Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 7 replies
  • Answers 1 answer
  • Subscribers 2 subscribers
  • Views 10737 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Using DNS server in AWS VPC over VPN

mrburrito
I'm running UTM 9 locally and I've successfully connected three Amazon VPCs to my local network. I'm using Route53 for private DNS on the internal network and I wanted to configure the DNS resolver on the UTM box to use a proxy service I have configured in one of my VPCs. While I can successfully use my proxy from any machine on my local network, it doesn't appear to be accessible from the UTM machine (can't ping, can't resolve, requests just timeout, etc.). How can I fix this?

What I've done so far:
- Configured a Bind server in AWS (192.168.32.5) that forwards requests to Amazon's DNS server (192.168.32.2) since Route53 private zones are only accessible within a VPC.
- Created a VPN connection from my AWS Cloud to the UTM machine (192.168.20.100)
- Configured a static DNS route for mydomain.local that points to 192.168.32.5
- Configured Google's nameservers as the forwarding name servers for the UTM box
- Configured DHCP to provide the UTM server as the nameserver for all clients on the local network

How do I configure the UTM box so it can see the AWS instances over the VPN?


This thread was automatically locked due to age.
Parents
  • 0
    Bob,

    Hopefully this clarifies my situation and current configuration.

    Infrastructure:
    - "Local Network" - on-site machines behind the UTM firewall (192.168.0.0/19)
    - AWS VA VPC (192.168.32.0/19)
    - AWS OR VPC (192.168.64.0/19)
    - AWS CA VPC (192.168.96.0/19)
    - Sophos UTM 9.313-3 (192.168.20.100)
    - DNS Proxy VA (192.168.63.250) * redid subnets; formerly 192.168.32.5
    - DNS Proxy OR (192.168.95.250)
    - DNS Proxy CA (192.168.127.250)

    Goals:
    - Leverage existing Amazon Route 53 private DNS zone for "mydomain.local" on "Local Network"
    - Forward only queries for mydomain.local to AWS to minimize bandwidth usage; forward all other queries to Google DNS servers (8.8.8.8, 8.8.4.4)

    VPN Configuration:

    - Created Customer Gateway in all 3 Regions pointing to the public IP of the UTM box
    - Created Virtual Private Gateways in all 3 Regions to serve as the remote concentrator
    - Created VPN in Amazon to link Customer and Virtual Gateways
    - Exported Sophos configuration files from Amazon and imported into UTM via the "Site-to-site VPN/Amazon VPC" section of the web UI.

    VPN Current Status:

    vpc-0
    SA: 0.0.0.0/0= =0.0.0.0/0
    IKE: Auth PSK / Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 28800s / PFS MODP_1024 / DPD
    IPsec: Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 3600s
    BGP: State Established / Uptime 23:56:35 / Routes

    SA: 0.0.0.0/0= =0.0.0.0/0
    IKE: Auth PSK / Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 28800s / PFS MODP_1024 / DPD
    IPsec: Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 3600s
    BGP: State Established / Uptime 2d23h45m / Routes 192.168.96.0/19


    vpc-0
    SA: 0.0.0.0/0= =0.0.0.0/0
    IKE: Auth PSK / Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 28800s / PFS MODP_1024 / DPD
    IPsec: Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 3600s
    BGP: State Established / Uptime 2d23h45m / Routes

    SA: 0.0.0.0/0= =0.0.0.0/0
    IKE: Auth PSK / Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 28800s / PFS MODP_1024 / DPD
    IPsec: Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 3600s
    BGP: State Established / Uptime 2d23h45m / Routes 192.168.32.0/19


    vpc-0
    SA: 0.0.0.0/0= =0.0.0.0/0
    IKE: Auth PSK / Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 28800s / PFS MODP_1024 / DPD
    IPsec: Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 3600s
    BGP: State Established / Uptime 2d23h45m / Routes 192.168.64.0/19

    SA: 0.0.0.0/0= =0.0.0.0/0
    IKE: Auth PSK / Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 28800s / PFS MODP_1024 / DPD
    IPsec: Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 3600s
    BGP: State Established / Uptime 16:08:01 / Routes


    DNS Configuration:
    Since Route 53 private zones are only accessible to instances in assigned VPCs, I created the three proxy servers referenced above (.63.250, .95.250, .127.250) as forwarding-only nameservers within the Amazon VPCs. I can successfully query those servers for my private addresses from client machines behind the UTM firewall, but I can't reach the machines from the UTM box itself.

