Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 8812 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't send traffic over IPSec Site-to-Site VPN from AWS UTM 9

scottas
Hi all,

We are hoping to use the AWS UTM 9 AMI to create site-to-site VPNs for our customers. We are currently using the 30 day micro trial. We established the VPN connection easily - but cannot figure out how to ping across the tunnel.

We have two /32 addresses on the customer side and a /24 subnet on our side. Our VPC routing table routes traffic to either of the /32 addresses to the private interface of the UTM 9 instance. 

NAT-T is enabled.
Automatic firewall rules are turned on.
We cannot see the firewall blocking any of our packets in the log.
We have used both the ping tool built into UTM 9 and another instance which is using the UTM 9 instance as a gateway.

How can we debug this? We have no visibility of what is happening to those pings. Is there any way to break out of the proprietary ssh commandline and do a TCPdump?

Thanks!
Scott


This thread was automatically locked due to age.
Parents
  • 0
    Thanks so much for your response!

    I have added a rule to allow most of the different ICMP types now as well. This did not seem to change anything.

    I have attached the requested information - however I do not have access to the config on the other side of the tunnel!

    One thing that has had be confused is the two interfaces on the UTM instance, which were automatically started with the AMI. Only one of the instances was originally turned on in the UTM 9. We have two subnets in our VPC, but we are only using one of them, and we do not call them "public" and "private" subnets. I have read that we only need one interface with an EIP for this to work on Amazon. 

    We are now getting a lot of "Redirect Host(New nexthop: 10.11.3.178)" when we try to ping the X.X.0.1 IP from our 10.11.3.101 machine. 10.11.3.178 is the interface the ping is being routed through.

    Let me know what you think!

    Thanks,
    Scott
  • 0 in reply to scottas
    Looking at the conditions for the redirect message - I am not sure if there is a way to prevent it from happening with just one interface on the VPN server:

    Conditions for ICMP redirect message:
    -The interface on which the packet comes into the router is the same interface on which the packet gets routed out.
    -The subnet or network of the source IP address is on the same subnet or network of the next-hop IP address of the routed packet.
    -The datagram is not source-routed.
Reply
  • 0 in reply to scottas
    Looking at the conditions for the redirect message - I am not sure if there is a way to prevent it from happening with just one interface on the VPN server:

    Conditions for ICMP redirect message:
    -The interface on which the packet comes into the router is the same interface on which the packet gets routed out.
    -The subnet or network of the source IP address is on the same subnet or network of the next-hop IP address of the routed packet.
    -The datagram is not source-routed.
Children
No Data