Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 8809 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't send traffic over IPSec Site-to-Site VPN from AWS UTM 9

scottas
Hi all,

We are hoping to use the AWS UTM 9 AMI to create site-to-site VPNs for our customers. We are currently using the 30 day micro trial. We established the VPN connection easily - but cannot figure out how to ping across the tunnel.

We have two /32 addresses on the customer side and a /24 subnet on our side. Our VPC routing table routes traffic to either of the /32 addresses to the private interface of the UTM 9 instance. 

NAT-T is enabled.
Automatic firewall rules are turned on.
We cannot see the firewall blocking any of our packets in the log.
We have used both the ping tool built into UTM 9 and another instance which is using the UTM 9 instance as a gateway.

How can we debug this? We have no visibility of what is happening to those pings. Is there any way to break out of the proprietary ssh commandline and do a TCPdump?

Thanks!
Scott


This thread was automatically locked due to age.
  • 0
    Hi, Scott, and welcome to the User BB!

    The "Any" service does not include ICMP.  Pinging is regulated on the 'ICMP' tab of 'Firewall'.  For many years, enabling it there allowed pinging between subnets defined on Interfaces.  I believe that now you must create a manual firewall rule to ping a device that's not reachable via an Interface with a default gateway.

    You're not seeing the pings drop in the Firewall log though, so it's more likely a routing problem caused by a misconfiguration of the IPsec tunnel.  It's not clear from your description where what is.  Could you do a simple drawing?

    Also, please click on [Go Advanced] below and attach pictures of the IPsec Connection and Remote Gateway definitions open in Edit as well as the corresponding configuration of the other side of the tunnel.  Then we'll be ready to do a packet capture on the tunnel if necessary.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Thanks so much for your response!

    I have added a rule to allow most of the different ICMP types now as well. This did not seem to change anything.

    I have attached the requested information - however I do not have access to the config on the other side of the tunnel!

    One thing that has had be confused is the two interfaces on the UTM instance, which were automatically started with the AMI. Only one of the instances was originally turned on in the UTM 9. We have two subnets in our VPC, but we are only using one of them, and we do not call them "public" and "private" subnets. I have read that we only need one interface with an EIP for this to work on Amazon. 

    We are now getting a lot of "Redirect Host(New nexthop: 10.11.3.178)" when we try to ping the X.X.0.1 IP from our 10.11.3.101 machine. 10.11.3.178 is the interface the ping is being routed through.

    Let me know what you think!

    Thanks,
    Scott
  • 0 in reply to scottas
    Looking at the conditions for the redirect message - I am not sure if there is a way to prevent it from happening with just one interface on the VPN server:

    Conditions for ICMP redirect message:
    -The interface on which the packet comes into the router is the same interface on which the packet gets routed out.
    -The subnet or network of the source IP address is on the same subnet or network of the next-hop IP address of the routed packet.
    -The datagram is not source-routed.
  • 0
    We had a call with a technician who did an ESP dump and showed that the packets were going through the tunnel. However our customer still swears that everything is right on their side and that they are not receiving pings from the tunnel.

    The only thing I can think of is that there is something strange going on with Amazon's EIP/NAT/PAT. How could this be happening?
  • 0
    I don't think the redirect message is a problem, Scott, so you probably could disable that selection.

    Have both sides checked the subnets in the tunnel definition?  Does the customer know that you've confirmed that the packets are going through the tunnel to them?  They need to use whatever tool is similar to espdump to see what's coming through on their end.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML