This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM as VPN "Client"

Hey Guys!

I recently signed up for a VPN service. I want to have all the traffic from the device to go through the tunnel The service has .ovpn config files, as well as all the info I could need to set up a VPN connection, which I have downloaded. Now I have a bunch of .ovpn config files which are utterly useless.

On a side note, the #1 VPN feature request is something to convert the .ovpn to the (seemingly) proprietary .apc (or .epc) files:
UTM (Formerly ASG) Feature Requests: VPN (172 ideas)

There are a few posts indicating a script may be able to do so. I have downloaded it and run it. It never coimpletes properly, and the .apc file it spits out is always corrupted (or so say Sophos when I try to import it).

Now, I tried creating an SSL VPN Server, save the config file, and then tried to edit it; I couldn't seem to get it top open to be edited... If this is possible, please let me know how.

So... How do I set up this UTM to be an Open VPN client to another server whose settings I have no control over? All the Sophos guides I could find only mentioned creating the VPN server on one device, saving the config file, and using THAT on the "client" device. How can I just config the client device?

Is this even possible with the UTM 9 devices?


This thread was automatically locked due to age.
Parents Reply Children
  • This never has been done successfully by anyone here that I can remember.


    What!? Seriously!?

    I mean, let's forget the .ovpn-to-.a/.epc file conversion... I can get that THAT hasnm't been done successfully. I have followed several threads and sites and scripts, and none have worked. I get that.

    But are you telling me that we canNOT configure a Sophos UTM device to be an OpenVPN client!? How can that be?
  • This never has been done successfully by anyone here that I can remember.  Maybe this new member has an idea: https://community.sophos.com/members/jw0914_5f00_01

    Cheers - Bob



    What!? Seriously!?

    I mean, let's forget the .ovpn-to-.a/.epc file conversion... I can get that THAT hasnm't been done successfully. I have followed several threads and sites and scripts, and none have worked. I get that.

    But are you telling me that we canNOT configure a Sophos UTM device to be an OpenVPN client!? How can that be?


    Possible, maybe... easy, not likely.  OpenVPN is inherently easy to configure and use, with configs, and their respective options, extremely easy to configure... the problem with Sophos is the way it has gone about implementing OpenVPN on the backend.

    Being extremely familiar with OpenVPN, a hunch says it's possible; however due to Sophos' custom deployment of OpenVPN and the fact it creates server and client configs dynamically, filesystem information would be required.  If someone can find out where Sophos stores all OpenVPN files and scripts, I'd be more than willing to do some research, but without those files to show exactly what Sophos is doing and how it's doing it, there's a zero chance it can be configured as a client.

    • I already know Sopho' chroot for OpenVPN is /var/sec/chroot-openvpn/etc/openvpn, however it doesn't contain the script that runs on the backend (which is what controls Sophos' openvpn deployment)


    If the OpenVPN files and scripts can be found, it should allow not just configuring Sophos as an OpenVPN client, but also make it possible to run multiple OpenVPN servers.

    The way Sophos is configured by default is to create client configs dynamically based upon the dynamic creation of the server config.  When no SSL profile is enabled (created, but not enabled), no server config exists; once an SSL profile is enabled, Sophos dynamically creates a server config from openvpn.conf-default, as well as client configs from ./client/config.default.  Disable the SSL profile, and server and client configs are deleted until they're dynamically created again when the SSL profile(s) is(are) enabled.

    [SIZE="1"]**DISCLAIMER: Making any changes via the command line interface [cli] results in the loss of support and warranty for paid licensees**[/SIZE]