Move SSL VPN from one UTM to another

Hi, and welcome to the User BB!

Short answer - No.  Here's an alternate suggestion that shouldn't take too much time...

First, make sure you have adhered to The Zeroeth Rule in Rulz.  While there, glance at #6, as it relates to the following.

Go ahead and add the new accounts to the new 220.  If you can sync them from Active Directory, so much the better!  Once you have them all loaded, you can download a new installation package for each of them and email it to each user.  One-at-a-time, on the 'Users' tab in 'Users & Groups':
[LIST=1]Click the checkbox beside a username

• Click the 'Action' menu at the top of that column
  
• Select "Download SSL VPN packages"
  
• Select 'Package content: Windows configuration update'
  
• Download and save

[/LIST]
I'll guess that might take about an hour to download and paste instructions and the appropriate file into a different email for each of the 30 people.

Cheers - Bob

Just an idea...how about setting HA scenario right now, sync, decommission the first one, reinstall it and bring it back as a slave ?

If you don't have serious problem with your current configuration it is easier to manually tune your config and refresh OS than to disturb your users.

Thanks for the help.

I did not realise you could download the config from the UTM for each user.

That might be a solution I will test on a few users. The users come from an active directory security group. Is there an easy way to create all the users on the UTM or do I just have to type them all in.

In 'Definitions & Users >> Authentication Services', go to 'Prefetch directory users' at the bottom of the page:
[LIST=1]If you have already created a Backend Group in WebAdmin based on Active Directory and limited it to your AD Security group, drag it into 'Groups'.  I you haven't, then click on the green + and create one now.

• Select your server and set the period (I prefer daily at 00:30)
  
• Click [Apply]
  
• [Open prefetch live log] so that you can see and understand
  
• [Prefetch now]

[/LIST]
Now, you're ready to go generate the new configuration for each user.  They will, in fact, have both the old and new configurations after they install your new one.

In the SSL remote access profile, include the Backend Group instead of the individual users, although I also like to add the local "SuperAdmins" group in case AD is not responding and I want to VPN in to work on the problem.

Cheers - Bob

I've tried prefetch in my lab, its not working....?

[FONT="Courier New"]2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: Retrieving server configuration
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]:    -> using internal configuration from Confd
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: Using contexts from confd object
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: ldap server:
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]:     server:  172.16.1.1
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]:     port:    389
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]:     ssl:     0
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]:     bind_dn: utm
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]:     update:  1
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: contexts:
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]:     CN=Domain Users,CN=Users,DC=lab,DC=internal
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: ------------------------------------------------------------
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: Starting synchronization for adirectory
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: ------------------------------------------------------------
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: ------------------------------------------------------------
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: Searching for users
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: ------------------------------------------------------------
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: Connecting to ldap server
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: ldap server: ldap://172.16.1.1:389
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: No group members found for group 'CN=Domain Users,CN=Users,DC=lab,DC=internal'
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: ------------------------------------------------------------
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: Performing ldap search:
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: Ldap search returned 0 users
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: Search time: 0m 0s
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: ------------------------------------------------------------
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: Adding/updating users
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: ------------------------------------------------------------
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: 0 user objects were found:
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]:    0 users were created
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]:    0 users were updated
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]:    0 users are authenticated locally.
2014:08:19-13:53:01 lab-gw1 user_prefetch[20086]: Overall time: 0m 0s[/FONT]

Vilic, this is known behavior, and, although I won't insist on calling it a bug, it certainly is a quirk. [;)]

Instead of using the built-in AD Groups*, create a new Security Group in AD called "SSL VPN Users" and add the desired members to it there.  Then, in WebAdmin, use the above to create a new Backend Group based on "SSL VPN Users."  Better luck with that?

Cheers - Bob

* See #6 in Rulz.

The pre fetch worked for me so that made it easy.

Do I then just jun the setup.exe after i have downloaded the VPN settings.

If I select more than one user the files have multiple configs for each user. Will it be the same zip file I email to each user?

You can try this with no danger.  Yes to setup.exe.  No, you need a separate download for each user.  If you click them all and do the download, you will have a configuration that sets up every user on every client.  Try this with two users and then look in the config directory of the zip.

Cheers - Bob

Okay that works quite well and is easy for me to do and the users to do. Is there anyway that the old config can be removed. Users will be left with the old config for a UTM that will no longer be on.

Thanks

They just need the right to remove the config for the old FQDN in C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config.

Cheers - Bob