UTM as VPN "Client"

had posted a working openvpn solution here 6 month ago: https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/54618 

allthough i highly prefer my sophos utm on a vserver these days [;)] much easier to setup and to use. ($5 per Month, PM for more info as i dont want to public advertise for that vhoster)

II'm going to install UTM in a virtual machine and decline the option to enable enterprise features

Hi James, I wouldn't do something that drastic. Think of confd as a second system admin, backend to webadmin if you will. Its only job is to make the system look exactly the way it looks in webadmin; from licensing, networks, iptables... everything. This makes confd your friend majority of the time since you can click a few things and confd will do the heavy lifting so you don't have to look under the hood.

But as you have noticed, it comes at a price that if you change something manually, confd thinks something went wrong and fixes it back to the way it looks in webadmin.

Luckily, confd is only aware of the files already existing in the UTM so you can technically add complete working directories with new binaries and confd isn't bothered. So for testing purposes, if you can get a binary to install on UTM, you will be fine. 

From your WIKI contribution, the only catch would be finding a way to add the network without confd removing it randomly. Once you have the network added successfully, you probably can add firewall rules via webadmin to move traffic through that tunnel if you so desire.

By the way https://www.softether.org/ is an interesting open source vpn project that I have been playing with recently.

That definitely helps out a lot... since I had never heard of ConfD until Scott mentioned it the other day, I downloaded a bunch of manuals about it to read when I have the time.

I haven't had time over the last week to dedicate to this, but to what you said about finding a way for confd to not remove the network once added: does this mean if I create an interface via ifconfig, confd would remove it if an update comes through that replaces network files the interface(s) rely on?

Another thought I've had, from the worst case point of view of not being able to bypass confd: 

Once we get a separate instance of openvpn up and running, store all the modified files in a folder confd won't touch, create a cron job for a script that runs every day at midnight that auto replaces all files with the ones in the folder.

• This assumes the chance of these specific files being replaced by an update as only being once a day... if the chance of the files being replaced is multiple times a day, then adjust the cron job accordingly
  

 does this mean if I create an interface via ifconfig, confd would remove it if an update comes through that replaces network files the interface(s) rely on

Confd stores interface information, so would probably be wiped quite quickly.

This assumes the chance of these specific files being replaced by an update as only being once a day... if the chance of the files being replaced is multiple times a day, then adjust the cron job accordingly

Depends what it is.  If it's something that's in WebAdmin, it'll be in Confd and will, most likely, be wiped within seconds.  If it isn't in Confd, then you just have to worry about up2date packages replacing files.

I think before I jump into trying to figure out how to get a second openvpn instance up and running, I'll spend some time reading through the confd manuals I downloaded the other day, as I know nothing about confd besides what's been mentioned in this thread.  In order to either work around confd or work with it, it's worth having the understanding of what it does, how it does it, why it does what it does, and most importantly, where it's getting it's instructions from.

I'll spend some time reading through the confd manuals I downloaded the other day

Care to share said manuals?

In order to either work around confd or work with it, it's worth having the understanding of what it does, how it does it, why it does what it does, and most importantly, where it's getting it's instructions from.

This part is going to get difficult since this is what is considered part of the enterprise tool kit. Confd works in conjuction with middleware. Hence the reason for the init scripts in 

/var/mdw/scripts

I haven't tested how long manually created additional interfaces / routes stay alive with last few releases since v9.1. Scott has more experience with that. 

Here is the list of problems I foresee:

1. If you don't make confd/mdw aware of your interfaces, they will get removed. What will trigger that and how often will need to be investigated.

2. If you ignore confd and add additional interfaces anyway, confd will still wipe off your iptable rules and any additional routes wiping any progress.

3. If you install a binary, any update can wipe your dependencies. If you can find an rpm that works, it may make the sophos system updates fail but I think they force the rpm updates which may leave your whole system unstable after an update.

4. Chrooting won't help since confd can change your base network anytime.

5. If confd is not aware of your manually added network/routes. Even if they survive for a period of time, all the other daemons such as snort (IPS) won't know about your local and remote network and block such traffic actively. So you will either have to disable IPS completely or will have to modify snort conf files which will again get overwritten by confd[[:D]]

6. Installing without enterprise root kit throws you at grub> prompt when I tried it a few years ago. I am not even sure if they include a compiled kernel without enterprise root kit. Besides, what would be the point? We know openvpn works on linux[;)]

This is all I can think of at the moment. Thats why some people suggest workarounds by using additional hardware vpn routers or site to site with another distro that can do open vpn correctly.

 If I was going to do it with software on the UTM, I would first find a binary that would work on the UTM. Then I would start working on finding workarounds one obstacle at a time.

It would be interesting what you find out reading the confd. literature. I am sure that is some dry reading[[:D]]

Originally Posted by JW0914  View Post
I'll spend some time reading through the confd manuals I downloaded the other day
Care to share said manuals?

If you were looking at https://github.com/kelseyhightower/confd, the UTM one is completely different, homegrown.  There is no manual, because Sophos doesn't want users messing around with it.  There's a handful of kb articles with a few commands here and there in the public knowledgebase, like https://www.sophos.com/en-us/support/knowledgebase/116041.aspx.  Confd does have a little built-in help, once you enter cc.

Be VERY aware jdmoore, if you have a paid license, that if you make changes with CC (without direction from support via a case or kb article) that go wrong, you will have voided your support agreement and support can provide no assistance until you reinstall and either restore from a config-backup from prior to the change or manually reconfigure.

Be VERY aware jdmoore, if you have a paid license, that if you make changes with CC (without direction from support via a case or kb article) that go wrong, you will have voided your support agreement and support can provide no assistance until you reinstall and either restore from a config-backup from prior to the change or manually reconfigure.

Thanks for reiterating the warning. Sadly, as a Proof-of-Concept for my customer, Sophos is definitely out of the running for this reason (no VPN Client functionality). But since it's only covered by the home-use, it turns out that there isn't any actual support agreement to being with, so I can't actually void it [;)]. At this point, it is now a matter of trying to get it to run to prove whether or not it can be done.