Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3870 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

AWS Sophos UTM (NAT and VPN)

sitots
Hi,
  Has anyone configure the NAT and VPN via AWS Sophos UTM ? Need help as AWS does not allow public IP NAT, only RFC 1918 compliance (Private IP) subnet can be added for routing
  AWS (10.0.0.0/16) -> NAT 7.44.155.0/24->VPN->6.225.55.78 (Gateway -121.224.13.80)
  How should approach this ?
1. Create a site to site VPN first from AWS to Remote
2. Create a static route for 7.44.155.0 ?
3. Route 7.44.155.0 to 6.225.55.78 ?
4. AWS server configure gateway to the Sophos UTM server ?

  Appreciate your help !

Thanks !


This thread was automatically locked due to age.
  • 0
    Hi, sitots, and welcome to the User BB!

    Static routes won't work.  In your office, define the Remote Gateway AWS instance as "Respond only" and choose an authentication type of either PSK or RSA.  If RSA, chooose 'VPN ID Type: IP Address' and put the 10.x.y.z internal IP of the instance in AWS.

    The easier alternative is to use the SSL VPN.  It will be faster if you change the 'Protocol' on the 'Advanced' tab to UDP instead of TCP'.  Configure the Server in your office UTM and load the Client into the AWS instance.

    Cheers - Bob
  • 0
    Thanks Bob.
    We have been advised to use Masquerading for 10.0.0.0/24 -> 7.44.155.0/24 on the UTM.
    What we have done on the UTM ;
    1. Add a new address on the same Interface (10.0.0.205) with 7.44.155.205
    2. Add the Site-to-Site VPN IPSec -> Remote Gateway 121.224.13.80
    3. Add the Site-to-Site VPN IPSec -> Connection Rmote Gateway 121.224.13.80, Local Interface (Internal), and Local Network as Internal
    4. Only auto firewall rules checked.

    When from a AWS instance 10.0.0.90, we create a static route to the UTM for 6.225.55.78 traffic (route add -net 6.225.55.0 netmask 255.255.255.0 gw 10.0.0.205)
    When we try to wget http://6.225.55.78, we can "reach" the UTM, no traffic from the livelog ? UTM IP is 10.0.0.205

    Appreciate you help !

    Thanks !
  • 0
    Please [Go Advanced] below and attach pictures of your IPsec Connection and Remote Gateway for both sides.

    Cheers - Bob
  • 0
    Hi Bob,
      Thanks for replying. Maybe I'm not clear in the first place. I wonder whether Sophos UTM can solve this ;
    AWS servers (10.0.0.90)->Sophos UTM->NAT to (7.44.155.0/24)->VPN->6.225.55.78

      I’ve done the Site-to-Site configure, but the other ends say there is something wrong on the NAT. Can you help to verify this ? It's MUST be properly NAT before VPN, is this possible ?

    Thanks !
  • 0
    Sorry, it's not clear for me. Please attach pictures of your VPN settings in WebAdmin and show a diagram including IPs and where the Internet is in the chain. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    Thanks Bob. Enclosed the Network diagram followed by NAT and VPN setting.
    We managed to get the Site-to-Site VPN connected. Problem now is to verify that NAT traffic are NATted correctly, how do we verify ?

      From test server, we tried wget http://6.225.55.78:8080 and get timedout ; This test server default gw is the UTM.

    Thanks !
  • 0
    Please also add a picture of the 'Site-to-site VPN tunnel status' if the following doesn't work...

    I guess your problem is the NAT that maps /16 to /24.  This also might have implications for corrections in the configuration of the Micros FW.

    Cheers - Bob