Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 3487 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM9 in AWS VPC -- issues w/ipsec S2S vpns

lprikockis_01
Has anyone else had an issue where they are able to sucessfully establish an IPSEC SA between a private subnet at Amazon and an external network, but no traffic passes until traffic is initiated from the UTM/AWS side of the tunnel?

In other words, while the remote partner sees the tunnel come up successfully, if they try to ping my side of the tunnel, they get no response UNTIL I ping a host on their end of the tunnel.

After that, traffic can flow in either direction... it just seems that the remote end is unable to initiate the connection.

Not sure if it's relevant, but the remote party is using a Checkpoint firewall/vpn device.

Curious if anyone one else has run into a similar problem with the UTM9 appliance in other environments or if this is something peculiar to using it within Amazon's Virtual Private Cloud or ????

thanks


This thread was automatically locked due to age.
Parents
  • 0
    It might be possible to do this at the command line.  You might want to vote for coewar's suggestion: Expand ipsec.conf control to webadmin

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    very interesting... so in other words, if I were to modify ipsec.conf to include 

    left="1.1.1.1" (where 1.1.1.1 would be the EIP for my UTM device)

    instead of what it currently gets set to:  left="172.25.151.254"

    that might make Mr. Checkpoint more willing to talk to me.   Alternatively, it sounds like I'd have to have the guy at the other end set the vpn_id for my side to the 172.25.151.254 address.

    It definitely would be nice to see the ability to configure these sorts of settings thru the web GUI.

    thanks for all the help.  I feel like I at least have a better handle on what's going on here.
Reply
  • 0 in reply to BAlfson
    very interesting... so in other words, if I were to modify ipsec.conf to include 

    left="1.1.1.1" (where 1.1.1.1 would be the EIP for my UTM device)

    instead of what it currently gets set to:  left="172.25.151.254"

    that might make Mr. Checkpoint more willing to talk to me.   Alternatively, it sounds like I'd have to have the guy at the other end set the vpn_id for my side to the 172.25.151.254 address.

    It definitely would be nice to see the ability to configure these sorts of settings thru the web GUI.

    thanks for all the help.  I feel like I at least have a better handle on what's going on here.
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML