Ir al contenido
Avanet

Sophos Connect o SSL VPN: ¿Qué solución de acceso remoto es la adecuada?

Sophos Firewall ofrece múltiples rutas de acceso remoto. En entornos más antiguos, a menudo todavía se encuentra el clásico cliente VPN SSL o perfiles IPsec antiguos. En las versiones actuales de SFOS, Sophos Connect es el cliente central para muchos escenarios de acceso remoto, pero la adaptación varía según la plataforma, el protocolo y el modelo operativo.

Esta guía de decisiones muestra cuándo tiene sentido Sophos Connect con IPsec, Sophos Connect con SSL VPN, un cliente compatible con OpenVPN o ZTNA. Para entornos con SFOS 22.0 MR1 también es importante: IPsec de acceso remoto heredado ya no debe dejarse como legado. La migración se describe en el artículo Migrar IPsec de acceso remoto heredado antes de SFOS 22 MR1.

¿Qué artículo sobre VPN encaja?

El acceso remoto y la VPN de sitio a sitio se configuran en diferentes lugares de Sophos Firewall. Lo primero que es importante para los administradores es si se trata del acceso de los usuarios, la creación de redes del sitio, la operación del cliente, la identidad o la resolución de problemas.

Ayuda breve para la toma de decisiones

  • Clientes Windows con distribución central: Sophos Connect con IPsec o SSL VPN.
  • Clientes macOS de Sophos Connect 2.0: Sophos Connect con IPsec o SSL VPN, según la configuración del firewall.
  • BRAZO de Windows: Sophos Connect desde la versión 2.5.
  • iOS, iPadOS, Android u otras plataformas móviles: Recursos integrados del sistema operativo o del cliente compatible con OpenVPN, según el protocolo.
  • Redes extranjeras con IPsec bloqueado: Marque SSL VPN o ZTNA.
  • Acceso sólo a aplicaciones individuales: Consulte ZTNA o Acceso sin cliente.
  • IPsec de acceso remoto heredado anterior a SFOS 22 MR1: Migrar y eliminar. La tabla está deliberadamente simplificada. En la práctica, no es sólo el cliente el que decide, sino también el modelo de autenticación, MFA, el entorno de red de los usuarios, los objetivos internos requeridos y cómo se distribuyen y actualizan los perfiles.

Límites de plataforma y perfil

Antes de tomar una decisión, no deberías preguntar simplemente “IPsec o SSL VPN”. Igualmente importante es si la plataforma deseada admite el tipo de perfil adecuado y la distribución deseada.

  • Windows 10/11 de 64 bits: Sophos Conecta IPsec: si; VPN SSL de Sophos Connect: si; Archivo de aprovisionamiento: si.
  • BRAZO de Windows: Sophos Conecta IPsec: de Sophos Connect 2.5; VPN SSL de Sophos Connect: de Sophos Connect 2.5; Archivo de aprovisionamiento: de Sophos Connect 2.5.
  • MacOS Intel: Sophos Conecta IPsec: si; VPN SSL de Sophos Connect: de Sophos Connect 2.0; Archivo de aprovisionamiento: no.
  • macOS Apple Silicio: Sophos Conecta IPsec: sí, vía Rosetta 2; VPN SSL de Sophos Connect: de Sophos Connect 2.0, a través de Rosetta 2; Archivo de aprovisionamiento: no.
  • iOS, iPadOS, Android: Sophos Conecta IPsec: no con Sophos Connect; VPN SSL de Sophos Connect: no con Sophos Connect; Archivo de aprovisionamiento: no con Sophos Connect.
  • Clientes Windows antiguos de 32 bits: solo las versiones antiguas de Sophos Connect hasta la 2.4 siguen admitiendo Windows de 32 bits. Las implementaciones actuales deben planificarse con Windows de 64 bits.

Para macOS, esto prácticamente significa: Sophos Connect ahora puede usar SSL VPN, pero no con la misma lógica de aprovisionamiento que Windows. Los perfiles deben importarse y reaprovisionarse deliberadamente después de cambios relevantes. Para las plataformas móviles, Sophos Connect no sigue siendo el cliente directo; Dependiendo del protocolo, se requieren aplicaciones o funciones del sistema operativo compatibles con OpenVPN.

Sophos se conecta con IPsec

Sophos Connect con IPsec suele ser la primera opción cuando se necesitan VPN de cliente clásicas para dispositivos Windows o macOS. IPsec suele ser de alto rendimiento y es muy adecuado para clientes de empresas gestionadas donde los perfiles se pueden distribuir de forma controlada.

Ventajas:

  • buen rendimiento en muchos entornos
  • adecuado para clientes administrados de Windows y macOS
  • Posibilidad de reglas de firewall central a través de la zona VPN
  • clara separación entre acceso remoto y VPN de sitio a sitio
  • útil si de todos modos se utiliza Sophos Connect como cliente estándar

Límites:

  • IPsec se puede bloquear en hoteles, redes de huéspedes, redes móviles o redes de terceros estrictamente filtradas.
  • Los perfiles y asignaciones de usuarios deben mantenerse adecuadamente.
  • Después de cambios en los grupos, DNS o redes de destino, se deben volver a probar los clientes.
  • IPsec de acceso remoto heredado no debe confundirse con la configuración actual de IPsec de acceso remoto.

Para configurarlo en el firewall, Configurar el cliente Sophos Connect en Sophos Firewall es el artículo de conexión adecuado.

Sophos Connect con SSL VPN

Sophos Connect también puede utilizar conexiones VPN SSL. Esto ha sido relevante en Windows durante mucho tiempo y, desde Sophos Connect 2.0, Sophos también admite SSL VPN en macOS. Esto es particularmente importante porque las instrucciones más antiguas de Avanet y Sophos Connect se remontan en parte a una época en la que macOS con Sophos Connect solo podía utilizar IPsec.

Ventajas:

  • a menudo es más utilizable en redes restrictivas de terceros que IPsec
  • Windows y macOS son compatibles con las versiones actuales de Sophos Connect
  • La tecnología OpenVPN es fácil de entender en funcionamiento
  • tiene sentido si los procesos VPN SSL existentes ya están establecidos

Límites:

  • El rendimiento y la escalabilidad dependen más del dispositivo, el protocolo, el cifrado y la carga.
  • Se deben gestionar adecuadamente los perfiles de usuario y los certificados.
  • Los clientes VPN SSL antiguos y las versiones antiguas de OpenVPN no deben utilizarse sin comprobarlo.
  • Los dispositivos móviles todavía suelen utilizar otros clientes compatibles con OpenVPN.

La configuración del lado del firewall se encuentra en Configurar el acceso remoto VPN SSL de Sophos Firewall. Para Windows existe la guía paso a paso Configurar Sophos SSL VPN con Sophos Connect en Windows. Para macOS, debe comprobar la versión actual de Sophos Connect para ver si hay nuevas instalaciones porque la compatibilidad con la plataforma cambió en 2026. El artículo operativo correspondiente es Compruebe y actualice de forma segura la versión de Sophos Connect Client.

Clientes OpenVPN y plataformas móviles

Sophos Connect no es compatible directamente con todas las plataformas. Sophos Connect para IPsec y SSL VPN no cubre directamente plataformas móviles como iOS y Android. En tales casos, dependiendo del protocolo, se utilizan los recursos integrados del sistema operativo o clientes compatibles con OpenVPN.

Esto no es una desventaja si el proceso está claramente documentado. Sólo se vuelve problemático cuando los usuarios usan aplicaciones diferentes, perfiles antiguos e instrucciones poco claras. Por lo tanto, conviene definir claramente lo siguiente para los dispositivos móviles:

  • qué protocolo se utiliza
  • qué aplicación es compatible
  • de dónde viene el archivo de configuración
  • cómo funcionan MFA o certificados
  • quién admite cambios de dispositivo

Hay instrucciones específicas disponibles para Sophos SSL VPN con Sophos Connect en Windows, Sophos SSL VPN con Sophos Connect en macOS, VPN SSL en Sophos en iPhone y iPad y VPN SSL en Sophos en Android.

Distribución y actualizaciones de perfiles.

Los problemas de acceso remoto a menudo no surgen del tipo de túnel seleccionado, sino de perfiles antiguos. Si se cambia la puerta de enlace, el certificado, el DNS, el grupo de usuarios, el grupo de IP, el portal o el archivo de aprovisionamiento, debe limpiar activamente el inventario de perfiles.

Reglas prácticas:- Realice un seguimiento de las versiones de Sophos Connect de forma centralizada.

  • No distribuir archivos .scx, .tgb, .ovpn y .pro en paralelo de forma incontrolada.
  • Con el aprovisionamiento .pro, el cliente recibe la configuración automáticamente, pero las pasarelas SSL VPN reales siguen procediendo de la configuración SSL VPN importada y pueden diferir de la dirección del portal.
  • En SSL VPN, comprobar si los usuarios pueden descargar nuevas configuraciones mediante Update policy en el User Portal o si el perfil debe redistribuirse manualmente.
  • Distinguir conscientemente los tipos de archivo: .scx se usa normalmente para perfiles Sophos Connect IPsec, .tgb para perfiles IPsec de determinados clientes de terceros o móviles, .ovpn para configuraciones SSL VPN y .pro para el aprovisionamiento de Windows.
  • Distinguir conscientemente los tipos de archivo: .scx suele usarse para perfiles IPsec de Sophos Connect, .tgb para perfiles IPsec de determinados clientes de terceros o móviles, .ovpn para configuraciones SSL VPN y .pro para provisioning de Windows.
  • Mantenga los nombres de perfil únicos, especialmente para múltiples ubicaciones.
  • Programe una nueva importación después de cambios en SSL VPN o IPsec.
  • Pruebe Windows, macOS y clientes móviles por separado.
  • Eliminar perfiles antiguos al salir, cambiar de dispositivo o migrar.

