Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 7818 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to route traffic originating on UTM to server in Amazon VPC?

thedukeness
I want to do DNS request routing to a DNS server located in an Amazon VPC.  I have the Amazon VPC Site-to-Site VPN set up.  My SSL Remote Access users can access the resources on the VPC.  The problem is the UTM itself can't ping ips in the VPC.

I ssh into the UTM as loginuser and ping a server in the VPC, then I run tcpdump on that server and I get this result:

18:33:51.204157 IP 169.254.254.74 > 10.6.30.201: ICMP echo request, id 20818, seq 59, length 64
18:33:51.204192 IP 10.6.30.201 > 169.254.254.74: ICMP echo reply, id 20818, seq 59, length 64

So the problem is traffic originating on the UTM is reporting a link local address to stuff in the VPC.  Is there a way to make this work?  I'd like the traffic to come from the internal interface or at least a real ip.


This thread was automatically locked due to age.
Parents
  • 0
    I think no one has answered because its difficult to "see" your topology.  Also, please confirm that the site-to-site is one where you imported the 'VPC config file' from Amazon.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Gotcha, let me try to give the topology.  First off yes the site-to-site is configured from the imported VPC config file of the Sophos type.

    I have a VPC subnet of 10.6.0.0/16 in AWS which I want to reach from my UTM.  I set up a AWS VPN from my UTM to this VPC subnet using the site-to-site VPN in the UTM.  My propagated networks are the default SSL VPN subnet (10.242.x.x) and 10.2.0.0/16 which is the VPC subnet I have my UTM's public and private interfaces located in.  This UTM is an Amazon AMI.

    If I am connected via SSL VPN to the UTM, I can reach the target 10.6.0.0/16 network fine.  If I check the propagated routes in the 10.6 VPC it shows 10.242.x.x and 10.2.0.0/16 routing to the virtual gateway.

    The problem is that the UTM's DNS request routing does not work if I am trying to resolve using a DNS server located in 10.6.0.0/16.  I ssh'd into the UTM and found I cannot ping 10.6.0.0/16 addresses from the UTM.  I set up tcpdump on a server in the 10.6 network and I found that the ping traffic does reach the server but it can never return because the source ip is a link local address.
Reply
  • 0 in reply to BAlfson
    Gotcha, let me try to give the topology.  First off yes the site-to-site is configured from the imported VPC config file of the Sophos type.

    I have a VPC subnet of 10.6.0.0/16 in AWS which I want to reach from my UTM.  I set up a AWS VPN from my UTM to this VPC subnet using the site-to-site VPN in the UTM.  My propagated networks are the default SSL VPN subnet (10.242.x.x) and 10.2.0.0/16 which is the VPC subnet I have my UTM's public and private interfaces located in.  This UTM is an Amazon AMI.

    If I am connected via SSL VPN to the UTM, I can reach the target 10.6.0.0/16 network fine.  If I check the propagated routes in the 10.6 VPC it shows 10.242.x.x and 10.2.0.0/16 routing to the virtual gateway.

    The problem is that the UTM's DNS request routing does not work if I am trying to resolve using a DNS server located in 10.6.0.0/16.  I ssh'd into the UTM and found I cannot ping 10.6.0.0/16 addresses from the UTM.  I set up tcpdump on a server in the 10.6 network and I found that the ping traffic does reach the server but it can never return because the source ip is a link local address.
Children
No Data
Unfiltered HTML