VPN Signing CA erneuern

Ich würde vorschlagen, sich einen alternative Plan zurecht zu legen.

Wenn man bereits Sophos Connect hat, (nicht mehr die Ampel) kann man sich eine Sophos Firewall über den Partner beziehen und bereits die VPN Clients migrieren. 
Damit man nicht alle VPN Clients jetzt anfasst und ggf. in 1-2 Jahren erneut zum EOL von UTM, kann man jetzt bereits die User auf SFOS VPN umziehen. 

Ich verstehe diesen Plan nicht. In der OVPN-Konfigurationsdatei steht das VPN Signing CA.

Die Idee ist, wenn du sowieso das Signing CA anfassen musst, musst du alle OVPN Dateien neu ausrollen. Daran wird kein Weg vorbei führen.

In SFOS also der XGS Firewall kannst du einen Automatismus zum Ausrollen der OVPN nutzen. Du kannst dir also das Ausrollen der neuen UTM Cert jetzt sparen, und direkt das mit einer SFOS Firewall machen. 

Der Plan ist also, bereits jetzt von der UTM zur XGS zu wechseln.
Leider gibt es da noch das bisher von Sophos nicht geklärte Thema mehrerer GLEICHZEITIGER VPN-Verbindungen (auch zu pfSense- oder OPNsense-Firewalls).

Der Plan ist also, bereits jetzt von der UTM zur XGS zu wechseln.
Leider gibt es da noch das bisher von Sophos nicht geklärte Thema mehrerer GLEICHZEITIGER VPN-Verbindungen (auch zu pfSense- oder OPNsense-Firewalls).

Sprichst du von Verbindungen auf einem Windows Client zu mehreren Peers (Firewalls) gleichzeitig?
Das unterstützt unser Sophos Connect Client nicht. Dafür müsste man auf einen anderen VPN Client ausweichen. 
Was genau ist der Use Case für so Installationen? 

Es gibt zwei Gruppen von Benutzern; die eine braucht aus dem Homeoffice nur die VPN-Verbindung zur UTM und nutzt den Sophos Connect Client; die andere braucht GLEICHZEITIG noch VPN-Verbindungen zu pfSense- oder OPNsense-Firewalls, die NICHT von uns verwaltet werden; diese haben den OpenVPN-Client, mehrere Monitore und sind zufrieden.

Für diese könnte man dann auch weiter den OpenVPN Client verwenden und denen dann von der XGS SFOS Firewall das Zertifikat zukommen lassen.

Migrieren wird man die nicht können. 

Können Sie erläutern, wie das geht? Ich kenne es nur so, dass man für den OpenVPN-Client eine .ovpn-Konfigurationsdatei braucht. Gibt es eine Anleitung, wie man die mithilfe des Zertifikats baut?

Sophos Connect braucht eine .pro File - Damit kann der Client das eigenständig herunterladen.

OpenVPN benötigt eine ovpn Datei, die ein User im VPN Portal herunterladen kann. 

Im Benutzerportal der XGS gibt es bei mir unter "Client herunterladen" nur die Punkte:

Authentifizierungsclients
- Download für Windows
- Download für macOS
- Download für Linux 32
- Download für Linux 64
- Zertifikat für iOS 12 und früher und Android herunterladen
- Clientzertifikat in iOS 13 und später installieren
Ehe Sie auf den Link klicken, fügen Sie das Zertifikat, das Ihnen Ihr Administrator gesendet hat, zu den vertrauenswürdigen Zertifikaten Ihres iOS-Profils hinzu.

SPX Add-in
- Sophos Outlook Add-in herunterladen

Seit V20.0 GA gibt es ein VPN Portal. 
Das ist nur für VPN. 

https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/VPNAndUserPortalHelp/VPN/index.html 

Danke, das habe ich übersehen. Ich werde es dann mal ausprobieren.
Wissen Sie, ob man die .ovpn-Konfigurationsdatei auch als Admin herunterladen kann? Meine letzte Info war, dass es nicht geht. Bei der Vorbereitung neuer Endgeräte wäre es schön, das zu können.

Nein, das geht (aktuell) nicht.
Wäre auch nicht sehr hilfreich, da die VPN-Konfiguration jetzt nicht mehr Zentral für alle auf dem PC liegt, sondern benutzerbezogen importiert wird.