Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 4545 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM9 in AWS VPC <sigh>

lprikockis_01
I feel like us AWS/UTM users need our own support group sometimes...

anyway-- a hopefully simple question:

For setting up IPSec site-to-site tunnels to servers within a private subnet of a VPC, is it always necessary to have NAT-T enabled in order for the the IPSec traffic to get routed through Amazon's network infrastructure correctly?

I've gotten conflicting answers from AWS on this and my own experience has been equally mixed.  I have several tunnels that SEEM to work ok with NAT-T disabled, but at least one that absolutely will not come up unless it's DISABLED on both sides.    In other cases, traffic seems to get routed properly only if it's ENABLED.

Since this is apparently a global setting on the UTM, I'm in a bit of a pickle.  Anyone with any experience/success stories in this area?


This thread was automatically locked due to age.
Parents
  • 0
    2013:06:13-09:49:11 qcpfw pluto[4917]: "S_*** ****** (ABC)" #37: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: i am NATed
     2013:06:13-09:49:11 qcpfw pluto[4917]: ERROR: asynchronous network error report on eth1 for message to 1.1.1.1 port 4500, complainant 1.1.1.1: No route to host [errno 113, origin ICMP type 3 code 13 (not authenticated)]

    Does the UTM have a public IP, or is it NATted behind another device?

    Cheers - Bob
  • 0 in reply to BAlfson
    You should start a support case with Sophos, this may be something they need to look into.
  • 0 in reply to BrucekConvergent
    Does the UTM have a public IP, or is it NATted behind another device?


    Well, it's at AWS so it has a public IP in the form of one of Amazon's EIPs... but of course, that IP is only related to the UTM instance through whatever network magic Amazon has running behind the scenes.   So I think effectively, it is indeed NAT'd behind whatever router/firewall Amazon has out front.

    You should start a support case with Sophos, this may be something they need to look into.

    Absolutely-- I did before posting this... they're still scratching their heads over this whole AWS business.  Unfortunately, it doesn't seem like anyone in support has a whole lot of experience with using this product within an Amazon VPC framework.  [:(]  

    And of course AWS support isn't of much use either because "this is a Sophos issue" ... 
Reply
  • 0 in reply to BrucekConvergent
    Does the UTM have a public IP, or is it NATted behind another device?


    Well, it's at AWS so it has a public IP in the form of one of Amazon's EIPs... but of course, that IP is only related to the UTM instance through whatever network magic Amazon has running behind the scenes.   So I think effectively, it is indeed NAT'd behind whatever router/firewall Amazon has out front.

    You should start a support case with Sophos, this may be something they need to look into.

    Absolutely-- I did before posting this... they're still scratching their heads over this whole AWS business.  Unfortunately, it doesn't seem like anyone in support has a whole lot of experience with using this product within an Amazon VPC framework.  [:(]  

    And of course AWS support isn't of much use either because "this is a Sophos issue" ... 
Children
No Data