UTM as VPN "Client"

The VPN router allows a client connection to commercial VPN services like HMA (HideMY Ass).  Since the VPN router is ahead of the UTM hardware all of the UTM's protection is still effective.  The VPN router is just to establish a VPN client connection for your home network as a whole.

If you uses VPN client software behind your UTM (on your personal computer) the UTM protection is effectively side-stepped.

I should have added that I have taken the VPN out of my network.  It was a bit too clumsy to use daily.

That simply doesn't make any sense, logically or rationally...

Any router with OpenVPN capable firmware can act as either a server, a client, or both (as well as multiple servers and/or multiple clients).  

I'm also a bit perplexed why you would utilize a paid VPN service if you utilize UTM or any router firmware capable of running OpenVPN (unless you're based in a country that restricts content and need a proxy), as any router with VPN capable firmware can do the exact same thing for free (unless you're needing to hide your WAN IP).

Unless I am mistaken, any CLI edits to Sophos will invalidate any support on the device. So while possible, it defeats the purpose of having a supported UTM.

Same with the VPN Roputer. While I completely understand what and how it works, needing to go out and buy yet ANOTHER piece of hardware completely defeats the purpose of having a single UTM.

If you're a business user and have paid for HA/SA implementations... if you are, I would recommend contacting Sophos and asking them how to configure Sophos to act as a VPN client (please post back with any info they provide =] )

• The home user license version of UTM is the exact same as the enterprise version, and is why that terminal warning is there, with the only difference being a maximum limit of 50 static/dynamically assigned IPs (which is why it's recommended to utilize a second device for a dhcp server if you utilize a significant amount of IPs in your home network).
  

[SIZE="1"]**DISCLAIMER: Making any changes via the command line interface [cli] results in the loss of support and warranty for paid licensees**[/SIZE]

TI'm also a bit perplexed why you would utilize a paid VPN service if you utilize UTM or any router firmware capable of running OpenVPN (unless you're based in a country that restricts content and need a proxy), as any router with VPN capable firmware can do the exact same thing for free (unless you're needing to hide your WAN IP).

"(unless you're needing to hide your WAN IP)" - This is exactly what I am trying to accomplish, and the service I have can certainly do so.

I have an old Linksys router running DD-WRT which is totally capable of running as an OpenVPN Client, and this VPN connection works exactly as expected.

Given that Sophos is enterprise-grade software, and running OpenVPN software in the backend, I had readily assumed that the device could be easily configured as a VPN Client. It would apear otherwise.

"(unless you're needing to hide your WAN IP)" - This is exactly what I am trying to accomplish, and the service I have can certainly do so.

I have an old Linksys router running DD-WRT which is totally capable of running as an OpenVPN Client, and this VPN connection works exactly as expected.

Given that Sophos is enterprise-grade software, and running OpenVPN software in the backend, I had readily assumed that the device could be easily configured as a VPN Client. It would apear otherwise.

It can be easily configured as an OpenVPN client... this isn't a question of how hard it would be, as OpenVPN is inherently easy to configure, but of where the openvpn files and scripts reside that control the config files within the OpenVPN jail.

Find the location of those scripts, and it would take no more than an hour for me to figure out what needs to be edited to allow not just for Sophos to be run as a client, but also for it to run numerous server instances.

[SIZE="1"]**DISCLAIMER: Making any changes via the command line interface [cli] results in the loss of support and warranty for paid licensees**[/SIZE]

It can be easily configured as an OpenVPN client... this isn't a question of how hard it would be, as OpenVPN is inherently easy to configure, but of where the openvpn files and scripts reside that control the config files within the OpenVPN jail.

Find the location of those scripts, and it would take no more than an hour for me to figure out what needs to be edited to allow not just for Sophos to be run as a client, but also for it to run numerous server instances.

If I were able to find the scripts, I as well, could likely figure out the rest. The problem is, everywhere that mentions and CLI changes also has the following note:
"Note – Any modifications done by root will void your support. Instead use WebAdmin for any configuration changes." This includes the Sophos Website, Support serch/knowledge base, and the WebUI help pages.

Given this, any CLI changes are straight-up out of the question; supportability must be kept. In order to keep support, we need to do this in the WebUI. If it cannot be done in the WebUI, then it might as well not be able to be done at all.

So it isn't a question of "can it be done at all", but "how to do this in a supported manner". If the answer is not at all, then so be it, I just need to know so I can move on to other products. If it CAN be done (in a supported manner, through the WebUI), even better (I would prefer this option by far)! And it CAN be done, we need to determine how.

If I were able to find the scripts, I as well, could likely figure out the rest. The problem is, everywhere that mentions and CLI changes also has the following note:
"Note – Any modifications done by root will void your support. Instead use WebAdmin for any configuration changes." This includes the Sophos Website, Support serch/knowledge base, and the WebUI help pages.

