Sophos TMG replacement

Oh yes - Sophos support is useless .. So no need to pay for premimum support - they wont be able to do more than a Google search  - sadly..

Sadly I can't say I've run into a bunch of the issues you've had but I will agree the Active Directory & HTTPs have been major pain points in recent history.

For the HTTPs scanning you'll have to push out a self signed certificate via Group Policy within your domain -- worked last time I tried it in late v8 early v9

For PPTP, have you tried switching to L2TP over IPsec?  PPTP is ancient by all measures and L2TP over IPSec is supported I believe all the way back to Win 2000 if I recall correctly. -- Do note, there is a pain point with L2TP, it seems Verizon + Sophos UTM don't work well together at least with mobile phones.

For Log files, usually what I do is open the files in Notepad++ or Komodo edit, but I agree when web filtering log files get to 12GB daily for a relatively small school that's pretty crazy

Oops forgot to mention, there are a ton of brilliant minds here on the forums, so even if you don't get the answer you're looking for directly from Sophos, one of the community members has likely run into it and can give you pointers on how to fix it.

thanks Pyro

Yes we have changed to l2tp .. Sophos kind of forced us [:)]
regarding https.. it's not https scanning - but web sites published through waf - we have had to disable all fireall profiles to have this working. Also waf/SharePoint site we need to disable firewall profiles to have this working. If Sophos will try to do as a TMG replacement, predefined profiles and rules like "Sharepoint Firewall Profile" and "OWA firewall Profile" would be clever. 

Hate to troubleshoot looking through Sophos logs [:(]

My point was - do not advertice as a TMG replacement when you are clearly not even close!

No matter what sales people might tell you..

See "How the business consultant described it" at Project Cartoon: How Projects Really Work (version 2.0), same as commission salespeople.  It's been more the exception than the rule when I've gotten to deal with honest salespeople at technical vendors who have any kind of understanding what they are actually selling.  Many just regurgitate marketing hype.  I take what they say with a grain of salt, and do my due diligence research before committing to a high dollar purchase.   

Sophos is doing a lot right now selling as a TMG replacement

So is every company in this market segment and none of them are even close to a perfect match up with the features of TMG, nor will any of them be at any time in the near future.  TMG was created by Microsoft, for Microsoft.  All the various network appliance/UTM companies out there have to make their products as broad based as possible and not get tied down to vendor specific criteria.  Why has MS retired TMG?  Because it was losing a lot of money due to being somewhat narrow in scope.  Switching from one vendors product to another you will always lose some functionality or settings that you liked, but there should also be things that you gain as well.  It's a trade off.  From my experience here as well as other vendors forums, nobody coming off TMG is especially thrilled with any of the products in the market segment they have been forced to switch to.  Sad, but true.  

So - please do not sell this as a TMG replacement... You are miles away!!!

This is a user-to-user forum, so the suggestion will not be seen or acted upon by Sophos.

Oh yes - Sophos support is useless

Mail clients of MAC computers not working on published Exchange sites is not working

Sometimes yes, but other times you must contact them.  Bugs are a good example.  Contacting support is the only means to let Sophos know about bugs, so they can get fixed,  and potentially get a "hotfix" for them.  Their main function is break-fix and to pass information up the chain to development for this purpose.  They won't do "set-up X" issues.  That is the purview of Professional Services and Resellers.   

A few things that may help with a couple of your points:

we have had to disable all fireall profiles on simple https published sites

I've not seen this sort of issue where you can't use any firewall profile, BUT I have seen false positives being triggered that cause issues with sites.  The solution is to do some test connections to your site and check the WAF log for rules being triggered.  If you are certain these are false positives, then you can Skip Filter Rules in Firewall Profiles.  You can see the the pre-canned profiles as examples, but many sites will require tweaking/customizing of the settings within a firewall profile due to variations in different hosting or code platforms.

web filtering log files get to 12GB

I haven't seen your logs, so I have no idea what is in there, but if you have some sites or categories that everybody hits very frequently and you don't care to log, you can create an exception rule to skip logging for them.  Take a look at Web Filtering exception rules to see your specific options.  If it's a limited number of sites causing the issue, this would be a way to pare things down.  You also have options to use the reports in Logging and Reporting for a 10,000 foot overview and then if you want more detail on something specific, you can search for just that information (Example:  browsing from a single client system).  There's also the options of exporting the logs via Syslog to a third party log/data management system, like Splunk, which would allow you to be much more granular in displaying the information to your liking.

one of the community members has likely run into it and can give you pointers on how to fix it

Yep, but please create a new thread in the applicable forum for each issue.  This is a user-to-user forum, so nobody here is going to be able to spend hours of their day trying to help you resolve multiple issues with various components in one mega-thread.  As well, some people that assist others here are better with some areas, but know little about others.  Help us to help you.  [:)]

Link translation (if you use TMG you know what this is) is not available on Sophos.

No AD change password feature - you cannot login if youre account is set to change password at NeXT logon

Form based logon (an absolute must replacing TMG) cannot auth in sub-directories.. It will redirect to home directory at logon

predefined profiles and rules like "Sharepoint Firewall Profile" and "OWA firewall Profile" would be clever

If there is a feature you would like to see, make a feature request at http://feature.astaro.com.  Almost every new feature added, for years, to the UTM and its' predecessor has started as a feature request at this site.  Be as specific as possible, cite how the feature would solve business needs, and provide links to external information if needed for understanding.  If it's a good idea, that would be utilized by many customers, and is technically feasible, it might just be added in a future version.

JKM, it sounds like your company didn't hire an experienced UTM installer to help you design your UTM configuration and adapt your servers to a different tool.  I see really talented CCIEs make a mess of their first couple UTMs, so please don't take my comment personally.

Cheers - Bob

Allow me to further add to Bob's post seek out a partner who is at least a Sophos Certified Architect - UTM.  The certifications are changing but this at least makes sure they know the basics with some advanced teachings.  One who has years of experience with the product and who also uses the product themselves(dogfooding)also helps along with the certs..[:)]

I started using the Microsoft Firewall product in 1997 - Proxy Server, ISA 200 0 and then TMG. In 2012 when it was obvious that the product was being discontinued I researched several competing products and found that the then Astaro Product had the features that I required. After spending a few months testing and configuring I deployed it in 2012. After 3 years I am pleased with the product. I use Waf for Exchange, Remote Desktop Gateway and a few other non-related MS Products. The Pptp Vpn has been very stable. In addition I use the Web Proxy both in SSO Mode (internal Lan) and Transparent Mode (Guest Network).

Thanks for all these comments..Nothing taking personal [;)] ...
Decision has been made - to replace TMG with Sophos UTM - so just have to make the best of it..

@Longman.. How did you get RD Gateway to Work with waf? I had to setup NAT to get RDG to Work...thanks

Here my notes on the configuration. I used the UTM Guide for Remote Desktop Gateway to start. I need to revisit it which I haven't done since upgrading to version 9.3

Remote Desktop Gateway

Real Web Servers
Go to Web Application Firewall >> Real Web Servers tab
Click the New Real Web Servers button
Name: RDGW RWS
Host: RDG Server
Type: SSL (HTTPS)
Port: 443
Comment: For remote desktop access

Firewall Profiles
Go to Web Application Firewall >> Firewall Profiles tab
Pass Outlook Anywhere: On
Name: RDGW FP
Mode: reject
SQL Injection Filter: Off 
Cross Site Scripting Filter: Off 
Enable cookie signing: Off 
Enable URL Hardening: On

Entry Url's: specified manually
/rpc
/RpcWithCert

Enable Form hardening: Off
Use Antivirus scanning: Off  
Block clients with bad reputation: Off 

Virtual Web Server 
Go to Web Application Firewall >> Virtual Web Servers and create Virtual Web Server
Name: RDGW VWS
Interface: External (WAN) (Wan address 2)
Type: HTTPS 
Port: 443
Certificate: select the certificate imported earlier: RDGW CERT
Domains

rdgateway.mydomain.com


Real Web Servers: RDGW RWS
Firewall Profile: RDGW FP
Enable Html rewriting: Off
Pass Host Header: On

Exceptions
Go to Web Application Firewall >> Exceptions and create the following
Name: RDGW EX
Skip these checks: URL Hardening
On this virtual web server: RDGW VWS
Paths
/rpc/*
/RpcWithCert/*

Note that I had this set to off "Block clients with bad reputation: Off " because of a sophos dns issue. I think they resolved this in 9.3 - I don't remember the details.