Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 1 subscriber
  • Views 9061 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro v8.300 and Amazon VPC

daniel.costa
Hi all.

I'm just trying to make a site-to-site VPN between Amazon VPC and a virtual machine running Astaro v8.300.
I've already created my VPC but when I try to import Amazon configuration it saya "No VPC connection found for local system".

I'm realyzing if the problem is my WAN interface, cause it's behind a NAT.

Did someone face that trouble?

Thanks in advice.
sorry my english.


This thread was automatically locked due to age.
Parents
  • 0
    So, I got it!

    I finally close the site-to-site VPN between Amazon VPC and my local network using Astaro.
    I got it with Vyatta too.

    Step-by-step small guide:

    - Make a VPC (10.0.0.0/16) with public (10.0.0.0/24) and private (10.0.1.0/24) subnets;
    - Launch an Astaro Instance inside VPC in public subnet;
      This instance could be at Default Security group.
    - Open all ports or the ports you want in default security group (or the security group you've created to the Astaro Instance).
    - Configure the NAT Service at Astaro (I really didn't try it in Astaro but Vyatta)
    - Disable Source/Destination check for the Astaro Instance;
    - Remove the 0.0.0.0/0 entry at Main Route in the Route Table;
    - Add the 0.0.0.0/0 route through Astaro at Main Route in the Route Table;
    - Create a site-to-site VPN to the main network (in this guide 10.0.0.0/16)
    - Add an entry to your local network IP through Astaro at the main and secondary routes in the Route Table;
    - Create instances in the public or private network.
    - Open the ports you want at the existents Security Groups.

    So... If you want I could explain better. Sorry my poor english.
    To my friends in Brazil, I'll pasta this guide in portuguese:

    - Criar VPC (10.0.0.0/16) com rede privada (10.0.1.0/24) e pública (10.0.0.0/24)
    - Criar instância do Vyatta
    - Adicionar liberação no Security Group usado pela VM do Vyatta
    - Configurar serviço NAT para a toda rede na VM do Vyatta
    - Desabilitar a checagem de Source/Destination
    - Remover a entrada 0.0.0.0/0 na Rota principal da VPC
    - Adicionar a entrada 0.0.0.0/0 saindo pela VM do Vyatta na Rota Principal da VPC
    - Criar a VPN site-to-site para a rede da VPC (10.0.0.0/16)
    - Adicionar a entrada do ip da outra ponta da vpn na Rota principal saindo pela VM Vyatta
    - Adicionar a entrada do ip da outra ponta da vpn na Rota secundária saindo pela VM Vyatta
    - Criar instâncias e adicionar na rede pública ou privada
    - Liberar as portas específicas nos Security Groups existentes

    valeu!
  • 0 in reply to daniel.costa
    Sounds cool. Question.. what did you mean by this statement? Is it something in Astaro, or some configuration in VPC?

    - Disable Source/Destination check for the Astaro Instance;


    And what did you configure the NAT to do?

    - Configure the NAT Service at Astaro (I really didn't try it in Astaro but Vyatta)


    In your router that was not in the VPC...  was it able to figure out that Astaro was behind a NAT? Or did you either configure its private IP in your non-VPC router, or hack Astaro to advertise the public IP?
  • 0 in reply to coewar
    Sounds cool. Question.. what did you mean by this statement? Is it something in Astaro, or some configuration in VPC?


    And what did you configure the NAT to do?


    It is in the VPC. You select Astaro instance and in Instance Action Menu click on Source/Dest. Check and disable it.


    In your router that was not in the VPC...  was it able to figure out that Astaro was behind a NAT? Or did you either configure its private IP in your non-VPC router, or hack Astaro to advertise the public IP?


    I forgot to say it. You need to enable NAT-T at both sides of VPN.
Reply
  • 0 in reply to coewar
    Sounds cool. Question.. what did you mean by this statement? Is it something in Astaro, or some configuration in VPC?


    And what did you configure the NAT to do?


    It is in the VPC. You select Astaro instance and in Instance Action Menu click on Source/Dest. Check and disable it.


    In your router that was not in the VPC...  was it able to figure out that Astaro was behind a NAT? Or did you either configure its private IP in your non-VPC router, or hack Astaro to advertise the public IP?


    I forgot to say it. You need to enable NAT-T at both sides of VPN.
Children
  • 0 in reply to daniel.costa
    I forgot to say it. You need to enable NAT-T at both sides of VPN.


    I have yet to understand what that option does in Astaro. I have not found a situation where Astaro fails to behave differently with that option on or off.

    In other posts I wrote a little about this. When I was configuring the Astaro to connect to a VPN router that was behind a NAT and advertising its own private IP (as Astaro does by default), it would not work until I entered the private IP of the remote router in the Astaro Remote Gateway VPNID section. While comparing that to a Cisco router for the same situation automatically figured it out and chose to use some protocol it called "IPSecOverNatT".  So what is this NAT-T option on Astaro for? Would it decide to just not allow that to connect?