Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 4387 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

vpn from Amazon

alex81
Hi All,

Current situation -

There is a VPN tunnel from Amazon Web Services (AWS) to one of our data centers. From the Amazon Console, it shows that the VPN tunnel is up and from the astaro FW, it's also showing that the VPN tunnel is also up.

There are two network definitions - AWS 1 [10.129.12.x] & AWS 2 [10.129.13.x]

There is a firewall rule that allows traffic from [AWS 1 & AWS 2] to the domain controller located in the datacenter. 

But when I tried to do a dcpromo to join the domain to the DC in Datacenter, it failed with the error - An active directory domain controller for the domain ABC.LCOAL could not be tacted.

Ensure that the DNS domain name is typed correctly. I have changed the DNS  of the machine to point to the DNS of the domain controller that is located in the data center but to no avail.

Can any guru please advise?

Your reply is very much appreciated!

cheers,
Alex


This thread was automatically locked due to age.
  • 0
    Hi, Alex, and welcome to the User BB!

    Is the data center in the same time zone as the AWS instances?  Are you certain that the DNS configuration did what you intended?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    The data center is in AEDT.

    What do you mean by the DNS configuration did what I intended?
  • 0
    A join requires that the clock on the domain controller is within five minutes of the clock on the device trying to join the domain.

    Are you certain that you're getting correct name resolution to facilitate the join?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    I am fully aware of the fact that a join requires a =/- of 5 mins.

    I am pretty sure that the name resolution is correct. But even if i put the DNS of the DC to the machine that I want to join, i cannot even ping nor do a name resolution.

    I suspect that the issue is the routing is not properly configured. Are you able to shed any light on this?

    cheers,
    Alex
  • 0
    Pinging is regulated on the 'ICMP' tab of 'Firewall'.  Are you using an 'Amazon VPC' connection or ???

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    If you are using VPC, you will need to add a static route back from AWS to your local site... this is done on the AWS side.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BAlfson
    Pinging is regulated on the 'ICMP' tab of 'Firewall'.  Are you using an 'Amazon VPC' connection or ???

    Cheers - Bob


    Yes, we are using Amazon VPC to hook up to Astaro V9 FW
  • 0 in reply to BrucekConvergent
    If you are using VPC, you will need to add a static route back from AWS to your local site... this is done on the AWS side.


    As far as I know, we allow traffic from the DC over to AWS. 

    So as per what you said, we just need to throw a static route back to the DC for this joining to work, am I right to say this?

    But according to the aws vendor, they are asking us to advertise the route from the DC to AWS. This is something I don't understand.

    Appreciate your understanding on this issue.

    cheers,
    Alex
  • 0
    AWS doesn't know that you have a Sophos UTM that should do that automatically.  I don't understand why* you need the route inside AWS as Bruce suggests, but he has experience with VPC and I've not seen him offer an incorrect recommendation in the years I've been participating here. [;)]

    Cheers - Bob
    * If the IP of your DC is not in one of the subnets assigned to an interface on the UTM, then you definitely would need the route in AWS.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    @Balfson,

    What do you mean by - If the IP of your DC is not in one of the subnets assigned to an interface on the UTM, then you definitely would need the route in AWS.

    Sorry I am not a networking guy so I am kinda lost. Appreciate your patience.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML