Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 63 replies
  • Subscribers 8 subscribers
  • Views 125407 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM as VPN "Client"

jdmoore0883
Hey Guys!

I recently signed up for a VPN service. I want to have all the traffic from the device to go through the tunnel The service has .ovpn config files, as well as all the info I could need to set up a VPN connection, which I have downloaded. Now I have a bunch of .ovpn config files which are utterly useless.

On a side note, the #1 VPN feature request is something to convert the .ovpn to the (seemingly) proprietary .apc (or .epc) files:
UTM (Formerly ASG) Feature Requests: VPN (172 ideas)

There are a few posts indicating a script may be able to do so. I have downloaded it and run it. It never coimpletes properly, and the .apc file it spits out is always corrupted (or so say Sophos when I try to import it).

Now, I tried creating an SSL VPN Server, save the config file, and then tried to edit it; I couldn't seem to get it top open to be edited... If this is possible, please let me know how.

So... How do I set up this UTM to be an Open VPN client to another server whose settings I have no control over? All the Sophos guides I could find only mentioned creating the VPN server on one device, saving the config file, and using THAT on the "client" device. How can I just config the client device?

Is this even possible with the UTM 9 devices?


This thread was automatically locked due to age.
  • 0

    This never has been done successfully by anyone here that I can remember.  Maybe this new member has an idea: https://community.sophos.com/members/jw0914_5f00_01

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Couldn't an SSL Site-to-Site VPN be set up and the DHCP set the remote gateway as the primary gateway for connected devices?

    Edit: I just chatted to my more Astaro experienced colleague and this wouldn't work or rather, it would work very innefficiently to a point it's not worth it.
  • 0 in reply to BAlfson
    This never has been done successfully by anyone here that I can remember.


    What!? Seriously!?

    I mean, let's forget the .ovpn-to-.a/.epc file conversion... I can get that THAT hasnm't been done successfully. I have followed several threads and sites and scripts, and none have worked. I get that.

    But are you telling me that we canNOT configure a Sophos UTM device to be an OpenVPN client!? How can that be?
  • 0 in reply to jdmoore0883
    This never has been done successfully by anyone here that I can remember.  Maybe this new member has an idea: https://community.sophos.com/members/jw0914_5f00_01

    Cheers - Bob



    What!? Seriously!?

    I mean, let's forget the .ovpn-to-.a/.epc file conversion... I can get that THAT hasnm't been done successfully. I have followed several threads and sites and scripts, and none have worked. I get that.

    But are you telling me that we canNOT configure a Sophos UTM device to be an OpenVPN client!? How can that be?


    Possible, maybe... easy, not likely.  OpenVPN is inherently easy to configure and use, with configs, and their respective options, extremely easy to configure... the problem with Sophos is the way it has gone about implementing OpenVPN on the backend.

    Being extremely familiar with OpenVPN, a hunch says it's possible; however due to Sophos' custom deployment of OpenVPN and the fact it creates server and client configs dynamically, filesystem information would be required.  If someone can find out where Sophos stores all OpenVPN files and scripts, I'd be more than willing to do some research, but without those files to show exactly what Sophos is doing and how it's doing it, there's a zero chance it can be configured as a client.

    • I already know Sopho' chroot for OpenVPN is /var/sec/chroot-openvpn/etc/openvpn, however it doesn't contain the script that runs on the backend (which is what controls Sophos' openvpn deployment)


    If the OpenVPN files and scripts can be found, it should allow not just configuring Sophos as an OpenVPN client, but also make it possible to run multiple OpenVPN servers.

    The way Sophos is configured by default is to create client configs dynamically based upon the dynamic creation of the server config.  When no SSL profile is enabled (created, but not enabled), no server config exists; once an SSL profile is enabled, Sophos dynamically creates a server config from openvpn.conf-default, as well as client configs from ./client/config.default.  Disable the SSL profile, and server and client configs are deleted until they're dynamically created again when the SSL profile(s) is(are) enabled.

