Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 7829 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to route traffic originating on UTM to server in Amazon VPC?

thedukeness
I want to do DNS request routing to a DNS server located in an Amazon VPC.  I have the Amazon VPC Site-to-Site VPN set up.  My SSL Remote Access users can access the resources on the VPC.  The problem is the UTM itself can't ping ips in the VPC.

I ssh into the UTM as loginuser and ping a server in the VPC, then I run tcpdump on that server and I get this result:

18:33:51.204157 IP 169.254.254.74 > 10.6.30.201: ICMP echo request, id 20818, seq 59, length 64
18:33:51.204192 IP 10.6.30.201 > 169.254.254.74: ICMP echo reply, id 20818, seq 59, length 64

So the problem is traffic originating on the UTM is reporting a link local address to stuff in the VPC.  Is there a way to make this work?  I'd like the traffic to come from the internal interface or at least a real ip.


This thread was automatically locked due to age.
Parents
  • 0
    Sophos support helped me to solve this problem.  Here is what you need to do if anyone else runs into this.

    1. ssh into the UTM and run ifconfig to get both gateway IPs for the AWS VPN.  They are the vpc0.0 and vpc0.1 interfaces.

    2. Create two SNAT rules, one for each gateway IP, where traffic from the gateway IP to the remote network has its source changed to the interface within the local subnet you enabled route propagation for.
Reply
  • 0
    Sophos support helped me to solve this problem.  Here is what you need to do if anyone else runs into this.

    1. ssh into the UTM and run ifconfig to get both gateway IPs for the AWS VPN.  They are the vpc0.0 and vpc0.1 interfaces.

    2. Create two SNAT rules, one for each gateway IP, where traffic from the gateway IP to the remote network has its source changed to the interface within the local subnet you enabled route propagation for.
Children
No Data
Unfiltered HTML