Pros and cons of remote access with Sophos OpenVPN client vs. IPSec?

Some places in Europe block IPsec for home users and some hotels there charge extra for such "business" usage.  To my knowledge, that's not the case in North America, but I'm not surprised to learn that Jeff has seen different problems.  I think he'd say that it's not that widespread though.

The L2TP/IPsec mode of the Windows client is well known and functions reliably - is that what you meant?  The only downside of this solution is if you want to use RADIUS authentication.  The PSK/certificate is not available via the User Portal, so must be distributed manually.

I'm not familiar with the IKEv2 mode for the Win7 VPN client, but maybe that's what you meant.  A quick perusal of some documentation left me with the impression that it only uses Aggressive Mode, and that wouldn't work with the IPsec server in the UTM because it only supports Main Mode.  Again, I don't know.  In any case, the underlying daemon, pluto, only supports IKEv1.  http://feature.astaro.com/forums/17359-utm-formerly-asg-feature-requests/suggestions/3985799-upgrade-to-modern-version-of-strongswan-which-uses

Jeff, if my impression is wrong, and it is possible to use the IKEv2 client, maybe someone at Sophos could do a white paper on getting the Microsoft IKEv2 client working with the UTM. (Which is not possible because V9.1 and older don't support IKEv2.)

As for SSL, the Sophos SSL VPN client is reliable and is really convenient for a company with Active Directory.  With the default setup, this solution is much slower than IPsec; before distributing clients and configurations, change the port from TCP 443 to something like 2443 UDP.  There's a lot more overhead to using SSL instead of IPsec - if you have a large number of clients to connect, you'll need to acquire a lot more computing power or to choose an IPsec VPN.

Cheers - Bob

Some places in Europe block IPsec for home users and some hotels there charge extra for such "business" usage.  To my knowledge, that's not the case in North America, but I'm not surprised to learn that Jeff has seen different problems.  I think he'd say that it's not that widespread though.

The L2TP/IPsec mode of the Windows client is well known and functions reliably - is that what you meant?  The only downside of this solution is if you want to use RADIUS authentication.  The PSK/certificate is not available via the User Portal, so must be distributed manually.

I'm not familiar with the IKEv2 mode for the Win7 VPN client, but maybe that's what you meant.  A quick perusal of some documentation left me with the impression that it only uses Aggressive Mode, and that wouldn't work with the IPsec server in the UTM because it only supports Main Mode.  Again, I don't know.  In any case, the underlying daemon, pluto, only supports IKEv1.  http://feature.astaro.com/forums/17359-utm-formerly-asg-feature-requests/suggestions/3985799-upgrade-to-modern-version-of-strongswan-which-uses

Jeff, if my impression is wrong, and it is possible to use the IKEv2 client, maybe someone at Sophos could do a white paper on getting the Microsoft IKEv2 client working with the UTM. (Which is not possible because V9.1 and older don't support IKEv2.)

As for SSL, the Sophos SSL VPN client is reliable and is really convenient for a company with Active Directory.  With the default setup, this solution is much slower than IPsec; before distributing clients and configurations, change the port from TCP 443 to something like 2443 UDP.  There's a lot more overhead to using SSL instead of IPsec - if you have a large number of clients to connect, you'll need to acquire a lot more computing power or to choose an IPsec VPN.

Cheers - Bob