Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 9 replies
  • Subscribers 0 subscribers
  • Views 2906 views
  • Users 0 members are here
Options
Suggested

[9.080][ANSWERED] UTM Roadmap (specifically for OpenVPN)

bimmerdriver
I noticed that UTM 9 went GA last July. If UTM 9.1 goes GA in May, that's around 10 months. Is that typical?

Is there a list of planned features (even a preliminary list) for UTM 9.X or whatever the next release will be called?

The reason I'm asking is because the lack of support for UTM to connect with an openvpn server is a big issue for me. We selected UTM because of its features, mistakenly thinking that because it used OpenVPN it could connect to any OpenVPN server, but we found out that is not the case. After emailing Sophos support I found out there is no commitment whatsoever to deal with this issue, despite it being relatively high on the list of requested features. Also, Sophos employees on this board have been notably silent on this issue. I'm impressed with UTM otherwise, but if Sophos has no intention to support connections to OpenVPN servers (as an http or bit torrent proxy), I'm going to start looking for an alternative, such as pfsense.

I hope someone from Sophos will finally open up on this issue.
Parents
  • 0
    Hi bimmerdriver,
    feel free to add a feature request to http://feature.astaro.com. Product Management has an eye on that and other users can comment and vote for your feature.
  • 0 in reply to snowcrash_01
    Hi bimmerdriver,
    feel free to add a feature request to UTM (Formerly ASG) Feature Requests: Hot (1149 ideas). Product Management has an eye on that and other users can comment and vote for your feature.
    Thanks for your reply. There is a feature request, which is currently number 17 on the "top" list (here), as well as numerous posts on the topic, dating back 5 or more years, for UTM to be able to connect with "external" openvpn servers. The title of the feature request is specifically about conversion between ovpn and apc files, but to be fair to the product managers and designers, it would be better left to them to determine the mechanism for supporting external openvpn servers, rather than word it so specifically as has been done. The mechanism used for supporting site2site vpns is not so much the issue, as the inability of utm to connect to other vpn servers, be they openvpn or some other technology. The feature is shown to be under review. I would like to hear from the product managers what that means and what are their plans for addressing this long-standing feature request.
  • 0 in reply to bimmerdriver
    Hiya Bimmer,

    about your request, it isn't at all that we are building walls around open-source. (We don't do that here). but rather about the understanding of the technology and the file format. I'll try to quickly explain for you.

    Currently, aside from a couple of products, no one really has site-to-site SSL VPN support, and we were one of the leaders in introducing that some years ago. While we DO use (and are quite open about it as with all areas of the product as I'm sure many will agree) OpenVPN, the configuration file you are downloading from the UTM is in fact not a renamed/encrypted/packaged .ovpn file.

    The UTM works via ConfD, which is our instruction translator that takes your commands and writes to the underlying daemons and configuration files. Hence the configuration file you are asking us to offer as .ovpn doesnt make sense in that manner, as this contains a lot of commands for confd to configure the system for the site-to-site VPN.

    However, as we do offer unrestricted access to the command line, you could always just go grab the openvpn configuration you need and export it off the box for use in your other non-UTM product. 

    We have no plans for supporting official communications of site-to-site SSL with products other than our own, simply because there is no standard for this and it would be a constant battle to keep those things running for no real benefit to our customer base. In short, feel free to hack away, but rest assured we're not being difficult, its just that you are not downloading a rebadged ovpn file.

    Hope that clears that up.
  • 0 in reply to AngeloC
    If you actually read the comments in the feature request and posts on this forum about openvpn (there are dozens of them), you would understand that few (if any) are asking for Sophos to support connecting to third-party site 2 site vpn boxes. They are asking for the capability to connect with vpn service providers, which is not the same thing. It should be obvious what this means, but since you keep referring to site 2 site, you must not get it. Many people for reasons of privacy or geolocation or anonymity or whatever, want to connect to the internet through a vpn (i.e., a gateway) for some or all of their traffic (by protocol http, imap, udp or by port number). There are lots of companies that offer this service, such as mullvad, hma, strongvpn, etc. With all due respect, if I can download a .ovpn file and certs from a service provider, install openvpn on a pc and have a vpn connection up and running in a few minutes (which is how long it takes) it would not be difficult for Sophos to put the capability into utm so users who want to do this do not have to dedicate a pc for this purpose.

    Anyway, you win. I give up. Perhaps now you will show some consideration to people by setting the status of the feature request pertaining to this to something other than "under investigation" so people will not waste any more votes on it.
  • 0 in reply to bimmerdriver
    I understand your frustration, I had asked for MAC based filtering so long ago that by the time its implemented in this version, I really don't need it any more. But trust me, your threats of switching to another firewall is not going to persuade the decision makers to change their minds. The decisions made on product development are based mostly on current trends in technology and what is supported/ available in the products they are trying to compete against. 

    What you are asking for is not necessarily a business critical need. Why would a business want to connect the UTM to a VPN server as client only and not do site to site? Or better yet, why wouldn't they just deploy RED.

    In any case, good luck with whatever you decide.
  • 0 in reply to Billybob
    I understand your frustration, I had asked for MAC based filtering so long ago that by the time its implemented in this version, I really don't need it any more. But trust me, your threats of switching to another firewall is not going to persuade the decision makers to change their minds. The decisions made on product development are based mostly on current trends in technology and what is supported/ available in the products they are trying to compete against. 

    What you are asking for is not necessarily a business critical need. Why would a business want to connect the UTM to a VPN server as client only and not do site to site? Or better yet, why wouldn't they just deploy RED.

    In any case, good luck with whatever you decide.
    Thanks for your reply. My comment about switching wasn't a "threat". It was a statement. You don't have to tell me that Sophos could not care less whether I use utm or not. I'm not delusional. However, while whether I switch to another product or find a way to work around this limitation makes no difference to Sophos, there may well be other users who switched or will switch in the future because of this issue for which utm may have been a revenue source. This is because personal experience with and/or affinity towards a product or company usually has a significant influence on corporate decision making. It is human nature that people select products they like from companies they trust and respect. Again, obviously Sophos thinks otherwise, which is their choice.

    As to whether or not this feature is a business critical need, there are countries where spying by isps or the government is prevalent. The same feature is relevant to personal users and business users.

    My frustration is two fold. First, it's the refusal to implement this feature, despite the number of requests and posts over several years and the relative ease to implement it. (All of the building blocks are there. This is not rocket science.) Secondly, it's that on one hand, they (i.e., support) are suggesting to lobby for votes on the feature on the forum and it is shown as "under investigation", while on the other hand, they are playing this passive aggressive game about it. In a word it's disingenuous.

    Anyway, the horse is dead. Time to stop flogging it.
Reply
  • 0 in reply to Billybob
    I understand your frustration, I had asked for MAC based filtering so long ago that by the time its implemented in this version, I really don't need it any more. But trust me, your threats of switching to another firewall is not going to persuade the decision makers to change their minds. The decisions made on product development are based mostly on current trends in technology and what is supported/ available in the products they are trying to compete against. 

    What you are asking for is not necessarily a business critical need. Why would a business want to connect the UTM to a VPN server as client only and not do site to site? Or better yet, why wouldn't they just deploy RED.

    In any case, good luck with whatever you decide.
    Thanks for your reply. My comment about switching wasn't a "threat". It was a statement. You don't have to tell me that Sophos could not care less whether I use utm or not. I'm not delusional. However, while whether I switch to another product or find a way to work around this limitation makes no difference to Sophos, there may well be other users who switched or will switch in the future because of this issue for which utm may have been a revenue source. This is because personal experience with and/or affinity towards a product or company usually has a significant influence on corporate decision making. It is human nature that people select products they like from companies they trust and respect. Again, obviously Sophos thinks otherwise, which is their choice.

    As to whether or not this feature is a business critical need, there are countries where spying by isps or the government is prevalent. The same feature is relevant to personal users and business users.

    My frustration is two fold. First, it's the refusal to implement this feature, despite the number of requests and posts over several years and the relative ease to implement it. (All of the building blocks are there. This is not rocket science.) Secondly, it's that on one hand, they (i.e., support) are suggesting to lobby for votes on the feature on the forum and it is shown as "under investigation", while on the other hand, they are playing this passive aggressive game about it. In a word it's disingenuous.

    Anyway, the horse is dead. Time to stop flogging it.
Children
  • 0 in reply to bimmerdriver
    Based on your tone, I'll answer a few more things with quotes in line and then I (and you) can consider this closed.

    The problem is not so much related to the VPN technology, but that UTM builds a wall around the configuration of the VPN, inherently limiting it to site to site configurations where both sites are UTM.

    As mentioned, we don't at all. However as you don't seem to understand that, I'll word it differently; we don't develop the feature that we designed here with anything other than our own gear as a goal. The fact that it doesn't work with other products isn't something we're actively looking to change.

    In order to get UTM to connect to a non-UTM openvpn server, I had to go into utm via the back door and hack the configuration files.

    In fact many of our users deeply love that we enable them to do things like this, and don't lock them out of being able to tinker with the underpinnings like our competitors products do.


    The reason I'm asking is because the lack of support for UTM to connect with an openvpn server is a big issue for me.


    The fact is, it is an issue for "you", and not the global market in General. As such, while we have it under review, we have looked it over and found this feature not something that we should spend precious development cycles on, when we could be doing other things that more than a few users care about.

    few (if any) are asking for Sophos to support connecting to third-party site 2 site vpn boxes. They are asking for the capability to connect with vpn service providers, which is not the same thing

    Actually what you wrote there is indeed the same thing, as those providers use other VPN offerings. What do you think terminates all those anonymous VPN services?

    With all due respect, if I can download a .ovpn file and certs from a service provider, install openvpn on a pc and have a vpn connection up and running in a few minutes (which is how long it takes) it would not be difficult for Sophos to put the capability into utm so users who want to do this do not have to dedicate a pc for this purpose.

    Actually the main use of those VPN gateway services is so people can tunnel their traffic in order to hide their downloading activity from their ISP, which isn't a concern for the professional business market that is the target of our products.

     First, it's the refusal to implement this feature, despite the number of requests and posts over several years and the relative ease to implement it.

    Unfortunately what a few complain about does not influence the product roadmap and how I prioritize things; what has a true business value to our partners does, and they are asking for many many things we can work on with a higher value than this.

    If support has given you the impression that the portal somehow dictates the roadmap, then I can correct them and clarify that it indeed does not. We use the feature portal to gain an aspect of trends and in general just look for intuitive and good ideas, as well as things which have a large amount of interest via votes which also align with our vision. But as you say, now that the review of the request is over, I will indeed unmark that flag.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?