Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2118 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help w/ tunnel - NAT, routing

smcclure
Working in Amazon Web Services we set up a UTM 9 instance with interfaces to the public and private networks.  Private network is 10.1.2.0/24.  Everything is working great and we are loving the ease of configurability of the UTM.

So we set up our first IPsec site-to-site tunnel to a Cisco ASA.  The remote side is 192.168.111.0/24, and we put our side in 10.1.3.0/24 since we don't want it in our private server subnet.  The tunnel established fine and everything is good from the UTM end.

But... we can't ping the far end host.  The far end is 192.168.111.118, which I think would make our end 10.1.3.118, right?  

I'm wondering if it will even work since our AWS VPC subnet is only 10.1.2.0/24.  I was thinking that the UTM would act as the gateway and see that traffic was destined for a tunnel subnet and sent it over that (with NAT), but that doesn't seem to be working.

What could we be missing?  Do we need a NAT/masquerading rule?

Any help or troubleshooting tips would be greatly appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    Hi, and welcome to the User BB!

    I don't think I'm following your description.  You say "Everything is working great..." - does that mean that devices in the public and private subnets can communicate with each other?  - that you can communicate to your public network from your office?

    You say the tunnel established fine - does that mean you get other traffic, just not pings?

    If you click on 'Site-to-Site' in WebAdmin, you are presented with a Status page.  Please click on [Go Advanced] below and attach a picture of the expanded status.  Obfuscate the public IPs if you wish by blanking the middle two octets.

    How is your VPC defined - with subnets 10.1.2.0/24 and 10.1.3.0/24 inside 10.1.0.0/16?

    If a masq rule had solved this problem, it might have been an indication of a violation of #3 in Rulz.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Hi, and welcome to the User BB!

    I don't think I'm following your description.  You say "Everything is working great..." - does that mean that devices in the public and private subnets can communicate with each other?  - that you can communicate to your public network from your office?

    You say the tunnel established fine - does that mean you get other traffic, just not pings?

    If you click on 'Site-to-Site' in WebAdmin, you are presented with a Status page.  Please click on [Go Advanced] below and attach a picture of the expanded status.  Obfuscate the public IPs if you wish by blanking the middle two octets.

    How is your VPC defined - with subnets 10.1.2.0/24 and 10.1.3.0/24 inside 10.1.0.0/16?

    If a masq rule had solved this problem, it might have been an indication of a violation of #3 in Rulz.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    I apologize, I should have been more clear. "Working great" is pretty subjective!  [:)]  We set up a public and private interface and have configured many devices on the private interface that can talk to each other and can talk to the public interface.  Firewall rules, NAT, WAF, all configured and working perfectly.  We're actually using the 30 day trial AMI instance and at this point there is no doubt that we'll be sticking with it.  

    As for the tunnel, it established without a problem but isn't passing any traffic - or at least I don't see anything since I can't ping any hosts in the remote subnet.

    Screenshot attached of what I think you asked for.  I didn't see anything about advanced?  

    The VPC is defined as 10.0.0.0/8, with a single subnet for this network of 10.1.2.0/24.

    From a troubleshooting perspective the remote host is at 192.168.111.118 and is open for a number of services, and will respond to pings.  From within our 10.1.2.0/24 subnet we're trying to ping the remote host at 10.1.3.118 but it's failing at the UTM.

    Thanks again for the help.
Unfiltered HTML