I cannot ping 10.16.5.0 network.

    Thanks in advance, Coe521
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?