This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Remote VPN

Hallo Zusammen,

wir befinden uns in einem größeren längerfristigen Firewall Projekt mehrerer Standorte. Aktuell muss der SSL Remote VPN umgestellt werden. Der Kunde hat aktuell am Hauptstandort noch eine Sophos als VM die nur noch den SSL VPN macht, sämtliche WAN Leitungen und andere Dienste sind auf eine Hardware Aplliance umgestellt. (SSL VPN Public IP entsprechend noch auf die alte UTM genattet)

Ich plane gerade die Umstellung allerdings hängen hier 200-300 Leute dran die dies benutzen. Die Umstellung an sich ist kein Problem, ich überlege nur ob die Konfig aktualisiert werden muss. DNS Hostname bleibt gleich, AD ist auch gleich aber ich vermute das Zertifikat der User könnte ein Problem sein und erfordert eine Konfig Aktualisierung.

Eine Idee wie die Konfig Aktualisierung umgangen werden könnte ? 

Danke im Voraus und VG


This thread was automatically locked due to age.
  • Are you using OTP? I suspect that the OTP synchronization would remain valid. But you would have to test it.

    You could try creating a HOSTS file on a test client, forcing the old host name to point to the new firewall.

    If you can connect, you simply change the DNS address of the old host name.   


    Does the new firewall support OpenVPN clients?

    If so, can it be configured to accept certificate + password logins?

  • Hi Douglas,


    thanks for your message. OTP is not used. DNS and everything will keep the same, there should be no issue at all. Both Firewall are Sophos UTMs, AD is integrated, so while the users are created at automatically via Userportal they will get a new X509 Certificate from the UTM. So i assume this could be an issue without updating the config File ? 



  • Moin,


    es müssen die alten Zertifikate sowohl für den User als auch den Server auf der neuen eingespielt und konfiguriert werden.

    Bitte auch die Server Config prüfen, hat sich das z.b. unter Kryptografische Einstellungen etwas geändert, dann benötigen die User ebenfalls eine neu Config.

    Besser wäre komplette Neukonfiguration auf der neuen Maschine mit neuem DNS Namen etc. 

    Dann kann nach und nach die Config auf den Cleints ausgerollt werden, es funktioniert aber immer der alte und neue Zugang. Sofern die kritische Masse auf dem neuen System ist, altes abschalten, die Verweigerer melden sich dann.



    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • Servus,

    Vielen Dank, ich schwanke auch gerade zwischen beiden Optionen, werde aber wohl beides der internen IT anbieten. Option 1 wäre alle User manuell zu übernehmen inkl. Zertifikat und Einstellungen. Vorteil wäre hier das die User davon nichts merken und sich um nichts kümmern müssten. Nachteil ist die manuell Arbeit, gibt es hier evtl. Möglichkeiten via SSH das Ganze zu skripten ? Zumindest Export / Import der Certs und der Backend User wäre ideal. Option 2 wäre die schleichende Migration wie maygyver schreibt, mit neuem DNS (IPs zwecks 443 haben wir genug frei) allerdings mit dem Nachteil das die User sich im Portal anmelden müssen und selbständig die Konfig aktualisieren müssen.

    Option 3 wäre ggf. das man die neue Konfig via GPO oder RMM auf die Geräte pusht. Kommt man als Admin an die OpenVPN Konfig Dateien der User ran ? 

    Danke Zusammen

  • You might talk to   Their tool is useful for applying GPO-like controls for things that GPO does not easily manage, and for applying GPO-like functions to devices that are not part of an ActiveDirectory domain, including devices not on the internal network.

  • You might talk to   Their tool is useful for applying GPO-like controls for things that GPO does not easily manage, and for applying GPO-like functions to devices that are not part of an ActiveDirectory domain, including devices not on the internal network.

No Data