Given this, any CLI changes are straight-up out of the question; supportability must be kept. In order to keep support, we need to do this in the WebUI. If it cannot be done in the WebUI, then it might as well not be able to be done at all.

So it isn't a question of "can it be done at all", but "how to do this in a supported manner". If the answer is not at all, then so be it, I just need to know so I can move on to other products. If it CAN be done (in a supported manner, through the WebUI), even better (I would prefer this option by far)! And it CAN be done, we need to determine how.

Please see my above comment regarding the terminal warning...

You're running the exact same version of UTM that enterprise users run, which is why the warning is there.

Per the Sophos EULA:

• 15.6.3: No Maintenance or technical support is included with Free Tools.
  
• 15.7.2: Unless expressly stated otherwise on the Schedule, consumers are not entitled to receive technical support.
  

Ergo, the terminal warning does not apply to home users

[SIZE="1"]**DISCLAIMER: Making any changes via the command line interface [cli] results in the loss of support and warranty for paid licensees**[/SIZE]

Please see my above comment regarding the terminal warning...

I did see that. I have not seen anything anywhere to indicate that if I paid for support that CLI edits/changes would then be allowed. If you have anything to show this, please let me know.

You're running the exact same version of UTM that enterprise users run, which is why the warning is there.  All a home user has to do is apply common sense... 

• Do you have paid support?  No.
  
• Are you using a Sophos Hardware Appliance? No.
  

I don't see how whether or not I paid for support and/or running on Sophos branded hardware has any bearing on whether or not Sophos has a supported method to be configured as a VPN Client.

And if I AM indeed "running the exact same version of UTM that enterprise users run", then there should be something somewhere to indicate how to do this configuration change (I cannot possibly be the ONLY person wanting/needing to do this kind of VPN configuration), and yet there is nothing, at all, anywhere. Not even anything indicationg that it *MIGHT* be able to be done via CLI.

If, as your responses imply, setting up Sophos as a VPN client can only be supported via a paid support subscription (as you indicate, CLI edits would need to be made, and CLI edits would only be supported via paid service), then I would tend to think that there would be something somewhere to indicate this as some kind of limitation on the home use license; or perhaps that this kind of configuration can only be done via CLI and thus support... blah blah blah... Yet all the documentation indicates that THE ONLY limitation is the 50 IPs (and EVERYTHING ELSE works).

I did see that. I have not seen anything anywhere to indicate that if I paid for support that CLI edits/changes would then be allowed. If you have anything to show this, please let me know.



I don't see how whether or not I paid for support and/or running on Sophos branded hardware has any bearing on whether or not Sophos has a supported method to be configured as a VPN Client.

And if I AM indeed "running the exact same version of UTM that enterprise users run", then there should be something somewhere to indicate how to do this configuration change (I cannot possibly be the ONLY person wanting/needing to do this kind of VPN configuration), and yet there is nothing, at all, anywhere. Not even anything indicationg that it *MIGHT* be able to be done via CLI.

If, as your responses imply, setting up Sophos as a VPN client can only be supported via a paid support subscription (as you indicate, CLI edits would need to be made, and CLI edits would only be supported via paid service), then I would tend to think that there would be something somewhere to indicate this as some kind of limitation on the home use license; or perhaps that this kind of configuration can only be done via CLI and thus support... blah blah blah... Yet all the documentation indicates that THE ONLY limitation is the 50 IPs (and EVERYTHING ELSE works).

Per the EULA, as a home user, you're not entitled to support... please take a look at sections 15.6.3 and 15.7.2 in the EULA.

are you telling me that we canNOT configure a Sophos UTM device to be an OpenVPN client!? How can that be?

Correct and because Sophos does not want it to be done.  I've detailed the various business/marketing reasons for this in several previous threads, so no need to rehash here.  Although offered for free home use, ALL design decisions on the UTM are specifically catered to business usage for paid business users and this particular "feature" has some very real potential negative connotations that Sophos is keenly aware of.  If this is a make or break for you, there are several home centric gateway products that have this capability, which you could setup upstream of the UTM.

Correct and because Sophos does not want it to be done.  I've detailed the various business/marketing reasons for this in several previous threads, so no need to rehash here.  Although offered for free home use, ALL design decisions on the UTM are specifically catered to business usage for paid business users and this particular "feature" has some very real potential negative connotations that Sophos is keenly aware of.  If this is a make or break for you, there are several home centric gateway products that have this capability, which you could setup upstream of the UTM.

Truth be told, I am evaluating the product for future use for a customer. There was no indication in the documetation that there were any such additional restrictions placed upon the Home Use/Eval license. I will be searching the forums for some of these previous posts you mention.