Pros and cons of remote access with Sophos OpenVPN client vs. IPSec?

We may need to clear up a few things first...

By Sophos OpenVPN Client do you mean the SSL VPN Client that you download from the User Portal, or something else entirely?

There is also an IPSec client that you can download from the User Portal which is the Sophos Secure Client, it's not free though and is only a 30 day evaluation. 

I don't really have any Pros or Cons for you but here are some things to consider.

- The SSL VPN client can often be easier to debug IMO. Many IPSec error messages are good at pointing you to what the problem is, but I've also had some very unhelpful ones as well, YMMV.  With SSL VPN, as long as you're running the client as administrator and you can reach the server on the other end, it will usually work thanks to running on port 443.  

- I've heard that some carriers like to try and "help" IPSec though, which simply doesn't help at all. 

- There is much broader support for IPSec among different vendors and products than for SSL VPN.

- Many different vendors use different terms when talking about the same IPSec components or steps, complicating the configuration process. 

- IPSec can seem much more daunting to configure than it is IMO, if you can simply match the configuration (and Policy, to use UTM terminology) on both sides, it works like a charm.

[Edit:  Also, this.]
-  If you're working with the UTM and you have SiteToSIte IPSec connections configured, as well as Cisco VPN enabled, as well as L2TP IPsec, or any combination, it can be tricky to debug because at the moment there is only one amalgamated IPSec log.

Hopefully others can chime in with further tidbits as well? This is just [some of my] 2c.

Some places in Europe block IPsec for home users and some hotels there charge extra for such "business" usage.  To my knowledge, that's not the case in North America, but I'm not surprised to learn that Jeff has seen different problems.  I think he'd say that it's not that widespread though.

The L2TP/IPsec mode of the Windows client is well known and functions reliably - is that what you meant?  The only downside of this solution is if you want to use RADIUS authentication.  The PSK/certificate is not available via the User Portal, so must be distributed manually.

I'm not familiar with the IKEv2 mode for the Win7 VPN client, but maybe that's what you meant.  A quick perusal of some documentation left me with the impression that it only uses Aggressive Mode, and that wouldn't work with the IPsec server in the UTM because it only supports Main Mode.  Again, I don't know.  In any case, the underlying daemon, pluto, only supports IKEv1.  http://feature.astaro.com/forums/17359-utm-formerly-asg-feature-requests/suggestions/3985799-upgrade-to-modern-version-of-strongswan-which-uses

Jeff, if my impression is wrong, and it is possible to use the IKEv2 client, maybe someone at Sophos could do a white paper on getting the Microsoft IKEv2 client working with the UTM. (Which is not possible because V9.1 and older don't support IKEv2.)

As for SSL, the Sophos SSL VPN client is reliable and is really convenient for a company with Active Directory.  With the default setup, this solution is much slower than IPsec; before distributing clients and configurations, change the port from TCP 443 to something like 2443 UDP.  There's a lot more overhead to using SSL instead of IPsec - if you have a large number of clients to connect, you'll need to acquire a lot more computing power or to choose an IPsec VPN.

Cheers - Bob

Jeff - Thanks for the great answer.  

You are correct - By "Sophos OpenVPN client" I am referring to the one you download from the portal.

>

Ah, maybe I haven't RTFMd enough.  When I saw the IPSec option (not the Cisco one, just the one labeled "IPSec") I just assumed it would use whatever IPSec stack was built into the OS.  For example Windows 7 allows you to create IPSec connections.

>

Is the Sophos OpenVPN client an SSL VPN?  My understanding was that the SSL VPN client was yet another option, different from the Sophos OpenVPN option?

BAlfson - Interesting.  Why do some places in Europe block IPSec for home users?  What is the logic?

Re: your comment about the L2TP/IPSec mode of the Windows client - I hadn't realized that the UTM portal had it's own IPSec client download until Jeff mentioned it.

block IPSec for home users?

I guess it's the same reason that most ISPs in North America block SMTP for home users.

Cheers -  Bob

Hi,
SMTP is purportedly blocked to reduce the impact of spambots.

IPSec is blocked because the ISPs want to force telecommuters, et al, to 'upgrade' to a business plan.

TimeWarner Cable in the US has been known to imply in their marketing flyers that you need a residential business line ($99/mo at the time, vs $30-45/mo for standard) for VPNs, VOIP, VideoConferencing, etc.  They also claimed to include QOS prioritization for those services on the business lines.
I had a residential line, and everything worked OK, but I did have trouble with VOIP if I didn't keep my P2P uploads heavily throttled (to far below my rated and measured bandwidth).
I do not have any such problems on FiOS.

Barry

Hi Bob,
Can you please clarify your point about "change the port from TCP 443 to something like 2443 UDP"... the context of the comment implies this will improve performance of SSL VPN. I just need a bit of reassurance before I ask my end users to refresh their SSL configurations. So there would be no side-effects to using the UDP port (like session reliability)?

BAlfson - Interesting.  Why do some places in Europe block IPSec for home users?  What is the logic?

Re: your comment about the L2TP/IPSec mode of the Windows client - I hadn't realized that the UTM portal had it's own IPSec client download until Jeff mentioned it.

I've been in certain hotels and establishments in the U.S. that block IPSEC as well.  That's why I have both SSL and IPSEC clients available.

IPSEC is faster... SSL is easier to setup.  You can greatly increase the speed of the SSL VPN by switching it to UDP instead of TCP for the connection, but some firewalls will block UDP on port 443.

Btill, I had a medical practice that had users complaining of slow speeds via TCP 443 and the SSL VPN (I joke that's because the NSA is capturing the traffic, LOL), and they saw a phenomenal increase in speed when we went to UDP.  The majority of the transcriptionists that used that connection were home users that had home routers that allowed all outbound.  The few corporate types that had properly locked-down firewalls on their end had to have their IT / Security staff open up UDP 443.  That's the only side-effect of switching to UDP.

Additionally, while the IPSEC Client is freely downloadable, it's an additional cost item to use beyond the trial period; your VAR/Reseller can get you pricing on that.  Frankly, except for power users that may need two VPN connections at once to different sites or the extra speed afforded IPSEC connections, the SSL VPN works fine and is easier to administer and deploy (and cheaper, the client is free).

Hi,
SMTP is purportedly blocked to reduce the impact of spambots.

IPSec is blocked because the ISPs want to force telecommuters, et al, to 'upgrade' to a business plan.

TimeWarner Cable in the US has been known to imply in their marketing flyers that you need a residential business line ($99/mo at the time, vs $30-45/mo for standard) for VPNs, VOIP, VideoConferencing, etc.  They also claimed to include QOS prioritization for those services on the business lines.
I had a residential line, and everything worked OK, but I did have trouble with VOIP if I didn't keep my P2P uploads heavily throttled (to far below my rated and measured bandwidth).
I do not have any such problems on FiOS.

Barry

I loathe TW Cable (well, any cable company to be fair) their prices for additional Static IPs are absolutely ridiculous... fortunately in our town we have a FIOS competitor, and the prices are good enough for small business to afford -- for the bigger ones, we have another national, well-known fiber provider that runs SONET rings through buildings.  Our whole office building is slowly but surely dropping TW Cable and moving to this other FIOS provider.  Small bonus -- we're getting some small UTM installations as part of this [:)]