Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 1 subscriber
  • Views 3316 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DPD and ESP: UTM 9 + AWS VPC Issues

H4nd0
Hi there,

I'm trying to connect UTM 9 to an AWS VPC. UTM 9 is all up and running fine. Don't suppose anyone has written a guide - because the UTM9 documentation is weak to say the least and there doesn't appear to be anything readily available in the Knowledge Base.

0. I've setup the AWS VPC side ... using the Wizard (VPC with a Private Subnet Only and Hardware VPN Access). I've spun up an AMI which gets an IP in the subnet I've specified.

1. You don't appear to be able to download a Sophos specific VPC configuration file any more? You can download just the generic instructions? 

2. I'm not quite sure about the actual IPSec VPN setup itself.

A. Creating the AWS VPC policy is fine
B. I presume I need to place "Inside IP" addresses as an additional address on the "Inside" network interface?
C. When creating the IPSec VPN what are my local networks in this case? My actual internal network and/or the Inside IP Addresses assigned by AWS?

The AWS doco also wants specific DPD settings - I can just turn that on or off in UTM 9 - there doesn't appear to be any custom config allowed?

IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We
recommend configuring DPD on your endpoint as follows:
  - DPD Interval             : 10
  - DPD Retries              : 3

IPSec ESP (Encapsulating Security Payload) inserts additional
headers to transmit packets. These headers require additional space, 
which reduces the amount of space available to transmit application data.
To limit the impact of this behavior, we recommend the following 
configuration on your Customer Gateway:
  - TCP MSS Adjustment       : 1387 bytes
  - Clear Don't Fragment Bit : enabled
  - Fragmentation            : Before encryption

I also get the following errors in the IPSec live log:

[FONT="Courier New"]2013:04:08-14:30:29 fw0-1 pluto[31387]: "S_AWS VPC Tunnel #1" #182: responding to Main Mode
2013:04:08-14:30:29 fw0-1 pluto[31387]: "S_AWS VPC Tunnel #1" #182: Peer ID is ID_IPV4_ADDR: '54.240.204.91'
2013:04:08-14:30:29 fw0-1 pluto[31387]: "S_AWS VPC Tunnel #1" #182: Dead Peer Detection (RFC 3706) enabled
2013:04:08-14:30:29 fw0-1 pluto[31387]: "S_AWS VPC Tunnel #1" #182: sent MR3, ISAKMP SA established
2013:04:08-14:30:29 fw0-1 pluto[31387]: "S_AWS VPC Tunnel #1" #182: DPD: R_U_THERE has invalid SPI length (0)
2013:04:08-14:30:29 fw0-1 pluto[31387]: "S_AWS VPC Tunnel #1" #182: sending encrypted notification PAYLOAD_MALFORMED to 54.240.204.91:500
2013:04:08-14:30:30 fw0-1 pluto[31387]: "S_AWS VPC Tunnel #1" #167: DPD: Phase1 state #167 has been superseded by #182 - timeout ignored [/FONT]

Any pointers gratefully appreciated.


This thread was automatically locked due to age.
Parents Reply Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML