Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 3931 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Confused on SSL VPN Clients

Krowten
Hello,

I've been using an ASG for quite a while, but I recently had a need at a site to support VPN access.  So I setup the SSLVPN and began testing and showing users how to install clients and this is where I ran into a lot of problems.  Perusing the docs and support docs didn't help much.  I read some posts on here, but I wanted to get clarification.

First, on the Windows 7 clients.

I typically can install the client on a Windows 7 desktop and it works, but once the user reboots, it no longer functions (you can see access denied errors in the OpenVPN log related to routing I believe).  I had a few users remove the client and then run setup.exe again, but this time I had them do it using Run As Administrator.  That made no difference. It worked for that session and after a reboot,  nothing.  I found some posts that said that said the problem is that the client has to run with admin rights.  I thought that was fixed in 8.3, which we are on.  Is it not?  Also, these users are all admins on their Windows 7 machines, so I don't understand what the issue is.  

I had a few users test the Viscosity VPN client from Sparklabs and this seems to work great.  No problems after rebooting.  Of course, it's not free.

Is this problem known? What trick am I missing to have the Astaro VPN client run reliability on Windows 7 Pro desktops?


Second, Apple Mac OS X.  

The docs say to get the client from openvpn.net.  So I went there and downloaded the client but this client looks like it is specifically for connecting to  their Private Tunnel service.  How do you use that client to connect to an Astaro?  In the community section, I see OpenVPN client builds, but only for Windows.  Where is the Mac OS X build the Astaro docs refer to?  I love how they say, everything you need is at openvpn.net yet I see nothing there helpful!

Again, on the Macs I tried the Viscosity client and it worked great.  And again, it's not free. 

I've used a fair number of VPN's in my day, but this client mess is extremely confusing.  What am I missing here?  Seems to be a real lack of effort here on the VPN clients.  Can someone clarify this for me?

Thanks.

Matt


This thread was automatically locked due to age.
  • 0
    Hi Matt,

    did you read and follow this document?

    Works fine for us with W7x64.

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Thanks, I actually did see that link, I meant to mention that.  But my gosh, that is way too much for a typical end-user to do.  Plus I wasn't sure if that still applied since it was old and listed as outdated.  

    That is really what they expect end users to do to install the client?  That's just not reasonable.  There is no way I could have expected these users (lawyers) to do this.

    I haven't looked at ASG 9 yet, but I sure hope this (and Macs) is addressed. 

    Matt
  • 0
    I think in UTM9 (=ASG 9.x) there is a modified client that only needs admin rights during installation. Additionaly there is a first draw of a clientless vpn solution for RDP sessions - maybe that will be a possible solution.

    We distribute the vpn client with a deployment tool (ms sccm server) so that's not an issue here.

    I'm a little afraid to say it loud but the quick and dirty way is to disable UAC and make the users local admins - but i do not recommend that. 

    How many user do they have? Isn't it possible to have an admin configure the clients in the described way?

    Regards
    Manfred
  • 0
    Correct, in v9 admin rights will only be necessary during installation.
  • 0 in reply to Scott_Klassen
    Oh, a clientless VPN solution for RDP? I'm very interested.  That is the primary usage here, RDP sessions!  That sounds like it would be perfect.

    The problem is this is mostly home/personal machines.  I think what we are going to do is use the Viscosity client from SparkLabs.  It's only about 20 or so users, so it's not too expensive and the end-users can easily run the install. Viscosity also can be packaged to include the connection info.  Plus I have to deal with Macs as well, so this way it's consistent across platforms.

    But I do have a somewhat related question, and this may be my naivety on OpenVPN, but can I create a "generic" config that all the users could use?  Or does each user have to download their own certs and .opvn config from the User Portal?  If I can generate a "generic" config, then I can package it right in the Viscosity client install.  Otherwise, I have to have the users connect to the user portal and download their personal config.

    Thanks.

    Matt
  • 0
    Hm - I'm not sure about side effects but I think you can use the same certs/keys/ovpn file for different users. As far as I know there is no direct relationship between the certs and the provided login credentials.

    Maybe logging and reporting shows only one user and I'm not sure what happens if more than one concurrent connection is established - you should test that and report back here ;-).

    Regards
    Manfred
  • 0
    Matt, why use the SSL VPN at all?  The native VPN client in Windows supports L2TP over IPsec without all of the cost and/or manipulations required for most third-party solutions.  The rollout for the native client is simple with the User Portal.

    Cheers - Bob
  • 0 in reply to BAlfson
    Matt, why use the SSL VPN at all?  The native VPN client in Windows supports L2TP over IPsec without all of the cost and/or manipulations required for most third-party solutions.  The rollout for the native client is simple with the User Portal.

    Cheers - Bob



    Hmm, didn't even think of that.  It looks like Mac's support that as well.  I'm guessing I could even email/push out a config file to the users too?  Is there any downside to using L2TP?  There must be Pro's/Con's to each option?  Thanks.

    Matt
  • 0
    - As far as I know, there is no (simple) way to do split tunneling with l2tp. 
    - Double nat'ed internet connections (some 3G providers do that) on the client side can be a problem and the ipsec ports must be open on the client side - sometimes a problem in hotels/public hot spots. 
    - You cannot define different firewall rules per user or group and there can be a slight performance disadvantage compared to sslvpn (but this is not a big point for current internet connections)

    If I tell nonsense - please correct me :-).

    If these points are not disturbing in your situation, l2tp is a relieable and good solution that works on many different platforms.

    Regards
    Manfred
  • 0
    Hi, Manfred,

    He's in the USA, so he's not subject to the problems with IPsec that we find in Europa.  Also, I'm not having problems here with double-NAT, although I don't understand how AT&T avoids that with my iPhone.  I agree that the granularity offered by pure IPsec, Cisco and SSL is superior, but that might be less important for him than just having a robust, secure connection.

    Cheers - Bob