This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-site VPN with NAT

I am trying to use the UTM Manager to link 2 UTM devices in different AWS VPCs. As this is AWS, both the devices are sitting behind NAT gateways. UTM Manager doesn't seem to be recognizing this and is creating the IPsec tunnel with the private IPs as the endpoints. Each tunnel should be configured with the remote UTM device's public IP instead of it's private IP.

Is this a deficiency with UTM Manager, or is there some way to get this working?
I can get it working without using UTM Manager by configuring each UTM device manually, and I have done this. But I'm going to be connecting many different VPCs and managing the links with UTM Manager would be much preferred.


This thread was automatically locked due to age.
  • Hi, phemmer, and welcome to the User BB!

    The only way I know how to make an IPsec VPN work behind a NAT is to configure the 'Remote Gateway' with 'VPN Id: IP Address' and assign the private IP of the other side.  I guess that's what you've been doing manually.  If the UTM Manager won't allow that, it's time for a feature suggestion if there's not already one.

    I haven't played with UTM Manager since it was ACC3, so I don't know if it will allow you to configure RED tunnels or SSL VPNs between two devices.  In both cases, a client configuration is generated in one side to be uploaded to the other.  RED tunnels let you mimic MPLS, so that would be my choice, although it might be a bit more work.

    In any case, I hope you'll take the time to document your solution here.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • I went and created a feature request for this (I couldn't find an existing one). But in the process I somehow managed to submit it twice. Couldn't find a way to delete the bad one.

    In the mean time I'm just going to do the manual setups. It'll be annoying, but it works.

    Thanks
  • We ran into the same problem when using SUM 4 trying to setup site to site VPNs between VPC regions. SUM will only see the internal AWS IPs and therefore will not bring the tunnels up. You have to set up DNATs for those internal addresses to match their EIP.