Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 5943 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM Transparent Proxy Config for AWS w/ multi-private subnets

dscottwheeler
I've configured a 2 legged Sophos UTM in AWS with the configuration below.  I am able to surf the internet from instances in the private subnet that the private NI is in, but I am not able to access the internet from instances any of the other three private subnets in the VPC (one in the same AZ and two in a different AZ).  Please feel free to point me to any doc that covers this as I have come up short (e.g. found doc, but it did not explicitly cover this scenario of multiple private subnets without adding a NI for each private subnet).

Sophos UTM in public subnet
eth0 in public subnet with Elastic IP attached
eth1 in private subnet (DMZ) 

The private subnets share the same ACL and Route table (allow all access between the private subnets)

Firewall rule:   VPC --> any
Masquerading rule:  VPc --> Public interface
Web Filtering:  allowed: VPC   Transparent mode
Static Routing: VPC --> Gateway in the private subnet eth1 is in
DNS: allowed: VPC    forwarders: VPC DNS (e.g. AWS)


This thread was automatically locked due to age.
  • 0
    Did I put this in the wrong location in the forum or does this not have an easy answer?
  • 0
    Hi, Scott, and welcome to the User BB!

    Unless you are trying to prevent instances in one private subnet from reaching instances in others, this should be straightforward - just extend the subnet of 'Allowed networks' in Web Filtering or add the other subnets to the list.

    If you want to insulate each subnet from the other without paying for more network interfaces, you're out of luck without some type of Authentication or some fancy, complex configurations.

    Cheers - Bob
    PS Yes, moving this to the correct form.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Bob,

    Thanks for the reply.  Unfortunately I already had the range of the VPC included in the 'Allowed Networks" of the Web Filtering.  Just for kicks, I removed it an added the individual subnets, but neither allowed access to the subnets where the sophos interface didn't exist.  I know this works in a single leg configuration as I set this up for a previous client.  I'm just at a loss for what I am missing in this configuration.

    Could you suggest a process for tracking this down through the logs?

    thanks again

    Scott
  • 0
    Do you see anything related in the Firewall log?

    This feels like a routing problem though that's related to the configuration of the VPC.  I don't understand how "Static Routing: VPC --> Gateway in the private subnet eth1 is in" would help instances in the VPC route to the UTM.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Bob,

    More information.

    I removed the Static Routing

    I added a third interface in the second private subnet and instances in that subnet were able to access the internet.

    Here's the odd part that I could use some knowledge on.  The route table for both private subnets pointed to the network interface of sophos that was in the first private subnet.  I would have expected that I would have had to change the route table of the second private subnet to point to the network interface in its subnet in order to work.

    Also, this configuration only works with private subnets in the same availability zone since network interfaces have to be in the same AZ as the instance.  Can Sophos UTM provide access only to instances in its AZ?  That doesn't seem right.

    Thanks again,

    Scott
  • 0
    I haven't been hands-on with some of your questions, Scott, so what follows is more theory than from direct, experimental proof...

    The route table for both private subnets pointed to the network interface of sophos that was in the first private subnet.

    It's not clear to me why WebAdmin created those routes - I would have to see the underlying configuration.  WebAdmin creates routes between all subnets defined on its defined Interfaces.

    this configuration only works with private subnets in the same availability zone

    I think that a VPC exists only in a single AZ, so that's as I would expect.

    I could easily have misunderstood the structure of a VPC, but I think you should be able to define, for example, multiple private /24 subnets in the VPC and then use them as Additional Addresses/24 on the Interface used for the first private subnet.  Does that work as I expect?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Bob,

    Thanks again for the response.

    Good point on backing up and defining what the VPC looks like.

    VPCs go across AZs so that you can manage failover within your private network.

    My current VPC is setup up as follows:

    AZ1 
     - public subnet (Sophos UTM & public network interface)
     - private subnet #1 - DMZ (sophos 2nd leg, network interface #2)
     - private subnet #2 - App subnet (if 3rd network interface is added, outward traffic is enables, without it, no dice)

    AZ2
     - public subnet - empty
     - private subnet #1 - DMZ - no access through Sophos 
     - private subnet #2 - App subnet - no access through Sophos 

    - Both public subnets share a route table

    - Both private DMZ subnets share a route table - 0.0.0.0/0 traffic is pointed at the Sophos NI in the AZ1 private DMZ subnet

    - Both private App subnets share a route table - 0.0.0.0/0 traffic is pointed at the Sophos NI in the AZ1 private DMZ subnet (this was the strange behavior where I would have expected to have to change this to point to the NI in the AZ1 app subnet, but it worked by just adding the NI and no changes to this route table).

    thanks,

    Scott
  • 0
    Scott, do you confirm that, instead of the third NI, it is not sufficient to add the second private subnet as an Additional Address/24 to the private NI?  (Clearly, I have mis-guessed some concepts about how a VPC works. [;)])

    Cheers - Bob
    PS I know your descriptions are clear for you, but I think that future questions would be clearer for others if they were to contain more specifics and actual information like 10.x.0.0/24 and 10.x.1.0/24.  Diagrams and pictures also make a big difference to those of us that are visual-tactile learners.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Bob,

    AWS only allows you to add a secondary address to the NI IF that address resides in the subnet the NI is located in.

    Thanks,
    Scott
  • 0
    Thanks for that, Scott. That's not a limitation on the UTM outside of Amazon.  I guess I then would have expected that the subnet on eth1 would have included all of your VPC, and that the VPC's routing tables would address any special issues.

    In fact, if all you want is a Transparent (or Full Transparent) Proxy, you don't need two NIs.  With a single interface, you could have the VPC route HTTP/S traffic to the UTM IP, and that could be an IP anywhere in the VPC.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML