Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 8814 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't send traffic over IPSec Site-to-Site VPN from AWS UTM 9

scottas
Hi all,

We are hoping to use the AWS UTM 9 AMI to create site-to-site VPNs for our customers. We are currently using the 30 day micro trial. We established the VPN connection easily - but cannot figure out how to ping across the tunnel.

We have two /32 addresses on the customer side and a /24 subnet on our side. Our VPC routing table routes traffic to either of the /32 addresses to the private interface of the UTM 9 instance. 

NAT-T is enabled.
Automatic firewall rules are turned on.
We cannot see the firewall blocking any of our packets in the log.
We have used both the ping tool built into UTM 9 and another instance which is using the UTM 9 instance as a gateway.

How can we debug this? We have no visibility of what is happening to those pings. Is there any way to break out of the proprietary ssh commandline and do a TCPdump?

Thanks!
Scott


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Scott, and welcome to the User BB!

    The "Any" service does not include ICMP.  Pinging is regulated on the 'ICMP' tab of 'Firewall'.  For many years, enabling it there allowed pinging between subnets defined on Interfaces.  I believe that now you must create a manual firewall rule to ping a device that's not reachable via an Interface with a default gateway.

    You're not seeing the pings drop in the Firewall log though, so it's more likely a routing problem caused by a misconfiguration of the IPsec tunnel.  It's not clear from your description where what is.  Could you do a simple drawing?

    Also, please click on [Go Advanced] below and attach pictures of the IPsec Connection and Remote Gateway definitions open in Edit as well as the corresponding configuration of the other side of the tunnel.  Then we'll be ready to do a packet capture on the tunnel if necessary.

    Cheers - Bob
Reply
  • 0
    Hi, Scott, and welcome to the User BB!

    The "Any" service does not include ICMP.  Pinging is regulated on the 'ICMP' tab of 'Firewall'.  For many years, enabling it there allowed pinging between subnets defined on Interfaces.  I believe that now you must create a manual firewall rule to ping a device that's not reachable via an Interface with a default gateway.

    You're not seeing the pings drop in the Firewall log though, so it's more likely a routing problem caused by a misconfiguration of the IPsec tunnel.  It's not clear from your description where what is.  Could you do a simple drawing?

    Also, please click on [Go Advanced] below and attach pictures of the IPsec Connection and Remote Gateway definitions open in Edit as well as the corresponding configuration of the other side of the tunnel.  Then we'll be ready to do a packet capture on the tunnel if necessary.

    Cheers - Bob
Children
No Data