Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 7818 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to route traffic originating on UTM to server in Amazon VPC?

thedukeness
I want to do DNS request routing to a DNS server located in an Amazon VPC.  I have the Amazon VPC Site-to-Site VPN set up.  My SSL Remote Access users can access the resources on the VPC.  The problem is the UTM itself can't ping ips in the VPC.

I ssh into the UTM as loginuser and ping a server in the VPC, then I run tcpdump on that server and I get this result:

18:33:51.204157 IP 169.254.254.74 > 10.6.30.201: ICMP echo request, id 20818, seq 59, length 64
18:33:51.204192 IP 10.6.30.201 > 169.254.254.74: ICMP echo reply, id 20818, seq 59, length 64

So the problem is traffic originating on the UTM is reporting a link local address to stuff in the VPC.  Is there a way to make this work?  I'd like the traffic to come from the internal interface or at least a real ip.


This thread was automatically locked due to age.
  • 0
    Hi Bob,

    I think there is some miscommunication.  The UTM is not in the VPC I am trying to establish a VPN link to.  The UTM is in the US and the target VPC is in Ireland.  

    Also each interface on the UTM has its own totally separate subnet.  10.2.0.0/24 and 10.2.10.0/24.
  • 0
    That conflicts with your earlier posts.  My guess is that you have routing issues caused by overlapping subnet definitions someplace.  Why not make a diagram - I bet that would allow you to solve your problem yourself.  If not, it would help us understand it.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Sophos support helped me to solve this problem.  Here is what you need to do if anyone else runs into this.

    1. ssh into the UTM and run ifconfig to get both gateway IPs for the AWS VPN.  They are the vpc0.0 and vpc0.1 interfaces.

    2. Create two SNAT rules, one for each gateway IP, where traffic from the gateway IP to the remote network has its source changed to the interface within the local subnet you enabled route propagation for.
Unfiltered HTML