Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 4545 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM9 in AWS VPC <sigh>

lprikockis_01
I feel like us AWS/UTM users need our own support group sometimes...

anyway-- a hopefully simple question:

For setting up IPSec site-to-site tunnels to servers within a private subnet of a VPC, is it always necessary to have NAT-T enabled in order for the the IPSec traffic to get routed through Amazon's network infrastructure correctly?

I've gotten conflicting answers from AWS on this and my own experience has been equally mixed.  I have several tunnels that SEEM to work ok with NAT-T disabled, but at least one that absolutely will not come up unless it's DISABLED on both sides.    In other cases, traffic seems to get routed properly only if it's ENABLED.

Since this is apparently a global setting on the UTM, I'm in a bit of a pickle.  Anyone with any experience/success stories in this area?


This thread was automatically locked due to age.
Parents
  • 0
    I don't need to have NAT-T enabled to make a robust site-to-site between an instance in EC2 and the UTM in our office as both have public IPs; it works either way.  I've not played with the VPC capability, but I would expect the same would be true unless you put another UTM or VPN server instance inside the VPC Remote Network.

    Are you using VPC?

    Cheers - Bob
  • 0 in reply to BAlfson
    I don't need to have NAT-T enabled to make a robust site-to-site between an instance in EC2 and the UTM in our office as both have public IPs; 


    Thanks Bob!  That's extremely good to hear.  I am actually using VPC but as you say, it should work as long as the UTM has a public IP (which it does).

    I've actually turned off the nat-t option and verified that I am still able to establish the tunnels I had previously set up... additionally, I can now establish a working tunnel with my one troublesome client that did NOT work at all with nat-t enabled.

    So I guess the takeaway from this whole tale is that for a UTM instance configured within an AWS VPC, NAT-T is *not* required.    I think my problem was in reading some older posts that were talking about non-VPC EC2 instances (what Amazon now calls "EC2 Classic") because in that environment, AH/ES packets were definitely NOT routed, requiring the use of nat-t.

    not sure what to make of the fact that the users on this board were far more helpful than the paid support I'm getting from both Amazon and Sophos, but I sure appreciate it!

    thanks
Reply
  • 0 in reply to BAlfson
    I don't need to have NAT-T enabled to make a robust site-to-site between an instance in EC2 and the UTM in our office as both have public IPs; 


    Thanks Bob!  That's extremely good to hear.  I am actually using VPC but as you say, it should work as long as the UTM has a public IP (which it does).

    I've actually turned off the nat-t option and verified that I am still able to establish the tunnels I had previously set up... additionally, I can now establish a working tunnel with my one troublesome client that did NOT work at all with nat-t enabled.

    So I guess the takeaway from this whole tale is that for a UTM instance configured within an AWS VPC, NAT-T is *not* required.    I think my problem was in reading some older posts that were talking about non-VPC EC2 instances (what Amazon now calls "EC2 Classic") because in that environment, AH/ES packets were definitely NOT routed, requiring the use of nat-t.

    not sure what to make of the fact that the users on this board were far more helpful than the paid support I'm getting from both Amazon and Sophos, but I sure appreciate it!

    thanks
Children
No Data