How to route traffic originating on UTM to server in Amazon VPC?

I think no one has answered because its difficult to "see" your topology.  Also, please confirm that the site-to-site is one where you imported the 'VPC config file' from Amazon.

Cheers - Bob

Gotcha, let me try to give the topology.  First off yes the site-to-site is configured from the imported VPC config file of the Sophos type.

I have a VPC subnet of 10.6.0.0/16 in AWS which I want to reach from my UTM.  I set up a AWS VPN from my UTM to this VPC subnet using the site-to-site VPN in the UTM.  My propagated networks are the default SSL VPN subnet (10.242.x.x) and 10.2.0.0/16 which is the VPC subnet I have my UTM's public and private interfaces located in.  This UTM is an Amazon AMI.

If I am connected via SSL VPN to the UTM, I can reach the target 10.6.0.0/16 network fine.  If I check the propagated routes in the 10.6 VPC it shows 10.242.x.x and 10.2.0.0/16 routing to the virtual gateway.

The problem is that the UTM's DNS request routing does not work if I am trying to resolve using a DNS server located in 10.6.0.0/16.  I ssh'd into the UTM and found I cannot ping 10.6.0.0/16 addresses from the UTM.  I set up tcpdump on a server in the 10.6 network and I found that the ping traffic does reach the server but it can never return because the source ip is a link local address.

10.2.0.0/16 which is the VPC subnet I have my UTM's public and private interfaces located in.

Is the 10.2/16 subnet in AWS or is that your local subnet?  Do you really have more than one UTM interface connected to that subnet?

Cheers - Bob

10.2/16 is in AWS.  To be clear, my UTM is in AWS.  Its the one you get here in the marketplace from Sophos:

https://aws.amazon.com/marketplace/pp/B00DJDRZB2

Within that 10.2/16 which is my VPC in AWS, I have two subnets set up which I use for my two UTM interfaces:

External
10.2.0.0/24 subnet
10.2.0.5 interface address (attached to an elastic ip)

Internal
10.2.10.0/24 subnet
10.2.10.5 interface address (I have this routed to some other VPCs in this same region via VPC peering)

sorry I probably should have said 10.2/16 network instead of subnet earlier

Man, I'm still lost.  You have an 'Amazon VPC' tunnel in a UTM in your VPC, and the UTM is connected via that tunnel to your VPC?  Does that work at all?  I can see that it might work with Remote Access because the users have an IP in a 10.242.x.0/24 subnet.

Cheers - Bob

my UTM is in AWS east.  I'm trying to set up a Amazon VPN from this UTM to Europe AWS.

You have an 'Amazon VPC' tunnel in a UTM in your VPC, and the UTM is connected via that tunnel to your VPC

Is that correct?  If so, then I don't understand how routing could work.

Cheers - Bob

I'm not sure what you mean.  It already works for everything connected to the UTM.  It only doesn't work for traffic originating on the UTM itself.

Isn't that because the traffic in the VPC doesn't transit the UTM?  The UTM has to be confused with two interfaces that have subnets that are inside the subnet of the virtual interface created by the Amazon VPC configuration.

Cheers - Bob