Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2117 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help w/ tunnel - NAT, routing

smcclure
Working in Amazon Web Services we set up a UTM 9 instance with interfaces to the public and private networks.  Private network is 10.1.2.0/24.  Everything is working great and we are loving the ease of configurability of the UTM.

So we set up our first IPsec site-to-site tunnel to a Cisco ASA.  The remote side is 192.168.111.0/24, and we put our side in 10.1.3.0/24 since we don't want it in our private server subnet.  The tunnel established fine and everything is good from the UTM end.

But... we can't ping the far end host.  The far end is 192.168.111.118, which I think would make our end 10.1.3.118, right?  

I'm wondering if it will even work since our AWS VPC subnet is only 10.1.2.0/24.  I was thinking that the UTM would act as the gateway and see that traffic was destined for a tunnel subnet and sent it over that (with NAT), but that doesn't seem to be working.

What could we be missing?  Do we need a NAT/masquerading rule?

Any help or troubleshooting tips would be greatly appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    Pinging is regulated on the 'ICMP' tab of 'Firewall', so if your only test was a ping, that might be an issue.

    If the VPC doesn't have 10.1.3.0/24 as a defined subnet, I don't understand how that subnet is recognized by the VPC.

    Is the remote host at 192.168.111.118 or at 10.1.3.118?  If the IPsec tunnel is limited to 10.1.2.0/24, why should the Cisco route traffic for 10.1.3.0/24 through it?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Bob, 

    Perhaps my understanding of how the tunnel works is completely wrong, and therein may be the answer.  Please check my understanding:

    The remote network is 192.168.111.0/24, the local tunnel subnet is 10.1.3.0/24.  If the remote host is 192.168.111.118, I thought that I could reach it by connecting to 10.1.3.118 - that is to say that the 256 IPs in the 192.168.111.x block are mapped locally to my 10.1.3.x subnet that I defined for this tunnel.  Is that fundamentally incorrect?

    So, by that thinking, I was under the impression that even though the subnet of the Internal interface on the UTM is 10.1.2.0/24, any traffic for 10.1.3.x would use the UTM as the gateway, which would properly route it over the tunnel to the remote end.  I didn't think that the subnet of the Internal interface actually had to include the subnet of the tunnel since - I thought - routing would be accomplished by the UTM as the default gateway.  Am I way off?

    On the Cisco (remote) side they have our private network configured as 10.1.3.0/24, so I "assumed" the same thing would happen - traffic for 10.1.3.5 wouldn't be a part of their 192.168.111.0/24 subnet, it would route it to the Cisco ASA as the default GW, and the ASA would route it over the tunnel to our end.

    As far as pings go, I allowed everything in the firewall tab but nothing worked.  In reality we've been trying to telnet to specific open ports on our application, too, but that hasn't worked.

    The OVERALL VPC that these machines are in is 10.0.0.0/8, but this particular interface (the UTM and some servers) are only assigned to the 10.1.2.0/24 subnet.

    Thanks for sticking with me,
    Shaun
Reply
  • 0 in reply to BAlfson
    Bob, 

    Perhaps my understanding of how the tunnel works is completely wrong, and therein may be the answer.  Please check my understanding:

    The remote network is 192.168.111.0/24, the local tunnel subnet is 10.1.3.0/24.  If the remote host is 192.168.111.118, I thought that I could reach it by connecting to 10.1.3.118 - that is to say that the 256 IPs in the 192.168.111.x block are mapped locally to my 10.1.3.x subnet that I defined for this tunnel.  Is that fundamentally incorrect?

    So, by that thinking, I was under the impression that even though the subnet of the Internal interface on the UTM is 10.1.2.0/24, any traffic for 10.1.3.x would use the UTM as the gateway, which would properly route it over the tunnel to the remote end.  I didn't think that the subnet of the Internal interface actually had to include the subnet of the tunnel since - I thought - routing would be accomplished by the UTM as the default gateway.  Am I way off?

    On the Cisco (remote) side they have our private network configured as 10.1.3.0/24, so I "assumed" the same thing would happen - traffic for 10.1.3.5 wouldn't be a part of their 192.168.111.0/24 subnet, it would route it to the Cisco ASA as the default GW, and the ASA would route it over the tunnel to our end.

    As far as pings go, I allowed everything in the firewall tab but nothing worked.  In reality we've been trying to telnet to specific open ports on our application, too, but that hasn't worked.

    The OVERALL VPC that these machines are in is 10.0.0.0/8, but this particular interface (the UTM and some servers) are only assigned to the 10.1.2.0/24 subnet.

    Thanks for sticking with me,
    Shaun
Children
No Data
Unfiltered HTML