El proceso operativo para las actualizaciones de clientes se encuentra en Compruebe y actualice de forma segura la versión de Sophos Connect Client.

Cuando ZTNA se adapta mejor

No todos los casos de acceso remoto necesitan una VPN clásica. Cuando los usuarios sólo necesitan acceder a aplicaciones web individuales o servicios internos definidos, ZTNA suele ser la arquitectura más limpia. El cliente entonces no obtiene acceso general a la red, sino sólo acceso a las aplicaciones que necesita.

ZTNA es especialmente adecuado si:

  • no se requiere accesibilidad total a la red
  • los usuarios externos sólo utilizan aplicaciones individuales
  • El acceso debería estar más estrechamente vinculado a la identidad, el dispositivo y la política.
  • Las reglas de VPN han crecido históricamente y se han vuelto demasiado amplias.

ZTNA no reemplaza todas las VPN. Es posible que aún sea necesaria una VPN clásica para el acceso de administrador, muchos protocolos, software especial o rutas de red complejas. Conector de puerta de enlace Sophos ZTNA sirve de introducción.

Seguridad y Operaciones

Independientemente del cliente elegido, las cuestiones operativas siguen siendo similares. El acceso remoto es un punto de entrada a la red de acceso público y no sólo debe funcionar técnicamente, sino también de forma limpia.

Puntos importantes:

  • Activar y probar MFA para acceso remoto.
  • En Sophos Connect, comprobar si el método MFA encaja con el cliente. Los métodos OTP challenge-based no funcionan igual que User Portal o WebAdmin; Sophos Connect trabaja con contraseña más OTP o con flujos basados en llamada/push.
  • Consultar periódicamente los grupos de usuarios.
  • Liberar únicamente las redes y servicios de destino requeridos.
  • Nombre y registre claramente las reglas de firewall para la zona VPN.
  • Eliminar perfiles de VPN al salir o cambiar de dispositivo.
  • Limpiar configuraciones antiguas anteriores a SFOS 22.0 MR1.
  • Utilice el visor de registros y los registros centrales para errores de inicio de sesión y conexión.

Configurar Sophos Firewall MFA es adecuado para MFA. Si se establecen conexiones pero no fluye tráfico, Solución de problemas de VPN IPsec de Sophos Firewall y Verifique las regulaciones del firewall con Log Viewer, Policy Test y Packet Capture pueden ayudar.

Si se puede acceder al Portal VPN, Portal de Usuario o VPN SSL desde Internet, también debe marcar Acceso al dispositivo y ACL de servicio local. El acceso remoto no es sólo una cuestión del cliente, sino también un servicio de firewall de acceso público.

Preguntas frecuentes

¿Sophos Connect es el sucesor del antiguo cliente VPN SSL?

Para muchos escenarios de Windows y macOS, Sophos Connect es ahora el cliente central de Sophos. Sin embargo, los clientes compatibles con OpenVPN pueden seguir siendo útiles, especialmente en plataformas móviles o en casos especiales.

¿Sophos Connect admite VPN SSL en macOS?

Sí. Desde Sophos Connect 2.0, el cliente de Sophos Connect en macOS también puede utilizar VPN SSL de acceso remoto. Para hacer esto, la versión del cliente, la versión del firewall y la configuración deben coincidir.

¿IPsec es más rápido que SSL VPN?

A menudo sí, pero no en todos los ámbitos. IPsec suele tener mejor rendimiento, mientras que SSL VPN funciona mejor en redes restrictivas de terceros. Los factores decisivos son el dispositivo, el cliente, la ruta de red, el cifrado y el patrón de acceso específico.

¿Qué pasa con Windows ARM?

Sophos Connect es compatible con Windows ARM desde la versión 2.5. Por lo tanto, en el caso de versiones de cliente más antiguas o paquetes de software internos antiguos, debería comprobar qué versión se está distribuyendo realmente.

¿Cuándo es ZTNA mejor que la VPN clásica?

ZTNA suele ser mejor cuando los usuarios sólo necesitan aplicaciones individuales y no se requiere un acceso amplio a la red. La VPN clásica sigue siendo útil para muchos protocolos, acceso de administrador, software especial o rutas de red complejas.

¿Qué se debe comprobar antes de SFOS 22.0 MR1?

Antes de SFOS 22.0 MR1, se debe verificar si aún existe IPsec de acceso remoto heredado. Esta configuración antigua bloquea la actualización y debe migrarse o eliminarse con antelación.