    [SIZE="1"]**DISCLAIMER: Making any changes via the command line interface [cli] results in the loss of support and warranty for paid licensees**[/SIZE]

  • 0
    A simple solution is to buy a VPN router (http://www.amazon.com/TP-LINK-TL-R600VPN-Gigabit-Broadband-Supports/dp/B007B60SCG/ref=sr_1_1?ie=UTF8&qid=1445007503&sr=8-1&keywords=tp-link+vpn+router) and place it between your cable modem and UTM hardware.  The VPN router uses DHCP to the cable modem and the UTM hardware uses DHCP to the VPN router.  I have successfully used the web interface to the VPN router to connect with HMA VPN service.  I could not establish an automatic on-demand connection; the VPN connection needs to be re-established manually.
  • 0 in reply to Ztirf
    A simple solution is to buy a VPN router (http://www.amazon.com/TP-LINK-TL-R600VPN-Gigabit-Broadband-Supports/dp/B007B60SCG/ref=sr_1_1?ie=UTF8&qid=1445007503&sr=8-1&keywords=tp-link+vpn+router) and place it between your cable modem and UTM hardware.  The VPN router uses DHCP to the cable modem and the UTM hardware uses DHCP to the VPN router.  I have successfully used the web interface to the VPN router to connect with HMA VPN service.  I could not establish an automatic on-demand connection; the VPN connection needs to be re-established manually.

    Why would you recommend to a UTM owner to buy a VPN router, when UTM is a VPN router? [:S]
  • 0 in reply to JW0914_01
    Why would you recommend to a UTM owner to buy a VPN router, when UTM is a VPN router?


    Exactly. It is for this very reason I had chosen Sophos UTM as the solution here.

    Sadly, it looks lke Sophos canNOT be configured to be a VPN Client.

    Unless I am wrong in this, I am going to have to start searching for another solution that CAN act as a VPN Client. Given that there's a feature request that's been going on for over 5 years, with no Official responses from Sophos, I doubt that this is anything that will be resolved in any amount of time. This is rather sad in my opinion...
  • 0 in reply to jdmoore0883
    Exactly. It is for this very reason I had chosen Sophos UTM as the solution here.

    Sadly, it looks lke Sophos canNOT be configured to be a VPN Client.

    Unless I am wrong in this, I am going to have to start searching for another solution that CAN act as a VPN Client. Given that there's a feature request that's been going on for over 5 years, with no Official responses from Sophos, I doubt that this is anything that will be resolved in any amount of time. This is rather sad in my opinion...

    It's not a question of whether Sophos is capable of being an OpenVPN client, as it is... the question is where do the backend scripts for OpenVPN reside within the UTM filesystem.

    The reason why you currently cannot use UTM as a client is because of the backend scripts that control the OpenVPN config files within the OpenVPN jail... find the scripts and it can be configured as a client

    [SIZE="1"]**DISCLAIMER: Making any changes via the command line interface [cli] results in the loss of support and warranty for paid licensees**[/SIZE]
  • 0
    The VPN router allows a client connection to commercial VPN services like HMA (HideMY Ass).  Since the VPN router is ahead of the UTM hardware all of the UTM's protection is still effective.  The VPN router is just to establish a VPN client connection for your home network as a whole.

    If you uses VPN client software behind your UTM (on your personal computer) the UTM protection is effectively side-stepped.

    I should have added that I have taken the VPN out of my network.  It was a bit too clumsy to use daily.
  • 0 in reply to JW0914_01
    The reason why you currently cannot use UTM as a client is because of the backend scripts that control the OpenVPN config files within the OpenVPN jail... find the scripts and it can be configured as a client


    Unless I am mistaken, any CLI edits to Sophos will invalidate any support on the device. So while possible, it defeats the purpose of having a supported UTM.

    Same with the VPN Roputer. While I completely understand what and how it works, needing to go out and buy yet ANOTHER piece of hardware completely defeats the purpose of having a single UTM.
Unfiltered HTML