    Global:

    Allowed Networks:
    - Local (192.168.0.0/19)


    Forwarders:

    DNS Forwarders:
    - Google DNS 1 (8.8.8.8)
    - Google DNS 2 (8.8.4.4)

    Use forwarders assigned by ISP?
    - OFF

    Request Routing:
    - mydomain.local -> Route53 VA Proxy (192.168.63.250)

    I don't think my setup differs much from the DNS Best Practice post. The primary difference is I don't want to push my proxy servers to the DHCP clients as the first resolution option; I want them to point at the UTM box and have it handle query routing since it has the facility to do so and my clients don't.

    Please let me know if you have any more questions about my existing config and if/how I can solve the problem!

    Thanks,
    Gordon
Reply
  • 0
    Bob,

    Hopefully this clarifies my situation and current configuration.

    Infrastructure:
    - "Local Network" - on-site machines behind the UTM firewall (192.168.0.0/19)
    - AWS VA VPC (192.168.32.0/19)
    - AWS OR VPC (192.168.64.0/19)
    - AWS CA VPC (192.168.96.0/19)
    - Sophos UTM 9.313-3 (192.168.20.100)
    - DNS Proxy VA (192.168.63.250) * redid subnets; formerly 192.168.32.5
    - DNS Proxy OR (192.168.95.250)
    - DNS Proxy CA (192.168.127.250)

    Goals:
    - Leverage existing Amazon Route 53 private DNS zone for "mydomain.local" on "Local Network"
    - Forward only queries for mydomain.local to AWS to minimize bandwidth usage; forward all other queries to Google DNS servers (8.8.8.8, 8.8.4.4)

    VPN Configuration:

    - Created Customer Gateway in all 3 Regions pointing to the public IP of the UTM box
    - Created Virtual Private Gateways in all 3 Regions to serve as the remote concentrator
    - Created VPN in Amazon to link Customer and Virtual Gateways
    - Exported Sophos configuration files from Amazon and imported into UTM via the "Site-to-site VPN/Amazon VPC" section of the web UI.

    VPN Current Status:

    vpc-0
    SA: 0.0.0.0/0= =0.0.0.0/0
    IKE: Auth PSK / Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 28800s / PFS MODP_1024 / DPD
    IPsec: Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 3600s
    BGP: State Established / Uptime 23:56:35 / Routes

    SA: 0.0.0.0/0= =0.0.0.0/0
    IKE: Auth PSK / Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 28800s / PFS MODP_1024 / DPD
    IPsec: Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 3600s
    BGP: State Established / Uptime 2d23h45m / Routes 192.168.96.0/19


    vpc-0
    SA: 0.0.0.0/0= =0.0.0.0/0
    IKE: Auth PSK / Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 28800s / PFS MODP_1024 / DPD
    IPsec: Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 3600s
    BGP: State Established / Uptime 2d23h45m / Routes

    SA: 0.0.0.0/0= =0.0.0.0/0
    IKE: Auth PSK / Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 28800s / PFS MODP_1024 / DPD
    IPsec: Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 3600s
    BGP: State Established / Uptime 2d23h45m / Routes 192.168.32.0/19


    vpc-0
    SA: 0.0.0.0/0= =0.0.0.0/0
    IKE: Auth PSK / Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 28800s / PFS MODP_1024 / DPD
    IPsec: Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 3600s
    BGP: State Established / Uptime 2d23h45m / Routes 192.168.64.0/19

    SA: 0.0.0.0/0= =0.0.0.0/0
    IKE: Auth PSK / Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 28800s / PFS MODP_1024 / DPD
    IPsec: Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 3600s
    BGP: State Established / Uptime 16:08:01 / Routes


    DNS Configuration:
    Since Route 53 private zones are only accessible to instances in assigned VPCs, I created the three proxy servers referenced above (.63.250, .95.250, .127.250) as forwarding-only nameservers within the Amazon VPCs. I can successfully query those servers for my private addresses from client machines behind the UTM firewall, but I can't reach the machines from the UTM box itself.

    Global:

    Allowed Networks:
    - Local (192.168.0.0/19)


    Forwarders:

    DNS Forwarders:
    - Google DNS 1 (8.8.8.8)
    - Google DNS 2 (8.8.4.4)

    Use forwarders assigned by ISP?
    - OFF

    Request Routing:
    - mydomain.local -> Route53 VA Proxy (192.168.63.250)

    I don't think my setup differs much from the DNS Best Practice post. The primary difference is I don't want to push my proxy servers to the DHCP clients as the first resolution option; I want them to point at the UTM box and have it handle query routing since it has the facility to do so and my clients don't.

    Please let me know if you have any more questions about my existing config and if/how I can solve the problem!

    Thanks,
    Gordon
Children
No Data
Unfiltered HTML