When will the the UTM update to current StrongSWAN build?

Sophos not making this the #1 priority of any VPN modifications (or the Astaro team from the start) to me is a conflict of interest.
We have already moved 25% of our VPN's from Astaro to a home-built Linux instance running the latest StrongSWAN software. The result is higher stability and superb support; very technical feedback and almost instant bug fixes when problems are found. We have a plan in place to move 100% of our VPN's off Astaro within a few weeks. It's sad because the Astaro UI is really nice and everything else it does is OK, but I guess it's all meant to be like a Wal-mart: just barely good enough for the average Joe, but if you need something solid gotta shop elsewhere.

I have a simplified version of my ipsec monitoring script that resets VPN's when they are not functioning that works fantastic with the newest StrongSWAN software. 

From our experience we concluded that VPN's are not designed for handling lots of different types of connections, which is what we deal with. But very simply the StrongSWAN ipsec software is 100% capable of handling it if the user is allowed to control it fully, and also having the latest version of it.
On top of that, there are definitely situations that the VPN thinks everything is fine, but traffic stops working. It may or may not be the StrongSWAN's side at fault; it could be the other side messing up. None-the-less, the only resolution at that time is to take down that connection and bring it back up.

Also, the auto=start configuration that Astaro forces you to use is actually kind of crappy compared to the  auto=route  option. And this is because if a request comes in while the VPN connection is not up, if auto=start then the request fails. But if auto=route the ipsec software will start bringing the tunnel up, and the request is delayed until a timeout or the connection is up, resulting in a success if the VPN simply had to be brought back up.

I have a simplified version of my ipsec monitoring script that resets VPN's when they are not functioning that works fantastic with the newest StrongSWAN software. 

I'd be interested in seeing what you're doing to check for and deal with this since I've seen this happen a few times with UTM as well.  VPN is "up" but all of a sudden no traffic is going across the tunnel until I "reboot" it (the ipsec tunnel that is).

Along the same lines, is there anything exposed via snmp that would allow me to monitor the status of s2s vpn tunnels on the Sophos UTM?

Of course, I'm hoping that sometime in my lifetime Sophos updates the Strongswan version they're using.  I've been adding votes to your feature suggestions at every opportunity.  maybe they'll eventually listen.

I have a simplified version of my ipsec monitoring script that resets VPN's when they are not functioning that works fantastic with the newest StrongSWAN software. 

I'd be interested in seeing what you're doing to check for and deal with this since I've seen this happen a few times with UTM as well.  VPN is "up" but all of a sudden no traffic is going across the tunnel until I "reboot" it (the ipsec tunnel that is).

Along the same lines, is there anything exposed via snmp that would allow me to monitor the status of s2s vpn tunnels on the Sophos UTM?

Of course, I'm hoping that sometime in my lifetime Sophos updates the Strongswan version they're using.  I've been adding votes to your feature suggestions at every opportunity.  maybe they'll eventually listen.

I had added this to the features site before coming across this in the forum...

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Agree with all comments regarding ipsec.conf VPN settings. The lack of access to tweak the VPN setting is causing problems getting the UTM to function with other manufacturer VPN solutions. The Leftside-ID issue is killing me. Been sitting on the fence for three years now to fully embrace this product to replace my aging Symantec SGS 5420 which have 30 VPN conections to different vendor networks plus 120 firewall rule and NAT redirections. 

Have been using ASG at home for 5-6 years now and have a Symantec 5460 running ASG v8.3 connecting to a partner hospital. May have to take a close at SonicWall which is also an enterprise solution.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

The thing is we just switched from Symantec SEP to Sophos AV EP in addition to Sophos email EPP and disk encryption solutions.  Been using Astaro on one box for three years and would like to converge the Symantec 5420 and the Novell Border Manager onto Sophos UTM. 

Hard to get other B2B vendors to teak their VPN config especially the Cisco types. So what is the solution to enter our real WAN IP for the LEFTSIDE-ID into the Astaro?  Could not find the ipsec.confd file.

Hard to get other B2B vendors to teak their VPN config especially the Cisco types. So what is the solution to enter our real WAN IP for the LEFTSIDE-ID into the Astaro?  Could not find the ipsec.confd file.

Hi, I've done several VPNs between the Astaro UTM and Cisco... you need to create a network definition for the Cisco's WAN IP, and use that in the VPN configuration.

Please open a new thread, and post screenshots of your configuration, if you're still having trouble.

Barry