Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 1 subscriber
  • Views 9059 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro v8.300 and Amazon VPC

daniel.costa
Hi all.

I'm just trying to make a site-to-site VPN between Amazon VPC and a virtual machine running Astaro v8.300.
I've already created my VPC but when I try to import Amazon configuration it saya "No VPC connection found for local system".

I'm realyzing if the problem is my WAN interface, cause it's behind a NAT.

Did someone face that trouble?

Thanks in advice.
sorry my english.


This thread was automatically locked due to age.
  • 0 in reply to coewar
    Sounds cool. Question.. what did you mean by this statement? Is it something in Astaro, or some configuration in VPC?


    And what did you configure the NAT to do?


    It is in the VPC. You select Astaro instance and in Instance Action Menu click on Source/Dest. Check and disable it.


    In your router that was not in the VPC...  was it able to figure out that Astaro was behind a NAT? Or did you either configure its private IP in your non-VPC router, or hack Astaro to advertise the public IP?


    I forgot to say it. You need to enable NAT-T at both sides of VPN.
  • 0
    In the NAT rule I put all the outbound traffic to pass by Astaro.
  • 0 in reply to daniel.costa
    I forgot to say it. You need to enable NAT-T at both sides of VPN.


    I have yet to understand what that option does in Astaro. I have not found a situation where Astaro fails to behave differently with that option on or off.

    In other posts I wrote a little about this. When I was configuring the Astaro to connect to a VPN router that was behind a NAT and advertising its own private IP (as Astaro does by default), it would not work until I entered the private IP of the remote router in the Astaro Remote Gateway VPNID section. While comparing that to a Cisco router for the same situation automatically figured it out and chose to use some protocol it called "IPSecOverNatT".  So what is this NAT-T option on Astaro for? Would it decide to just not allow that to connect?
  • 0
    "IPsecOverNatT" is the same as "NAT-T" in the Astaro.  Your other issue wasn't with the endpoints understanding how to route NATted traffic, it was with the one not properly identifying itself based on the configuration.

    Cheers - Bob
  • 0
    Oh man. I need Astaro developers to see this.

    The thing about "not properly identifying" is that essentially the router on the other side was behind a NAT, and in VPN it showed its private IP. Cisco was able to pick that up automatically. However Astaro does not.  But more to the point, Astaro also identifies itself in the same way! That's why I requested the feature that they support setting the leftid configuration of the VPN profiles as I have done it on the Astaro using the console.

    So anyway, both items are an issue here. Astaro's "IPsecOverNatT"/"NAT-T" appears not to be working, unless I'm understanding it to be different.

    And.. Astaro behaves like this other router in that when it's behind a NAT, it will only advertise its private IP in the VPN (unless you 'hack' it to use the leftid parameter).
  • 0
    I was able to get ASG v8.300 to work through NAT and with VPC.  I used coewar's "hack" of the VPC config file and the connections worked for me.  Here are the steps that I took.

    1. Create VPC #1 (10.0.0.0/16)
    2. Create VPC #2 (172.16.0.0/16)
    3. Launch an ASG into VPC #2 using the Astaro instructions (e.g. creating a fairly wide open security group)
    4. Give the ASG an EIP and disable src/dst checking
    5. Configure VPC #1
    5a. Create a Customer Gateway with the ASG EIP
    5b. Create a Virtual Gateway and associate it with VPC #1
    5c. Create a VPN connection between the ASG Customer Gateway and VPC #1's Virtual Gateway.
    5d. Download the VPN configuration using the Astaro template and save it for configuring VPC #2
    5e. Update VPC #1 route tables to forward 172.16.0.0/16 traffic to the Virtual Gateway
    6. Configure VPC #2
    6a. Edit the configuration file downloaded in step 5d and replace the EIP address with the ASG private IP address (172.16.0.x).
    6b. Log into the ASG web interface and import the modified configuration file.
    6c. Turn on the Amazon VPC connection
    6d. Optional -- configure the ASG network security, ICMP settings to enable ICMP to and through the firewall (for ping testing)
    6e. Configure VPC #2 route tables to forward 10.0.0.0/16 traffic to the ASG instance.

    I was then able to ping between instances on either network.  It seems to me that ASG is able to handle the NAT-T without the need for additional configuration (e.g. leftid).
  • 0 in reply to siafu_kali
    Very cool. Bingo. If Astaro imported the configuration regardless of what IP's were in there, you wouldn't have to do the hack. And nothing to do with an Amazon limitation. NAT or not NAT, the routers ought to work without a problem.


    I was then able to ping between instances on either network.  It seems to me that ASG is able to handle the NAT-T without the need for additional configuration (e.g. leftid).


    The leftid is to have the Astaro advertise the EIP you gave it in the VPN. On the receiving end some routers will figure that out correctly (not Astaro though).

    So from your scenario if you just have 1 Astaro, and the actual VPC on the other end, the VPC might be doing its NAT-T and finding the Astaro, or Astaro is the one initiating the connection and VPC is using NAT-T to accept the fact that the Astaro's Private IP that it's advertising is different from the EIP. This is probably what's being allowed when you disable that SourceIP checking thing which I wasn't familiar with in VPC. That functionality also seems to be missing in Astaro.

    But if you were to put a 2nd Astaro in your other VPC and bypass using Amazon's VPC VPN connectivity and just use Astaro to Astaro IPSec VPN, you would either have to hack the leftid or set the VPNID configuration in the Remote Gateways. Because both Astaro's will not advertise the EIP you give them. Instead they will only advertise the Private IP's they have. If you do not use the leftid you have to enter the "other Astaro's" private IP into the VPNID field; Astaro's NAT-T option does not seem to accept this on the receiving end without that. Why should you have to know the private IP of another router behind a NAT? This is what some routers will figure out automatically.
  • 0 in reply to siafu_kali
    I followed the directions and changed the file to have the internal IP, but the handshake is stuck at Initiating Main Mode. Any Ideas?


    1. Create VPC #1 (10.0.0.0/16)
    2. Create VPC #2 (172.16.0.0/16)
    3. Launch an ASG into VPC #2 using the Astaro instructions (e.g. creating a fairly wide open security group)
    4. Give the ASG an EIP and disable src/dst checking
    5. Configure VPC #1
    5a. Create a Customer Gateway with the ASG EIP
    5b. Create a Virtual Gateway and associate it with VPC #1
    5c. Create a VPN connection between the ASG Customer Gateway and VPC #1's Virtual Gateway.
    5d. Download the VPN configuration using the Astaro template and save it for configuring VPC #2
    5e. Update VPC #1 route tables to forward 172.16.0.0/16 traffic to the Virtual Gateway
    6. Configure VPC #2
    6a. Edit the configuration file downloaded in step 5d and replace the EIP address with the ASG private IP address (172.16.0.x).
    6b. Log into the ASG web interface and import the modified configuration file.
    6c. Turn on the Amazon VPC connection
    6d. Optional -- configure the ASG network security, ICMP settings to enable ICMP to and through the firewall (for ping testing)
    6e. Configure VPC #2 route tables to forward 10.0.0.0/16 traffic to the ASG instance.
  • 0 in reply to ramarnat
    This works across aws regions but not within a region