Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 5953 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM Transparent Proxy Config for AWS w/ multi-private subnets

dscottwheeler
I've configured a 2 legged Sophos UTM in AWS with the configuration below.  I am able to surf the internet from instances in the private subnet that the private NI is in, but I am not able to access the internet from instances any of the other three private subnets in the VPC (one in the same AZ and two in a different AZ).  Please feel free to point me to any doc that covers this as I have come up short (e.g. found doc, but it did not explicitly cover this scenario of multiple private subnets without adding a NI for each private subnet).

Sophos UTM in public subnet
eth0 in public subnet with Elastic IP attached
eth1 in private subnet (DMZ) 

The private subnets share the same ACL and Route table (allow all access between the private subnets)

Firewall rule:   VPC --> any
Masquerading rule:  VPc --> Public interface
Web Filtering:  allowed: VPC   Transparent mode
Static Routing: VPC --> Gateway in the private subnet eth1 is in
DNS: allowed: VPC    forwarders: VPC DNS (e.g. AWS)


This thread was automatically locked due to age.
Parents
  • 0
    Bob,

    Thanks again for the response.

    Good point on backing up and defining what the VPC looks like.

    VPCs go across AZs so that you can manage failover within your private network.

    My current VPC is setup up as follows:

    AZ1 
     - public subnet (Sophos UTM & public network interface)
     - private subnet #1 - DMZ (sophos 2nd leg, network interface #2)
     - private subnet #2 - App subnet (if 3rd network interface is added, outward traffic is enables, without it, no dice)

    AZ2
     - public subnet - empty
     - private subnet #1 - DMZ - no access through Sophos 
     - private subnet #2 - App subnet - no access through Sophos 

    - Both public subnets share a route table

    - Both private DMZ subnets share a route table - 0.0.0.0/0 traffic is pointed at the Sophos NI in the AZ1 private DMZ subnet

    - Both private App subnets share a route table - 0.0.0.0/0 traffic is pointed at the Sophos NI in the AZ1 private DMZ subnet (this was the strange behavior where I would have expected to have to change this to point to the NI in the AZ1 app subnet, but it worked by just adding the NI and no changes to this route table).

    thanks,

    Scott
Reply
  • 0
    Bob,

    Thanks again for the response.

    Good point on backing up and defining what the VPC looks like.

    VPCs go across AZs so that you can manage failover within your private network.

    My current VPC is setup up as follows:

    AZ1 
     - public subnet (Sophos UTM & public network interface)
     - private subnet #1 - DMZ (sophos 2nd leg, network interface #2)
     - private subnet #2 - App subnet (if 3rd network interface is added, outward traffic is enables, without it, no dice)

    AZ2
     - public subnet - empty
     - private subnet #1 - DMZ - no access through Sophos 
     - private subnet #2 - App subnet - no access through Sophos 

    - Both public subnets share a route table

    - Both private DMZ subnets share a route table - 0.0.0.0/0 traffic is pointed at the Sophos NI in the AZ1 private DMZ subnet

    - Both private App subnets share a route table - 0.0.0.0/0 traffic is pointed at the Sophos NI in the AZ1 private DMZ subnet (this was the strange behavior where I would have expected to have to change this to point to the NI in the AZ1 app subnet, but it worked by just adding the NI and no changes to this route table).

    thanks,

    Scott
Children
No Data
Unfiltered HTML