Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 5951 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM Transparent Proxy Config for AWS w/ multi-private subnets

dscottwheeler
I've configured a 2 legged Sophos UTM in AWS with the configuration below.  I am able to surf the internet from instances in the private subnet that the private NI is in, but I am not able to access the internet from instances any of the other three private subnets in the VPC (one in the same AZ and two in a different AZ).  Please feel free to point me to any doc that covers this as I have come up short (e.g. found doc, but it did not explicitly cover this scenario of multiple private subnets without adding a NI for each private subnet).

Sophos UTM in public subnet
eth0 in public subnet with Elastic IP attached
eth1 in private subnet (DMZ) 

The private subnets share the same ACL and Route table (allow all access between the private subnets)

Firewall rule:   VPC --> any
Masquerading rule:  VPc --> Public interface
Web Filtering:  allowed: VPC   Transparent mode
Static Routing: VPC --> Gateway in the private subnet eth1 is in
DNS: allowed: VPC    forwarders: VPC DNS (e.g. AWS)


This thread was automatically locked due to age.
Parents
  • 0
    Bob,

    More information.

    I removed the Static Routing

    I added a third interface in the second private subnet and instances in that subnet were able to access the internet.

    Here's the odd part that I could use some knowledge on.  The route table for both private subnets pointed to the network interface of sophos that was in the first private subnet.  I would have expected that I would have had to change the route table of the second private subnet to point to the network interface in its subnet in order to work.

    Also, this configuration only works with private subnets in the same availability zone since network interfaces have to be in the same AZ as the instance.  Can Sophos UTM provide access only to instances in its AZ?  That doesn't seem right.

    Thanks again,

    Scott
Reply
  • 0
    Bob,

    More information.

    I removed the Static Routing

    I added a third interface in the second private subnet and instances in that subnet were able to access the internet.

    Here's the odd part that I could use some knowledge on.  The route table for both private subnets pointed to the network interface of sophos that was in the first private subnet.  I would have expected that I would have had to change the route table of the second private subnet to point to the network interface in its subnet in order to work.

    Also, this configuration only works with private subnets in the same availability zone since network interfaces have to be in the same AZ as the instance.  Can Sophos UTM provide access only to instances in its AZ?  That doesn't seem right.

    Thanks again,

    Scott
Children
No Data
Unfiltered HTML