Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2116 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help w/ tunnel - NAT, routing

smcclure
Working in Amazon Web Services we set up a UTM 9 instance with interfaces to the public and private networks.  Private network is 10.1.2.0/24.  Everything is working great and we are loving the ease of configurability of the UTM.

So we set up our first IPsec site-to-site tunnel to a Cisco ASA.  The remote side is 192.168.111.0/24, and we put our side in 10.1.3.0/24 since we don't want it in our private server subnet.  The tunnel established fine and everything is good from the UTM end.

But... we can't ping the far end host.  The far end is 192.168.111.118, which I think would make our end 10.1.3.118, right?  

I'm wondering if it will even work since our AWS VPC subnet is only 10.1.2.0/24.  I was thinking that the UTM would act as the gateway and see that traffic was destined for a tunnel subnet and sent it over that (with NAT), but that doesn't seem to be working.

What could we be missing?  Do we need a NAT/masquerading rule?

Any help or troubleshooting tips would be greatly appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    The remote network is 192.168.111.0/24, the local tunnel subnet is 10.1.3.0/24. If the remote host is 192.168.111.118, I thought that I could reach it by connecting to 10.1.3.118 - that is to say that the 256 IPs in the 192.168.111.x block are mapped locally to my 10.1.3.x subnet that I defined for this tunnel. Is that fundamentally incorrect?

    Well, I'm still confused by your explanation, Shaun, so I guess there may well be a misunderstanding. [:S]  I'm still unclear on where "local" and "remote" are - is there a VPC, an Office and a Data Center, which subnets are defined where and where is the Cisco?  What is the purpose of the VPN connection?  Also, there may be a subnet overlap between the VPC definition and the Cisco site.  Sorry, I'm a visual-tactile, so until I can get a picture in my mind or see a diagram, my intuition is short-circuited.

    The IPsec tunnel just connects subnets in two locations to each other.  There is no address translation.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    The remote network is 192.168.111.0/24, the local tunnel subnet is 10.1.3.0/24. If the remote host is 192.168.111.118, I thought that I could reach it by connecting to 10.1.3.118 - that is to say that the 256 IPs in the 192.168.111.x block are mapped locally to my 10.1.3.x subnet that I defined for this tunnel. Is that fundamentally incorrect?

    Well, I'm still confused by your explanation, Shaun, so I guess there may well be a misunderstanding. [:S]  I'm still unclear on where "local" and "remote" are - is there a VPC, an Office and a Data Center, which subnets are defined where and where is the Cisco?  What is the purpose of the VPN connection?  Also, there may be a subnet overlap between the VPC definition and the Cisco site.  Sorry, I'm a visual-tactile, so until I can get a picture in my mind or see a diagram, my intuition is short-circuited.

    The IPsec tunnel just connects subnets in two locations to each other.  There is no address translation.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Unfiltered HTML